(Dix heures)
Le
Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon matin. Ayant constaté le quorum, je
déclare la séance de la Commission des institutions ouverte. Je vous souhaite, bien sûr,
la bienvenue, en ce beau matin, et demande aux personnes présentes dans
la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission
est réunie afin de poursuivre les auditions
publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Avant de débuter, Mme la secrétaire, y a-t-il
des remplacements?
La
Secrétaire : Oui, M. le Président. M. Fontecilla
(Laurier-Dorion) sera remplacé par M. Nadeau-Dubois (Gouin) et M. LeBel
(Rimouski) par M. Ouellet (René-Lévesque).
Le Président (M.
Bachand) : Merci. Est-ce qu'il y a des droits de vote par
procuration?
La
Secrétaire : Oui. M. Lévesque (Chapleau) pourra voter pour
M. Lamothe (Ungava), pour M. Martel (Nicolet-Bécancour) et
pour Mme Lecours (Les Plaines), et Mme Weil
(Notre-Dame-de-Grâce) pourra voter pour M. Birnbaum (D'Arcy-McGee).
Auditions (suite)
Le Président (M.
Bachand) : Merci beaucoup. Je souhaite donc la bienvenue aux
représentants du Bureau d'assurance du
Canada. Bienvenue, bon matin, et je vous rappelle que vous disposez de
10 minutes de présentation, et, après
ça, on aura un échange avec les membres de la commission présents. Donc,
bienvenue, et la parole est à vous. Je vous demanderais de vous
identifier, cependant, pour débuter.
Bureau d'assurance du Canada (BAC)
(Visioconférence)
Mme Grignon
(Marie-Pierre) : Oui,
bonjour. Je suis Marie-Pierre Grignon. Je suis accompagnée de Me Alain
Camirand.
Le Président (M.
Bachand) : Merci.
Mme Grignon
(Marie-Pierre) : Donc, M. le Président, chers membres de la commission, je suis Me Marie-Pierre Grignon, donc, directrice des affaires techniques
et juridiques au Bureau d'assurance du Canada. Donc, je suis accompagnée, comme je viens
de le dire, avec M. Alain Camirand, vice-président associé, conformité,
chez compagnie d'assurance habitation et auto TD, une société qui est membre du
BAC.
Je souhaite d'abord vous remercier pour
l'invitation faite au Bureau d'assurance du Canada de participer aux consultations particulières sur le projet
de loi n° 64.
J'aimerais aussi vous rappeler que la mission du Bureau d'assurance du Canada
est de représenter les sociétés privées d'assurance de dommages, soit les
compagnies qui assurent les automobiles, les habitations et les entreprises. Le BAC est donc le porte-parole de plus de 100 assureurs, représentant plus de 90 % des parts de marché au Québec et au Canada. Ces
sociétés sont des acteurs de premier plan dans l'économie québécoise et canadienne, tant au niveau de l'emploi, de la
fiscalité que de la protection du patrimoine des entreprises et des
citoyens. Le BAC joue également un rôle
d'importance au chapitre de l'accès à l'assurance et à la sensibilisation des
consommateurs aux risques et aux mesures de prévention des sinistres.
L'industrie
d'assurance de dommages salue la volonté du gouvernement d'actualiser le cadre
législatif qui protège les
renseignements personnels au Québec. Comme nous l'avons déjà mentionné lors de
la sortie du dernier rapport quinquennal
de la Commission d'accès à l'information, nous croyons que le cadre actuel ne
répond plus aux besoins tant des entreprises que des consommateurs.
La récente rétro des règles encadrant l'utilisation
des renseignements personnels au sein de l'Union européenne est un
exemple à suivre selon nous. Il est cependant important de noter que ce succès est le résultat
d'une vision commune de la protection des renseignements
personnels entre les différentes juridictions. Ceci évite de nombreux obstacles qui peuvent nuire de manière importante aux entreprises
dont les activités s'étendent au-delà de leurs propres
frontières nationales.
Notre
industrie est composée de sociétés à charte québécoise
ainsi que de sociétés à charte canadienne qui opèrent dans plusieurs provinces. C'est aussi une des industries
les plus réglementées et c'est
notamment pour ces deux raisons que nous sommes particulièrement sensibilisés aux
enjeux d'harmonisation entre les lois qui visent les mêmes objectifs,
que ce soit au sein d'une même province ou au niveau fédéral.
Je voudrais aussi
mentionner que la nature même des activités d'assurance nécessite le traitement
d'un grand volume de renseignements
personnels et financiers. Pour établir une prime d'assurance qui est équitable
pour chaque assuré, il est essentiel
de bien évaluer le risque que représente chaque individu et chaque bien. Cette
appréciation du risque se base sur
des modèles prédictifs qui utilisent de nombreuses variables. La collecte
d'informations est donc au coeur du processus
d'assurance depuis toujours, et c'est pourquoi les assureurs accordent beaucoup
d'importance à la protection des renseignements personnels de leurs
clients. La confiance de ces derniers, leur réputation en dépend.
À
la page 3 de notre mémoire, vous aurez vu la liste des principaux enjeux
que nous souhaitons vous présenter aujourd'hui.
Parmi eux, on retrouve l'harmonisation de la loi avec l'ensemble de
l'encadrement législatif des assureurs. Aussi, nous suggérons certaines
exceptions, mesures transitoires aux droits acquis afin de ne pas nuire
indûment aux opérations. Vous remarquerez qu'il s'agit généralement de
problématiques liées à l'application de la loi plutôt qu'à son fondement.
Le
BAC et ses membres souhaitent, par cette démarche, vous proposer de maintenir
l'équilibre entre la protection adéquate
des consommateurs et la capacité de conduire des affaires efficacement dans une
économie en pleine évolution, et ce, dans un secteur où le fardeau
réglementaire peut devenir un frein important à l'innovation.
Pour
bien comprendre l'enjeu que représente un manque d'harmonisation avec l'encadrement
législatif qui existe déjà dans la province et le reste du Canada, il
faut connaître le contexte dans lequel les compagnies d'assurance de dommages évoluent. Comme mentionné plus tôt, les
activités des sociétés d'assurance sont déjà rigoureusement encadrées par le ministère des Finances, par l'Autorité des
marchés financiers, et ce, à travers plusieurs lois, règlements et plus
d'une vingtaine de lignes directrices, et
ce, seulement au Québec. Comme la majorité d'entre elles font des affaires ailleurs
au pays, elles sont soumises à un
encadrement tous aussi rigoureux dans
chaque province où elles sont présentes, en plus de devoir respecter la
réglementation fédérale.
À
titre d'exemple de redondances ou d'incohérences potentielles, certains aspects
visés par le projet de loi
n° 64, comme les incidents de sécurité
et les communications à l'extérieur du Québec, sont déjà encadrés par les
lignes directrices émises par l'Autorité des marchés financiers. Le fait
d'ajouter de nouvelles règles ayant le même objet que celles qui existent déjà peut créer une importante confusion
et même donner lieu à des contradictions. Dans notre mémoire, nous
identifions des articles qui nécessitent, à notre avis, une harmonisation et
nous y proposons certaines modifications.
Plusieurs
de nos recommandations visent également à ce que la loi soit davantage basée
sur les principes, comme le proposait
d'ailleurs le dernier rapport quinquennal de la Commission d'accès à l'information. Une telle approche permet aux
entreprises d'établir leur propre cadre de gouvernance et d'atteindre les
objectifs de protection du consommateur plus facilement. Elles permettraient également à chaque entreprise d'établir
des mécanismes qui cadrent avec leur culture et leur structure de manière à rendre les mesures de
protection des renseignements plus efficaces et durables. Pour le consommateur qui veut que son information soit
protégée, c'est le résultat final qui compte et non la façon d'y
parvenir.
Les mécanismes
proposés dans le projet de loi n° 64 pour le transfert d'information
imposent d'importantes barrières aux
entreprises. Tout d'abord, il est important de faciliter le transfert des
renseignements personnels entre entités faisant partie d'un même groupe financier ou lors de transactions
commerciales comme des fusions ou des acquisitions. Le projet de loi propose seulement de limiter les
circonstances pour lesquelles un échange de renseignements personnels
entre entreprises est permis, sans obtenir
le consentement de la personne concernée, au transfert de propriété. Ceci n'est
pas suffisamment large pour inclure toutes les transactions commerciales entre
entreprises qui devraient bénéficier d'une telle possibilité.
En
ce qui concerne la communication de renseignements personnels entre les
provinces, les mesures proposées nous
semblent trop contraignantes et difficiles à justifier étant donné l'existence
de lois protégeant et responsabilisant les entreprises en matière de
renseignements personnels dans les autres provinces canadiennes. Selon nous, il
serait plus approprié que l'obligation
d'effectuer une étude d'impact et de risques ne s'applique qu'en présence d'une
transmission de renseignements personnels à l'extérieur du pays.
J'aimerais
aussi vous parler de prévention de la fraude. En assurance de dommages, la
fraude représente plus de 15 % du montant payé par les assureurs en
règlement de sinistre. On parle donc de plus de 1 milliard de dollars par année à travers le Canada. Les assureurs doivent
donc être vigilants, et c'est l'ensemble des assurés qui finissent par
payer pour ce fléau.
• (10 h 10) •
L'article 18 de
la loi sur le secteur privé donne déjà aux entreprises le droit de communiquer
entre elles des renseignements personnels
lorsqu'elles ont des motifs raisonnables de croire que la personne concernée a
commis ou est sur le point de commettre un crime ou une infraction à la
loi. Ceci n'est pas suffisant pour prévenir la fraude à grande échelle, de
façon significative. Les assureurs doivent pouvoir collecter, utiliser ou échanger
des renseignements avec d'autres organismes
ou entreprises. Vous comprendrez que si l'on doit obtenir le consentement d'un
individu à cette fin, l'objectif de
lutte contre la fraude est compromis. À cet égard, l'industrie de l'assurance
de dommages souhaite donc que la
communication entre assureurs de certains renseignements relatifs à la... une
information relative à la prévention de la fraude soit clairement
permise.
En ce qui concerne les sanctions proposées, nous
nous expliquons mal leur ampleur à la lumière de l'environnement économique et législatif qui prévaut au Québec. La
dissuasion doit bien entendu faire partie des objectifs des sanctions, mais celles préposées... celles proposées, pardon,
nous semblent démesurées. Elles s'apparentent à celles qu'on retrouve
dans le marché européen, alors que ce dernier est très différent du nôtre. En
effet, la population de l'Union européenne, qui compte 27 États membres, est de 447 millions d'habitants.
Ainsi, nous suggérons que les sanctions soient davantage de l'ordre de
celles que l'on retrouve dans les lois québécoises.
Et
finalement, les dispositions transitoires devraient prévoir des droits acquis,
tant pour le traitement des informations et des consentements obtenus
avant l'entrée en vigueur de la loi que pour les conditions applicables aux relations contractuelles qui sont en cours. Dans
le cas contraire, il en résulterait un fardeau énorme sur les opérations
des entreprises, en plus de créer de la
confusion chez les consommateurs et de l'incertitude dans les relations
commerciales.
En terminant,
nous insistons sur l'importance d'harmoniser les différentes législations
applicables aux assureurs de dommages,
tant au Québec que dans l'ensemble du pays, de mettre en place des moyens pour
contrer la fraude en assurance et de
s'assurer que la loi s'adapte tant à l'évolution technologique, qui ne cesse de
s'accélérer, qu'aux besoins des consommateurs, et ce, en étant basée sur
des principes plutôt que sur des façons de faire.
Merci beaucoup pour votre attention. Nous sommes
maintenant prêts à répondre à vos questions.
Le Président (M.
Bachand) : Merci beaucoup, Me Grignon. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui. Bonjour, M. le Président, heureux de vous
retrouver après cette... en début de semaine. Me Grignon, Me Camirand,
bonjour. Merci de participer aux travaux de la commission sur le projet de loi
n° 64.
D'entrée de
jeu, au niveau, là, du Bureau d'assurance du Canada, là, j'aimerais qu'on
revienne, là, sur le concept de décision
automatisée, qui ne contient aucune distinction d'application, notamment
sur les contrats et le droit d'opposition. Je voudrais que vous me parliez de ça, parce que c'était soulevé dans
votre mémoire, et vous disiez : Bon, bien, ça
entraîne un fardeau administratif pour les entreprises. Pouvez-vous nous
expliquer précisément ce que vous voulez dire par là?
Mme Grignon
(Marie-Pierre) : Bien, en fait, je pense que ce qui est proposé,
c'est... On comprend qu'au niveau de
la transparence, c'est très important, donc il faut informer les consommateurs,
tout ça. Je veux juste... au niveau de votre question, vous voulez savoir exactement... Est-ce que vous parlez de la
télématique puis de ces choses-là ou... peut-être juste préciser un
petit peu votre question.
M. Jolin-Barrette : Bien, la
télématique, c'est les décisions automatisées?
Mme Grignon (Marie-Pierre) :
Pardon?
M. Jolin-Barrette : La
télématique, comme vous dites, c'est les décisions automatisées?
Mme Grignon
(Marie-Pierre) : Pardon, vous parlez... excusez, la... oui, au niveau
des décisions... je vais peut-être laisser
Alain, mon collègue Alain, répondre à cette question au niveau de
l'automatisation des réponses. Merci.
M. Camirand
(Alain) : Oui. Bien, je pense
que ce qu'il est important de comprendre, dans l'environnement des assureurs,
c'est que, de façon générale, toutes les décisions d'assurance sont
automatisées, là. C'est-à-dire que la façon dont on fonctionne, c'est que les clients nous fournissent un certain nombre d'informations, et on prend cette information-là, et on la met dans nos systèmes, qui vont générer les primes, qui vont générer
les propositions de couverture qui seront adaptées aux besoins des clients... Et donc, dans ce
sens-là, quand on regarde le libellé du projet de loi, bien, on note,
là, à peu près toutes nos décisions, finalement,
là, en tant qu'assureur seraient sujettes à la disposition, là, du projet de loi concernant les décisions fondées exclusivement sur un traitement
automatisé. Donc, ça vient alourdir singulièrement, là, nos opérations,
là, parce que c'est de la façon dont on fonctionne, là. Je ne sais pas si ça
répond à votre question.
M. Jolin-Barrette : Donc, je
comprends, là, que vous, là, dans
votre modèle d'affaires, là... supposons que moi, là, je veux avoir une
soumission pour une assurance, là, bien, en fait, je transmets mes informations
personnelles et nominatives à l'assureur
avec mon niveau de risque, et là ensuite, souvent, c'est mis dans un programme informatique, puis ça me donne ma
cotation, mon niveau de risque, sur lequel vous pouvez me présenter une police
d'assurance.
C'est un peu
ça, votre crainte, au niveau... parce
que vous avez des mécanismes
automatisés puis là vous dites : Bien,
avec la modification législative, nous, ça va entraîner une problématique au niveau de notre modèle d'affaires parce qu'on traite
beaucoup de renseignements personnels. Est-ce que c'est ça que je comprends?
M. Camirand
(Alain) : Oui, exactement.
À peu près toutes les décisions qu'un assureur va prendre vont faire l'objet d'un processus automatisé, là, jusqu'à un
certain point, et on doute que le but de la disposition soit de rendre
sujettes, à cette disposition-là, toutes les
décisions qu'un assureur peut prendre, là, concernant son client, là. Donc,
c'est dans cette optique-là qu'on a
émis des préoccupations par rapport au libellé de cette disposition-là sur les décisions
automatisées. Ça nous semble trop large pour les... compte tenu de notre modèle
d'affaires.
M. Jolin-Barrette : O.K. Donc,
vous, vous voudriez qu'on ait un assouplissement à ce niveau-là. Mais sur
l'importance de protéger les renseignements et sur la demande de consentement,
ça, vous êtes à l'aise avec ça?
M. Camirand
(Alain) : Bien, évidemment, la question de la protection des
renseignements, c'est quelque chose, là, qui nous tient à coeur, là. Ce
n'est pas du tout l'enjeu, là, pour nous. Je pense que les assureurs, là, ont à
coeur de protéger l'information de leurs
clients, là, pour la simple et bonne raison qu'on est une... des institutions
financières, et la confiance est à la
base de nos modèles d'affaires respectifs. Donc, si les clients n'ont pas
confiance en nos organisations pour protéger leurs renseignements, ils
ne nous les confieront pas.
Donc, c'est clairement... de
l'industrie de ne pas faire ce qui est nécessaire pour protéger l'information
des clients, là. C'est vraiment les impacts opérationnels, là, qu'on
essaie de prévenir de façon à éviter d'alourdir inutilement le processus, parce qu'encore une fois, là, il n'y a
pas de valeur ajoutée pour nous d'informer le client, là, à chaque fois,
là, qu'on prend une décision sur lui parce que c'est quelque chose qu'on fait
de façon...
Je
pense que la disposition visait à prendre en considération des préoccupations
légitimes pour un certain nombre de transactions qui pourraient être
faites, là, à l'insu du client, mais, dans notre milieu à nous, ce n'est pas
vraiment une préoccupation. Je pense que les
gens s'attendent à ce qu'on utilise leurs informations pour leur proposer des
produits qui sont adaptés à leurs besoins et aussi des produits pour
lesquels la tarification, là, tient compte de leurs circonstances spécifiques,
là.
M. Jolin-Barrette :
O.K. Vous proposez également que... bien, vous dites : C'est important
d'harmoniser les critères de divulgation
d'un incident de confidentialité avec le fédéral. Donc, vous dites : On
devrait avoir les mêmes règles qu'au fédéral au niveau d'un incident de
confidentialité.
Mme Grignon
(Marie-Pierre) : En fait, je peux prendre... peut-être répondre à
cette question-là. C'est que, de façon
générale, on demande à ce qu'il y ait une harmonisation à travers le pays. On
ne suggère pas qu'il y ait des lois qui soient meilleures, donc que la loi fédérale soit meilleure que ce qui est
proposé. Je pense qu'on est allé chercher effectivement ce qui est peut-être plus intéressant, puis la loi
fédérale a été modifiée quand même
à plusieurs reprises au cours
des dernières années, donc je pense que c'est important de s'en inspirer à
certains égards.
Donc,
ce qu'on dit, c'est davantage qu'il y ait une harmonisation à travers le Canada, de façon à
ce que les entreprises qui oeuvrent
dans différentes provinces ne soient pas soumises à des règles qui sont complètement différentes d'une province à l'autre. Puis on réfère beaucoup
également au RGDP, parce qu'on sait que ça sera probablement de cette loi-là que les
autres provinces vont s'inspirer lorsqu'elles modifieront leur propre loi.
Donc, c'est plus dans ce sens-là.
M. Jolin-Barrette : O.K. À la lumière de votre mémoire, là, vous semblez
être craintifs par rapport aux sanctions qui pourraient être émises en regard de non-conformité. Comment est-ce
qu'on pourrait minimiser vos craintes relativement aux montants des
amendes, relativement aux sanctions administratives pécuniaires?
Mme Grignon
(Marie-Pierre) : Bien, en fait, je ne vois pas ça comme une crainte,
là. Comme on l'écrit, on comprend bien que
c'est important qu'il y ait des sanctions. C'est plutôt l'ampleur de ces
sanctions-là, notamment au niveau de
sanctions administratives, si on les compare à ce qu'on retrouve dans d'autres
lois au Québec... bien, on n'est pas du tout, du tout dans le même ordre, puis si effectivement ça se compare à
ce qu'on retrouve en Europe, bien, ce n'est pas les mêmes... on n'a pas le même bassin de populations
aussi qui peuvent être affectées, là, suite à un non-respect de la loi. Donc, ce qu'on demande, simplement, ça serait de
se coller davantage aux dispositions, aux sanctions pénales ou
administratives qu'on retrouve dans d'autres lois au Québec, tout simplement.
M. Jolin-Barrette :
Donc, vous voulez qu'on diminue le montant, parce que les amendes puis les
sanctions administratives sont très élevées,
là, dans le cadre du projet de loi n° 64. Donc, vous souhaiteriez qu'on
réduise le montant des amendes puis des sanctions administratives
pécuniaires.
• (10 h 20) •
Mme Grignon
(Marie-Pierre) : Oui, simplement, pour, comme je vous dis, les arrimer
avec ce qu'on peut retrouver dans d'autres
lois qui sont aussi importantes, là, que ce soit la Loi sur la protection de l'environnement. On a déjà la Loi sur les
assureurs aussi où on retrouve les sanctions, mais ce ne sont pas des sanctions
du même ordre, si on peut dire.
M. Jolin-Barrette : Mais vous ne pensez pas que le législateur québécois
doit envoyer un signal très clair relativement
aux données personnelles, à la lumière des différents événements qui sont survenus
au cours des dernières années, des derniers
mois aussi, et qu'il y a une certaine forme, parfois, de négligence aussi par
rapport aux données personnelles des Québécois?
Vous ne pensez pas qu'il y a un signal qui doit être envoyé pour dire :
Écoutez, là, c'est primordial, là, ces informations-là,
parce que c'est la vie, c'est les renseignements personnels de la population,
là, qui se retrouvent... puis, après
ça, ça mène à de la fraude, du vol d'identité, puis ça chamboule la vie des
individus, là, à partir du moment où la personne se fait voler ses données
personnelles, là, et sont utilisées à mauvais escient?
Mme Grignon
(Marie-Pierre) : Tout à fait. On comprend les impacts. D'ailleurs, les
impacts sont énormes aussi sur les entreprises, sur leur réputation, la confiance de
leurs assurés. Donc, certainement que les assureurs comprennent très,
très bien l'importance de protéger les informations personnelles, ils l'ont
toujours fait. Comme Alain l'a dit, les renseignements
personnels, c'est nécessaire au
fonctionnement même de l'assurance, c'est à la base même de la tarification, etc., donc on ne nie pas du tout
l'importance de la protection au niveau de la protection des renseignements personnels puis, tout simplement, on parle en termes
d'ampleur des montants, et non pas d'éliminer ces montants-là qui sont
importants, là.
M. Jolin-Barrette :
Je vous remercie.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Chapleau,
s'il vous plaît.
M. Lévesque
(Chapleau) : Oui. Merci
beaucoup, M. le Président. J'en profite pour saluer, là, mes collègues,
vous saluer, M. le Président, aussi. Je suis bien content d'être de retour ce
matin.
Me Grignon,
merci pour votre présentation. Également, M. Camirand, merci d'être
présent. Peut-être une petite question en lien avec la fraude, là. Vous proposez certaines mesures
pour combattre, là, justement, la preuve. Vous proposez notamment que la notion de dépersonnalisation, là,
des données soit ajoutée, là, pour... comme une possibilité, là, pour ne
pas détruire les renseignements personnels. J'aimerais peut-être vous entendre
sur ça, là, d'abord, qu'est-ce que vous entendez par ça puis comment vous
entrevoyez cette possibilité-là.
Mme Grignon
(Marie-Pierre) : Oui, en
fait, au niveau de la fraude, bien, comme on l'a dit, c'est sûr que
c'est encore... on peut encore considérer que c'est un fléau au Canada. Donc,
on demande d'avoir plus de liberté quant à l'utilisation
des renseignements personnels pour réduire la fraude. D'ailleurs, en Europe, la
fraude est déjà considérée comme un intérêt légitime pour lequel on peut
utiliser les informations dans le but de prévenir la fraude.
Vous me
parlez également de la dépersonnalisation ou de l'anonymisation des
renseignements. Je vois ça de façon différente.
En fait, c'est que les exigences de la loi en ce qui concerne la
dépersonnalisation puis l'anonymisation, on veut s'assurer que ça ne fera pas en sorte que les données ne pourront pas
être utilisées à des fins actuarielles, parce que c'est essentiel pour
être en mesure de mettre en place ou, en fait, de créer des modèles prédictifs
puis des modèles actuariels qui font
en sorte que les primes sont équitables et qui représentent la réalité. Donc,
je ne sais pas si ça répond à votre question.
M. Lévesque
(Chapleau) : Oui, oui, tout à fait. Est-ce que vous avez d'autres propositions pour, justement,
réduire les possibilités de fraude ou, du
moins, certains outils que vous aimeriez peut-être voir ajoutés sur le projet
de loi ou ailleurs, là, que vous avez peut-être discutés, là, avec vos
membres de ces possibilités-là?
Mme Grignon
(Marie-Pierre) : Bien, en fait, peut-être que je pourrais dire que
l'important, ça serait la possibilité d'échanger
de l'information pour être en mesure, donc... entre assureurs, notamment,
pour être en mesure de prévenir la fraude.
Je ne sais pas si, Alain, tu avais d'autres suggestions en termes d'autres
mécanismes comme tels auxquels tu penses, là, mais, de notre côté, ça
serait plus au niveau, effectivement, d'échange d'information.
M. Camirand
(Alain) : Oui, en fait, effectivement, les assureurs, au cours des dernières années, ont développé plusieurs modèles informatiques, des modèles
d'intelligence artificielle, qui leur permettent de recouper des informations
qui permettent d'identifier plus facilement
les cas potentiels de fraude, c'est quelque
chose qui est particulièrement avancé en Ontario, et la législation canadienne donne... (panne de son) ...c'est important que les compagnies d'assurance puissent continuer d'innover, à bâtir des modèles pour lutter
contre la fraude organisée, notamment par l'utilisation, là, de l'intelligence artificielle. Et, si le
libellé de la loi est trop restrictif, si le libellé ne permet pas un échange
efficace d'informations entre
les compagnies d'assurance, ça risque de nous
empêcher d'utiliser, au Québec, ces modèles-là qui se sont avérés
efficaces et qui permettent de lutter plus efficacement contre des fraudeurs qui sont eux-mêmes de plus en plus sophistiqués et
qui mettent en place des stratagèmes extrêmement audacieux et compliqués, là, qui sont difficiles de contrer avec les
méthodes traditionnelles de lutte contre la fraude en assurance.
Et le danger
qu'on a ici, c'est que, si l'environnement réglementaire québécois est trop restrictif, il y a
un risque que les fraudeurs s'en
rendent compte et éventuellement décident de prendre le Québec
pour cible parce que l'environnement
réglementaire leur sera favorable. Et ça, c'est quelque chose qui, je crois,
là, on doit être vigilants à cet égard-là et s'assurer que l'environnement réglementaire maintient une balance raisonnable entre le besoin
de protéger l'information des gens mais
aussi la nécessité de donner aux compagnies d'assurance les moyens dont ils ont
besoin pour lutter contre la fraude en assurance qui, rappelons-le, est
un véritable fléau, là, qui affecte tous les Québécois, là. C'est tous les Québécois
qui paient le fait que certaines personnes malavisées utilisent la fraude en
assurance.
M. Lévesque (Chapleau) : Je
comprends. Donc, selon vous, il y aurait un certain équilibre à atteindre
entre, justement, le combat, là, de la fraude, là, chez les assureurs et la
protection des renseignements personnels.
Vous avez
mentionné, là, la possibilité de transférer ou, du moins, d'échanger de
l'information entre assureurs ou entre groupes d'assureurs, vous ne
percevez pas un risque, là, justement, de... parce que plus que les données
vont s'échanger, plus qu'il va y avoir un
risque, justement, là, pour la protection de ces renseignements-là. Bien,
est-ce que... je ne sais pas, je veux juste voir votre opinion par
rapport à ça, là, sur ce risque-là et où serait cet équilibre-là, là.
Donc... parce
que, si on se met à transiger ou, du moins, à échanger des données entre
assureurs et entre différentes entreprises,
bien, il y a plusieurs mains... ça passe entre plusieurs mains, donc le risque
peut augmenter par rapport à ça.
M. Camirand
(Alain) : Vous avez tout à fait raison, puis je pense que c'est
effectivement une préoccupation des assureurs
qui sont impliqués dans ce genre d'initiative là. Il va de soi que toutes les
mesures de protection requises prises ou vont être prises, là, dans l'éventualité où les assureurs, là,
développent ce genre de modèle là, là. Et il faut comprendre aussi que
ce n'est pas nécessairement toute l'information qui va être échangée, là. On
parle de l'information qui permet d'identifier...
(Interruption) excusez-moi, des fraudes potentielles. Donc, ça reste un niveau
d'information qui est quand même limité, là.
M. Lévesque
(Chapleau) : Peut-être en terminant, là, sur la notion, justement...
d'anonymisation, pardon, et de dépersonnalisation des données, il y a
plusieurs experts qui nous ont dit qu'il y avait quand même une crainte ou une possibilité, en recoupant certaines données, de
finalement pouvoir retracer ou retrouver qui était... à qui
appartenaient ces données.
Est-ce que vous partagez ces craintes? Est-ce que c'est quelque chose qui vous
préoccupe aussi chez les assureurs?
Mme Grignon
(Marie-Pierre) : Bien, c'est effectivement, en fait, difficile de
complètement anonymiser ou dépersonnaliser,
certainement. Au niveau technique, c'est ce que nous aussi, on a compris. Par
ailleurs, je pense que si les autres
règles, au niveau de la protection des renseignements, sont permises... Nous,
en fait, notre préoccupation, comme je l'ai
dit tantôt, était beaucoup au niveau de l'utilisation au niveau de l'actuariat
parce que, dans certains cas, si tu anonymises complètement l'information... par exemple, les adresses vont être des
informations qui vont être pertinentes pour les actuaires, et ces informations-là, pour être vraiment utiles
et complètes, doivent être utilisées parfois sur une assez longue
période de temps. Donc, si l'information est
complètement anonymisée, elle devient... puis, si c'est bien fait, selon,
j'imagine, les règles de l'art, à ce moment-là, bien, l'information
n'est plus utilisable de façon efficace par les actuaires pour créer des
modèles actuariels.
Le
Président (M. Bachand) : Merci beaucoup.
M. Camirand
(Alain) : Peut-être juste pour ajouter là-dessus, si vous permettez...
Le Président (M. Bachand) : Je dois céder la parole à la députée de
Notre-Dame-de-Grâce, M. Camirand. Désolé.
M. Camirand
(Alain) : ...les données actuarielles...
Le
Président (M. Bachand) : M. Camirand, je...
• (10 h 30) •
M. Camirand
(Alain) : ...d'innover, de développer des nouveaux produits, de faire
une planification adaptée aux besoins
des clients. C'est fondamental pour une compagnie d'assurance d'être capable
d'utiliser les données des clients afin d'évaluer des tendances,
évaluer... de nouveaux produits...
Le Président (M. Bachand) : Merci, M. Camirand. Je dois malheureusement
vous couper. Je dois vous couper. Mme la députée de Notre-Dame-de-Grâce,
s'il vous plaît. Désolé, M. Camirand. Mme la députée, s'il vous plaît.
Mme Weil :
Oui, si vous voulez terminer votre phrase, M. Camirand. Est-ce que vous
m'entendez?
M. Camirand
(Alain) : ...ce n'est que l'information, pour les compagnies
d'assurance, c'est capital. Et, sans information, on ne peut pas innover. Donc, il faut éviter de
se mettre dans une situation où les assureurs ne pourront plus utiliser
les données de leurs clients pour des fins actuarielles.
Mme Weil : Alors, bonjour, Mme Grignon,
M. Camirand. Merci d'être là. Vous avez un mémoire très riche en
recommandations, et c'est sûr qu'on n'aura pas le temps de toutes les revoir.
Mais on va commencer peut-être
par regarder cette notion d'harmonisation. Évidemment, beaucoup d'autres groupes l'ont proposée aussi. Je vous dirais, beaucoup
ont insisté sur une certaine harmonisation avec la loi fédérale, le RGPD. Et j'ai compris, dans une intervention de Mme Grignon, que, si on regardait... bien, dans un premier
temps, la loi fédérale, qui a déjà
subi des modernisations au cours des dernières années, qu'on pourrait imaginer,
c'est votre prévision, que les
provinces vont de toute façon s'ajuster à la loi fédérale. Donc, je ne pense
pas que vous nous demandez d'aller voir ce qui se passe dans toutes les provinces et de prévoir, mais vous
dites : S'il y avait une certaine harmonisation avec le gouvernement
fédéral, éventuellement, les systèmes vont s'harmoniser.
Pouvez-vous
nous expliquer — c'est un
sujet qui revient souvent — comment y procéder, quel temps ça prendrait? Est-ce que ça va prendre... C'est tout simplement
carrément de s'inspirer de cette loi, sans plus, et d'avoir des
mesures... je ne me rappelle plus si vous rentrez dans le détail des mesures qui
sont les plus problématiques pour vous, puis qu'on pourrait les identifier, puis de voir à ajuster notre libellé. C'est un
peu ce que vous nous demandez, mais ce serait limité à un exercice de ce
genre. Est-ce que c'est bien ça?
Mme Grignon
(Marie-Pierre) : Oui, je peux y aller, Alain. En fait, oui, s'inspirer
de la loi fédérale, certainement, mais,
en même temps, on sait qu'elle sera peut-être également modifiée et
probablement pour se... au nouveau principe plus international... puis
on parle beaucoup du RGPD. Donc, c'est pour ça qu'on y réfère également
beaucoup dans notre mémoire parce
qu'éventuellement on pense que ça sera cette approche-là qui sera adoptée,
peut-être par l'ensemble des pays,
mais, en tout cas, du moins, on va parler du Canada, donc par le fédéral et les
autres provinces canadiennes. On pense que
cette approche-là doit être favorisée parce qu'en fait elle change un peu
l'approche qui, avant, était davantage basée sur le consentement pour responsabiliser davantage les entreprises, donc faire en sorte que les entreprises, lorsqu'elles vont recueillir des données, aient intérêt légitime,
collectent des renseignements qui soient nécessaires à leurs activités,
également que les entreprises soient transparentes. Donc, ce sont des principes
importants qu'on retrouve dans le RGPD.
Et, en plus, on met des mécanismes en place pour
que ça soit respecté. On parle de... vous excuserez les anglicismes, mais de «privacy by design», «privacy by default».
Ça fait en sorte qu'en fait qu'on change l'approche. Ce n'est plus
autant au consommateur de gérer toutes ces informations-là, à prendre peut-être
autant de décisions au niveau... en donnant une
multitude de consentements qui, souvent, lorsqu'il sera comme assailli de
données, bien, les décisions qu'il va prendre ne seront peut-être plus
aussi pertinentes.
Donc,
je pense que c'est plus dans ce sens-là où il faut un peu s'inspirer de cette
nouvelle approche là, qui fait en sorte
que, oui, le consommateur a certains consentements à donner, mais lorsque c'est
vraiment utile. D'ailleurs, au niveau de
l'Europe, les consentements, à la base, ne sont pas requis, et c'est seulement
dans certaines circonstances qu'ils le seront. On peut penser au fait que, lorsque c'est pour la préparation ou
l'exécution d'un contrat, le consentement n'est pas requis à la base ou
encore en prévention de la fraude comme je le disais tantôt.
Ça fait que
je pense que c'est plus dans ce sens-là où il faut s'assurer que la législation
québécoise respecte ces grands
principes là, sans que ça soit un copier-coller. Certainement qu'il faut
considérer nos réalités, les réalités qui sont propres au Québec, mais,
quand on parle d'harmonisation, c'est dans ce sens-là.
Mme Weil : Oui, merci.
Est-ce que vous pouvez donner un exemple? Vous dites que le projet de loi est
trop spécifique dans les cas qui sont visés
et devrait s'orienter sur des grands principes. Pouvez-vous donner des
exemples de ça? C'est un... et je pense que
la loi fédérale va plus dans le sens de grands principes, c'est un peu ce que
vous dites, mais que... bon, les genres de torts que ça peut produire,
vous causer, quand on va sur le très spécifique.
Mme Grignon
(Marie-Pierre) : Bien, en
fait, ce qu'on dit, c'est que, lorsque la loi est trop... elle n'est pas basée
sur des principes puis qu'elle est trop spécifique, ça ne permet pas à chaque entreprise
de l'adapter en fonction de sa taille, de
ses normes de gouvernance, etc. Puis aussi je pense que, si la loi est basée
sur des principes, ça va lui permettre de passer le temps, d'une part, de traverser les époques, et ça peut faire
en sorte que, justement, surtout dans une loi comme celle-là qui s'applique à l'ensemble des entreprises
du Québec et qui ne tient pas compte des particularités
sectorielles... bien, quand c'est basé sur
les principes, ça permet davantage aux entreprises d'adapter, en fait, la loi pour qu'ultimement
les résultats soient atteints, les obligations soient respectées, mais en
utilisant des moyens qui peuvent être différents. Si on regarde au niveau...
Allez-y.
Mme Weil : J'allais vous dire, bien, peut-être si vous
pourriez préciser des grands principes que vous voyez, par exemple, qui
seraient notamment, j'imagine, dans la loi fédérale.
Mme Grignon (Marie-Pierre) : Oui.
Bien, si on regarde des exemples, en fait, où il y a plus de flexibilité au
niveau du RGPD, on peut penser en ce qui concerne la fonction de responsable,
par exemple. On va permettre la mutualisation
de la fonction, ce qui n'est pas prévu présentement dans le p.l. n° 64.
On va prévoir également la possibilité de
déléguer la fonction à l'extérieur de l'organisation pour différentes raisons,
si c'est des petites entreprises ou pour d'autres motifs. On peut penser aussi à l'évaluation des
facteurs de risque. Dans le projet de
loi n° 64, on dit que tous les
projets doivent être... sont visés, en fait,
par ces telles évaluations là. On pense que ce n'est pas nécessaire et qu'on
devrait regarder ce qui se fait au niveau européen et prévoir un seuil
de matérialité ou d'autres critères comme ceux-là. Ça permet de moduler, en
fait, les exigences en fonction des besoins réels.
Mme Weil : Maintenant, vous
faites...
Mme Grignon (Marie-Pierre) : Je peux
vous donner d'autres exemples, là. Je peux penser au transfert à l'extérieur de la province, par exemple, où le
projet de loi propose seulement un modèle. On pense qu'il y a
différentes façons qui peuvent être
utilisées pour s'assurer de la protection des renseignements personnels, par
l'utilisation d'obligations prévues
dans un contrat, par exemple, donc faire en sorte que la personne à qui on va
envoyer de l'information à l'extérieur de
la province soit quand même obligée de respecter les règles qui s'appliquent au
Québec. Donc, c'est toutes des choses qui, selon nous, offrent plus de
flexibilité.
Mme Weil : Donc, dans vos recommandations... parce que je
pense que vos recommandations font écho à ces grandes orientations que vous mentionnez, donc la mutualisation, en
fait, ça, c'est... est-ce que c'est une pratique actuellement dans l'industrie pour... dans le domaine de
protection des renseignements personnels ou ce serait... c'est quelque
chose à développer?
Mme
Grignon (Marie-Pierre) : Je
pense que ça existe déjà, mais je vais laisser peut-être Alain répondre là-dessus,
au niveau des organisations, si,
pratiquement, c'est ce qu'on voit, la mutualisation de la fonction, mais je ne
suis pas certaine que c'est permis. Alors, ça serait quelque chose
d'utile, mais...
M.
Camirand (Alain) : Oui, en
fait, dans les grands groupes financiers, on trouve plusieurs différentes
entités juridiques, et donc, évidemment,
pour ces entreprises juridiques là, la plupart des fonctions centrales sont
centralisées, de sorte que, mettons, il y a
un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe
financier. Pour les fins de la Loi sur la protection des renseignements
personnels, on aimerait ça avoir la possibilité d'avoir une personne responsable pour l'ensemble du groupe...
au lieu d'avoir aucun pour chacune des entités juridiques, ce qui n'est pas vraiment efficace et ce n'est pas vraiment
dans l'intérêt des clients. Donc, c'est une façon pour... la
mutualisation, telle qu'on l'explique dans
notre prochain mémoire, c'est une façon pour nous d'avoir une meilleure efficacité organisationnelle qui va aller
jusqu'à bénéficier au client.
• (10 h 40) •
Mme
Weil : Donc, c'est
votre recommandation 3.1, c'est bien ça? Donc, quand vous dites
que vous recommandez de préciser que
c'est la personne ayant la plus haute autorité au Québec
qui est responsable d'office, c'est
la personne au Québec,
une personne pour l'entreprise ou un groupe d'entreprises. Si on permet la
mutualisation, ce serait une personne, dans un cas comme ça, au Québec?
M.
Camirand (Alain) : Oui, ce serait une personne imputable, mais avec la
possibilité de déléguer les fonctions à une équipe, parce qu'un des enjeux aussi du projet de loi, c'est qu'on
permet la délégation à une seule autre personne. Et, pour nous, c'est important, là, que plusieurs
personnes soient en mesure de s'acquitter des obligations prévues dans
la loi afin de s'assurer, là, que les
requêtes et demandes des clients soient gérées de façon efficace et dans
l'intérêt des clients.
Mme
Weil : Donc, cette notion de flexibilité, vous y revenez dans
d'autres recommandations. Quand le projet de loi est trop prescriptif vis-à-vis le responsable de la protection, vous
dites qu'il faut être plus flexible et adopter des modèles, comme vous le dites, avec plus de flexibilité dans
la gouvernance. Donc, cette question de gouvernance, de flexibilité,
elle est un peu partout dans votre projet de loi, je vous dirais, dans les
recommandations que vous faites.
Donc,
l'approche est à... à quelque part, l'approche est à revoir, mais sans
détruire, selon... Je vous pose la question parce que vous avez beaucoup, beaucoup de recommandations. C'est des
recommandations, selon vous, qui ne viennent pas miner les objectifs de
la loi et l'urgence, je dirais, d'agir.
Juste la question de
l'harmonisation avec le gouvernement fédéral, le temps presse. Tout ce qui
passe par des ententes ou une conversation
avec le gouvernement fédéral, si je comprends bien, ce n'est pas nécessairement
de passer par là mais de s'en inspirer, à quelque part, dans les
domaines les plus importants que vous mentionnez.
Parce
que je... Comme législateurs, on sent, et je pense que vous le comprenez, on
sent que ce projet de loi vient, évidemment, couvrir ou réparer des
brèches. On sait que c'est un exercice bien compliqué. Donc, si vous nous
dites : Inspirez-vous de la loi
fédérale, je pense que vous donnez quand
même des bonnes indications, dans
votre projet de loi, sur le comment on pourrait s'en inspirer. Selon
vous, est-ce que votre projet
de loi... ou ça prendrait plus que
ça? Dans vos recommandations, on viendrait se rapprocher du projet de loi fédéral. D'après
ce que je comprends et d'après ce que je connais, c'est cette
approche...
Mme
Grignon (Marie-Pierre) :
Bien, écoutez, c'est certain... Notre position, c'est qu'au niveau fédéral, étant donné que les entreprises font affaire dans différentes provinces, c'est important
d'avoir l'harmonisation au
niveau fédéral. Je pense qu'on est quand même
à un moment, par contre, où il faut avoir une certaine vision puis
s'inspirer également de la loi
européenne, puisqu'on pense que c'est là où va s'en aller également,
fort possiblement, le fédéral, éventuellement.
Puis
on réfère au fédéral parce
qu'effectivement il y a des bonnes choses là-dedans. Comme vous l'avez dit,
ils ont révisé à quelques reprises
récemment, probablement en tenant compte de cette nouvelle approche là. Si on
pense, par exemple, au consentement,
bien, c'est moins prescriptif quant à... ça doit être implicite, explicite,
tout ça. On y va selon les
circonstances, on donne plus de latitude aux entreprises, puis je pense que ça,
ça va dans le sens de la loi européenne.
On
voit déjà un changement d'approche, là, quant à la question du consentement. On
fait attention, on ne veut pas obliger
les entreprises à obtenir tel type ou tel type de consentement dans telle ou
telle circonstance. Oui, les renseignements sont... Lorsque les
renseignements sont sensibles, on comprend que c'est important d'y porter une
attention plus particulière, mais il y a
quand même un changement d'approche puis qui a déjà été... Je pense que le
fédéral a déjà emboîté le pas un petit peu à ce niveau-là, puis c'est
pour ça qu'on réfère à certaines dispositions au fédéral.
Puis,
si on regarde... Vous avez référé également aux fonctions de responsable. Bien,
on comprend que le responsable doit être imputable. Par ailleurs,
certains articles de la loi, puis on le précise dans le mémoire, là, laissent
entendre que c'est le responsable lui-même qui doit exécuter certaines tâches.
Tout simplement, on dit qu'il faut tenir compte de la structure de chaque
entreprise, de tout ça, comment c'est fait puis faire en sorte
qu'éventuellement l'ensemble des tâches du responsable puissent être déléguées,
là, aussi, ou sous-déléguées.
Mme Weil :
J'aimerais, si j'ai le temps...
Le
Président (M. Bachand) : Rapidement.
Mme
Weil : Les dommages et intérêts, donc, vous faites
deux points, dans votre mémoire, que vous n'avez pas dits verbalement. Vous avez dit, tout simplement, vous
inspirer de ce qui se fait dans d'autres lois comparables, comme la
loi...
Mme Grignon
(Marie-Pierre) : Excusez, on ne vous entend pas très bien lorsque vous
parlez, Me Weil.
Mme Weil :
Ah! Est-ce que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...
Mme Grignon
(Marie-Pierre) : Ça coupe.
Mme Weil :
Oui? Vous m'entendez? Non?
Mme Grignon
(Marie-Pierre) : Oui, O.K. Oui, allez-y.
Mme
Weil : Oui, la section sur les dommages et intérêts, parce
que vous soulevez des points
différents de ce que vous avez dit
ici, en commission. Vous avez parlé de s'inspirer d'autres lois
semblables, mais ici vous parlez du Code civil, déjà, qui prévoit, en vertu des principes de responsabilité civile, une responsabilité, donc, quand un
préjudice est causé. Et vous parlez aussi de l'article 49 de la
Charte des droits et libertés de la personne.
Est-ce que vous pourriez, donc, peut-être
aller de... bien, peut-être, en une minute, expliquer un peu les
deux arguments que vous présentez ici?
Le
Président (M. Bachand) : Donc, rapidement, Me Grignon, s'il
vous plaît. Merci.
Mme Grignon
(Marie-Pierre) : Oui. En
fait, ce qu'on dit simplement, c'est qu'en vertu des règles du Code civil il y a déjà des
droits d'action. On peut déjà poursuivre en responsabilité et on ne pense
pas nécessaire, comme on dit, d'en rajouter dans ce projet de loi là. Il y a déjà des
sanctions administratives, des
sanctions pénales qui sont prévues. On pense que c'est suffisant puis
que le cadre législatif au Québec, là, permettra de toute façon aux
consommateurs d'avoir ces recours-là.
Mme Weil :
Merci beaucoup.
Le Président (M. Bachand) : Merci beaucoup, Me Grignon, M. Camirand.
Merci de votre collaboration pour les travaux de cette commission.
Je suspends les
travaux jusqu'à après les affaires courantes. Merci beaucoup.
(Suspension de la séance à
10 h 47)
(Reprise à 15 h 35)
Le Président (M. Bachand) : Bon après-midi. À l'ordre, s'il vous plaît! La Commission des institutions reprend ses
travaux.
La
commission est réunie afin de poursuivre les auditions publiques dans le cadre
des consultations particulières sur
le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Cet après-midi, nous
allons recevoir trois groupes, donc les gens d'Option Consommateurs, la
Pre Céline Castets-Renard de
l'Université d'Ottawa, mais nous allons d'abord débuter par les représentants
de la Commission de l'éthique en
science et en technologie. Alors, je vous invite à... M. Maclure et
M. Cliche, bienvenue. M. Maclure est au téléphone. Alors,
M. Maclure, je vous laisse la parole, s'il vous plaît.
Commission
de l'éthique en science et en technologie (CEST)
M. Maclure (Jocelyn) : Merci beaucoup, M. le Président. Merci et
désolé des pépins techniques qui font en sorte que je ne peux pas me joindre à vous en vidéoconférence. C'est un
plaisir pour nous et un honneur de participer à cette discussion
importante pour l'avenir de notre démocratie.
Donc,
je suis Jocelyn Maclure, professeur de philosophie à l'Université Laval et président de la Commission
de l'éthique en science et en technologie du
Québec. Je suis accompagné de Dominic Cliche, qui est conseiller en
éthique à cette même commission. La
Commission de l'éthique travaille sur plusieurs dossiers qui sont en lien avec
les nouvelles technologies de
l'information et de la communication en intelligence artificielle, les données
massives. Et depuis qu'on a publié,
en 2018, un avis sur les enjeux éthiques de la ville intelligente, la question
de la protection de la vie privée est au coeur de plusieurs des dossiers
sur lesquels on travaille aujourd'hui, et c'est justement Dominic, là, qui
s'occupe de plusieurs de ces dossiers.
On
tient, à la commission, à saluer l'initiative du gouvernement eu égard à cette volonté de moderniser les lois sur la protection des renseignements personnels et
de la vie privée et surtout d'avoir une approche qui est ambitieuse en
la matière. C'est un de nos messages les plus importants. Je pense que
l'horizon devant nous, là, à moyen terme, pour l'ensemble des sociétés démocratiques, c'est d'élaborer des cadres
normatifs à la fois beaucoup plus clairs et beaucoup plus exigeants envers ceux qui utilisent les données personnelles
et que, bon, je pense que c'est tout
à fait une bonne idée que de
vouloir être à l'avant-plan de cette rénovation des lois de protection de la
vie privée.
Si
c'est si important de protéger la vie privée et si c'est devenu un droit
fondamental, c'est que c'est fondé dans des valeurs éthiques absolument fondamentales, dont le droit à l'autonomie. On ne
peut pas être autonome si on n'exerce pas un certain contrôle sur les renseignements qui nous concernent, que l'on souhaite partager
ou que l'on ne souhaite pas partager, que
l'on souhaite garder comme étant confidentiels. Le respect de la vie privée,
c'est nécessaire à l'autonomie, mais aussi à la protection de l'intégrité de la personne, à la protection de sa vie
privée, parce que, bon, aujourd'hui, avec les nouvelles technologies, en particulier les systèmes d'intelligence artificielle, on peut avoir accès à des pans très importants
de notre intimité en valorisant, en utilisant les données, en
particulier les renseignements personnels.
Par exemple, un système d'intelligence
artificielle, aujourd'hui, peut produire des prédictions avec un taux de succès élevé sur,
par exemple, les opinions politiques d'une personne ou même, dans certains cas,
sur son orientation sexuelle. Un exemple
célèbre montrait qu'un algorithme pouvait déduire qu'une femme était enceinte
en croisant certaines des données la concernant et non seulement des données
dites personnelles.
Donc,
c'est crucial de rénover ces lois. La commission salue, entre autres choses, le
renforcement des pouvoirs de la Commission d'accès à l'information qui est prévu dans le projet de loi n° 64.
On salue aussi l'élaboration de normes plus claires qui concernent la
communication des finalités présidant à la collecte et à l'utilisation des
renseignements personnels. On salue aussi le fait qu'il y ait une meilleure
définition de ce qui constitue un renseignement de nature sensible dans le
projet de loi.
Et, en matière de gouvernance, le fait de prévoir la formation de comités d'accès à l'information et à la protection des renseignements
personnels et obliger la production d'évaluations des facteurs relatifs à la vie
privée, tout ça nous apparaît comme des pistes judicieuses pour permettre une
gestion responsable des données.
Quelques
remarques rapides. On va déposer un document à la commission dans les prochains jours, mais quelques remarques rapides. Bon, une évaluation
éthique de nouvelles technologies et
aussi d'un nouveau cadre législatif exige de comparer les bénéfices qui peuvent être engendrés, dans ce cas-ci, par
une plus grande valorisation, un plus grand accès à des données personnelles, et de les comparer aux risques
qui sont inhérents à ce plus grand accès aux données personnelles et des
risques sur le plan de la protection de la vie privée.
• (15 h 40) •
De
façon générale, on pense que c'est une bonne orientation que de prévoir des
régimes juridiques différents pour les
organismes publics et les organismes privés, les entreprises, étant donné les
finalités différentes de ces organismes, et de prévoir un cadre juridique, là, qui pourrait permettre à des organismes
publics de mieux utiliser les données pour offrir des meilleurs services ou élaborer des meilleures
politiques publiques. Si le cadre réglementaire est clair et les
protections suffisantes, ça peut être une excellente idée.
Et
je pense qu'il faut prendre au sérieux la proposition qu'on a entendue plus tôt
dans les travaux de la commission, voulant, par exemple, qu'il serait
peut-être judicieux de prévoir un cadre juridique distinct même pour le monde
de la recherche scientifique, pour favoriser
la recherche scientifique, en se basant, par exemple, sur l'encadrement offert
par les comités d'éthique de la recherche, en impliquant évidemment aussi la
Commission d'accès à l'information.
Et on pourrait
peut-être, comme on est encore en mode de faire différentes expériences...
comment bien gérer l'accès à ces données une
fois qu'on aurait permis à des organismes publics d'avoir un plus grand accès à
des données, après quelques années...
on pourrait voir, donc, quelles sont les leçons à tirer et voir s'il faut faire
évoluer aussi la loi concernant la protection des renseignements
personnels dans le secteur privé.
Un
mot aussi sur la question de la norme éthique de consentement, dont il a été
beaucoup question jusqu'ici dans les travaux
de la commission. Bon, la Commission d'éthique en science et technologie souhaite
tout simplement appuyer, donc, les intervenants qui ont avancé l'idée
que la norme de consentement ne pouvait plus aujourd'hui être la pierre
angulaire de nos régimes de protection de la vie privée, l'idée étant que, bon,
dans plusieurs cas, il faut effectivement demander
l'autorisation avant d'utiliser des données personnelles et obtenir le consentement, mais que ce consentement ne peut
pas être vu comme une condition suffisante pour un usage légitime des données
personnelles. Et, même dans un cas où des entreprises auraient la
clairvoyance de simplifier grandement leur formulaire de consentement, même si
on a des formulaires de consentement clairs et concis, simplement
obtenir le consentement ne peut pas toujours être suffisant pour
assurer, donc, un usage des données personnelles qui respectent la vie privée.
Je
pense qu'il faut d'abord et avant tout que la loi prévoie ce que les organismes
peuvent faire et ne peuvent pas faire avec les données et les
renseignements personnels même après l'obtention d'un consentement. Étant donné
la complexité des enjeux, il faut que la loi
soit claire sur ce qui est possible de faire et ce qui n'est pas possible de
faire, ce qui ne devrait pas être possible de faire.
On
souligne le bien-fondé de l'article 100 du projet de loi n° 64, qui cherche à réaliser une approche qu'on appelle souvent «privacy by design», donc, de cette idée
de protéger la vie privée dès la conception des technologies, étant
donné qu'on suggère que les options qui
favorisent la protection de la vie privée soient celles qui soient choisies par
défaut avant même toute forme de
consentement des individus. On pourra en parler tout à l'heure. On se
questionne de la compatibilité de l'article 100 avec
l'article 99. On pourra y revenir dans la discussion si vous le souhaitez.
Un
dernier point dans les dernières minutes qui me restent, c'est pour souligner
qu'il y a possiblement un angle mort
dans le projet de loi n° 64. Malgré toutes ses vertus, le projet de loi
concerne vraiment les renseignements personnels. On veut vraiment rendre les protections beaucoup plus robustes, là, pour
les renseignements personnels, mais la définition, la conception de ce qu'est un renseignement
personnel est peut-être un peu étroite, et l'angle mort consiste à... réside
dans le fait qu'il est maintenant possible
de... sur la base, par exemple, des données qui ne sont pas considérées comme
étant des données personnelles.
Par
exemple, des données qui auraient été anonymisées... Il est tout à fait
possible, grâce aux outils d'intelligence artificielle, aujourd'hui, en recoupant des données, d'inférer des
informations sur des personnes, et des informations qui peuvent être tout à fait sensibles, hein? Tout à
l'heure, je parlais, par exemple, de l'opinion politique d'une personne,
où il peut être tout à fait possible aussi
de réidentifier une personne sur la base de données qui ont été entièrement
anonymisées au départ, hein? Le croisement
de plusieurs données, même anonymisées, permet, dans la plupart des cas, de
réidentifier une personne.
Donc,
il y a au moins... C'est ce qu'on appelle le statut des données dites inférées,
hein? C'est-à-dire qu'on infère des
informations sur les personnes sur la base de données qui ne sont pas toujours
des données personnelles et donc qui peuvent
échapper à ces lois. Et donc ça, c'est un angle mort, me semble-t-il,
important, là, étant donné les possibilités des nouvelles technologies. Et je pense que, soit dans ce projet de loi là
ou dans un complément, il faudrait se pencher aussi sur comment gérer, donc, l'accès à ces... ou la
production de ces données qui peuvent devenir des données personnelles
même sur la base de données qui n'étaient pas personnelles au départ. Je vous
remercie.
Le
Président (M. Bachand) : Merci beaucoup, M. Maclure. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette : Oui, merci, M. le Président. Bonjour, M. Maclure, M. Cliche.
Merci de participer aux travaux de la commission parlementaire pour le
projet de loi n° 64.
Bien, écoutez, revenons, là, sur l'angle mort du
projet de loi que vous abordez, là, il y a quelques instants, là. Vous dites : Bon, cet angle mort là... Il
faudrait voir peut-être, dans le projet de loi n° 64
ou par la suite, une façon d'éviter que des données dépersonnalisées, bien,
anonymisées, puissent être croisées pour faire en sorte finalement qu'on
puisse réidentifier la personne par des outils technologiques. Notamment, vous
faisiez référence à l'intelligence artificielle.
Alors,
qu'est-ce que vous nous proposez concrètement pour éviter cette situation-là,
considérant le fait que, dans certaines
situations, la donnée pourrait être disponible, mais d'une façon anonymisée?
Vous nous dites : Attention, il ne faut pas faire ça parce que ça pourrait faire en sorte que, par des outils
technologiques, on puisse réidentifier la personne. C'est ça?
M. Maclure
(Jocelyn) : Oui, tout à
fait. Et je vais laisser Dominic, qui est notre grand spécialiste, là,
compléter, mais je pense que, comme dans le
cas des renseignements personnels, je pense qu'il faut réfléchir à qu'est-ce
qu'il devrait être possible de faire aux organismes, là, qui exploitent
les données sur le plan du croisement de données même non personnelles, quelle sorte d'inférence ils peuvent
légitimement faire, et utiliser, et quelles sont les inférences qui ne
devraient pas être possibles, qui ne
devraient pas pouvoir être faites en croisant différentes données, parce
qu'entre autres on peut même
réidentifier les personnes et rendre caduque, d'une certaine façon, la
protection offerte par les lois sur la protection des renseignements personnels. Donc, ce serait de
réfléchir à est-ce qu'on est capables d'identifier des types de connaissances
ou de savoir qui peuvent être légitimement
produits en croisant les données de ceux qui ne devraient pas pouvoir
l'être.
Dominic, je ne sais pas si tu veux ajouter
quelque chose.
M. Cliche
(Dominic) : Brièvement,
en fait, si on veut aller très
concrètement, premièrement, une des provisions, par exemple, dans le règlement européen sur la protection des données,
est d'intégrer, de manière explicite, à même la loi une évaluation du risque de réidentification qui
vient avec certains jeux de données dans des évaluations des facteurs
relatifs à la vie privée, ce qui
impliquerait, cela dit, d'intégrer cette obligation-là de faire une telle
évaluation aussi pour d'autres jeux de données que ceux qui ne sont que
des données... des renseignements personnels.
De manière plus générale, l'idée derrière ça,
c'est de passer d'un régime qui met l'accent sur la nature du renseignement, un peu comme c'est le cas du projet
de loi qui est devant nous, donc, vraiment, qui cible des renseignements
personnels, pour s'intéresser davantage à un régime qui encadre les usages et
les effets des données de manière plus générale.
Là, évidemment, il y a tout un débat entre juristes à avoir sur l'impact exact
en termes de dispositions. Là, nous ne sommes
pas, nous, en mesure de pouvoir le faire maintenant, mais, dans les idées, là,
c'est une des options qui est sur la table.
Et sinon, autre point... Je vais conclure
là-dessus et je reviendrai au besoin.
• (15 h 50) •
M.
Jolin-Barrette : Mais, à la
lumière, là, dans le fond, là, des nouvelles technologies, de l'intelligence artificielle, de l'importance de la donnée dans la recherche,
là, comment est-ce qu'on fait pour
s'assurer de concilier les deux, que, supposons,
les données qui sont utilisées en matière d'intelligence artificielle ou en
matière de recherche, on puisse s'assurer de protéger les renseignements personnels des individus? Parce qu'un des
objectifs, un, c'est qu'il n'y ait pas de fuite de données, que les renseignements soient sécurisés,
que les entreprises ou les groupes de recherche, bien, puissent quand même faire leur recherche avec le consentement des
citoyens québécois, mais sans que leurs données personnelles soient diffusées ou qu'on puisse même les identifier.
Parce que c'est sûr, moi, si je dis : Je consens à vous donner mes
données ou à partager mes données, mais il
ne faut pas que je puisse être identifié puis que, par la bande, on réussit à
m'identifier à cause des outils
technologiques, l'objectif n'est pas atteint. Alors, comment est-ce qu'on fait
pour mettre un cadre clair là-dessus?
M. Maclure
(Jocelyn) : Bien, je pense
que le principe fondamental, là, si vous me permettez, est celui de
distinguer les types d'organismes en fonction de leur finalité et,
possiblement, de faire... de donner une plus grande marge de manoeuvre à des organismes dont la mission première
est de servir l'intérêt collectif. Et c'est clairement le cas, donc, en
ce qui concerne, bon, la recherche
scientifique, hein? Collectivement, on valorise la recherche scientifique. On
veut favoriser la recherche. Ça peut mener à plusieurs bénéfices
collectifs et ça me semble une bonne sphère, là, pour tester justement comment... quel genre d'accès plus grand, plus
large on peut permettre aux chercheurs, sous contrôle évidemment des normes en éthique de la recherche et, comme mon
collègue Déziel l'a dit, possiblement en demandant à la Commission
d'accès à l'information d'avoir une approche spéciale pour la recherche. Et,
bon, les chercheurs, leur but n'est pas de commercialiser
les données et pas de toujours mieux comprendre les utilisateurs pour leur
offrir ensuite des différents produits commerciaux. Le but des
chercheurs n'est pas de vendre non plus les données.
Donc, il me
semble qu'on peut distinguer ce type d'utilisation, pour la recherche ou pour
d'autres finalités d'intérêt public,
et, de l'autre côté, bon, avoir un cadre différent pour les entreprises privées
et apprendre du cadre, par exemple, pour la recherche scientifique ou d'autres organismes publics, et, dans
quelques années, faire le point et dire : Bon, voici ce qu'on devrait pouvoir offrir à des entreprises
privées et voici les contraintes qui s'adressent et devraient s'adresser
spécifiquement aux acteurs privés.
M.
Jolin-Barrette : Qu'est-ce
qu'on fait dans le cas où... Vous savez, la recherche parfois sert aussi... Il
y a des débouchés commerciaux. Il y a
des partenariats aussi. Vous dites : Bon, il faut regarder la finalité
pour l'encadrement. Les normes, là,
qu'on va développer autour, là, supposons, des différents intervenants, là, que
ça soit au niveau des chercheurs, que
ça soit de la recherche versus ceux qui offrent purement dans les entreprises
commerciales, comment est-ce qu'on fait pour départager le tout? Parce que, parfois, c'est difficile, rentrer
dans des cases bien précises, là, pour dire : Bien, moi, je fais uniquement de la recherche pure. Mais souvent,
cette recherche-là, l'utilisation des données pourrait avoir des implications commerciales aussi. Alors, comment
est-ce qu'on fait pour s'assurer de vraiment départager le tout, là, au
niveau de la gouvernance, au niveau de l'éthique rattachée à cela?
M. Maclure (Jocelyn) : Oui, c'est
une très bonne question. Dominic, tu pourras compléter si tu veux.
Bon,
on n'a pas fait un examen, là, récemment, mais je pense qu'il faut, en
l'occurrence, s'assurer que les normes qui
existent déjà pour encadrer les partenariats aux relations entre le milieu de
la recherche et l'industrie... que ces normes soient respectées, là, de
façon intégrale, parce que c'est déjà bien normé, le rapport entre la recherche
et l'industrie.
Et, bon, un
examen qu'on pourrait faire, là, c'est à la lumière, encore là, des
possibilités offertes par l'intelligence artificielle et l'accès à des données massives. Est-ce que, bon, il y a
lieu de revoir l'encadrement des liens entre l'université et l'industrie? Mais, bon, une recherche
scientifique doit être fondée sur l'idée de la liberté académique, doit être... Son évaluation
doit être basée entièrement sur des critères scientifiques et non pas sur
la rentabilité ou le potentiel commercial et ainsi de suite. Et, si ces normes sont appliquées et ensuite il y a une utilisation, un transfert technologique vers
l'industrie, ça peut être éthiquement
acceptable, mais il faut s'assurer que les normes qui encadrent ces rapports
soient respectées, là, de façon scrupuleuse.
M. Jolin-Barrette : Parfait. Je vous
remercie.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M.
Lévesque (Chapleau) : Oui, merci, M. le Président. Merci
beaucoup, là, de vos témoignages.
Donc, peut-être une petite question.
J'aimerais peut-être revenir... Bon, on a parlé des risques liés aux
données, là, anonymisées ou dépersonnalisées,
en quelque sorte. Vous avez parlé de la notion de renseignements personnels. C'est revenu chez plusieurs intervenants, là, cette fameuse définition, la
définition, notamment, là, du volet européen, mais également
ici, dans le projet de loi. Avez-vous une idée de... Avez-vous une
définition que vous mettriez de l'avant, ou est-ce qu'elle est conforme,
ou est-ce que c'est un enjeu, là, pour vous?
C'est certain, il fallait que ça soit plus large, justement,
pour inclure davantage peut-être en lien, justement, avec la notion
d'anonymiser.
M. Maclure
(Jocelyn) : Oui. Dominic, tu
pourras compléter, mais, bon, le problème présentement, c'est que le renseignement personnel, c'est un renseignement qui permet de... qui
concerne une personne physique et qui permet de l'identifier. Or, avec l'intelligence artificielle, ce n'est pas un
renseignement qui... Un seul renseignement non personnel ne permet pas d'identifier une personne, mais, en
agrégeant et en croisant des renseignements qui avaient été dépersonnalisés,
on peut arriver à réidentifier ensuite.
Donc, je ne
sais pas, ce n'est peut-être pas, d'un point de vue conceptuel, la définition
de renseignements personnels qui pose
problème, mais les nouvelles possibilités offertes par l'IA, qui permet, en
croisant de nombreuses données, de remonter, au fond, à la source de la
donnée. Dominic?
M. Cliche
(Dominic) : Oui, c'est ça. Si
je peux me permettre, là-dessus, peut-être que l'écueil n'est pas nécessairement,
comme M. Maclure le soulevait, dans la définition même du renseignement personnel, mais un peu, en fait,
dans la dichotomie qu'on établit de manière très forte entre renseignements personnels et les autres renseignements. Et ce qu'on
peut imaginer, ultimement, c'est de penser à un régime qui est un peu plus
différencié.
On parlait tantôt
des résultats d'inférence. Est-ce qu'on veut soumettre les inférences complètement au régime des renseignements
personnels, à un régime qui est aussi
restrictif ou qui a exactement les mêmes dispositions, ou est-ce qu'on doit plutôt penser à différents niveaux dans le degré de sensibilité des renseignements personnels ou non?
Et je pense que, justement, un des écueils, là-dessus, du projet de loi
est de définir à la fois la notion d'incident de confidentialité, de préjudice
ainsi que de sensibilité des renseignements uniquement en référence aux
renseignements personnels.
Et là on comprend évidemment que c'est dans le
cadre d'un projet de loi sur la protection des renseignements personnels, mais, dans une visée plus large d'une protection de la vie privée, on
pourrait penser ces catégories-là — je
parle, par exemple, justement, de sensibilité, il y avait aussi des notions de
profilage, par exemple, qui étaient liées strictement
aux renseignements personnels dans le cadre du projet de loi — et penser, de manière plus large, dans différentes catégories de renseignements qui ont différents niveaux de sensibilité et de susceptibilité de
porter atteinte à des droits et
libertés des individus. Et ça, c'est une piste qui peut être explorée, qui
demande néanmoins réflexion supplémentaire, là, qui est peut-être un deuxième pas, si
on veut, dans la refonte de notre encadrement lié à la protection de la
vie privée.
M.
Lévesque (Chapleau) : Mais
allons-y, justement. C'est fort intéressant, vu qu'on a le projet de loi devant nous puis qu'on en discute, là, justement, la notion
d'inférence, c'est techniquement, même, voire, conceptuellement... c'est
assez...
Vous connaissez mieux ça que moi, là, mais est-ce que c'est facile à
identifier? Est-ce que c'est... Avec l'algorithme, avec la technologie, on pourrait tout de suite le cibler puis
dire : Bon, bien là, il y a eu une inférence, donc on la protège. Peut-être
que vous pouvez m'éclairer, là, avec ce concept-là.
M. Maclure
(Jocelyn) : Oui. Une donnée
inférée, c'est une donnée qui n'existait pas avant qu'on arrive à
l'inférer en croisant d'autres données qui,
elles, existaient et qui pouvaient être, encore là, soit anonymisées ou même
des données parfois non personnelles, c'est-à-dire un historique d'achat,
par exemple, ou des traces laissées sur des moteurs de recherche, ou des interactions sur les réseaux
sociaux. Il ne s'agit pas, dans tous les cas, de données personnelles,
mais, en croisant plusieurs données de la sorte, on peut arriver à produire des
nouvelles données sur la personne.
Et
donc il y a vraiment une production d'un savoir, là, sur les personnes. Et
donc, ça, on ne les connaît pas avant d'avoir fait le travail par
l'algorithme, mais une façon d'encadrer ça, c'est de dire : Bien, il y a
des savoirs que vous ne devrez pas pouvoir produire sur les personnes, parce
que ça, ce sont des données qui sont très sensibles, là. Il y a préjudice. Le risque de
préjudice est grand. Et, bon, on s'entend, je pense, à la commission, pour dire
qu'il faudrait pousser plus loin
cette réflexion-là sur comment on l'encadre, mais c'est le nouveau type de
savoir sur les personnes qui est produit en croisant des données qui
pose problème, là.
M. Lévesque
(Chapleau) : Merci. Merci de cet éclairage-là. Maintenant, peut-être
une question sur le consentement. Vous
semblez privilégier, évidemment, là, de demander souvent, là, le consentement,
là, au citoyen, mais il y a certains
groupes qui sont venus nous dire que le consentement n'est pas la finalité ou
n'est pas, justement, là, l'objectif à atteindre,
parce que, bon, souvent, on se retrouve en situation, là, sur Internet... des
pages qui nous offrent de longs cookies ou de longs textes de consentement qui, souvent, ne sont pas lus puis
qui n'ont pas vraiment de lien avec le consentement qui est donné par le citoyen, du moins, qui n'a
pas une compréhension la plus complète. Voyez-vous un enjeu, là, dans
cette situation-là quant au consentement?
• (16 heures) •
M. Maclure
(Jocelyn) : Tout à fait. Et notre message ici est d'appuyer ceux qui
relativisent l'importance du consentement,
non pas pour dire qu'on peut, dans tous les cas, ignorer, hein, ne pas poser la
question aux personnes : Est-ce qu'on
peut utiliser vos données ou pas?, mais ça ne peut pas être la pierre
angulaire, d'un point de vue éthique, là, de notre système
d'encadrement de l'utilisation des données.
Donc,
je l'ai souvent dit dans le passé, le consentement est souvent une condition nécessaire
à un usage légitime des données mais
rarement une condition suffisante, et ces conditions suffisantes, c'est de
prévoir, hein, dans la loi, ce qui peut être fait et ce qui ne peut pas être fait avec les données, peu importe,
même si on a obtenu un consentement au préalable. C'est tout
simplement trop complexe pour les
personnes, hein, de savoir exactement ce à quoi ils consentent, et souvent, le
coût de ne pas consentir, par exemple, est important, si bien qu'il n'y a pas véritablement
de liberté de choix.
Donc,
on appuie entièrement cette idée que le consentement, donc, fait partie de
l'équation mais ne joue pas un rôle central, là, sur le plan des valeurs
éthiques.
M.
Lévesque (Chapleau) : D'accord. Merci beaucoup. Vous avez parlé tout à l'heure, là, d'un autre cadre juridique pour ce qui était de la recherche.
J'avais trouvé ça intéressant, là. Peut-être vous êtes-vous penché également sur la question,
là, sur... On a eu la discussion par rapport aux partis politiques. Je ne sais
pas si vous avez réfléchi à ça, là. Est-ce
qu'il y a également matière à ce que ça soit un peu différent, un peu en lien
avec la recherche? Je lance la question comme ça, là, pour... Si vous
n'avez pas réfléchi, ce n'est pas plus grave, là.
M. Maclure (Jocelyn) : Oui. Non, bien, si j'intervenais à titre de
philosophe politique, ça me ferait plaisir de me prononcer sur la question, mais, comme président de la Commission de
l'éthique en science et technologie, ça ne concerne pas notre mandat. C'est que ce n'est pas une
question qui est éthique, liée, donc, aux nouvelles technologies. Je
pense que mon propos sur les organismes
publics et privés, tout ça, pourrait, avec certaines modulations, donc,
s'appliquer aux partis politiques, mais ça dépasse mon rôle en tant que
président de la Commission de l'éthique en science et technologie.
M.
Lévesque (Chapleau) : Nous aurions dû vous inviter sous vos
deux chapeaux alors, mais pas de souci, là. Je comprends tout à
fait.
Le
Président (M. Bachand) : Merci beaucoup, M. le député.
M. Lévesque
(Chapleau) : Oh! c'est... D'accord. Bien, merci, merci.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de
LaFontaine, pour 13 min 36 s.
M.
Tanguay : Merci beaucoup, M. le Président. Alors, bonjour,
M. Maclure et M. Cliche. Merci de participer à nos débats. C'est réellement très intéressant. Je
veux m'assurer, durant la période de 13 minutes qui nous est allouée,
de l'opposition officielle, de laisser du temps également à ma collègue de
Notre-Dame-de-Grâce qui aura des questions.
L'organisme,
MM. Maclure et Cliche, que vous représentez, donc, la Commission de
l'éthique en science et en technologie,
je regarde, les membres possèdent une expertise en éthique et proviennent de
milieux de recherche universitaire et
industrielle dans les domaines de sciences sociales et humaines, des sciences
naturelles et du génie et des
sciences biomédicales du milieu de l'éthique des milieux de pratique et de la société
civile.
Maintenant,
est-ce que votre expertise est essentiellement ou majoritairement
du côté des organismes publics ou vous avez une expertise également de
la vie sur le terrain du côté des organismes privés, des entreprises?
M. Maclure
(Jocelyn) : Oui, merci de la question. Donc, notre mandat, hein, notre
premier mandat, c'est de conseiller le
ministre responsable... le ministre de l'Économie et de l'Innovation et, par
extension, de conseiller les autres organismes, hein, du gouvernement du
Québec. Et, dans nos 13 membres, effectivement, donc, on a, bon,
plusieurs, plusieurs membres, hein, qui
viennent des différents milieux de la recherche ou du journalisme scientifique,
mais on a habituellement toujours un
membre ou deux qui ont aussi un lien... bon, pour revenir à notre discussion de
tout à l'heure, un pied, donc, dans
l'industrie, un pied dans la recherche scientifique. Donc, on a des échos
aussi, là, des besoins, par exemple, de
l'industrie sur le plan de la recherche et de l'encadrement de la recherche,
mais, je veux dire, ce n'est pas la dominante, là, ou... dans la
composition de notre équipe.
Une autre partie de notre mandat, ceci dit,
c'est de susciter la réflexion éthique, bon, dans la société civile et
d'autres... bon, des citoyens en général et d'autres groupes dans la société.
M.
Tanguay : Merci.
Donc, axons-nous du côté public. Est-ce que, dans les organismes publics, à la
lumière de vos travaux, de votre
réflexion... J'ai un réflexe, puis on le voit un peu peut-être
durant la pandémie, là... au Québec, on a de
la misère à générer de la donnée. Puis je ne vise pas personne, là, je ne fais
pas de la politique avec ça. On a de la misère à gérer de la
donnée au Québec.
Est-ce qu'on n'a pas... puis vous allez voir la
pertinence, je pense, je prétends, de la question avec le projet de loi n° 64, parce qu'au-delà de ce qui est
inscrit dans une loi, on veut que, dans les faits, on puisse l'appliquer de
façon tangible puis atteindre les objectifs.
Mais, si je fais un pas en arrière, est-ce que, même avec les obligations
légales que l'on a aujourd'hui dans
la loi actuelle, pas amendée, est-ce que les systèmes informatiques, les
systèmes par lesquels ou avec lesquels on gère tous les renseignements
personnels, est-ce qu'ils sont suffisamment performants?
Par exemple, est-ce qu'ils sont suffisamment
adaptés à se parler entre eux pour qu'on ait les moyens de nos ambitions ou on ne vient pas ici en rajouter une
couche avec le projet de loi n° 64, puis ça ne donnerait rien, si
d'aventure on n'avait pas des systèmes plus
performants pour atteindre nos objectifs? Parce que l'un des objectifs
clairement identifiés avec le nouveau
projet de loi, ce serait d'avoir un responsable de l'accès puis un responsable
de la protection. Mais, pour avoir,
dans une ancienne vie, travaillé dans une entreprise privée, c'était tout un défi, l'accès et la
protection, parce qu'au départ
c'étaient des systèmes qui n'étaient pas adaptés à nos ambitions d'accès et de
protection. J'aimerais savoir votre réflexion là-dessus.
M. Maclure
(Jocelyn) : Je vais laisser
Dominic compléter, mais bon, probablement que, bon, vous savez que c'est
dans les cartons, là, du gouvernement et de l'administration publique en
général, hein, de mobiliser davantage, hein, l'expertise
québécoise en intelligence artificielle pour intégrer, hein, des outils, des
algorithmes d'intelligence artificielle dans l'administration publique pour mieux valoriser, hein, les
nombreuses données, les grands jeux de données auxquels l'État et
différents organismes ont accès.
Et, bon, je
pense que c'est tout à fait normal de vouloir miser sur cette expertise québécoise,
mais je pense que ça va de pair avec,
là... comme conditions d'acceptabilité, avec un renforcement de nos lois, y
compris dans le secteur public, là,
pour que les citoyens aient confiance, hein, tant dans les organismes publics
que dans les organismes privés. Il faut qu'ils aient la conviction, hein, qu'un cadre clair et rigoureux est mis
en place sur le plan de la protection des données personnelles.
Et je pense
que, comme je disais tout à l'heure, hein, comme l'État a la mission, hein,
d'oeuvrer en faveur du bien commun,
ça me semble tout à fait fécond que d'aller de l'avant dans des projets pour
mieux utiliser nos données, pour mieux
concevoir nos politiques, pour mieux offrir des services aux citoyens. Mais ça
prend absolument un cadre réglementaire clair. Et, bon, les lois étaient
plus adaptées, hein, parce que, bien, elles ont été conçues avant ce genre
d'innovations technologiques.
Donc, je
pense que les deux vont ensemble. Ça va être des défis importants d'un point de
vue organisationnel, mais je pense qu'un plus grand accès aux données
via des technologies exige l'évolution de notre cadre normatif.
M. Tanguay : Peut-être juste, M. Maclure, si vous me
permettez, juste avant de céder la parole à M. Cliche, mon point,
de façon plus tangible, est le suivant, il y a une loi qui est modifiée par le
projet de loi, Loi concernant le cadre juridique des technologies de
l'information. Ça, c'est une loi, je me rappelle à l'époque, 2001, 2002, 2003,
dans ces eaux-là... Il y a des lois qui sont
bien rédigées sur une base théorique, mais qu'on pourrait prendre, puis c'est
moi qui le dis, là, le législateur,
puis on pourrait les encadrer, parce que, sur le terrain, elles n'ont aucune
application. Pourquoi? Parce qu'on ne
peut pas les appliquer. Desjardins, ce qui est arrivé, c'est qu'ils sont tombés
en bas de leur chaise parce qu'ils se sont
rendu compte, notamment, qu'il y avait quelqu'un qui avait accès à autant
d'information, et ce n'était pas su, ce n'était pas connu et ce n'était
pas même justifié en amont.
Donc, au-delà
du cadre théorique, moi, ma préoccupation, puis j'aimerais vous entendre
là-dessus, vous, chercheurs sur le
terrain, les systèmes nous permettent-ils d'avoir les moyens de nos ambitions
ou il n'y aurait pas lieu là d'avoir un chantier? Parce que l'on sait,
puis vous en êtes témoin, là, il y a des systèmes, il y en a des milliers et
des milliers aux organismes publics, puis
ils ne se parlent pas entre eux. Puis, si vous êtes responsables de ça, de
l'accès et de la protection, je pense
que vous n'atteindrez pas votre cible. Puis la loi, elle aura beau être écrite
de la plus belle façon, mais socialement on n'atteindra pas notre cible.
• (16 h 10) •
M. Maclure (Jocelyn) : Dominic.
M. Cliche (Dominic) : Bien, écoutez, c'est sûr que ce que vous dites,
je pense, effectivement, est assez juste, là. On ne peut pas imaginer un projet de loi comme ça et surtout qui vient
derrière... Je pense que le projet de loi s'intègre de manière plus
générale, de ma compréhension, dans une volonté qui a été nommée, la
transformation numérique de l'administration
publique, donc au moins partiellement. Le projet de loi vient appuyer cette
volonté-là du gouvernement. Et, dans cette optique-là, il y a évidemment
des défis à différents niveaux qui se posent.
Et puis, cela
dit, au-delà des questions d'éthique auxquelles nous, on pourrait répondre, je
pense que c'est davantage quelque
chose que nos collègues au Conseil du trésor, là, qui travaillent sur
l'architecture d'entreprise gouvernementale, pourraient détailler
davantage.
M. Tanguay :
O.K. Merci.
Le
Président (M. Bachand) :
Merci beaucoup, M. le député de LaFontaine. Mme la députée de
Notre-Dame-de-Grâce.
Mme
Weil : Oui. Alors, bonjour, M. Maclure et M. Cliche.
Écoutez, vous nous amenez vers des enjeux qu'on n'a pas jusqu'à présent regardés, donc, parce que vous allez vraiment
sur la question d'éthique. D'ailleurs, j'ai une question pour vous : Les données inférées, parce
que je pense que vous êtes les premiers peut-être à en parler comment
est-ce qu'on peut se protéger contre
ces données inférées? Parce qu'on ne sait pas comment ces données ont été
créées. Et comment est-ce qu'on peut soit les supprimer ou les rectifier,
comme on parle généralement de données personnelles?
C'est une
question technique que je vous pose, parce qu'on le voit quand même dans nos
vies personnelles, surtout avec les
photos, nos enfants qui partagent des photos, les choses qu'ils font avec des
photos, puis là soudainement on se rend
compte qu'on nous reconnaît, on reconnaît soi-même et ses enfants, puis on a
pris ces photos ensemble, et ensuite on vous offre quelque chose. En tout cas, tous ces éléments résonnent un
peu dans nos vies personnelles. Et donc est-ce qu'on est rendus là, de pouvoir même pouvoir en traiter
dans un projet de loi? C'est-à-dire comment est-ce qu'on se protège ou, premièrement, modifie... Comment est-ce qu'on peut
savoir que ces données existent? C'est une question éthique aussi.
M. Maclure (Jocelyn) : Tout à fait.
Dominic, veux-tu débuter?
M. Cliche
(Dominic) : Oui. Bien,
écoutez, c'est sûr qu'un des points qu'on peut soulever ici, c'est qu'encore
une fois je pense que ça peut démontrer des
limites d'une approche qui se base uniquement sur le consentement
individuel, parce qu'effectivement, comme
vous le soulignez, ça échappe un peu à l'entendement, tout ce qu'on peut
générer nous-mêmes par nos activités
en ligne, volontairement ou involontairement, mais aussi ce qui peut être
généré à partir de ces activités-là,
à partir des données qui sont produites. Et évidemment, si on se mettait à
devoir évaluer individuellement l'ensemble
des conséquences de nos activités en ligne, je pense qu'on passerait
l'essentiel de notre journée à le faire plutôt qu'à faire les activités
elles-mêmes.
Donc, un des
enjeux ici, c'est probablement d'avoir justement un régime qui, vraiment,
oblige à identifier, hein, qu'est-ce
qui est inféré à partir des données et qui oblige les organisations... et là je
pense un peu tout haut, encore une fois, c'est des pistes, mais qui oblige les organisations à avoir un cadre,
qu'il soit prédéfini au moins dans ses grandes lignes par l'État. Sinon,
au moins qu'il existe un tel cadre sur comment... quelles sont les données
utilisées, quels sont les types d'inférences qui sont faites à partir de ces
données-là et que ces inférences-là soient soumises à des balises qui sont prédéterminées selon, justement, l'intérêt public,
par exemple, le bénéfice manifeste de la personne, certains éléments,
donc, des principes qui sont présents, bien
mentionnés dans le projet de loi n° 64, mais qui pourraient s'étendre,
justement, à d'autres types de
renseignements que les renseignements personnels dans le cadre de régimes
intermédiaires, si on veut, là, de protection des renseignements.
Mme Weil : J'aimerais revenir, si j'ai du temps, sur la
distinction que vous faites entre régime public et privé avec, comment dire, à la base, cette notion que, si
c'est public, évidemment, le bien public, c'est l'objectif
de l'organisme, donc de traiter
différemment peut-être tout ce qui concerne les données collectées,
recueillies dans le secteur privé. Ça, c'est comme une prémisse de base que vous avez, qui conditionne
un peu les mesures que vous taillez pour l'un ou l'autre.
Reconnaissez-vous que ça peut être carrément dans le secteur privé, si on pense
au secteur pharmaceutique ou des innovations
en matière de santé pour aider des personnes handicapées, etc.?
Il y a tellement de recherches qui se font, parfois en partenariat public et privé. Est-ce que
cette distinction... J'essaie de comprendre l'importance de cette
distinction dans le travail que nous, on a à faire en regardant le projet de
loi et en analysant...
M. Maclure (Jocelyn) : Oui,
c'est une bonne question, mais je pense que... et l'idée, ce n'est pas du tout
de diaboliser, hein, les entreprises
privées. Les entreprises privées peuvent contribuer au bien commun, mais ils le
font, disons, de façon indirecte,
hein, c'est-à-dire en cherchant d'abord à être profitables et en souhaitant
qu'ensuite, hein, il y ait des retombées positives pour l'ensemble, et
c'est souvent le cas.
Mais, bon, on est dans une grande phase, hein,
d'expérimentation, là, sur le plan de la gestion des données numériques, hein,
parce qu'on peut faire beaucoup de choses avec ces données, et c'est devenu une
ressource, hein, économique extrêmement importante. Et il faut faire des expériences, des tests,
là, pour voir comment on peut donner un plus grand accès, à quelles conditions on peut outrepasser la norme de consentement, dont on parlait tout à
l'heure, hein, pour, par
exemple, hein, des fins qui n'auraient pas été identifiées au départ.
Bien, ça me
semble beaucoup plus sage de le faire dans le contexte, hein,
d'organisme public ou la recherche en particulier,
au départ, parce que la recherche, hein, la quête, hein, de nouvelles connaissances scientifiques, hein, contribuent au bien commun de façon très, très
directe, alors que, par exemple, hein, lorsqu'il est question
d'entreprise pharmaceutique privée, bien, ce n'est pas nécessairement...
par exemple, hein, les médicaments qui pourraient améliorer
la qualité de vie, hein, de petits...
de groupes, hein, des personnes qui ont des maladies rares, hein, parce que,
comme ils sont peu nombreux, hein, ce
n'est pas nécessairement rentable. Et c'est souvent... on a souvent
besoin de la recherche universitaire, hein, pour faire des découvertes en la
matière.
Donc, c'est vrai que les entreprises, hein,
contribuent à l'intérêt collectif d'une certaine façon, mais de façon plus
indirecte. Et je pense que là où on en est présentement, il serait plus sage de
faire des expériences, hein, du côté d'organisme public.
Le Président (M.
Bachand) : Merci, M. Maclure. M. le député de Gouin, s'il vous
plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, messieurs. J'ai peu
de temps, mais j'ai quelques questions pour
vous. D'abord, sur la question du consentement, vous nous avez bien dit, et
c'est intéressant, qu'il fallait aller au-delà du consentement, mais néanmoins... et j'y
reviendrais dans ma deuxième question, mais, sur le consentement lui-même,
plusieurs représentations nous ont été faites sur cette question-là. Certains
nous disent : Il faut un consentement assez scrupuleux, où on demande à chaque fois qu'il y a collecte de données, à
chaque fois qu'il y a collecte pour une finalité spécifique, on devrait demander à nouveau un consentement. D'autres nous
ont dit : Il faut faire des consentements par bloc, des
consentements plus généraux.
Sur
la question spécifique de la manière dont il faut demander le consentement aux
citoyens, aux citoyennes, quelle est votre position?
M. Maclure (Jocelyn) : O.K. Brièvement, puis je laisse Dominic compléter, lorsqu'il est question
de la recherche, hein, je pense que
c'est là où on peut explorer l'idée de ne pas toujours redemander le consentement lorsque la finalité est toujours, hein, de faire avancer la science. Lorsqu'il est
question d'usages, hein, commerciaux et privés, je pense
que c'est préférable de demander aux
entreprises de demander le consentement et de simplifier, hein, le processus
pour donner le consentement, mais ça ne demeure pas une condition suffisante,
là, pour l'usage des données par des joueurs privés. Dominic.
M. Cliche (Dominic) : Oui, rapidement, je ne veux pas trop vous prendre du temps là-dessus,
je pense qu'effectivement l'idée... En fait, l'idée, c'est, comme M. Maclure le mentionnait, de
donner quand même au citoyen
le plus grand pouvoir sur ses données personnelles. Et ça, le projet de loi va
dans ce sens, le sens de ce principe-là, avec des demandes de consentement spécifiques
express pour des renseignements de nature sensible.
Cela
dit, il demeure un écueil là-dedans. Donc, au-delà du principe, plus on
multiplie, dans le fond, les formules de consentement qui peuvent être demandées, plus on court le risque que ce
soit, d'une certaine manière, banalisé et qu'on passe outre, hein?
Donc,
juste d'expérience, il faudrait vérifier si le fait d'accentuer et d'augmenter
le nombre de fois où on demande le
consentement n'a pas l'effet pervers de faire en sorte que les gens cliquent
«oui» sans même lire, comme c'est déjà pas mal le cas dans plusieurs
domaines, là, sur Internet, mettons.
M.
Nadeau-Dubois : Oui, merci. Merci. Si on va maintenant au-delà... il me reste moins d'une minute. Si on
va au-delà de la question du consentement,
vous dites : Il faut régir également l'utilisation des données
postconsentement, si vous me permettez l'expression. Quel type d'utilisation
faudrait-il encadrer dans le projet de loi n° 64?
M. Maclure
(Jocelyn) : Dominic, veux-tu y aller?
Le
Président (M. Bachand) : Rapidement, M. Cliche, s'il vous
plaît.
M. Cliche (Dominic) : Oui. Écoutez, je n'ai pas d'exemple très spécifique, là, à
vous donner, malheureusement, là-dessus.
L'idée est vraiment, dans le principe, de dire : Il y a des choses
auxquelles on peut considérer qu'il n'est pas louable de consentir, là.
En fait, lorsque je veux... lorsque je réponds oui à... ce que je veux, là,
dans la protection des données, ce n'est pas
tant de pouvoir régir l'ensemble des utilisations, c'est d'emblée... c'est de
ne pas me faire avoir. Donc, l'idée,
c'est, si on est en mesure d'avoir au moins un encadrement supplémentaire, ne
serait-ce que minimal, pour régler certains
des usages qui peuvent être problématiques en amont, on vient de sauver quand
même déjà plusieurs risques. Cela dit, il y a un travail de définition
là-dessus, là, je vous l'accorde tout à fait.
Le
Président (M. Bachand) : Sur ce, M. Maclure,
M. Cliche, merci beaucoup d'avoir participé aux travaux de la commission.
Je suspends les
travaux quelques instants. Merci.
(Suspension de la séance à
16 h 20)
(Reprise à 16 h 23)
Le Président (M. Bachand) : À
l'ordre, s'il vous plaît! La commission
reprend ses travaux. Il nous fait plaisir d'accueillir Mme la professeure Castets-Renard, professeure titulaire à
l'Université Toulouse Capitole et à l'Université d'Ottawa en droit
numérique.
Alors,
professeure, merci beaucoup d'être encore
une fois à la Commission des
institutions. C'est avec grand plaisir de
vous recevoir de nouveau. Alors, comme vous connaissez les règles,
10 minutes de présentation, et, après ça, nous aurons un échange avec
les membres de la commission. Donc, la parole est à vous, professeure. Merci
beaucoup.
Mme Céline Castets-Renard
Mme Castets-Renard (Céline) : Merci
beaucoup, M. le Président. M. le ministre, Mmes, MM. les députés, il me fait très plaisir de revenir vous parler, et c'est
un très grand honneur pour moi d'être à nouveau parmi vous. Mon nom est Céline Castets-Renard, je suis professeure à l'Université d'Ottawa, à la Faculté de droit civil, et je suis
titulaire d'une chaire de recherche sur l'intelligence artificielle,
responsable à l'échelle mondiale.
Et
donc, aujourd'hui, il s'agit d'évoquer le projet de loi n° 64 sur la réforme de la protection des renseignements personnels, et je voudrais attirer votre attention sur deux enjeux globaux,
deux grands enjeux que le projet
de loi évoque et dont il s'agit évidemment de prendre en
considération... et qu'il s'agit de prendre en considération.
Tout d'abord, l'enjeu de modernisation de la législation, puisqu'il s'agit
de réformer, donc, de réviser, de tenir compte des évolutions technologiques,
et, en particulier, de l'évolution numérique
et de l'intelligence artificielle.
Donc, ça, c'est un premier enjeu que je voudrais évoquer avec vous.
Le deuxième
enjeu concerne le renforcement de la protection. Dans un contexte de
marchandisation des données, il apparaît
effectivement nécessaire de renforcer cette protection, mais avec un enjeu
quand même de tenir compte d'une certaine souplesse et adaptation au
marché québécois.
Donc, le
premier enjeu concerne la révision, la réforme des lois de renseignements
personnels sur le secteur public et
le secteur privé, avec un certain nombre de points forts par rapport à la prise
en compte des technologies, des points forts
par rapport au fait de considérer les technologies d'identification, de
profilage et de géolocalisation par le fait, en particulier, de reconnaître un droit à l'information ou encore un droit
de désactiver ces technologies. Un autre point fort aussi concerne les mesures relatives à la prise de
décision automatisée et avec également une obligation d'information...
un droit d'information pour les personnes
concernées et un droit à explication individuelle. Je trouve que ces
dispositions sont particulièrement intéressantes.
Je voudrais
plutôt m'arrêter sur des dispositions qui me paraissent peut-être un peu plus
fragiles et notamment la définition
des données sensibles. Effectivement, la catégorie des données sensibles rentre
dans le projet de loi n° 64, mais la définition qui est donnée me paraît un petit peu floue et un petit peu
fragile, puisqu'il s'agit de données... de considérer les données sensibles comme étant des renseignements
personnels qui, par leur nature ou le contexte de leur utilisation, font
courir un certain nombre de risques et donc pour lesquels il pourrait y avoir
un haut degré d'attente raisonnable en matière de vie privée.
Alors, il me
semble que cette définition est trop large et trop souple par rapport à la
technologie et par rapport, en particulier,
au traitement des données massives. Au sein de ces données massives, on a des
renseignements personnels et des
renseignements que... des données qui ne sont pas des renseignements
personnels. Et, à l'intérieur de ces renseignements personnels, si vous considérez les données
sensibles, ça me paraît très difficile de les distinguer dès lors qu'on ne
catégorise pas plus clairement, qu'on ne
classifie pas plus clairement les données sensibles. Donc là, je pense qu'il
risque d'y avoir un raté... enfin, il
risque d'y avoir un problème de respect de la loi par rapport à ce qu'est la
technologie aujourd'hui et par rapport à l'utilisation des bases de
données.
Un autre point
à améliorer, me semble-t-il, concerne les pouvoirs et les missions confiées à
la CAI, la Commission d'accès à
l'information, parce qu'effectivement la technologie... les enjeux
technologiques sont extrêmement complexes, extrêmement difficiles et lourds, et donc il faut que l'autorité de
contrôle ait une grande capacité avec, notamment, un personnel
qualifié par rapport à ces enjeux technologiques, avec, évidemment, un certain
nombre de ressources financières pour
pouvoir effectuer les contrôles, parce qu'il ne sert à rien d'avoir une loi
avec plus de mordant, si l'autorité de contrôle et si le régulateur n'a pas les moyens de vérifier le respect de cette
loi. Donc, les moyens de contrôle vont avec les moyens donnés à cette loi, et, en particulier, les sanctions
qui ont été renforcées supposent de pouvoir vérifier ces sanctions,
sinon la loi risque de ne pas être suffisamment respectée.
Le deuxième
enjeu que je voudrais évoquer est quelque chose d'un peu plus complexe
concernant une certaine balance à
avoir entre le renforcement de la protection et, en particulier, la volonté de
viser les grands acteurs du numérique, hein,
les GAFA en particulier, mais aussi de considérer l'application de la loi par
les petites entreprises et aussi par les organismes publics qui n'ont pas tous énormément de moyens, comme... je
pense à des petites municipalités. Et donc, comme la loi canadienne, tout comme la loi européenne, est une loi large
qui vise le secteur public et le secteur privé et le RGPD en Europe vise aussi l'ensemble des secteurs
d'activité, hein, on vise la matière civile et commerciale au sens
large.
Donc, cette
loi omnibus doit être respectée par tous. Et, s'il y a des mesures dures et
avec un certain mordant, par exemple,
en matière de sanctions dans le RGPD et dans la loi québécoise, dans le RGPD,
on a aussi des moyens d'assouplir et
de prévoir une certaine gradation dans l'application de la norme, et je pense
en particulier aux mesures d'accompagnement et aux mesures de gradation
qui peuvent être mises en oeuvre dans l'application de la loi en considérant un
certain nombre de facteurs.
Alors, les
mesures d'accompagnement, je pense en particulier au code de conduite, aux
lignes directrices qui sont élaborées
par les autorités de contrôle, hein, de protection des données, les autorités
nationales et le Contrôleur européen à la protection des données... et, en fait, ces lignes directrices vont
permettre et vont aider à accompagner les entreprises à se mettre en conformité avec le RGPD. Le RGPD est
extrêmement complexe et lourd, extrêmement coûteux aussi à mettre en oeuvre, et, pour essayer de compenser cette
charge, eh bien, il y a eu tout ce processus d'accompagnement par des
normes souples qui viennent compléter le RGPD.
• (16 h 30) •
Également
aussi, il faut voir les différents facteurs d'application des règles en
apparence dures du RGPD, un certain nombre
de facteurs. À plusieurs reprises, le RGPD précise qu'il faut tenir compte du
coût, qu'il faut tenir compte de l'état des connaissances, de la nature, de la portée, du contexte, des finalités des traitements, mais
aussi des risques pour les droits et
libertés des personnes. Donc, autrement
dit, ce n'est pas simplement une loi
aveugle qui va systématiquement
s'appliquer, mais il faudra aussi tenir compte des contextes et voir, en fait,
comment faire respecter la législation en fonction des situations. Donc, il faut une appréciation in concreto. Et donc, il me
semble que, dans la loi québécoise, on ne retrouve pas ces modérations,
et je pense que ces mesures de souplesse doivent être considérées.
S'agissant des sanctions, c'est la même chose,
je pense qu'il faut maintenir des sanctions élevées et, bien évidemment, ce sont des maximums. Et il faut aussi
bien prendre en compte le fait que le Québec ne serait pas le seul territoire d'Amérique du
Nord à prévoir des sanctions élevées puisqu'aux États-Unis aussi on peut voir
des sanctions qui apparaissent
également élevées. Il faudra aussi considérer le consentement dans une approche
plus globale, mais je vais peut-être laisser cet aspect à vos questions.
Le Président (M.
Bachand) : Merci beaucoup, professeure. M. le ministre, s'il
vous plaît.
M.
Jolin-Barrette : Oui,
bonjour, Mme Castets-Renard. Merci de participer aux travaux du projet de loi
n° 64 en commission parlementaire.
Bien,
reprenons la balle au bond sur la notion du consentement. Comment doit-on le
définir? Depuis le début de la
commission, il y a des gens qui sont... bien, il y a des groupes qui sont venus
nous plaider d'un côté comme de l'autre. Certains nous disent : Bien, écoutez, vous devriez avoir un
consentement qui est explicite à chaque élément, à chaque donnée, ou à chaque renseignement personnel que
vous partagez, ou même à chaque fois que vous allez sur une page Web où est-ce que vous laisseriez des données
personnelles. D'autres nous disent : Bon, ça nous prend un consentement
en bloc. D'autres nous disent : Bien,
écoutez, il faudrait qualifier la teneur du renseignement comme tel. Et il y en
a d'autres qui nous disent : Bien,
non, écoutez, là, on a besoin de ces renseignements-là, on va bien les traiter
d'une façon corporative.
Alors, où la... Bien, en fait, les bonnes
pratiques nous amèneraient à quel endroit? Et est-ce que le projet de loi
n° 64 répond à ces bonnes pratiques là, tel que nous l'avons formulé?
Mme Castets-Renard (Céline) : Alors,
c'est une question très difficile, parce que le projet de loi n° 64 se rapproche du RGPD dans sa définition d'un
consentement explicite, et donc bien détaché, par exemple, du
consentement à un contrat avec un
consentement express à chaque fois. Donc, on a effectivement considéré aussi,
en Europe, que c'était les bons
moyens de protéger les personnes concernées. Il y a eu aussi tout autant des
critiques, donc je pense que c'est un peu
difficile de trancher parce qu'il y a autant de partisans que de queues de
critiques. Je pense, pour ma part, qu'effectivement c'est assez lourd de demander le consentement à chaque fois, et peut-être que ce n'est pas tout à fait la meilleure façon
de procéder, si on veut, à des dispositions fluides et des modes de fonctionnement fluides. Parce que, par exemple, on sait très bien que les
internautes consentent en permanence, sans trop regarder et sans trop lire.
Donc, il faut
surtout, à mon avis, considérer l'objectif de ce consentement, qui est d'informer et de protéger.
Et je ne suis pas sûre que consentir en
permanence permet véritablement de protéger les individus. Et ce que je voulais
signaler par rapport au règlement européen,
c'est le fait que le consentement n'est pas non plus isolé, et ça,
effectivement, ce n'est pas l'alpha
et l'oméga de la protection. Il faut aussi considérer un certain nombre de
droits qui sont accordés aux personnes concernées,
mais aussi des principes directeurs qui viennent encadrer les obligations des
responsables de traitement, comme des principes de finalité, de
minimisation des données.
Et donc il faut peut-être aussi considérer
d'autres moyens pour accompagner ce consentement pour se dire qu'éventuellement, dans certaines situations, on
pourra peut-être baisser le niveau de protection par le consentement,
mais on aura d'autres garanties qui feront
que, globalement, le consentement ou, en tout cas, la protection, le niveau de
protection restera élevé. C'est pour ça que j'évoque le consentement dans une
approche globale dans mon mémoire.
M.
Jolin-Barrette : O.K. Le
fait qu'il y a beaucoup d'éléments, dans le projet de loi n° 64,
qui se rapprochent du règlement européen, vous voyez ça positivement ou
négativement? Parce que certains groupes nous disent : Écoutez, n'oubliez pas que vous êtes en Amérique du Nord et
donc vous devez tenir compte de l'environnement nord-américain. Certains
nous reprochent d'aller trop loin pour la protection des renseignements
personnels, pour les données.
Même, il y a un certain groupe qui nous a
dit : Surtout, là, surtout, là, ne touchez pas à rien, on veut garder ça comme ça. Attendez que le fédéral agisse, attendez
de voir que les autres juridictions agissent. Dans le fond, il voudrait même que le Québec abdique sa juridiction. Vous
comprendrez que je ne suis pas tellement en accord avec ce groupe-là,
puis je trouve que c'est une position qui est, ma foi, particulière et qui ne
démontre pas beaucoup de sensibilité pour l'intérêt public puis l'intérêt de la
protection des données des citoyens. Mais cette organisation-là fait ce
choix-là, par le biais de son représentant.
Mais, cela étant, qu'est-ce que vous en pensez?
Est-ce que c'est une bonne chose de s'inspirer du règlement européen?
Mme
Castets-Renard (Céline) :
Alors, je pense qu'il y a des dispositions intéressantes dans le règlement
européen qui peuvent tout à fait
correspondre au contexte québécois. Mais je pense aussi, et je rejoins le
Pr Gautrais, je pense aussi que
la protection des renseignements personnels ou de la vie privée en général, c'est une question
de culture. Donc, il faut quand même considérer la situation du Québec
et les objectifs du Québec. Je crois que c'est surtout ça, à partir de
quels objectifs quelles règles de droit seraient pertinentes.
Et le Canada,
en fait, et le Québec dans le Canada, est un peu entre la législation...
Il y a des dispositions et des aspects
du système légal de la protection de la vie privée qui
ressemblent au droit américain et d'autres aspects qui ressemblent au droit européen. Donc, c'est ce que
je dis à mes étudiants, souvent : Le Canada est un peu un trait
d'union entre les deux. Mais ce que je voudrais quand même souligner, c'est
que, si le Québec va de l'avant avec cette loi et notamment prévoit des
sanctions élevées, le Québec ne serait pas du tout isolé en Amérique du Nord à
prévoir des sanctions élevées en cas de violation des renseignements
personnels.
En droit américain,
la FTC, la Federal Trade Commission prévoit des sanctions élevées en cas de
violation. L'année dernière... rapport, YouTube a été condamnée à 160 millions
de dollars américains pour la violation de la loi COPPA, donc, c'est la loi
Children's Online Protection Pivacy Act, qui protège la vie privée des enfants
sur Internet. Également, au niveau étatique, il y a des
sanctions parfois élevées qui sont prononcées. La Californie, par exemple, mais aussi l'État de New York,
plusieurs États n'hésitent pas à prononcer des sanctions
élevées. Et ce sont les avocats généraux des États qui portent ces
actions et qui poussent les juges ou les contrôleurs, les régulateurs à
appliquer ces sanctions. Donc, je crois qu'il faut tordre le cou à l'idée que
vous seriez seuls à imposer des sanctions élevées.
M. Jolin-Barrette : Donc, en Amérique du Nord, il y en a qui imposent des sanctions élevées.
Donc, pensez-vous que, si le Québec va de l'avant avec le projet de loi n° 64, ça va avoir pour effet d'inciter les autres juridictions
canadiennes et le gouvernement fédéral à légiférer aussi dans la direction du projet
de loi n° 64?
Mme Castets-Renard (Céline) : Je pense que ça aura nécessairement
une influence et je pense le Québec
pourrait montrer la voie, et ce ne serait
pas la première fois. Et, je pense, c'est tout à fait intéressant que vous mettiez en avant les valeurs
que vous voulez défendre. Et je pense qu'on peut tout à fait avoir une législation
protectrice des informations et des renseignements
personnels des citoyens
tout en considérant aussi l'évolution technologique,
l'innovation et le poids que cela peut représenter pour les entreprises
de mettre en oeuvre une nouvelle réglementation et de se mettre en conformité.
Je pense qu'un équilibre peut se trouver.
M. Jolin-Barrette : Sur la question de la Commission d'accès à l'information, là, comment
vous voyez ça, là, le rôle qu'on lui
donne, les ressources, l'encadrement? Vous parlez même d'accompagnement pour
les PME, les petites, moyennes entreprises. C'est quoi votre vision, là,
par rapport au rôle de la Commission d'accès à l'information?
• (16 h 40) •
Mme Castets-Renard (Céline) : Je pense qu'aujourd'hui il y a... les autorités
de protection et de contrôle des renseignements
personnels et des données personnelles sont en train de se moderniser un petit
peu partout dans le monde. On l'a vu
en Europe, par exemple, à la suite du RGPD. On passe d'un rôle un peu passif...
enfin, passif, un peu de... ou de contrôle
et un peu de méfiance à un rôle d'accompagnement justement où, finalement, ce
n'est que si une entreprise vous... une
administration n'obtempère pas que des sanctions sont prononcées. Et donc on
essaie d'aider à la mise en conformité.
Ce qui veut dire
qu'il faut, par exemple, publier des outils de mise en conformité, des lignes
directrices, des explications, faire des
séminaires, etc. Et, si je prends l'exemple de la France, la CNIL, la
Commission nationale informatique et
libertés, s'est complètement reconstruite. C'est toute une culture
d'administration, en fait, qui a changé. Et je pense qu'aujourd'hui, pour moderniser cette fonction, il
faut aller de l'avant avec cette idée de partager finalement un certain
savoir, et d'aider, et d'accompagner, et d'avoir, tout en ayant aussi des
moyens de contrôle assez forts, et d'avoir un personnel compétent pour
comprendre des algorithmes, des systèmes d'information et des systèmes
d'intelligence artificielle, parce que les
juristes sont un peu démunis par rapport au contrôle de ce type de système.
Donc, je pense aussi qu'il faut renforcer les compétences en matière
technologique.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de
Chapleau, s'il vous plaît.
M.
Lévesque (Chapleau) : Oui, merci, M. le Président. Bonjour,
Pre Castets-Renard. C'est un plaisir de vous retrouver à la Commission des institutions. Nous
avions eu l'occasion, justement, d'échanger auparavant et nous brûlions
d'envie de parler du projet de loi n° 64. Donc, on a l'occasion
aujourd'hui de le faire.
Vous
parlez de souplesse et d'accompagnement, là, pour les petites et moyennes
entreprises. J'imagine que c'est un
enjeu qui vous préoccupe. J'aimerais peut-être savoir quel type de mesure vous
entrevoyez, quel genre d'accompagnement, donc juste pour avoir votre son
de cloche par rapport à ça.
Mme Castets-Renard
(Céline) : Je pense qu'il y a deux types d'outil qui sont intéressants
dans le règlement européen, qui ne sont pas
forcément à reprendre comme tel, mais, en tout cas, c'est des pistes à
explorer. L'accompagnement, ça va
effectivement avec peut-être des guides, des lignes directrices ou des outils,
même des logiciels ou des tableurs, pour aider les entreprises, par exemple, à savoir comment gérer des données
sensibles par rapport à des données qui ne seraient pas sensibles, savoir si elles le sont. Par
exemple, ça pourrait être tout simplement des guides avec des questionnaires
pour les aider à qualifier et à s'auto,
finalement, contrôler, et à mettre en place les exigences de la loi. Ça, c'est
un aspect possible.
Et puis, quand je
parle de souplesse, je pense qu'effectivement il faut laisser la possibilité au
régulateur et, éventuellement, au juge de
savoir si, dans la situation présente, quand il y a une règle à respecter,
est-ce qu'il faut l'appliquer frontalement,
on va dire, en blocs, un peu aveuglement, parce qu'on a affaire à un géant de
l'Internet, et qu'on sait très bien qu'il
collecte massivement des données, et qu'il y a des données personnelles, et que
ces données sont utilisées sans respect, par exemple, d'un principe de finalité ou d'un principe de nécessité?
Est-ce qu'on a affaire à ce type de géant ou est-ce qu'on a affaire à une petite entreprise qui n'est
pas de mauvaise foi et qui n'a pas forcément bien compris la
réglementation, surtout si elle est nouvelle, et qui n'en a pas pris toute la
mesure?
Je
pense qu'il ne faut quand même pas traiter les choses de la même façon, qu'il
faut prendre en considération le coût de la mise en conformité, l'état
des connaissances aussi, pour savoir si c'est compliqué de mettre en oeuvre une
technologie, par exemple, ou de mettre en
oeuvre une appréciation de cette technologie, prendre en considération la
nature des données, la finalité des données.
Est-ce qu'il y a un risque ou pas pour les données des Québécois et des
Québécoises? Toutes ces questions-là, je
pense qu'il faut se les poser,et je pense que c'est aussi bien que ce soit dans
la loi, parce que, finalement, même
si le juge a l'habitude de se poser ce genre de question, le régulateur sera
peut-être plus mal à l'aise pour le faire. Et je pense que c'est un bon
moyen d'introduire de la souplesse.
Donc, je
pense qu'il faut vraiment plusieurs niveaux de lecture de la loi et une gradation
en fonction des acteurs. Encore une fois, les GAFA, ce n'est pas la
petite entreprise locale qui va gérer les données de ses salariés.
M. Lévesque (Chapleau) : O.K.
Et, en petite sous-question, est-ce que cette logique-là et ce raisonnement-là,
vous l'appliquez également en lien avec les pénalités lorsque vous faites une
distinction, par exemple, aux grandes entreprises et petites, moyennes? Donc,
vous créeriez une distinction puis une espèce de régime...
Mme Castets-Renard
(Céline) : Ce n'est pas forcément nécessaire, là. Il me semble que les
sanctions sont considérées comme des
maximales. Bien sûr, on ne sera pas obligés d'aller jusqu'à ce maximum dans
toute situation. Donc, voilà. Je
voulais aussi dire qu'en droit américain on a l'habitude de considérer une
sanction par données personnelles qui fait l'objet d'une violation. Donc, quand on a affaire à des petits fichiers
avec peu de violations, bien, la sanction sera plus faible que si on a affaire à une violation massive avec
énormément de données. C'est aussi une autre façon de raisonner pour
avoir cette gradation.
M. Lévesque
(Chapleau) : Parfait. Merci beaucoup. Je crois que le collègue de Saint-Jean
a des questions, M. le Président.
Le
Président (M. Bachand) : M. le député de Saint-Jean,
trois minutes.
M. Lemieux :
Merci beaucoup, M. le Président. Bonjour, Pre Castets-Renard. Je voudrais
vous amener sur la question des
renseignements dépersonnalisés et anonymisés, puisqu'au fur et à mesure des
gens qu'on rencontre et qu'on écoute,
on comprend qu'ils ne sont pas anonymes. Mais je comprends aussi que c'est
parce qu'on regarde en avant un peu, on
essaie de deviner l'avenir en se disant : C'est certain que l'intelligence
artificielle va nous donner des moyens qu'on devine maintenant, mais qu'on ne contrôle pas. Et il est difficile
de légiférer pour quelque chose qu'on ne connaît pas ou, en tout cas, qu'on n'est pas capable de mesurer. Mais
effectivement, c'est une question qui revient dans à peu près toutes les présentations et, si
ce n'est pas dans la présentation, c'est dans les questions parce qu'on est
curieux.
Alors, j'aimerais que
vous nous aidiez à comprendre où on s'en va avec des renseignements qui, oui,
sont dépersonnalisés, mais ne le resteront peut-être
pas. Et, s'ils ne sont pas anonymisés, alors ils sont quoi et on fait quoi
avec?
Mme Castets-Renard
(Céline) : Je pense, sur cette question-là, qu'il faut distinguer
entre les données anonymisées et les données
pseudonymisées. La pseudonymisation permet de mettre en place des moyens pour
décorréler l'information personnelle de la donnée, mais avec toujours une
possibilité de recorréler les deux. Simplement, on va utiliser des moyens techniques pour séparer et pour faire en sorte que
l'information ne puisse pas être facilement accessible. Ça va être le
cas, par exemple, de cryptage des données tout simplement.
Et pour vous dire,
dans le Règlement général de protection des données, en fait, on met en avant
la notion de pseudonymisation plutôt que
d'anonymisation. L'anonymisation n'apparaît que dans les considérants du règlement et pas dans le règlement lui-même, parce que, justement, on a eu exactement
les mêmes débats. Et, au départ, on voulait parler d'anonymisation pour dire que c'était l'objectif
à atteindre, et, en fait, on s'est rendu compte qu'on n'est jamais sûr...
bien, jamais, c'est peut-être un grand mot, mais, en tout cas, c'est très
difficile de garantir qu'il n'y a pas de possibilité de réidentifier. Et donc on a pris, avec prudence, plutôt le concept de
pseudonymisation qui est alors un moyen de protéger les données. C'est
un moyen de sécurité et ça n'est pas un moyen d'éviter la réglementation, alors
que, si la donnée est anonymisée, on peut sortir du champ d'application des renseignements
personnels.
Là,
on reste dans le champ d'application des renseignements, mais on applique une
pseudonymisation qui garantit une
certaine sécurité et qui va quand même donner un peu plus de pouvoir dans
l'utilisation de la donnée. Donc, on a réglé le problème, finalement, en
ne mettant pas l'accent sur cette donnée... sur cette notion d'anonymisation.
M.
Lemieux : Oui. Je veux juste
revenir... J'ai bien compris que, pour ce qui est du consentement, ce que
moi, j'appelle essayer de protéger le
citoyen contre lui-même, vous nous dites : Oui, il faut le protéger contre
lui-même, mais il y a des limites aussi à, ce qu'on dirait en bon québécois,
l'écoeurer avec ça aussi, là.
Mme Castets-Renard (Céline) : Oui, oui, parce que, souvent, les services
numériques, par exemple, supposent de consentir
à tout. Et, comme tous les utilisateurs de services numériques, moi la
première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder à un service, et je ne me demande pas si
je vais lire les 30 pages avant d'accepter. Donc, voilà, je pense que c'est un exercice... lire toutes les pages,
les conditions générales d'utilisation, je
pense que c'est un exercice
qu'on fait en faculté de droit peut-être, mais je ne suis pas sûre que le citoyen
fasse cet exercice.
M. Lemieux :
Merci beaucoup.
Le
Président (M. Bachand) : Merci beaucoup. M.
le député de LaFontaine, s'il vous plaît.
M. Tanguay : Oui. Merci
beaucoup, M. le Président. Bien, merci beaucoup d'être avec nous. Très heureux de pouvoir
discuter, Mme Castets-Renard, de votre expertise en la matière.
J'aimerais faire un
peu de droit comparé, avec vous, en ce qui a trait à la définition de
renseignement sensible que le projet de loi n° 64 introduit. Pour ce qui est du domaine public et
privé, c'est un copier-coller aux articles 12 et 102. On peut lire : «Pour l'application de la présente loi, un renseignement personnel est sensible lorsque, de par sa
nature ou en raison du contexte de son utilisation ou de sa communication, il
suscite un haut degré d'attente raisonnable en matière de vie privée.»
Est-ce que
les acteurs publics et privés ont suffisamment d'indications dans cette définition-là pour se
gouverner?
Mme Castets-Renard
(Céline) : Moi, ça me paraît difficile de mettre en place... de mettre
en oeuvre cette définition et surtout
de la mettre en oeuvre avec certitude et d'avoir une interprétation unique et certaine. Je signale aussi que la notion d'attente raisonnable en
matière de vie privée, là, ça renvoie
aussi à l'article 8 de la Charte canadienne
des droits et libertés et à la
jurisprudence de la Cour suprême du Canada. Donc, je ne sais pas si c'était l'intention du législateur
en évoquant ce concept. En tout cas,
ça crée une interrogation, et je
pense que ce sera difficile... c'est
difficile de savoir à l'avance si on a affaire à une donnée sensible ou
pas.
J'avoue que cette
définition, au premier abord, m'avait beaucoup séduite parce que je trouvais intéressant
de prendre en compte le contexte. Mais, dans
un environnement technologique très évolutif et avec du croisement
d'informations, avec du traitement massif des données,
j'ai peur que ce soit trop flou, finalement.
• (16 h 50) •
M. Tanguay :
Autre concept également que l'on retrouve dans le RGPD, lorsqu'il est question
de données sensibles... Et j'aime beaucoup
ce concept-là, on l'a dit, considérer une donnée et sa sensibilité du point de vue des libertés et des droits,
donc d'une, ce que je déduis, mais corrigez-moi si j'ai tort, d'une certaine capacité, pour un utilisateur-possesseur mal
intentionné, de, le cas échéant, discriminer, j'imagine.
Mme Castets-Renard (Céline): Alors, les données sensibles sont prévues à l'article 9
du RGPD. Et la grande différence avec
le système qui est prévu avec la loi n° 64,
c'est que les données sont énumérées. Donc, il y a une liste avec les données de santé, les données génétiques, les
données de géolocalisation, les préférences sexuelles, etc., les
orientations politiques, etc. Et donc, déjà, on a une classification qui est
assez précise, et cette classification a été effectivement déterminée en fonction des risques pour
les droits et libertés des individus et, en particulier, le risque de
discrimination.
Donc, on voit aussi
que c'est toute l'approche européenne qui est fondée sur la charte européenne
des droits fondamentaux, la charte de l'Union européenne, avec l'article 7 qui protège la vie privée, mais aussi l'article 8
qui protège les données personnelles
en tant que telles, parce que, justement, dans la conception européenne, on considère que
les renseignements personnels ne sont pas
simplement liés à la vie privée, mais à tous les droits fondamentaux et y
compris le risque de discrimination. Donc,
c'est toute cette philosophie, en fait, qui se traduit dans les données
sensibles à l'article 9.
M.
Tanguay : Est-ce que
vous nous invitez, donc, comme législateurs québécois, à davantage
étudier l'article 9 du règlement européen pour peut-être étayer, le
cas échéant, ce qui est la première mouture du projet de loi n° 64?
Mme Castets-Renard (Céline) : Bien, je vous invite à clarifier, en tout cas, la
définition a minima et peut-être
à réfléchir à l'opportunité ou pas... ce
n'est pas à moi d'en décider, mais, en tout cas, réfléchir peut-être
à l'opportunité de lister, ce qui
simplifierait les choses et ce qui clarifierait aussi pour les justiciables, et
ça, c'est un aspect, et peut-être
aussi de réfléchir à la façon de considérer les renseignements personnels par
rapport aux droits fondamentaux et la charte québécoise des droits et libertés,
de regarder si, finalement, la protection des renseignements personnels, ça ne
va pas au-delà de cette idée de vie privée aussi.
Et,
des questions de non-discrimination ou de risques de discrimination, on en
parle beaucoup dans les systèmes d'intelligence
artificielle, et ce serait aussi un moyen d'amener une interprétation, en ce
sens, pour anticiper des évolutions technologiques et des risques
sociaux par rapport aux systèmes d'IA.
M.
Tanguay : Oui et... Non, je trouve ça excessivement... et c'est
un chantier excessivement stimulant intellectuellement,
mais on voit qu'on joue avec des notions qui auront des impacts que l'on veut
tangibles pour certains, basés sur
l'interprétation de tout un chacun, les impacts qui risquent d'être différents.
Et on a entendu les gens, les femmes et les hommes d'affaires nous dire : Écoutez, nous, on veut de la
prévisibilité, donnez-nous des guides. Évidemment, on s'est fait dire que ça allait coûter cher, et tout ça,
puis c'est vrai que ça ne sera pas sans coût, mais, je veux dire, c'est de
droit nouveau que ces définitions-là. Et
c'est plus qu'hier, moins que demain, en tout cas, cet appel-là. Je trouve ça
excessivement stimulant, intéressant,
mais... Wow! Vous nous invitez, à l'article 9... Est-ce qu'il n'y a pas
d'autres pays qui pourraient
nous aider, d'autres exemples qui pourraient nous aider dans cette
rédaction-là?
Mme Castets-Renard (Céline) : Sur les données sensibles en particulier non,
mais je voudrais quand même
aussi dire que la tendance générale dans le
monde est de suivre le RGPD. Parce qu'en raison de la règle de la protection
adéquate qui fait que tous les États qui veulent continuer à échanger des
données avec l'Union européenne doivent avoir une législation en adéquation.
Donc, c'est ce qui fait que le Japon a changé sa législation, en Asie, il en
est question aussi à Singapour, en
Malaisie, en Amérique du Sud, etc. Et donc ça va, de toute façon, entraîner un
mouvement mondial. Donc, l'argument
selon lequel ça va coûter cher et ça va constituer un problème pour les entreprises
et une disparité de concurrence, je pense que cet argument lui vaudra peut-être
un temps, mais pas à très long terme.
Et
je pense aussi que c'est un argument économique que de pouvoir garantir une
protection des renseignements personnels
aux individus, mais aussi pouvoir développer une économie qui soit stable et
qui soit fiable. Montréal est une place
de l'intelligence artificielle, et je pense qu'il faut une législation
protectrice des renseignements personnels qui soit moderne et qui aille avec ça. Je pense que c'est
un argument aussi de compétitivité et je pense que, voilà, il faut aussi
voir l'inverse et retourner l'argument finalement, à mon avis.
M. Tanguay :
Oui, tout à fait, puis on pourrait même le voir sous le prisme du justiciable
de la personne physique qui, elle, pourrait
dire : Bien, tu sais, j'ai le goût de défendre mes droits, ce que je
considère être mes droits, mais si ce
n'est pas clair, il y a une non-prévisibilité aussi pour vous-mêmes. L'organisme
pourrait vous renvoyer dans les roses et vous dire non. Alors là,
c'est ce que l'on veut éviter.
Deux
questions rapides, parce que j'aimerais laisser du temps à ma collègue de Notre-Dame-de-Grâce. Qu'en est-il maintenant
de... Vous dites : On a un pied en Europe, un pied aux États-Unis. Qu'est-ce qui arrive aux États-Unis,
là? Est-ce que... Pouvez-vous nous faire un
petit état de développement récent en droit de renseignements personnels
aux États-Unis? Qu'est-ce qui... What's cooking?
Mme
Castets-Renard (Céline) :
Alors, c'est un peu difficile de faire en un point, parce qu'il y a plus de
400 lois sur les renseignements
personnels ou les données... les «personally identifiable information» comme
disent les Américains. Donc, c'est un
petit peu difficile de faire un état des lieux, mais ce que je peux dire, c'est
que c'est aussi... ces législations se situent
au niveau fédéral et au niveau étatique, mais c'est une approche très
sectorielle, contrairement, donc, à ce qui se passe au Canada et en
Europe. Donc, c'est la raison pour laquelle il y a énormément de lois. Mais la
petite fracture, le petit changement qui a
eu lieu, c'est avec la loi de Californie, dont tout le monde parle, en 2018,
qui a prévu une législation et un champ
d'application un peu plus large que d'habitude. Mais je voudrais quand même
signaler que, souvent, on compare cette
loi californienne avec le RGPD. Ça n'a pas grand-chose à voir ni dans les
droits, ni dans les principes, ni dans les fondements, parce que cette loi californienne repose sur le droit de la
consommation, c'est le Consumer... D'ailleurs, dans son titre, hein, il y a la notion de Consumer
Privacy Act. Donc, ce n'est pas véritablement une législation uniquement
sur les renseignements personnels. Ça, c'est une première différence.
Néanmoins,
cette législation est plus large et plus protectrice que ce qui existait
auparavant, et d'autres États ont suivi,
l'État de New York, le Maine, le Vermont, par exemple. Et il y a un «California
effect», donc aujourd'hui, par les États,
en fait, il y a une espèce de renforcement de la protection. Et donc, quand on
dit que Québec serait isolé, je ne crois pas. Je pense qu'il y a un
mouvement de fond qui se met en place au niveau étatique. Au niveau fédéral, ce
sera très certainement plus difficile, compte tenu des majorités en cours, sauf
changement dans les prochaines semaines.
Mais voilà, il faut voir qu'au niveau des États
ça bouge énormément. Il faut voir aussi que les entreprises américaines ont énormément l'habitude des
politiques de confidentialité et de respecter un certain nombre de
principes. Donc, ça fait partie de leur modèle d'affaires, et je ne crois pas
qu'encore une fois le Québec serait seul, et je pense qu'il y a aussi des
choses intéressantes à prendre du côté américain.
Le Président (M.
Bachand) : Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce, trois minutes.
Mme Weil : Trois minutes. Merci beaucoup pour votre présence et
votre mémoire fascinant. Vraiment, là, très intéressant, ce dernier
débat. En parlant de protection des enfants, justement, parce que vous avez
parlé de peines très sévères, donc les
peines sévères, on peut le comprendre avec l'objectif de protéger les enfants.
Et, aux États-Unis, ils ont beaucoup
de lois qui vont dans ce genre, pour protéger des enfants, les mineurs,
d'exploitation de toute sorte. Est-ce
qu'il y a une tendance en Amérique du Nord, au Canada de penser à ça, justement, dans nos lois pour
protéger les renseignements personnels?
Et on entend... C'est la première fois qu'on
entend même parler d'enfants qui sont... Je sais que la protection du consommateur, l'office, a des stratégies pour
protéger les enfants, justement, mais on n'est jamais allés aussi loin.
Est-ce que ce serait une occasion d'intégrer, justement, un des critères? Parce
que la loi est ouverte, et on n'a pas ciblé les enfants qui sont les victimes,
à quelque part, hein, de ces entités.
Mme
Castets-Renard (Céline) : Il
me semble que, dans le projet de loi
n° 64, on prévoit le consentement pour les mineurs de 14 ans. C'est ça. Il me semble
bien l'avoir vu, donc il y a une disposition en ce sens. Je pense que c'est important...
Mme Weil : La loi, mais...
• (17 heures) •
Mme
Castets-Renard (Céline) :
...de cibler effectivement les mineurs et je pense que cette disposition
va dans le bon sens. Le RGPD le
prévoit aussi. La loi américaine, comme je l'ai dit, le prévoit, alors uniquement
pour l'utilisation des données en ligne dans un contexte particulier,
dans la loi COPPA, mais ça fait longtemps que cette loi existe. Et c'est
d'ailleurs ce qui a influencé le législateur européen, comme quoi les
influences sont quand même multiples.
Et donc, oui,
je pense que c'est important de sensibiliser les enfants et de contribuer aussi
à leur éducation. Ça, c'est l'enseignante
qui parle. Je pense que, oui, ça serait aussi intéressant et important de
parler des risques de la vie numérique en particulier aux enfants dès le plus jeune âge. Moi, je les vois à
l'université. Ils sont déjà très au courant, et il n'y a pas de
difficulté, mais je pense qu'il faudrait parler aux plus jeunes.
Mme Weil : Ah! il reste
encore un peu de temps?
Le Président (M.
Bachand) : Il vous reste du temps, oui, allez-y.
Mme Weil : Oui. Alors donc, c'est à la page 5, en
parlant de «soft law» comme on appelle. Donc, il y a plusieurs groupes, surtout des représentants des
entreprises, les petites entreprises, qui demandent justement... bon, qui se
plaignent que les mesures, les peines sont
beaucoup trop sévères, etc. Et d'autres sont venus, quand on leur a posé la
question, ont dit : Il faudrait de l'accompagnement. Si on veut que
tout le monde réussisse, on veut l'adhésion. La meilleure façon, c'est de les
accompagner, et c'est exactement ce que vous dites.
Donc, vous
dites : Oui, on peut s'inspirer de la loi européenne, mais, en même temps,
la loi européenne a des mesures d'accompagnement. Est-ce qu'on pourrait vous
entendre encore là-dessus? Moi, je pense que c'est un point très important. Sinon, il y aura beaucoup d'échecs.
Et vous recommandez la CAI comme l'organisme qui pourrait fournir
l'accompagnement.
Mme Castets-Renard (Céline) : Oui, ça me semble important. Effectivement, on
voit beaucoup le RGPD, parce qu'il y
a énormément de dispositions, il y a 99 articles. C'est un texte
extrêmement complexe, et évidemment, quand le texte est tombé, pour les petites entreprises, évidemment, il y a eu
beaucoup de débats et beaucoup, bien, de plaintes par rapport à ce
texte.
Et
donc ce gros texte lourd et complexe, c'est accompagné de ces mesures
d'explication, finalement. En fait, les concepts clés ont été décortiqués à la fois avec des exemples, à la fois
avec des outils de mise en oeuvre pour aider les entreprises à se poser les bonnes questions, pour faire le registre des
traitements, par exemple, pour faire une étude d'impact. Et donc tous ces outils clés... On n'a pas du tout
parlé des outils, mais il faut voir aussi qu'il faut accompagner par des
outils clairs.
Dans
le projet de loi n° 64, on parle d'étude des facteurs de vie privée.
Il faut expliquer ce que c'est et ce qu'on attend dans une étude d'impact. Ça se développe... Les études d'impact
se développent un petit peu partout. On parle de Privacy Impact Assessments, ou
d'étude d'impact de vie privée, ou de renseignements
personnels. Et donc, bien, typiquement, il faut un outil pour ça. Il faut
expliquer ce qu'on attend, quelles mesures prendre, comment l'entreprise doit collecter ces données, savoir quels traitements sont réalisés, à quoi
les données sont... bien, pourquoi les données sont collectées, à quoi elles servent, d'où viennent
ces données, est-ce qu'elles circulent, tout ça. Il faut réussir à faire le
point, si on veut donner du sens à la
protection, mais, pour ça, il faut tout
simplement, effectivement, des tableaux, des questionnaires, des règles très simples pour
les aider à le faire.
Et
donc, en Europe, ce sont les autorités nationales de protection des données qui
ont fourni ces outils, chacune pour son État membre, mais aussi
collectivement, au sein du comité de protection des données européen, avec des
lignes directrices pour décrypter, pour
expliquer le texte, pour expliquer le RGPD. Donc, on a vraiment
deux niveaux. On a un niveau
normatif, explicatif et un niveau, vraiment, d'outils pour mettre en oeuvre la règle et dire
ce qu'on attend, en fait.
Le
Président (M. Bachand) : Merci beaucoup,
professeure. M. le député de LaFontaine, une minute.
M.
Tanguay : J'ai une
dernière question qui m'a été inspirée par votre échange avec le collègue.
Par rapport au concept de, bon, dépersonnaliser le projet de loi n° 64, anonymiser... je crois que vous avez utilisé le
terme «pseudomiser», «pseudonomiser». Comment vous aviez dit ça?
Des voix :
Ha, ha, ha!
Mme Castets-Renard
(Céline) : C'est la pseudonymisation, voilà.
M.
Tanguay : Oui. Ma question,
je vais y aller très court. Là, ça rit autour, focussez. Alors, ma question...
En matière de droits et libertés, ne pas
offrir... pour une compagnie d'assurance ou une compagnie pharmaceutique,
décider de ne pas offrir tel produit
d'assurance ou tel médicament, parce que mes études de marché me disent que,
coût-bénéfice, ça ne vaut pas la
chandelle pour moi, comment pouvons-nous nous prémunir contre ça? Donc, il y a
un aspect de droits et libertés et
non-discrimination, mais c'est surtout sur un aspect plus collectif
de la chose. Je ne sais pas si vous voyez mon enjeu.
Le
Président (M. Bachand) : Mme la professeure, s'il vous plaît,
très rapidement.
Mme Castets-Renard
(Céline) : Je pense que ce n'est pas une réglementation sur les
données personnelles qui permet de répondre
à cet enjeu. La donnée... Le renseignement
personnel, c'est lié à des personnes,
à des individus. Ce n'est pas des choix collectifs.
Et
ça tombe bien que vous posiez cette question, parce que je pense que, par rapport aux évolutions technologiques et, en particulier, aux systèmes d'intelligence artificielle, il y a un
certain nombre de risques de discrimination et de risques sociaux que n'adresse pas le projet de loi n° 64, mais qu'il ne peut pas adresser, parce que ce n'est pas dans le
champ des règlements... des
renseignements personnels. Il y a aussi des choses qui ont été laissées de côté
dans le RGPD et, pour ces enjeux sociétaux là, eh bien, il faudrait une
autre législation ou, en tout cas, au moins une autre réflexion.
Le
Président (M. Bachand) : Merci beaucoup de
votre participation aux travaux de la commission. C'était un grand plaisir.
Et, sur ce, on
suspend les travaux quelques instants. Merci et à bientôt.
(Suspension de la séance à
17 h 06)
(Reprise à 17 h 10)
Le
Président (M. Bachand) : À l'ordre, s'il
vous plaît! La commission reprend ses travaux. Il me fait plaisir d'accueillir les représentants d'Option
Consommateurs. Alors, bienvenue, M. Plourde, M. Corbeil. Alors, je
vous invite à débuter votre
présentation de 10 minutes, et après on aura un échange avec les membres
de la commission. Donc, la parole est à vous. Merci.
Option Consommateurs
M. Corbeil
(Christian) : M. le
Président, M. le ministre, Mmes et MM. les députés, je
vous remercie de nous donner l'occasion de vous présenter nos
observations aujourd'hui. Je m'appelle Christian Corbeil, directeur général d'Option Consommateurs. Je suis accompagné
d'Alexandre Plourde, avocat et analyste chez Option Consommateurs.
Créée en 1983, Option Consommateurs est une association
à but non lucratif qui a pour mission d'aider les consommateurs et de défendre leurs droits. La protection des
renseignements personnels intéresse Option
Consommateurs depuis longtemps. Au cours des
dernières années, nous avons produit de nombreux rapports de recherche qui
documentent diverses questions relatives à la protection des consommateurs dans
le cadre des nouveaux modèles d'affaires rendus possibles par le numérique. Nous sommes donc bien positionnés pour
commenter le projet de loi n° 64. C'est sur la base de l'expertise acquise sur le terrain et dans nos
recherches que nous vous présentons nos commentaires devant cette commission.
D'emblée,
nous appuyons fortement le projet de
loi n° 64, qui permettra, selon
nous, de rehausser considérablement la protection des consommateurs.
Toutefois, nous croyons qu'un financement adéquat de la Commission d'accès à l'information sera indispensable pour qu'il
atteigne véritablement ses objectifs. Mon collègue Me Alexandre Plourde vous exposera ici les
grandes lignes de nos observations. Merci.
Le Président (M.
Bachand) : M. Plourde.
M. Plourde
(Alexandre) : Alors, comme
l'a mentionné mon collègue Christian, nous accueillons favorablement
le projet de loi n° 64. Selon nous, ce projet de loi innovateur permettra
d'améliorer la protection de la vie privée des consommateurs et
d'assurer une meilleure sécurité de leurs données.
Cependant, bien que nous supportions largement
son adoption, il soulève quelques préoccupations. Je vais brièvement résumer certaines de nos préoccupations
en trois points, soit la protection des consommateurs face aux
modèles d'affaires numériques, l'importance d'incorporer des sanctions
dissuasives dans la loi, et finalement l'importance d'accompagner le projet de loi d'un financement accru de la Commission d'accès à l'information. Je vous rappelle aussi que nous avons produit un mémoire écrit
qui détaille davantage nos positions sur le projet de loi.
Donc, premier
point, la protection des consommateurs face aux modèles d'affaires numériques.
Pour bénéficier des services des
grandes entreprises technologiques
telles que Google et Facebook, les consommateurs doivent accepter d'être
pistés et profilés à des fins commerciales. La collecte massive de données sur
les consommateurs n'a pas seulement lieu
lorsqu'ils utilisent les plateformes de ces entreprises. Grâce à diverses
technologies de pistage, une myriade d'entreprises sont également en
mesure d'enregistrer les activités des internautes presque partout où ils vont
sur Internet, le plus souvent à leur insu.
En outre, la collecte de données sur les
consommateurs n'est désormais plus confinée qu'à l'ordinateur ou au téléphone mobile. De plus en plus, des biens
courants achetés par les consommateurs sont des appareils connectés à
Internet, qui ont eux aussi une large
capacité de collecte de données. Des appareils domestiques, des automobiles,
des assistants vocaux, des caméras,
des électroménagers, des technologies prêtes-à-porter, des jouets, tous ces
appareils peuvent maintenant comporter
des capteurs qui recueillent des données qui pourront être utilisées à des fins
commerciales. Cet environnement, qu'on appelle Internet des objets, est
en voie de devenir omniprésent.
Devant toutes
ces technologies, fournir aux consommateurs l'information claire et adéquate
sur ce qu'il advient de leurs données
est la moindre des choses. Nous accueillons donc favorablement le renforcement
des obligations d'information prévu
au projet de loi n° 64, qui laisse présager une plus grande
transparence des entreprises. Cependant, nous croyons que ces
obligations d'information pourraient être améliorées.
D'abord, nous
estimons que le champ des informations à divulguer est trop étroit. Nombreux
sont les consommateurs qui ignorent
la portée de la collecte de données dont ils font l'objet dans l'environnement
numérique. Nous estimons donc que les
nouveaux articles 8 et 8.1 de la loi sur le secteur privé devraient être
modifiés pour que la personne soit également informée des types de renseignements personnels qui seront recueillis
sur elle sans qu'elle n'ait à en faire la demande.
Ensuite, nous
observons que les consommateurs ne sont pas informés en temps opportun que de
simples appareils domestiques qu'ils
achètent peuvent... de larges pans de leur vie privée. On ne trouve
généralement aucune information relative
à la protection de la vie privée sur l'emballage de ces biens ou dans leur
boîte. Les fabricants de ces objets optent généralement pour en vanter les avantages, tels que leur caractère
intelligent, sans évoquer la large collecte de données qu'ils
effectuent.
Selon nous,
ce manque d'information préalable empêche les consommateurs qui se préoccupent
de leur vie privée de faire un choix
d'achat éclairé. Nous suggérons donc que la divulgation de l'information soit
faite avant que le consommateur ait
conclu une transaction commerciale, par exemple sous une forme uniformisée,
affichée sur l'emballage de
l'appareil. Une telle approche pourrait un tant soit peu contribuer à faire de
la vie privée un véritable argument d'achat.
Cela dit, même si
on informe mieux les consommateurs, l'approche basée sur le consentement de la personne reste, selon
nous, insuffisante pour les protéger. D'un point de vue de protection du
public, la critique principale qu'on peut formuler quant au projet de
loi n° 64 est qu'il ne remet pas
véritablement en question les modèles d'affaires reposant sur le pistage et la collecte massive des données des citoyens
à des fins commerciales. Un consommateur
qui utilise les services de Facebook
ou de Google devra continuer d'accepter de fournir ses données à ces
entreprises. Sa seule véritable possibilité de refus consistera à ne pas
utiliser leurs services. Alors que bien des gens dépendent aujourd'hui de ces
plateformes omniprésentes, ce choix reste bien sûr illusoire.
De même, le
projet de loi n° 64 ne confère pas explicitement aux consommateurs le
droit de refuser d'être pistés en
ligne sur l'ensemble des sites qu'ils visitent, par exemple en contraignant les
entreprises à respecter un signal «do not track»
intégré à leur fureteur. En somme, bien qu'on informe davantage le
consommateur, le choix que permet le projet de loi reste limité.
Pour aller
plus loin dans la protection du public, nous estimons que le projet de loi n° 64 devrait également encadrer spécifiquement
les utilisations que peuvent faire les entreprises des données qu'elles
recueillent. À cet égard, nous estimons que la loi devrait interdire explicitement toute utilisation de données
ayant des effets discriminatoires illicites ayant pour effet d'exploiter
économiquement le consommateur ainsi que toute utilisation commerciale des
données des enfants.
Manifestement,
en l'absence de telles balises, le projet de loi n° 64 reste une oeuvre
inachevée, ce qui m'amène au deuxième
point, soit l'importance d'incorporer des sanctions dissuasives dans la loi.
Donc, nous accueillons favorablement l'incorporation
dans la loi québécoise d'obligations de responsabilisation des entreprises.
Selon nous, ces dispositions contribueront au développement d'une
approche préventive en matière de sécurité informationnelle et inciteront les
entreprises à investir davantage en cybersécurité.
Bien entendu,
ce nouveau régime ne sera pas complet si les entreprises qui y contreviennent
ne s'exposent qu'à des sanctions
dérisoires. Option Consommateurs appuie donc sans réserve l'instauration dans
la loi de sanctions significativement plus élevées aux entreprises
contrevenantes. Selon nous, il est particulièrement important que la loi comporte une peine maximale, sous forme de
pourcentage du chiffre d'affaires mondial de l'entreprise, afin qu'elle
ait également un effet dissuasif sur les grandes multinationales du numérique,
qui pourraient autrement estimer qu'une contravention à la loi québécoise n'est
qu'un risque gérable.
Les craintes de l'industrie quant à l'entrave
que de telles sanctions pourraient apporter à l'innovation, ou à la rentabilité, ou à l'investissement ne résistent
pas à une lecture attentive du projet de loi. Rappelons que la loi prévoit
que des critères précis de détermination de
la peine devront être considérés avant d'imposer une sanction pécuniaire à
une entreprise pour tenir compte de chaque
cas particulier. La loi donnera même la possibilité aux entreprises de
remédier à un défaut leur étant reproché.
Malgré les sanctions importantes qu'il comporte, le projet de loi n° 64 ne menace donc pas la viabilité économique des entreprises
au Québec. Il offre plutôt un régime de sanctions pouvant
s'adapter au contexte et permettant
de véritablement dissuader les entreprises faisant preuve de
négligence ou d'insouciance quant aux renseignements
personnels des consommateurs.
Et je termine
avec le troisième point, soit le financement de la Commission d'accès à l'information. Donc, pour que le projet de loi n° 64 parvienne à remplir ses objectifs,
encore faut-il accorder les ressources requises pour le mettre en oeuvre. Malheureusement, la Commission
d'accès à l'information, l'organisme
public chargé de veiller à la protection de la vie privée des Québécois,
reste largement sous-financée.
En raison du
sous-financement de cet organisme, les consommateurs ont déjà fait face à des
délais inouïs avant d'obtenir une
décision de ce tribunal administratif.
Or, le projet de loi n° 64 ajoutera une pression considérable sur la
CAI, qui se trouvera chargée notamment de
recevoir les avis de bris de sécurité, de surveiller l'application de nouvelles
normes dans le contexte numérique et d'imposer des sanctions aux entreprises
contrevenantes.
En conclusion, pour que la CAI puisse véritablement jouer son rôle, nous estimons qu'elle n'a pas seulement besoin de lois plus modernes, elle doit aussi bénéficier de ressources
suffisantes. Au regard du financement d'autres organismes provinciaux ayant la même mission et des responsabilités accrues confiées à la CAI, il nous semble tout à fait raisonnable que le budget
annuel de cet organisme soit multiplié par deux.
Donc, merci. Il nous fera plaisir de répondre à
vos questions.
Le Président (M.
Bachand) : M. Corbeil, Me Plourde, merci infiniment. M. le
ministre, s'il vous plaît.
• (17 h 20) •
M.
Jolin-Barrette : Oui.
Bonjour, M. Corbeil, Me Plourde. Merci à Option Consommateurs de participer
aux consultations sur le projet de loi n° 64.
Vous avez attiré mon attention sur l'élément...
Vous dites : Bon, il faut éviter que les entreprises exploitent le consommateur par l'obtention de ces données. Ce
que vous dites, dans le fond, c'est que le fait que le consommateur
partage ses données avec ou sans
consentement, bien souvent sans consentement ou sans véritable consentement, ça
fait en sorte que ça devient un outil commercial important, là, pour les
entreprises.
M. Plourde
(Alexandre) : Oui, bien, en
fait, cette portion-là de notre mémoire, ça réfère, en fait, à aller plus
loin que le consentement. Donc, nous, ce
qu'on dit, chez Option Consommateurs : Oui, c'est important, le
consentement, que les consommateurs soient informés des pratiques des entreprises,
aient une information complète, mais ça ne suffit pas à les protéger. Il faut
aussi s'attaquer à ce que les entreprises font ou pourraient faire avec nos
données.
Puis les
craintes qu'on a par rapport à ça... Une des craintes qu'on a par rapport à ça, ça serait l'utilisation,
par des grandes entreprises
technologiques, des données des consommateurs pour, bon, les exploiter
économiquement. Par exemple, ça pourrait être une situation
où un géant technologique, un commerçant en ligne qui piste un internaute un
peu partout sur Internet réalise :
Ah! cet internaute-là recherche un bien précis, là, ou un médicament précis,
par exemple, donc ce que je vais
faire, c'est que les prix que je vais afficher à cette personne-là, bien, je
vais les monter, je vais les doubler, je vais les tripler pour profiter
de sa situation de vulnérabilité. C'est des craintes qu'on a par rapport à ça.
Nous, on pense qu'il devrait y avoir des balises dans la loi à cet égard-là.
Il y a aussi
tout l'enjeu que les entreprises technologiques connaissent de larges pans de
notre vie, quelles sont nos
préférences, quels sont nos comportements, savent qu'est-ce qu'on fait, où
est-ce qu'on se situe, connaissent notre historique de recherche. Bon,
ils savent à peu près tout sur nous. Donc, ces données-là, une fois qu'on les
analyse, bien, on pourrait les utiliser à des
fins de... pour développer des techniques de persuasion qui pourraient être
très subtiles, très efficaces.
Donc,
c'est le genre de crainte qu'on a par rapport à l'utilisation des données
qui... À notre sens, ça ne serait pas compliqué,
ça serait d'inscrire ça dans la loi, de dire : Bien, une utilisation qui
exploite les consommateurs devrait être interdite. Remarquez qu'il y a peut-être des choses qui existent déjà
dans la loi, qui pourraient être invoquées. Le contrat que j'ai avec Facebook, que j'ai avec Google, c'est un
contrat de consommation. La Loi sur
la protection du consommateur, elle prévoit, par exemple, des choses comme la lésion
aux articles 8 et 9. Donc, c'est le genre de chose qui pourrait
peut-être être invoquée, mais nous, on pense que c'est le genre de chose qui...
même si ça reste un peu spéculatif, ce n'est peut-être pas nécessairement avéré
par la recherche. Ça devrait être inclus dans la loi, à mon sens.
M.
Jolin-Barrette : O.K. Donc, juste
pour illustrer votre propos, là, c'est l'exemple, là... Moi, supposons
que les frontières étaient ouvertes, je veux
un billet d'avion, mais je ne connais pas encore mes dates, donc je vais
plusieurs fois sur le site aérien...
sur le site d'un transporteur aérien ou sur un site Internet qui est un agent
de voyage et qui prévoit la vente de
vols ou d'hébergement, et là je fais ma recherche ce soir, puis là j'en parle
avec ma conjointe, je dis : As-tu envie d'aller à tel endroit? Et
là je retourne une autre fois le soir, puis je retourne le lendemain matin, et
là le prix monte, monte, monte graduellement, parce que mon intérêt à aller en
voyage augmente dans la... suite à mes discussions.
Alors, est-ce
que c'est un peu ça que vous illustrez? Dans le fond, à cause de ma recherche,
à cause de mon intérêt que je
manifeste sur le site de l'entreprise commerciale, on utilise un peu cet
historique-là pour dire : Bien, ah, on a un poisson qui s'en va en
voyage, et donc je vais monter le prix. C'est un peu ça que... pour bien
l'illustrer, là.
M. Plourde
(Alexandre) : Oui, c'est ça
que j'illustre, mais il faut faire attention, par exemple, parce que, si
je prends le cas des billets d'avion, il y a deux choses qu'il faut distinguer.
Il y a la tarification dynamique. Donc, la
tarification dynamique, c'est : J'augmente les prix en fonction du moment de la journée ou le temps qu'il reste avant
que le vol parte, et tout ça. Ça, ce n'est pas lié aux informations qui
me sont personnelles, à moi. Et là la
recherche est assez balbutiante. Actuellement, il y a certaines recherches
américaines ou à l'étranger qui ont été
faites, qui indiquent que certaines entreprises auraient pour pratique de
personnaliser les prix en ligne. Ça, personnaliser les prix, ce n'est
pas en fonction du moment de la journée ou, bon, de l'offre et de la demande,
c'est vraiment en fonction de mes caractéristiques propres comme consommateur.
Donc, il y a
une personne qui est dans telle localisation géographique, je vais lui charger
plus cher, ou une personne qui a tel historique de recherche, je
pourrais lui charger plus cher. C'est ce genre de pratique là qui nous inquiète
particulièrement chez Option Consommateurs.
Il y a des indications qui montrent que ça existe peut-être
sur Internet. La recherche reste
encore à se développer à cet égard-là, mais oui, ça serait ce genre de
situation là, qu'on utiliserait les données personnelles de quelqu'un,
notre connaissance très intime de ses besoins, de ses désirs, pour essayer de
profiter au maximum de sa situation.
M. Jolin-Barrette : O.K. Ça
signifie... Supposons que je fais une recherche avec le cellulaire du député de
LaFontaine, le prix sorti serait plus élevé que si je le fais avec mon propre
cellulaire. C'est un peu ça que je comprends. Donc, l'effet... Quand vous dites : des effets discriminatoires
illicites, c'est à ça que vous faites référence, de dire : On va
venir discriminer le consommateur en fonction de son profil.
M. Plourde
(Alexandre) : Oui, bien, en
fait, je fais référence... Quand je parle de discrimination illicite, là,
je fais évidemment référence à la charte québécoise.
Il y a des études qui montrent, par
exemple, aux États-Unis,
que des gens, dans certains
quartiers, se voyaient afficher des prix plus élevés pour certains biens ou
certains services en ligne, et ce qu'on découvrait, c'est que les gens
qui habitaient dans ces quartiers-là, bien, ils appartenaient majoritairement à
une ethnie spécifique.
Donc, ça
avait pour effet, la personnalisation des prix de l'entreprise, de faire une
espèce de forme de discrimination indirecte.
C'est des pratiques... Encore là, comme je vous dis, c'est peu documenté, c'est
peu connu. On sait que... On a des
indices comme de quoi ça existe, mais ce genre de pratique là, à notre sens,
devrait être interdite. Puis, comme je le dis, il peut y avoir des choses dans la loi qui pourraient être
utilisées actuellement. Bon, je parlais de la charte. Le Code civil
parle... Bon, l'emploi des renseignements
personnels doit être fait à des fins
légitimes. Il y a peu de jurisprudence là-dessus.
Donc, les
tribunaux, avec l'évolution technologique, on ne sait pas qu'est-ce qui va
survenir dans les prochaines années.
Il va peut-être y avoir de l'information qui va filtrer là-dessus.
Bon, les tribunaux vont peut-être parvenir à déterminer qu'est-ce qui est permis, qu'est-ce qui est interdit, vont se
prononcer sur ces questions-là, mais moi, je ne pense pas qu'on devrait attendre nécessairement que les
tribunaux se prononcent là-dessus. On devrait, d'emblée, dire :
Écoutez, utiliser les données personnelles des consommateurs pour les
discriminer, pour les exploiter, bien, ça devrait être tout simplement
interdit. C'est une fin qui illégitime, là. Je ne pense pas qu'on a besoin
d'attendre que les tribunaux se prononcent là-dessus, là.
M. Jolin-Barrette : O.K. Ce qu'on a
sur le déréférencement dans le projet de loi n° 64, est-ce que ça
satisfait votre organisation?
M. Plourde
(Alexandre) : Oui. On
considère que c'est un bon équilibre. C'est un peu plus étroit que ce qu'on retrouve en Europe. La loi québécoise,
elle parle d'un préjudice grave. Donc, en partant avec l'idée d'un préjudice
grave, bon, là, je ne suis pas juge, je ne
donne pas d'avis juridique, là, mais ça a de bonnes chances de passer le test
des chartes, là, la question de liberté d'expression, et tout ça.
Nous, chez Option Consommateurs, cette question-là du déréférencement,
du droit à l'oubli, ça... Il y a généralement deux situations qui ont été portées à notre connaissance. Ça peut
arriver occasionnellement qu'il y a des gens qui vont nous contacter, qui nous disent : Écoutez,
je voudrais disparaître de YouTube, de Google parce que j'ai commis un crime
qui est peu grave il y a quelques années.
Et, bon, il y a des crimes mineurs, et ces gens-là ne seront pas capables de
disparaître. Il y a aussi tout le phénomène du partage par les parents de
renseignements personnels sur leurs enfants qui peut créer des préjudices
aussi.
Donc, oui, on
trouve que c'est un équilibre qui est judicieux, ce qui est apporté, puis ça
apporte une solution pour des gens qui vivent vraiment des préjudices.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : Merci beaucoup, Me Plourde. M. le député de Vachon,
s'il vous plaît.
M. Lafrenière : Oui, merci beaucoup.
Merci, M. Corbeil, Me Plourde. Merci pour cette présentation.
Je vais continuer sur ce que le ministre a
apporté comme faits, là. Quand on parle de déréférencement, désindexation, vous
avez parlé de deux situations que vous voyez chez vous, donc les gens qui ont
commis un crime mineur ou les gens qui...
Bon, on parle
de la surmédiatisation de la part des parents, mais moi, j'ai un troisième
volet que je voudrais vous apporter,
puis on l'a vu, nous, dans la Commission
spéciale sur l'exploitation sexuelle des mineurs, c'est les victimes quand
on parle de sextorsion, quand des gens
peuvent utiliser ces vidéos-là, les laisser sur YouTube, entre autres. C'est
pour ça, tantôt, quand vous avez parlé de
Facebook et les médias sociaux, ça m'a interpelé, parce que, justement, on a
déjà une victime qu'on a rencontrée,
nous, et qui voulait se sortir de là, donc faire en sorte que cette vidéo
disparaisse. Donc, le droit à
l'oubli, dans leurs cas, c'étaient des victimes, et je voulais voir si c'était
un des aspects que vous avez regardés chez Option Consommateurs. Vous
avez parlé de deux autres volets que je comprends bien, mais le volet victime, est-ce
que vous l'avez regardé aussi?
• (17 h 30) •
M. Plourde (Alexandre) : Ce n'est
pas un volet que moi, j'ai exploré. Cependant, je ne vois pas en quoi les victimes ne pourraient pas se prévaloir de ce
droit-là. Donc, je ne vois pas en quoi ça ne pourrait pas être utilisé par
elles.
Ce que je
soulignerais aussi, c'est que j'ai entendu un certain nombre d'intervenants, au
cours des dernières années, dire que,
bon, le droit à l'oubli, tel qu'il est proposé, là, soit en Europe puis dans la
loi sur le privé, actuellement, il va faire en sorte que les entreprises vont être des juges et parties, et tout ça.
Je ne crois pas que ça soit vraiment ça qui va se passer.
En fait, je crois que, si une entreprise se
trouve surchargée par des requêtes, elle ne va pas devenir un grand censeur et supprimer toutes les demandes qui lui
seront faites. Je crois que ce qui va se passer, c'est un peu comme ça
se passe actuellement, c'est qu'une
entreprise qui ne veut pas gérer ça va juste ne pas répondre à ces requêtes-là,
sauf que là, dans ce cas-ci, cet
article-là va donner la possibilité que la personne puisse se retourner vers la
CAI, de se retourner vers les tribunaux, d'obtenir une ordonnance
judiciaire dans des circonstances qu'elle n'aurait peut-être pas pu obtenir par
le passé, puis, après ça, retourner voir l'entreprise.
Donc, je
pense que ça peut effectivement régler certains problèmes ou certains préjudices
qui, actuellement, il n'y a pas de solution à ça dans le
droit. Donc, c'est un peu plate de dire aux gens, actuellement : Bien,
votre réputation est compromise sur Google,
sur Internet, puis malheureusement vous n'avez pas tellement de droits. Donc, ça
apporte une solution à certains préjudices, puis je pense que l'équilibre
qui est proposé est assez bon.
M. Lafrenière : Je suis entièrement d'accord avec vous que la solution n'est pas parfaite,
mais c'est beaucoup mieux que ce
qu'on a présentement, parce que je lance le défi aux gens qui nous
écoutent aujourd'hui d'écrire à YouTube pour retirer une vidéo,
je leur souhaite bonne chance et beaucoup de patience. C'est long et pénible.
Alors, merci beaucoup, merci pour votre contribution bien appréciée.
Le Président (M.
Bachand) : M. le député de Saint-Jean, s'il
vous plaît, pour cinq minutes.
M. Lemieux : Merci
beaucoup, M. le Président. MM. Corbeil, Plourde, bien le bonjour. Fidèles à ce que
vous êtes, Option Consommateurs, vous faites
référence beaucoup aux enfants, et je serais curieux de voir comment
vous associez la responsabilité parentale pour protéger leur enfant
quand... et c'est ma marotte, là, excusez, ce n'est pas... Je n'essaie pas de me répéter d'une fois à l'autre, mais il
faut bien qu'on se rappelle qu'on est en train de protéger le citoyen
un peu contre lui-même en voulant
protéger ses droits, mais, en même
temps, en ayant besoin, entre autres, d'être capable de lui faire donner son consentement, même s'il
n'est pas toujours intéressé à le donner, même au bout de quelques lignes,
imaginez quelques pages. Donc, expliquez-moi comment vous intégrez le droit
parental sur l'enfant et la défense de l'enfant dans tout ça, en particulier
dans le consentement.
M. Plourde
(Alexandre) : Bon, bien, écoutez,
là, le projet de loi n° 64, là, règle un certain problème, là. Il y avait un certain flottement dans la loi, là, c'est-à-dire que c'est le parent qui consent au partage des renseignements sur l'enfant. Donc, jusqu'à
l'âge... je pense que c'est 14 ans, là, qui est écrit dans le projet de loi, c'est le parent qui doit consentir. C'est ça que prévoit le projet
de loi, puis, bon, ça formalise ce qui existe déjà.
Nous,
ce qui nous préoccupe, puis on a fait une recherche là-dessus, il y a
un an ou deux, c'est que, parfois, le fait que le parent consent au nom de l'enfant, bien, ça peut permettre, malheureusement, certains abus, c'est-à-dire que le parent peut surpartager toutes sortes de photos, de
publications, des vidéos concernant son enfant sur les réseaux sociaux,
puis ce genre de partage là peut porter
préjudice à l'enfant. Donc, il y a un enjeu pareil, c'est le parent qui doit
protéger l'enfant puis qui a le pouvoir de consentir, mais, dans
certains cas, il y a un surpartage.
Donc,
pour protéger l'enfant, dans ces circonstances-là, le projet
de loi prévoit quelque chose d'intéressant, c'est un
droit à l'oubli. Donc, les mineurs pourraient revenir par la suite, s'ils
subissent un préjudice de ce que leur parent a consenti à publier à leur sujet par le passé. Ils pourraient revenir puis
demander, s'il y a un préjudice grave, la suppression de ce
renseignement-là. Donc, il y aurait une certaine protection.
Nous, on allait plus
loin que ça aussi, on demandait que l'utilisation à des fins commerciales des
enfants soit proscrite aussi, tout simplement.
Le projet de loi intègre la notion de renseignement personnel sensible, donc on peut penser que des renseignements personnels sur des enfants
vont être considérés comme des renseignements personnels sensibles, donc ils vont... peut-être une meilleure
protection par rapport à ça, mais nous, on voudrait tout simplement proscrire
toute utilisation commerciale aussi. Donc, il y a une certaine protection
qui... tout ce qu'on demandait, par contre.
M. Lemieux :
Parlez-moi du concept et de ce que vous pensez de la mort numérique. On en a
entendu parler plus en Europe, mais, dans le contexte du p.l. n° 64, vous voudriez voir quoi?
M. Plourde
(Alexandre) : Bon, quand on parle de mort numérique, il faut
considérer, là, que c'est le... c'est qu'est-ce
qu'il advient de toutes les photos, de toutes les publications qu'on a faites
sur les réseaux sociaux ou sur Google, tout ce qu'on a mis dans le
«cloud» pendant toute notre vie. Il y a des incertitudes, dans le moment, dans
le droit, sur qu'est-ce qui arrive de toutes
ces données-là quand on décède, parce qu'évidemment toutes ces données-là
pourraient être considérées comme des renseignements personnels au sens de la
loi sur le privé. Et ce que la loi sur le privé, elle dit actuellement, c'est que la confidentialité des
renseignements personnels, elle est préservée au-delà du décès d'une
personne. Donc, ça veut dire que toutes mes
photos, après ma mort, tous les souvenirs de famille qui autrefois étaient sous
format papier mais qui maintenant sont
numérisés, ils sont dans le «cloud», ils sont dans les nuages. Bien, mes
proches pourraient avoir toutes les difficultés du monde à y accéder
parce qu'ils n'ont pas un droit d'accès à ce genre de données là.
Bon coup du projet de
loi, c'est d'élargir l'accès aux héritiers puis aux proches d'une personne
décédée pour accéder aux renseignements
personnels à des fins de processus de deuil. Donc, on peut penser que, dans une
situation où une entreprise technologique refuserait de donner accès à
ces renseignements-là, bien, il y aurait peut-être une prise, là, pour le
consommateur.
Nous,
ce qu'on demandait aussi chez Option Consommateurs, par contre, c'est la
possibilité pour une personne, de son
vivant, d'émettre des directives sur qu'est-ce que je veux qu'il advienne de
mon compte Facebook, qu'est-ce que je veux
qu'il advienne de tous mes comptes en ligne, je veux que ça soit supprimé et
que ça soit transféré à telle personne. Ça reste en ligne indéfiniment, bon, selon ce qui est offert par
l'entreprise. Il n'y a pas vraiment ça dans la loi actuellement. Donc, ça, c'est une faiblesse, on aurait demandé
que ça soit intégré. Les entreprises, certaines entreprises comme
Facebook ou Google offrent quand même des options volontairement pour ça, mais
nous, on aurait préféré qu'il y ait vraiment un droit qui soit inscrit dans la
loi par rapport à ça.
M. Lemieux :
J'ai dit que vous étiez fidèles à vous-mêmes, en parlant au nom d'Option
Consommateurs, vous en avez long à
dire sur toute la partie des... ce n'est pas des transactions, mais des
relations entre les agents de renseignements de crédit personnel, et les dossiers de crédit, et les consommateurs que
vous représentez. Là, donnez-moi un score, d'abord, par rapport à ce que vous voyez dans le projet de
loi. La liste est longue, je sais, de ce que vous voudriez voir, mais essayez
de m'aider à comprendre là où il faudrait aller.
Le
Président (M. Bachand) : Très rapidement, Me Plourde, s'il
vous plaît.
M. Plourde (Alexandre) : Bien, rapidement, concernant les agences de crédit, bien, il y a
déjà eu un pas qui a été fait, qui
était intéressant, dans le cadre du projet
de loi n° 53. Je mentionnerais
qu'il y a deux choses qui devraient être changées dans le projet de loi
n° 64 : garantir un accès
gratuit et simple pour les consommateurs
au dossier de crédit par Internet,
l'article 78 qui est modifié ne permet pas ça, puis un plus grand
encadrement d'utilisation secondaire du dossier de crédit en matière
d'assurance, en matière de location de logement puis en matière d'emploi.
Le Président (M. Bachand) : Merci, Me Plourde. Vous êtes juste sur la
coche, c'est parfait, ça. Merci, j'apprécie. M. le député de LaFontaine,
s'il vous plaît.
M. Tanguay :
Merci beaucoup, M. le Président. Merci, M. Corbeil, Me Plourde, pour
être... pour discuter avec nous du
projet de loi n° 64 et de ses enjeux. Vous avez parlé, M. Corbeil, du
pistage en ligne, soit la captation ou la collecte de données, puis vous
la qualifiez d'une intrusion importante dans la vie privée des consommateurs.
J'aimerais vous entendre de façon un peu
plus précise sur les moyens que le Québec... les moyens législatifs que nous
pourrions avoir. Vous dites :
«Pour aller plus loin dans la protection du public, nous estimons donc que le
projet de loi devrait être modifié pour
donner explicitement le droit au consommateur de refuser d'être pisté en ligne,
via des mécanismes technologiques simples et faciles d'accès.»
J'aimerais
vous entendre de façon tangible, de façon plus spécifique, quels seraient ces
moyens-là technologiques et, dans la
réalité d'aujourd'hui, quelle serait leur efficacité ou pas considérant qu'avec
Internet, on rouvre l'ordinateur, puis là
c'est le monde, on a accès au monde, mais le monde a accès à nous également.
Donc, point de vue de la territorialité puis de l'effectivité d'une loi
québécoise, j'aimerais vous entendre là-dessus.
M. Plourde (Alexandre) : Oui. Bon, il n'y a pas de réponse simple, c'est
une bonne question que vous soulevez. Au-delà... Le projet de loi, bon,
il permet une meilleure information des consommateurs sur ce qui va se passer,
une meilleure information sur la collecte,
et tout ça. Il ne change pas le paradigme de base par contre. C'est quand je
m'inscris... quand j'ouvre un compte sur Facebook, quand j'ouvre un compte sur
Google, j'accepte de fournir mes informations à ces entreprises-là.
Quand
je parle de refuser le pistage, je parle de la collecte qui n'est pas... qui
n'a pas lieu seulement que lorsque j'utilise
cette plateforme-là, pas juste quand je suis sur Facebook, quand je suis sur
Google, mais ce qu'il faut savoir, c'est que Facebook puis Google, ils
ne suivent pas juste mes activités quand j'utilise cette plateforme-là, ils
suivent mes activités aussi partout où
est-ce que je vais sur Internet, sur n'importe quel site tiers ou à peu près.
Ils ont une très grande empreinte. Et
actuellement on peut penser, là, qu'avec le renforcement du consentement dans
la loi, ça dépend comment que ça va
être interprété, mais qu'on va peut-être être mieux informés de ça. Il va
peut-être y avoir plus de «pop-ups» qui vont apparaître quand on navigue, mais il n'y aura pas de mécanisme simple
pour pouvoir dire aux entreprises technologiques : Moi, quand je navigue sur un site tiers, je ne
suis pas sur votre plateforme, je ne suis pas sur Facebook, je ne suis pas
en train d'utiliser les sites de Google, je suis ailleurs sur Internet, un site
qui est tiers, je veux refuser d'être pisté. Puis il y a des moyens technologiques qui ont été développés, qui n'ont
malheureusement pas fonctionné au cours des dernières années, mais un de ces moyens-là, c'est ce qu'on
appelait le signal «Do not track». C'est un paramètre dans le fureteur, donc je cliquais sur un piton dans mon fureteur et
ça disait à toutes les entreprises, la myriade d'entreprises qui peuvent
me suivre sur Internet, ça leur
disait : Arrêtez de me suivre, arrêtez de recueillir des données sur moi
quand je navigue sur Internet, je veux être anonyme.
Et malheureusement, actuellement,
il y a des façons qu'on peut faire pour être anonyme sur Internet, pour essayer de nous préserver sa confidentialité. On
peut aller dans les paramètres de Google, très loin, là, puis désactiver
certaines fonctionnalités. Il y a certains mécanismes de l'industrie, mais
c'est à la pièce, ça ne garantit pas un anonymat.
Donc, nous, dans une perspective de protection du consommateur, de simplicité, bien, ce serait de demander aux entreprises de
respecter un paramétrage simple et efficace.
• (17 h 40) •
M. Tanguay : Et est-ce que ça pourrait être aussi, parce que
j'essaie de trouver la façon dont la loi québécoise pourrait être effective sur le terrain, est-ce que
ça pourrait également, pour les entreprises qui ont pignon sur rue au
Québec, je donne un exemple, je pense tout
haut, l'obligation de ne pas utiliser, par moyens détournés, ces
informations-là... qui pourraient
dire : Bien, ce n'est pas moi qui est à la source, je n'ai pas eu à
demander le consentement, mais j'ai acquis, d'une manière ou d'une autre, je ne
suis pas spécialiste dans le domaine, ces informations-là, et je peux baser une
campagne marketing ou une campagne
mercantile, peu importe laquelle, à partir, donc... Est-ce qu'il y aurait
lieu, donc, de cibler les entreprises qui ont pignon sur rue au Québec
et de limiter leur accès et utilisation de telles données, j'imagine?
M. Plourde (Alexandre) : Bien là, quand je parle des données de suivi en
ligne, là, je ne parle vraiment pas des petites
entreprises au Québec. Je parle des géants technologiques, je parle de Google, je parle de
Facebook puis de tout l'écosystème, là, qu'on appelle de la publicité
comportementale en ligne. C'est ces entreprises-là qui recueillent vos données, c'est ces entreprises-là qui les monétisent.
Elles ne les partagent pas, ces données-là, elles les utilisent pour
créer des profils publicitaires qui servent, par la suite, à vendre des
publicités aux autres entreprises. Mais le problème dans cette équation-là, ce
n'est pas nos PME chez nous, c'est vraiment les géants technologiques, là.
M. Tanguay :
O.K. Au niveau du profilage numérique, qui peut amener évidemment de la discrimination,
comment on peut agir également, comme législateurs québécois, pour avoir des
moyens législatifs tangibles?
M. Plourde (Alexandre) : Bien là, pour ce qui est de l'utilisation à des
fins de discrimination ou, du moins, à de l'utilisation qui a des effets discriminatoires, là, l'enjeu de ça,
c'est que... Nous, ce qu'on propose, c'est évidemment de prévoir explicitement dans la loi d'interdire aux
entreprises de faire des traitements de données qui peuvent avoir des
effets discriminatoires. Cependant, la
grosse difficulté de ça, c'est que l'on connaît généralement très mal c'est
quoi, les pratiques des entreprises,
c'est quels traitements des données qui sont faits par les entreprises
technologiques de nos données puis c'est quoi les effets aussi de ces
traitements-là. Donc, il y a un gros enjeu.
Oui,
se donner des lois, mais il va falloir aussi se donner des ressources pour
étudier qu'est-ce qui se passe, étudier les effets du profilage massif, de la surveillance, et tout ça. Donc,
notre recommandation d'augmenter le budget de la CAI, là, va un peu dans cette direction-là. Il faut se
donner des pouvoirs d'enquête et de surveillance du marché pour voir si
les pratiques des géants technologiques ont
des effets de manipulation sur le marché, des effets discriminatoires qu'on
ne se serait pas rendu compte pour pouvoir intervenir. C'est dans cette
direction-là qu'il faudrait aller, à mon avis.
M. Tanguay :
Je trouve ça intéressant, votre suggestion. Effectivement, donc, comme vous le
dites bien, on ne connaît pas ou on
connaît mal comment les entreprises au Québec utilisent ça. Le fait d'avoir,
justement, une commission d'accès à
l'information... je vois l'implication tangible, ce n'est pas juste une
augmentation pour le plaisir, évidemment, d'augmenter les ressources à la Commission d'accès à l'information, mais
pour que, spécifiquement, peut-être mandat lui soit donné, dans la loi, pour faire une veille, je vous dirais, sur le
terrain, comment... enquête, surveillance puis, le cas échéant, de
revenir auprès du législateur pour suggérer comment on pourrait endiguer tout
ça, là. Je vous remercie pour votre précision.
Je vais céder, M. le
Président, avec votre permission, la parole à ma collègue.
Le Président (M.
Bachand) : Merci, M. le député. Mme la députée
Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil :
Oui. Merci beaucoup pour votre présentation, beaucoup de passion que vous avez
pour la protection du consommateur et dans un domaine technique qui vous
stimule beaucoup, ça, on le voit.
Est-ce que je
pourrais vous amener sur votre page : Assurer une véritable mise en oeuvre
de la loi, l'importance de mesures
dissuasives? Donc, on a eu différents types d'arguments sur «les peines sont
trop élevées», mais beaucoup... ça dépend
du profil de l'entreprise, les PME, par exemple, qui n'ont pas les moyens,
alors on parle d'accompagnement, etc. Mais
est-ce que... En lisant votre mémoire, si vous... vous avez vraiment une
expérience très pointue avec les entreprises qui... plus que négligeant, là, c'est presque intentionnel, et donc
semblent être insensibles, peut-être, aux conséquences. C'est un peu le portrait qu'on a avec... ce que
vous, vous voyez, et les bris de sécurité, vous parlez du nombre
important et vous arrivez à cette question de dommages punitifs.
Donc, vous, vous accueillez favorablement, là,
toutes les mesures qui sont proposées dans la loi, des mesures dissuasives, des dommages punitifs. Est-ce que
vous pourriez en parler un peu plus? Parce qu'on a eu différents points
de vue. Évidemment, je pense, ça dépend beaucoup de l'entreprise. D'ailleurs,
celle qui vous a précédée a parlé de la loi européenne
qui... parce que les pénalités sont très, très élevées. Ils fournissent un
accompagnement aussi aux entreprises pour
s'assurer que les entreprises puissent se conformer à la loi. Alors, j'aimerais
vous entendre sur cet équilibre, et de votre expérience, et pourquoi
vous, vous proposez, justement, des dommages punitifs.
M. Plourde
(Alexandre) : Bon, plusieurs
choses. Bien, première chose, on le constate, là, je pense que c'est un constat pour tout le monde, là, qu'il y a des
enjeux en matière de cybersécurité, il y a des enjeux en matière de
protection des renseignements personnels au
Québec. On a eu un des plus gros bris de sécurité de l'histoire récemment, bon,
avec Desjardins, puis il y en a eu plein qui
sont rapportés, puis il y en a probablement plein d'autres qu'on n'est
peut-être pas au courant non plus.
Donc, il y a vraiment un gros enjeu, puis ce que ça trahit, selon beaucoup
d'experts, bien, c'est que les entreprises,
bon, n'investissent pas assez en cybersécurité puis peut-être aussi, dans
certains cas, ne prennent peut-être pas assez au sérieux la protection des renseignements personnels. Donc, il y
a un enjeu de dissuasion. La dissuasion est nécessaire.
Puis, bon, il y a des gens qui se préoccupent,
bon, est-ce que les pénalités sont trop sévères, est-ce que ça va atteindre un bon équilibre, et tout ça. Ce qu'il
faut mentionner, là, oui, ça a l'air de des gros montants, 10,
25 millions ou des pourcentages du
chiffre d'affaires, mais là il faut comprendre que ce sont des pénalités qui
sont maximales. C'est pour pouvoir
atteindre les plus grosses entreprises, mais il y a des critères de
détermination de la peine dans la loi là, là, puis qui permettent de tenir compte du contexte, et tout
ça. Le but, là, ce n'est pas d'être des Gargamel, là. Le but, c'est
vraiment d'aider les entreprises... de
dissuader les entreprises en tenant compte du contexte, et tout ça. Et le
pourcentage mondial de la peine,
donc, imposer un pourcentage mondial, c'est vraiment important face aux
multinationales, donc, que sont Google, que sont Facebook, parce que 10 millions, pour Google ou Facebook,
c'est peut-être un risque qui est tout à fait gérable, là. On parle des
entreprises qui sont parmi les plus riches de l'histoire, là, en ce moment,
donc...
Et
évidemment, bien, pour ce qui est de la question des dommages punitifs, bien,
les dommages punitifs, ça peut venir
un peu prendre le relais des situations où est-ce que la CAI ne serait pas
intervenue. Ça laisse un recours civil, puis ce qu'il faut... Ce qu'il est important aussi de noter, c'est que ces
dommages punitifs là peuvent juste être imposés en cas de faute lourde ou en cas de faute intentionnelle.
Donc, ce n'est pas pour chaque manquement que ça va pouvoir être imposé,
puis le Code civil prévoit déjà des critères
de détermination aussi des dommages punitifs. Donc, on peut tenir compte
aussi de la situation, encore là, lorsqu'on
impose ce genre de dommage là. Puis il faut tenir compte aussi de la situation
qu'en protection de la vie privée,
malheureusement, la jurisprudence a dit : Bien, subir un bris de sécurité,
ce n'est pas nécessairement
indemnisable en termes de dommages compensatoires. Donc, l'idée d'un montant
minimum de dommages punitifs
permet... (panne de son) ...à cette difficulté-là. Donc, la clause sur les
dommages punitifs, elle me semble importante pour justement reprendre le
flambeau là où la CAI aurait peut-être... ne serait peut-être pas intervenue,
là.
Le Président (M.
Bachand) : O.K. Mme la députée, deux
petites minutes.
Mme Weil : Oui. Est-ce que... Donc, je ne sais pas si vous
avez entendu les intervenants, donc, parler, justement, des mesures
d'accompagnement et que ce soit la CAI qui y soit investie de cette autorité,
si on veut. Au-delà de faire respecter la
loi, comment vous voyez cette notion d'accompagnement? Évidemment,
ce n'est pas le profil exactement de ce que vous nous présentez, où vraiment il y a de l'exploitation carrément du consommateur,
mais que vous avez certainement vu
d'autres circonstances où l'entreprise n'avait pas nécessairement une intention
malicieuse. Alors, comment vous voyez, donc, cette notion
d'accompagnement?
• (17 h 50) •
M. Plourde
(Alexandre) : Bien, en fait,
oui, je pense que c'est... augmenter le financement de la CAI,
ce n'est pas pour la protection du
public, mais c'est aussi important pour l'accompagnement des entreprises.
Et moi, j'ai quand même criblé le projet de loi n° 64 et je vous
dirais qu'il y a quand même des difficultés interprétatives actuellement là-dedans. Ce ne sera pas toujours simple de
savoir si c'est un consentement express, si c'est un consentement
implicite, bon, c'est quoi les obligations exactes, comment ça va s'appliquer
en pratique.
Donc, il va y
avoir un travail de la CAI, à mon avis, de faire des lignes directrices qui
vont aider les entreprises, les guider
un peu là-dedans pour leur donner la possibilité de se conformer assez
simplement. Donc, il y a un travail à faire de la CAI là-dedans, en matière
d'accompagnement, puis je suis tout à fait d'accord avec ça, sinon ça pourrait
être très difficile pour les entreprises.
Donc, oui, il faut donner plus de ressources pour l'appliquer la loi, mais
appliquer la loi, ça implique aussi d'aider les entreprises, là, à se
conformer, et je suis tout à fait d'accord là-dessus.
Pour revenir peut-être sur le risque à l'égard
des PME, faire attention de ne peut-être pas minimiser trop les obligations envers les PME, parce qu'on risque,
quand même, de créer un maillon faible. Si on diminue trop nos
obligations envers les
PME, bien, tous les pirates vont s'attaquer aux petites entreprises du Québec
pour leur prendre leurs données. Donc,
il y a beaucoup à faire d'accompagnement, les PME, et ce n'est pas nécessairement
une raison pour dire qu'on devrait édulcorer la loi à leur égard.
Le Président (M.
Bachand) : Merci, Me Plourde. M. le député de Gouin,
s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. Plourde, d'être avec nous aujourd'hui en commission parlementaire.
Votre mémoire est rempli d'éléments très
intéressants. J'aimerais avoir plus que trois minutes, je vais vous questionner
sur un de ces éléments qui m'apparaît
extrêmement important. Les grandes entreprises numériques ont pris de l'avance
sur le droit, sur les États, sur à
peu près... et sur les experts, sur les scientifiques qui ne travaillent pas
pour eux, à savoir ce que font exactement
ces entreprises-là avec les données personnelles qu'elles récoltent. Elles sont
souvent les seules à le savoir. Puis même au sein de ces entreprises-là,
il y a des cultures du secret, souvent, qui font souvent en sorte que seulement
une poignée de personnes savent réellement
ce qui se passe à l'intérieur de la boîte noire que sont les algorithmes
puissants de ces organisations-là.
Et donc vous nous faites une recommandation, à
la page 16, vous nous dites que la CAI devrait avoir «le pouvoir — et
je cite — d'obtenir
l'accès au code des algorithmes des entreprises, de façon à pouvoir en comprendre les
effets et de déterminer si les traitements de données effectués portent
préjudice aux consommateurs.» Certaines des technologies qu'utilisent ces entreprises-là pour cibler les
citoyens sont brevetées, d'autres pourraient être protégées par le secret commercial. Comment on contourne ces
obstacles-là? Comment on donne à la CAI le pouvoir d'ouvrir la boîte
noire pour découvrir ce que font ces entreprises-là avec les données des Québécois?
M. Plourde
(Alexandre) : Oui, effectivement, c'est un bon point que vous soulevez, puis la question
du secret des algorithmes, c'est plus
ancien qu'on pourrait le penser en protection de la vie privée. Depuis des
décennies, face aux agences de
crédit, par exemple, là, le code qui est utilisé pour calculer le
pointage de crédit, il n'est pas connu, puis c'est un secret commercial.
C'est le même phénomène mais démultiplié dans le numérique. C'est vraiment ça
qui se passe.
La façon que ça pourrait être fait pour pouvoir enquêter,
pouvoir comprendre qu'est-ce qui se passe, bien, ça pourrait simplement que le
code soit fait sous le sceau... ça soit analysé sous le sceau de la
confidentialité, donc la CAI ne pourrait pas partager ça publiquement. Ça se
ferait assez simplement, à mon avis.
M. Nadeau-Dubois : Est-ce que
ça existe dans certaines législations?
M. Plourde
(Alexandre) : Écoutez, je ne
pourrais pas vous dire. C'est discuté dans beaucoup d'endroits du monde,
je ne pourrais pas vous dire jusqu'à quel
point ça existe. Cependant... Puis ce que vous soulevez, en fait, c'est que le
projet de loi n° 64,
il y a plein de choses intéressantes là-dedans, mais ce n'est certainement pas,
là, la fin des haricots pour la protection des renseignements personnels
au Québec. Il va falloir revenir là-dessus, dans les prochaines années, pour
s'intéresser peut-être plus en profondeur au modèle d'affaires pour éviter des
préjudices au public, là.
M. Nadeau-Dubois :
Merci beaucoup. Vous parlez de donner davantage... de préciser la loi sur ce
que serait une utilisation illicite
ou illégitime des données qui sont récoltées sur les consommateurs en ligne.
Comment est-ce qu'on pourrait définir,
dans la loi, des utilisations illicites? À quoi on pourrait se référer pour
définir ce qui est une utilisation illicite?
M. Plourde (Alexandre) : Bien,
ce serait une utilisation qui cause un préjudice indu au consommateur, c'est-à-dire qui profite de l'asymétrie
d'information entre la grande firme technologique puis le consommateur, qui
se fait à son insu, qui le fait payer
beaucoup trop cher pour un bien qu'il aurait acheté à un prix courant autrement
par le simple fait... parce qu'on a
détecté qu'il avait un besoin de ce bien-là. Donc, ça, ça pourrait être de
l'exploitation économique. Il y a des critères
qui ont déjà été développés en droit de la consommation là-dessus, sur ce qu'on
appelle la lésion, dont on pourrait s'inspirer, par exemple.
M. Nadeau-Dubois : Merci
beaucoup, monsieur.
Le
Président (M. Bachand) :
Merci beaucoup. M. Corbeil, Me Plourde, merci beaucoup d'avoir été avec
nous aujourd'hui. C'est plus qu'apprécié.
Et là-dessus, la commission suspend ses travaux
jusqu'à 19 h 30. Merci beaucoup.
(Suspension de la séance à 17 h 54)
(Reprise à 19 h 31)
Le
Président (M. Bachand) : À
l'ordre, s'il vous plaît! Bon début de soirée à tout le monde. Merci d'être
ici. La Commission des institutions reprend ses travaux.
La commission
est réunie afin de poursuivre les auditions publiques dans le cadre des
consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Ce soir, nous allons
entendre la Commission d'accès à l'information. Mais il me fait plaisir de
souhaiter la bienvenue aux gens de la Régie
de l'assurance maladie du Québec. Alors, bienvenue. Merci beaucoup d'être avec
nous ce soir.
Alors, je
vous inviterais à vous présenter et à débuter votre exposé pour
10 minutes. Après ça, nous aurons un échange avec les membres de la
commission. Merci. La parole est à vous.
Régie de l'assurance maladie du Québec (RAMQ)
M.
Thibault (Marco) : Merci. Bonsoir, tout le monde. Marco Thibault,
président-directeur général de la Régie de l'assurance maladie du Québec. Je suis accompagné de Mme Sonia
Marceau, qui est secrétaire générale à la régie. Merci pour
l'invitation, puis on espère que notre humble contribution saura vous aider
dans la conduite de vos travaux.
Avant d'aller
plus loin dans notre propos, peut-être vous présenter brièvement ce qu'est la
régie, puisqu'elle est connue,
normalement, pour l'administration du programme d'assurance maladie et
d'assurance médicaments, et de même que...
assurer la rémunération des professionnels de la santé qui sont sous entente
avec le ministre de la Santé et des Services sociaux, mais elle administre, pour le compte du gouvernement, quelque
40 programmes de toutes sortes. On pense à l'aide auditive, l'aide visuelle, l'aide pour la
déficience motrice, etc. Mais elle fait également, comme organisation, l'opérationnalisation de diverses banques
informationnelles ou de systèmes d'information pour le compte du ministère,
dont le fameux Dossier santé Québec, le DSQ.
Finalement,
il est opportun peut-être d'avoir à l'esprit tout au long de notre propos que
la régie, de par la nature des renseignements
qu'elle détient, doit administrer un régime plus restrictif que ceux visés par
la loi d'accès à l'information puisque la Loi sur l'assurance maladie et
la loi sur le partage des renseignements de santé imposent, à juste titre, des obligations supplémentaires. On n'est pas loin du
secret fiscal, quand on regarde les domaines de protection qu'on doit,
nous, accorder de par notre régime particulier qui nous gouverne.
En guise de commentaire introductif, étant une organisation
plus sensible à la protection des renseignements personnels, nous ne pouvons
qu'être en faveur des intentions
précisées dans le projet de loi. Notre propos sera davantage sous l'angle des impacts relatifs aux mesures
suggérées en termes d'atteinte à ces mêmes objectifs, mais également
sous l'angle de l'efficience et de
l'efficacité. De fait, selon ce que le citoyen nous mentionne, il s'attend à ce
qu'une organisation telle que la
régie se modernise dans ses manières de faire et qu'elle puisse utiliser le
capital informationnel au bénéfice du citoyen dans sa prestation de
services.
Afin
d'alimenter la réflexion dans la conduite de vos travaux, nous avons regroupé
nos principaux commentaires sous
quelques thèmes. Débutons par la notion de consentement express et distinct.
Tout en reconnaissant les mérites d'un consentement
express et distinct, nous croyons que l'abandon du consentement implicite en
santé pose problème et que le cadre
légal actuel assure une protection adéquate. De fait, il nous semble illusoire
de penser créer un consentement qui permettrait
dès le départ d'anticiper toutes les finalités envisagées par ledit
consentement. Autrement, nous craignons que notre capacité de moderniser et d'améliorer l'offre de services soit
ralentie par la nécessité de requérir un consentement nouveau non
envisagé au départ.
Afin
d'illustrer notre compréhension, et si celle-ci est juste par rapport à notre
lecture du projet de loi, prenons l'exemple...
le consentement utilisé dans le cadre du système de Rendez-vous santé Québec et
pour lequel des renseignements
collectés par la régie pourraient exiger un nouveau consentement si ces mêmes
renseignements devaient être
communiqués au ministère pour des fins d'organisation de services et voir si
l'accès aux services souhaités par les autorités ministérielles sont
atteints.
Encore, si on
voulait utiliser des renseignements collectés dans un programme aux fins
d'application de nouveaux contrôles, pour s'assurer que c'est géré
adéquatement, il serait difficile de faire la démonstration du bénéfice pour la
personne concernée, d'obtenir son
consentement puisque, par définition, faire un contrôle, ce n'est pas
nécessairement pour le bénéfice du citoyen ou de la personne avec qui on
demanderait le consentement pour avoir accès à ses données.
Donc, pour
nous, il nous semble questionnable également, si notre compréhension du projet
est juste sur la portée de cet élément, qu'un organisme qui dispense un
service à un citoyen doive lui demander l'autorisation d'utiliser ses informations afin qu'on puisse lui rendre un
service personnalisé. Pour nous, dans la nature même de l'organisation...
d'être capable d'être le plus proche
possible des besoins de l'individu, et, par conséquent, de le connaître, et
d'utiliser ce que nous avons sur cette personne-là qui nous demande un
service.
En ce qui
concerne la gouvernance et l'imputabilité, le projet de loi introduit diverses
responsabilités à différents acteurs et modifie, de notre compréhension,
substantiellement le rôle de la Commission d'accès à l'information. Les responsabilités sont distribuées sous différents
angles tantôt au responsable d'accès, à un comité interne sur la
sécurité ou à la protection des renseignements personnels, à l'organisation ou encore à la Commission d'accès sur
certains pouvoirs. Souvent, la
multiplication des acteurs alourdit les processus, mais, si le projet de loi
vise un objectif d'agilité par le simple dépôt des projets d'entente à
la commission, elle risque par contre d'alourdir les processus internes de
gestion et de reddition de comptes.
Par ailleurs,
l'absence d'avis formel de la Commission d'accès, mais un simple dépôt pourrait
donner, de notre point de vue, dans
certains cas, une fausse assurance de protection. Devrait-on exiger une
entente-cadre? Est-ce possible d'avoir une
telle entente-cadre avec la multiplicité des organisations potentiellement
visées par des ententes de communication? Pour nous, toutefois, on pense
que c'est une avenue qui pourrait être explorée.
La notion
d'entente de communication obligatoire. Ce mécanisme des ententes de
communication de renseignements est un mécanisme fort connu de la régie
puisque toutes les communications passées ont dû obtenir un avis favorable de la Commission d'accès à l'information.
D'ailleurs, il est important de souligner la qualité de l'expertise qu'a
développée la
commission en cette matière au fil des années. De confier désormais la
rédaction des ententes aux organisations, de prévoir les différents mécanismes de protection exigera de ces
organisations de se développer une expertise rare. Comment pourrons-nous
assurer un tel niveau d'expertise dans toutes les organisations?
De plus,
considérant la nature des renseignements que la régie détient, il nous semble
que le mécanisme actuel d'avis formels préalables à la Commission
d'accès nous semble... nous permettrait de mieux protéger a priori les renseignements qu'un simple dépôt d'une entente
auprès de la commission. Il s'agit, selon nous, d'une police d'assurance
raisonnable que les renseignements qui seraient transmis le seront de manière
sécuritaire et adéquate.
L'anonymisation des renseignements et la
dépersonnalisation. Malgré que la régie ait adopté des pratiques rigoureuses en
matière de dépersonnalisation, il devient évident qu'avec l'émergence de
l'intelligence artificielle la constitution
de banques propres par diverses organisations nous rend plus fragiles sur des
possibles réidentifications. À cet égard,
la régie a entrepris des réflexions en ce sens, mais celle-là constituera tout
un défi pour les organisations de se doter d'un tel savoir. Sans en avoir discuté avec mes collègues de l'Institut
de la statistique du Québec ou de la commission, mais qui eux ont développé une certaine expertise dans les dernières
années, est-ce qu'il ne serait pas opportun de confier ce mandat d'anonymisation auprès, par exemple, de
l'Institut de la statistique du Québec qui, soit dit en passant,
présentement pilote une plateforme qui rend les données disponibles aux
chercheurs?
En ce qui concerne l'évaluation des facteurs
relatifs à la vie privée, sans être contre le principe,
nous nous questionnons sur les efforts
relatifs à la documentation et à la journalisation de ces analyses. Cela nous
inquiète davantage lorsque nous
regardons la portée de ce qui devrait faire l'objet d'une telle évaluation,
dont notamment la production de statistiques
qui, selon nous, par définition, ne comprend pas de renseignement
personnel. La volumétrie des
demandes de communication de renseignements faites par les chercheurs des
institutions universitaires exigera aussi... la régie de développer une expertise et un rôle jusqu'à
présent exercés, à notre connaissance,
par la Commission d'accès à l'information.
• (19 h 40) •
De plus, la
régie a entrepris, à la demande des personnes qu'elle doit desservir, une
modernisation de sa prestation de
services. Ce faisant, soumettre toute amélioration technologique à une telle
évaluation dévierait les efforts considérables dans la documentation pour des fins de reddition de comptes au
détriment, selon nous, de la création de valeur pour le citoyen. Ici,
notre propos vise essentiellement à assurer un juste équilibre entre
documentation et création de valeur.
Finalement,
la notion de communication à un proche parent d'une personne décédée pour motif
de compassion. Tout en louant
l'objectif noble recherché, nous souhaitons porter à votre attention la
difficulté potentielle d'application qu'implique
de prendre en compte la notion de «susceptible d'aider le requérant dans son
processus de deuil». Comment l'évaluer?
La notion de compassion étant une émotion, il nous apparaît aussi difficile de
la remettre en question. Elle laisse possiblement beaucoup de place à
une interprétation variable d'une organisation à l'autre.
Par ailleurs,
nous nous questionnons sur la nature de l'information détenue par la régie qui
serait utile à l'objectif visé. Ce
faisant, nous croyons que dans le cadre actuel légal... auquel on se gouverne
actuellement serait suffisant en ce qui nous concerne.
En guise de
conclusion, la régie est un organisme qui possède une bonne expertise en
matière de protection de renseignements personnels. Elle administre un
régime de protection plus restrictif que ce que prévoit la loi d'accès. Plusieurs mécanismes proposés sont déjà utilisés
par la régie dont notamment les ententes de communication. Toutefois, notre crainte se situe davantage dans la manière
et les responsabilités de ceux qui devront encadrer la qualité de la
pratique et en assurer un respect en amont et non a posteriori.
Un dépôt à la CAI nous semble mince quoique plus
agile que l'avis officiel nécessaire actuellement. Le consentement explicite en santé pourrait accentuer certains enjeux de la
prestation de services puisque la nature de l'information détenue est directement en lien avec la prestation de ces
mêmes services et la qualité attendue par le citoyen. L'expertise et la
surveillance des processus d'anonymisation seront à mieux définir et encadrer.
La RAMQ est
favorable au principe du projet de loi, mais s'interroge sur la capacité de
mettre certaines de ces dimensions en
oeuvre sans une clarification de certains de ces principes. Il importe de
signifier la nécessité de préciser certaines modifications afin d'éviter
une application arbitraire, ou un écart avec les intentions légitimes, ou
encore le risque d'incohérence entre les différentes organisations qui devraient
l'appliquer.
Actuellement,
la Commission d'accès à l'information assure, de par ses processus actuels, un
rôle de vigie et de cohérence gouvernementale. Il pourrait être opportun
d'en préserver certaines fonctions utiles dans la protection des renseignements
personnels.
Néanmoins, la régie offre sa pleine et entière
collaboration à la commission afin d'apporter son expertise à la réflexion et à
la définition des différents critères si pertinents.
Nous aurions terminé, M. le Président.
Le Président (M.
Bachand) : Merci beaucoup, M. Thibault. M. le ministre,
s'il vous plaît.
M.
Jolin-Barrette :
M. Thibault, Mme Marceau,
bonsoir. Merci de participer aux travaux de la Commission des institutions sur le projet
de loi n° 64. Bien, je pense,
vous l'avez dit d'entrée de jeu, là, la Régie de l'assurance maladie gère énormément de renseignements de
nature personnelle, que ça soit pour les usagers du système d'assurance
maladie, mais également pour les
professionnels, médecins, qui facturent à la Régie de l'assurance maladie comme
payeur unique, notamment.
Écoutez, je
voudrais que vous nous expliquiez, là, comment vous gérez ça, vous, à la Régie
de l'assurance maladie, les données personnelles? Vous disiez :
Écoutez, on ne sait pas si le fait de déposer à la Commission d'accès à l'information, tel que c'est proposé par le projet
de loi n° 64, ça va aider, ça va être mieux. Actuellement, vous faites
déjà des projets
d'entente. Expliquez-nous, là, en gros, là, qu'est-ce que vous faites avec les
données, là. Moi, je vais chez le médecin pour mon rendez-vous annuel
avec le médecin, le médecin passe ma carte d'assurance maladie, comment ça
fonctionne, les données que vous avez, de moi, chez vous?
M. Thibault (Marco) : Bien, les
données que nous avons sont hébergées dans différents systèmes qui nous permettent, nous, de nous assurer que... par exemple, la personne qui a reçu un soin et le professionnel qui a donné le
dit soin, bien, s'assurer que les deux existent dans nos banques. Donc, on est
capables, de cette façon-là, nous, de faire l'appariement
et de voir que le professionnel a fait bel et bien l'acte pour lequel il demande
rétribution, et nous, de s'assurer que le citoyen a reçu le bon service.
Donc, on a des renseignements identificatoires
autant chez les professionnels que chez les personnes, et nous conservons ces données dans des systèmes qui leur
sont propres. La communication de ces renseignements-là n'est pas possible. Les renseignements identificatoires ne
peuvent pas être communiqués puisque la Loi sur l'assurance maladie prévoit
expressément que tout ce que la régie détient pour ses fins propres ne peut
être communiqué sous réserve d'une entente
de communication approuvée par la Commission d'accès. Et cette entente de
communication là, généralement, ça peut
être des chercheurs universitaires qui vont... ou un ministère qui en aurait
besoin pour les fins de ses attributions. Donc, c'est prévu dans sa loi qu'ils aient accès, par exemple, aux données
d'adresse des citoyens du Québec, compte tenu que la régie détient cette information-là... va devoir
présenter une entente qui va être avalisée par la Commission d'accès,
et, sur la base de cet avis favorable là,
par la suite, on va transmettre les fichiers qui permettent le respect du cadre
légal. Ça fait que c'est un peu le
processus, là, à haut niveau, qui a cours lorsque vient le temps de transmettre
ce type d'information là.
M.
Jolin-Barrette : Et est-ce
que... la Régie de l'assurance maladie a combien de ce type d'entente là
actuellement?
M. Thibault (Marco) : Une centaine.
M. Jolin-Barrette : Une centaine. Et
est-ce que ça touche... Ça touche quoi principalement, des chercheurs, des
recherches?
Mme Marceau (Sonia) : Tous les
ministères...
M.
Thibault (Marco) : Les
ministères, organismes, chercheurs, et chacune des ententes a ses
particularités propres, l'objectif
étant qu'on ne puisse pas... Prenons l'exemple du ministère de l'Éducation qui, pour les fins de connaître sa clientèle étudiante et qui pourrait rentrer à
l'école l'année qui suit... on va communiquer les renseignements des
enfants nés susceptibles d'entrer, mais on ne communiquera pas les
renseignements de santé. Dans ce cas-ci, on va circonscrire l'information pour permettre au ministère de l'Éducation, dans ce cas-ci, d'offrir le service qu'il doit
rencontrer et qui est prévu dans sa loi.
Si on parle
d'un chercheur, le chercheur, lui, il va souhaiter un domaine, donc il devra
préciser, dans sa demande à la Commission d'accès à l'information, les domaines ou les données qu'il souhaite avoir.
Nous allons les dépersonnaliser, donc
enlever de l'information pour éviter la capacité de les recouper. On va même
s'assurer que, dans certains cas, s'il y a de trop petits nombres, que
ces gens-là soient agglomérés dans un plus grand ensemble pour éviter qu'on
puisse les reconnaître et, par la suite, on
les transmet sous avis favorable de la commission. Donc, c'est toujours la même
mécanique, la transmission est assujettie au préalable de l'avis favorable de
la Commission d'accès.
M.
Jolin-Barrette : Parmi la
centaine d'ententes que vous avez, est-ce qu'à certains moments la Commission
d'accès à l'information a dit à la Régie de l'assurance maladie du Québec : Non, on n'approuve pas cette entente-là, ou veuillez la corriger pour faire en sorte
d'avoir... de sécuriser davantage les renseignements des individus, ou, à
toutes les fois, vous avez eu un avis favorable de la Commission d'accès
à l'information?
M.
Thibault (Marco) : Je
laisserais peut-être le soin à Mme Marceau de préciser parce que, dans le
détail, elle l'a plus vécu que moi.
Je vous dirais que le travail de la commission amène les chercheurs à préciser,
et à ajouter, et à s'assurer que
c'est pertinent, que c'est correct, que c'est adéquat et que ça ne va pas trop
loin. C'est la même chose pour les ministères et organismes.
Donc, dans ce
contexte-là, le tout est travaillé en amont, et, lorsque l'avis est donné,
l'avis est donné parce que l'ensemble de l'entente de communication
respecte les critères qui assurent la protection. Donc, c'est comme si ce mécanisme-là est a priori... comme je le disais
dans mon propos, d'entrée de jeu, il n'est pas a posteriori. On s'assure
a priori qu'on a mis en place l'ensemble des
garde-fous pour assurer la protection de ce qui serait transmis comme
renseignements et qu'on ne permettrait pas une divulgation de renseignements
personnels de manière inadéquate.
M. Jolin-Barrette : O.K. Dans votre
mémoire, là, vous dites que vous êtes «préoccupés par l'abandon du consentement implicite reconnu historiquement dans
le domaine de la santé plus que celui d'exiger un consentement distinct
et express.» Qu'est-ce que vous voulez dire par là?
M.
Thibault (Marco) : Bien, le principe même d'avoir des soins, si on le
prend dans le réseau, c'est : quand que tu arrives, tu as des soins puis tu consens aux soins, bien,
automatiquement, l'ensemble des informations que l'établissement ou que les cliniciens vont avoir, autant en
contactant les systèmes d'information de la régie ou le Dossier santé Québec, bien, automatiquement, les gens y ont accès. Ça fait que ça
fait partie un peu de... Implicitement, on s'attend à ce que l'établissement de santé, un professionnel de la santé... ou la Régie de l'assurance maladie, dans ce cas-ci, pour
notre propre prestation de services, on s'attend que le citoyen sache
qu'on sait c'est qui et qu'on détient l'information qui est pertinente par
rapport à la relation ou aux services qu'il s'attend d'avoir.
Donc,
de demander systématiquement un consentement express et tacite à chaque
utilisation comme... Je vais vous donner
un exemple. Ça pourrait amener une utilisation qui est pertinente. Dans ce
cas-ci, prenons le ministère qui souhaiterait voir l'efficience d'une mesure, sa performance de cette mesure, bien,
souhaiterait avoir accès à l'information, évidemment... dépersonnalisée,
ne pourrait pas l'avoir parce qu'on ne l'aurait pas prévu d'entrée de jeu.
Donc,
automatiquement, ça voudrait donc dire que, si on ne prévoit pas, d'entrée de
jeu, toutes les possibilités d'utilisation,
toujours en protégeant, évidemment, les renseignements personnels... nous
obligerait à retourner en consentement express
à chaque nouvelle utilisation. Et donc vous comprendrez que les chercheurs qui
souhaiteraient avoir accès, on devrait...
donc, d'avoir un consentement initial qui pourrait avoir énormément de portée,
énormément... Et j'ai peine à croire celui
qui lirait ce qu'on lui demanderait. C'est comme si ce serait peut-être une
police d'assurance, là, qui est en petits caractères, à quoi je viens de
consentir tellement... Il faudrait essayer de prévoir les différentes
modalités.
Ça
fait que c'est le côté opérationnel de la chose qui nous amène à nous
questionner considérant ce qu'on a eu comme
expérience en termes d'utilisation de données et de protection de ceux-ci.
Est-ce que je réponds... M. le ministre?
• (19 h 50) •
M.
Jolin-Barrette : Oui, je vous remercie.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de
Vachon, s'il vous plaît.
M.
Lafrenière : Je vais laisser la parole à mon doyen le député...
Le
Président (M. Bachand) : Ah! vous êtes un gentilhomme. M. le
député de Saint-Jean, s'il vous plaît.
M. Lemieux :
Oui, mais ça m'a coûté cher. Merci, M. le Président. Madame, monsieur, bonsoir.
La RAMQ travaille déjà à partir de la Loi
sur l'assurance maladie. Sans aller dans tous les détails et les petits
détails, essentiellement, qu'est-ce
que le projet de loi n° 64 vient changer pour vous, pas justement dans le
détail, mais en termes d'exigences? Est-ce
que ce qu'on va vous demander de faire avec la loi n° 64,
si elle est adoptée comme elle est en ce moment, est-ce que ça va être encore plus sévère pour vous ou la loi
que vous avez déjà, qui vous gère, est déjà très restrictive à cet égard-là?
M.
Thibault (Marco) : Bien, notre loi est plus restrictive. Elle ne
change peu. En termes d'accessibilité à la donnée, en termes de protection, ce qui est proposé,
considérant, nous, notre cadre
particulier, il n'y a pas beaucoup de changements. Les changements que ça vient induire sont plus d'ordre administratif et
clérical, à l'intérieur de notre organisation, ce qu'on devra documenter, ce qu'on devra rédiger, alors que c'était fait
autrefois par la Commission d'accès. Donc, ce sont des responsabilités nouvelles, mais qui... présentement, elles sont tantôt exercées par la Commission
d'accès, tantôt exercées par l'Institut
de la statistique. Donc, pour nous, ça pourrait venir plus lourd
administrativement, mais ça ne protégerait pas davantage.
Puis
je vous dirais, à l'instar de ce que je précisais tout à l'heure, le fait
qu'actuellement, quand on regarde les données
de santé et le niveau de sensibilité qu'elles sont, le fait d'avoir, pour nous,
un avis favorable de la Commission d'accès
avant la transmission, ça, c'est un acquis, pour nous, qu'il nous semble
important de préserver. Est-ce que cet acquis-là
est nécessaire dans l'ensemble des renseignements qui sont visés par le projet
de loi n° 64? Je ne pourrais pas me prononcer. Mais
le niveau de sensibilité des renseignements de santé m'amène à avoir plus de
prudence et m'assurer qu'avant que le tout
soit communiqué... d'avoir une instance neutre, telle que la commission, est un
rempart additionnel qui, à mon sens, pourrait apporter une plus grande
sécurité si celle-ci était maintenue.
M.
Lemieux : On a beaucoup parlé, depuis le début de ces audiences,
d'anonymisation des données, et c'est un sujet qui devient de plus en plus intéressant considérant tout ce qu'on
constate que ça veut dire ou que ça ne veut pas dire. Dans le cas de la régie... de la RAMQ, sauf
erreur, on parle beaucoup de volumétrie, c'est-à-dire que, si j'ai bien
compris, ce n'est même pas une question
d'anonymiser, c'est une question de juste donner des nombres, la volumétrie.
Est-ce qu'il y a autre chose à cet égard-là qui, pour vous, va changer
les choses, et est-ce que parce que vous avez l'habitude de travailler avec ça,
vous voyez, dans le projet de loi n° 64, tel qu'il
est écrit, des choses qu'on pourrait mieux écrire?
M.
Thibault (Marco) : Bon, c'est vrai que la régie produit beaucoup de
données statistiques, mais, par définition, des volumes, le nombre de chirurgies, le nombre de prescriptions de
médicaments. Il n'y a pas de lien avec l'individu, c'est des volumes, et, dans ce contexte-là, pour nous,
l'enjeu de l'anonymisation ou de la dépersonnalisation, il est réglé.
Quand on parle de données statistiques, il n'y a pas d'enjeu.
Lorsqu'il
s'agit d'ententes de communication de renseignements, prenons dans le cas des
chercheurs universitaires, la
dynamique qu'il faudrait anticiper, c'est de voir ce qui est transmis ou ce qui
est rendu accessible avec les nouvelles technologies, avec ce que l'intelligence artificielle, avec ce que les
banques, que les chercheurs peuvent eux-mêmes avoir constituées avec d'autres sources. Est-ce qu'ils
sont à même de pouvoir faire des recoupements qui, là, amèneraient une
réidentification? Et c'est là qu'on devra, nous, faire des efforts additionnels
et développer une expertise en anonymisation. Il faut se pratiquer pour
dire ce mot-là, il n'est pas simple. Ça fait que...
Et tout ça pour vous dire que ça ne sera pas
simple. Les organisations n'ont pas toutes cette expertise-là. On faisait beaucoup plus de dépersonnalisation, quelques
bribes d'anonymisation, mais jamais au sens de ce que les experts en témoignent et sur
lesquels j'ai pu lire récemment. Ça fait que je vous dirais que ça, c'est un
outil que l'organisation devra travailler pour faire en sorte qu'on
puisse assurer les plus hauts standards en cette matière.
M. Lemieux : Sauf erreur... Pardon?
Une voix : ...
M. Lemieux : Oui, merci. Combien de
temps encore?
Le Président (M.
Bachand) : Quatre minutes.
M.
Lemieux : Merci. Sauf erreur, les données de la RAMQ sont propriété du
ministère de la Santé et des Services sociaux. Vrai?
M. Thibault (Marco) : ...les données
que la régie opère pour le régime d'assurance médicaments, régime d'assurance maladie sont propriété de la régie.
Les données que la régie opère sur des systèmes, prenons le Dossier
santé Québec, le fameux DSQ, ces données-là
appartiennent au ministère, n'appartiennent pas à la régie. La régie ne peut
pas les utiliser. Le cadre restrictif de la
loi ne permet pas une utilisation des données déposées dans le DSQ pour les
fins des attributions de la régie.
Donc, quand les données appartiennent au ministère, elles n'appartiennent pas à
la régie, même si elles peuvent être opérées informatiquement par nous.
M.
Lemieux : Pour en revenir à la première question du ministre, qui m'a
fasciné, parce qu'il y a tellement d'autres données que vous avez qui se promènent, lui, il a pris l'exemple de son
rendez-vous, de ce que le médecin a facturé, mais prenons l'ensemble du
système, ça en fait de la donnée, ça.
M. Thibault (Marco) : Énormément.
M. Lemieux : Combien?
M.
Thibault (Marco) : Il y a la donnée que la régie possède, il y a la
donnée que le ministère possède, et il y a la donnée que les établissements possèdent, et il y a la donnée que les
cliniques médicales possèdent. Et tous ces univers-là sont des univers distincts qui, dans certains cas,
communiquent entre eux, mais pas tout le temps, et il n'y a pas
nécessairement d'interrelation.
Donc, dans
certains cas, la régie aimerait pouvoir utiliser certaines données cliniques
pour éviter de demander aux médecins
ces informations, demander aux pharmaciens les informations qu'on possède déjà
dans le DSQ, mais on n'a pas le
droit. Idem pour le ministère. Le ministère aimerait peut-être... pas
peut-être, aimerait certainement avoir accès à certaines données qui lui permettraient de voir l'évolution
de l'organisation des services que la régie possède, mais ne peut pas la
communiquer selon le cadre actuel, en raison
des règles très restrictives. Ça fait que ce n'est pas... c'est assez
étanche et c'est un peu ce qu'on essayait de faire voir dans notre mémoire
qu'on vous a déposé.
M.
Lemieux : Il a beaucoup été question de consentement dans les mémoires
qu'on a reçus. Vous, vous n'avez pas besoin de ça, un consentement?
M.
Thibault (Marco) : Oui. Oui, on aime le consentement. On l'exige à peu
près dans 95 %... 99 % des cas. Ça fait que l'enjeu, c'est de prévoir le consentement
express et distinct à chaque utilisation et c'est là que ça amène un défi
de conceptualisation pour nous de le faire à chaque fois.
M. Lemieux :
Mais ma boutade ne se voulait pas drôle mais se voulait un constat que, de la
même façon que quand j'ai
25 pages à lire pour installer ma mise à jour... des grosses chances que
je ne me rende pas à la deuxième ligne, quand je suis à l'hôpital, quand je suis chez le médecin, il n'y a pas grand
chance que je commence à regarder où ça s'en va, là.
M. Thibault
(Marco) : Ça, c'est un... Je faisais l'allégorie des polices
d'assurance en petits caractères. Je vous rejoins sur cette
préoccupation-là, M. le député.
M. Lemieux : Et vous y voyez quoi comme perfectibilité, à ce consentement? Vous me dites que là... 99 %,
vous me disiez, c'était express que vous...
M. Thibault
(Marco) : C'est express et que l'utilisation n'était pas circonscrite
à un usage unique. Ça fait que c'est express
à chaque utilisation. Ça fait qu'est-ce qu'on pourrait penser une formulation
qui permet un usage plus étendu, toujours en exigeant le consentement?
Moi, je pense que ça, il y a quelque chose... à moins que la personne soit dans
l'incapacité, là, on comprend que, s'il y a
un accident d'auto puis que la personne n'est pas capable de consentir, on
ne se pose pas la question. Mais, au-delà de
ça, moi, je pense que le consentement devrait être exigé, mais express et
distinct à chaque utilisation. C'est là-dessus que je mettrais des nuances,
notamment en santé. Pour les autres sphères d'activité de l'État, je ne suis pas prêt à avoir une opinion, je ne l'ai pas
réfléchi, honnêtement, je ne serais pas capable de vous...
Le
Président (M. Bachand) : 30 secondes.
M. Lemieux :
O.K. Oui. Au-delà d'y réfléchir... de toute façon, on n'a plus le temps de
réfléchir, mais, comme vous
connaissez ça, les données, puis vous en... vous jonglez avec beaucoup... Puis
vous êtes sous le coup... pas sous le coup, mais vous êtes sous une loi
qui est encore plus restrictive que ce qu'on est en train de considérer, elle
est-tu bonne, notre loi?
Le Président (M.
Bachand) : Rapidement, M. Thibault.
M. Thibault
(Marco) : Oui, il y a beaucoup d'éléments là-dedans qu'on pratique
déjà. Et on pense qu'on ne peut pas
jouer avec la sécurité des renseignements personnels. Comment réussir à mieux
encadrer et mieux protéger sans trop alourdir
en se donnant une fausse illusion que, parce qu'on a mis en place bien des
mécanismes, on est mieux protégés? C'est là qu'est le défi. C'est
toujours le défi de la juste mesure. Je vous dirais que ce serait ça, ma
préoccupation.
M. Lemieux : Merci beaucoup.
Merci.
Le Président (M.
Bachand) : Merci beaucoup. Je me tourne maintenant
vers l'opposition officielle. Mme la députée de... Notre-Dame-de-Grâce, pardon.
Mme Weil : Oui. Alors,
bonjour, M. Thibault, Mme Marceau. Bienvenue ce soir à cette consultation.
Oui, est-ce qu'on peut revenir sur cette question de consentement implicite? Vous avez parlé de consentement
implicite. D'après ce que je comprends... puis vous disiez : Si quelqu'un
vient pour un service quelconque, bien, évidemment, on n'a pas à demander expressément son consentement parce qu'en arrivant pour le
service il y a comme un consentement implicite.
Pourriez-vous
nous expliquer les situations où... Comment vous traitez le consentement
différemment, dépendant des situations, et quand est-ce que le
consentement bien exprimé est nécessaire et quand est-ce que c'est implicite?
• (20 heures) •
M.
Thibault (Marco) : Bien, je
vous dirais que... Prenons l'exemple d'un service qui serait consommé à la
régie. La personne souhaite avoir accès au programme Mieux voir pour réussir,
donc l'acquisition des lunettes avec la contribution de 250 $ sur deux ans. Quand la personne
demande le remboursement, elle consent à ce que nous puissions regarder l'ensemble des informations, c'est-à-dire est-ce
qu'il y a eu une consultation auprès d'un optométriste? Est-ce
qu'on
peut vérifier la facture, on peut voir si c'est un commerçant qui a pignon sur
rue, avec un numéro de TPS, TVQ?
Donc, on ne
lui demande pas l'ensemble de toutes ces dimensions-là. On lui donne... On lui
demande de consentir à ce que, dans
le fait d'avoir une contribution de
l'État, il consent à ce qu'on puisse utiliser d'autres informations, dont
son adresse, pour être sûr qu'il y a une
bonne correspondance entre le parent et l'enfant. Donc, on ne lui demande pas
chacun des détails de ce que nous possédons, on se sert de l'ensemble pour
s'assurer, d'une part, que le versement soit fait rapidement, efficacement, peu
de tracasseries administratives, pas demander au citoyen de nous donner
l'information qu'on possède déjà, mais, de
surcroît, s'assurer qu'en contrôle on donne l'information, on donne le paiement
à la bonne personne qui en a vraiment droit.
Donc, vous comprendrez que de demander un
consentement express sur chacune des dimensions prévues à la demande, c'est là
que ça devient plus complexe dans la compréhension qu'on en a, du projet de
loi. Peut-être qu'on en fait une lecture erronée, mais là on voyait «express et
distinct à chaque utilisation». C'est là que ça nous semblait plus complexe.
Mme Weil : Et qu'express et distinct, oui, c'est ça qu'il faudrait,
d'après votre compréhension, la manière que le projet de loi est
libellé, vous devriez, comme vous avez dit, expliquer chaque étape pour avoir
un consentement pour chacune de ces étapes.
Donc, vous demandez une reformulation pour tenir compte, justement, du service
que vous fournissez puis le consentement implicite.
Est-ce que
vous avez eu l'occasion d'avoir des consultations avec le gouvernement, ou la ministre à l'époque, ou le ministère quand ça a été...
Souvent, il y a des discussions, hein, entre les organismes pour s'assurer que,
dans le secteur public, on n'ait pas
de conséquence non prévue, disons ça comme ça. Il n'y a pas eu de consultation,
dans votre cas, par le ministère de la Santé.
M. Thibault (Marco) : Non.
Mme Weil : Donc, est-ce que
vous voyez d'autres changements? Qu'est-ce que vous demandez de faire... ou
comment voulez-vous que la loi soit adaptée à votre réalité et, certainement,
l'expertise que vous avez? Comme vous dites,
vous avez déjà le système le plus sécuritaire qu'on peut imaginer. Votre
inquiétude, c'est les conséquences sur la lourdeur administrative, etc.
Donc, ce n'est pas un souhait... Certainement, je ne pense pas qu'avec les
collègues ni le ministre, on souhaiterait vous ralentir. Vous avez un travail
extrêmement important à faire, fondamental. Donc, il faut trouver, quant
à moi, une solution.
Donc, au-delà
de cette question de consentement, qu'est-ce que vous nous demandez de faire
pour corriger ce que vous percevez comme... la situation et les
conséquences néfastes sur votre fonctionnement? Est-ce qu'il y a d'autres
dimensions que le consentement?
M. Thibault (Marco) : Pour
moi, je le regarderais d'une façon circonscrite aux renseignements de santé.
L'avis préalable de la commission, avant la
transmission, avant la communication de renseignements, me semblerait un
plus. La nature de ces renseignements-là
sont tellement sensibles que je pense qu'un petit délai additionnel, aussi
administratif soit-il, vaut la peine,
considérant le préjudice que cela pourrait entraîner s'il y avait une erreur.
Première recommandation que je pense qu'il faudrait retenir.
Deuxième
recommandation, je pense, qui est importante, c'est dans la clarification de
qui est imputable vraiment. Est-ce
que c'est un comité à l'interne? C'est-tu le plus haut dirigeant? C'est-tu la
responsable de l'accès? Moi, personnellement, je trouve que la personne qui est désignée dans nos organisations, comme
étant responsable de l'accès, devrait être une entité imputable. C'est une délégation de nos hauts dirigeants, on en
est, mais ce n'est pas un comité qui est responsable. Il faut qu'il y ait une imputabilité qui ne soit pas
diffuse. Un comité, pour moi, ce n'est pas responsable. C'est une
personne qui est responsable, c'est un dirigeant, c'est une personne en
autorité sur une fonction.
Dernier
élément, les éléments de documentation sur l'évaluation des facteurs relatifs à
la vie privée, je pense qu'il y a quelque chose là de simple dans ce qui
est amené dans le projet de loi. Comment on le garde simple pour pouvoir avancer? Donc, je pense qu'il y a un élément de
documentation. On se doit d'être probablement... toutes les
organisations ont besoin d'être plus
rigoureuses là-dedans. Mais est-ce qu'on doit aller autant dans le détail, avec
autant de lourdeur? J'ai l'impression qu'on va faire plus de
documentation puis on va créer moins de valeur dans la transformation de nos
organisations. Ça fait que c'est un peu cet équilibre-là que j'essaie de
trouver et le juste équilibre par rapport aux risques qu'on vit.
Mme
Weil : Est-ce que
vous avez regardé peut-être d'autres régimes dans d'autres provinces, OHIP, par exemple, et comment eux fonctionnent dans ce même genre de cadre? Bon, ils
n'ont peut-être pas une loi comme ça, mais ils ne sont peut-être pas rendus... Ce n'est peut-être
pas une question possible, là. Donc, actuellement, est-ce que ça fonctionne en Ontario de
façon similaire au Québec?
M.
Thibault (Marco) : Je vous
donnerais un exemple. Les renseignements, quand la régie... Elle a 50 ans,
cette année. La régie, lorsqu'elle a été
créée, la façon dont leur législateur de l'époque a réfléchi, a dit : Tout
ce qui va arriver à la régie doit
être traité de la même façon. Et
c'est à ce point vrai que ce que nous détenons pour les personnes assurées
a le même niveau de protection que ce que nous détenons chez les
professionnels. Et vous avez probablement vu dans les médias, je pense, c'est il y a un an, oui, et quelques, en
Ontario, on a pu divulguer le niveau de rémunération des médecins. Au
Québec, notre cadre légal ne le permet pas.
Donc,
il y a des grandes distinctions entre les deux régimes. Ça fait qu'on n'a pas
fait une analyse de droit comparé avec
les temps impartis, on n'aurait pas pu le faire, mais on a un régime qui a été
pensé pour vraiment protéger ce que la régie
détient comme informations. Ça fait que pour nous, on ne sent pas qu'on va être
plus protégés, considérant ce qu'on a.
On se dit juste : Les éléments qui sont amenés pour améliorer, là... Il y
a des choses qui sont très bien dans le projet de loi, il ne faut pas les mettre trop contraignantes ou
trop lourdes administrativement, parce que ça va nous mettre plus de
temps à faire ça... créer de la valeur ou de rendre des services aux citoyens.
C'est plus cette
préoccupation-là qu'on tenait à vous adresser à vous, les membres de la
commission.
Mme Weil :
Merci. Merci beaucoup, monsieur.
Le
Président (M. Bachand) : Merci. Ça va? M. le député de Gouin,
pour 2 min 50 s, s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour. Merci d'être avec
nous. Merci, M. Thibault, d'être là. J'ai peu de temps, je vais aller droit au but. Est-ce qu'il y a, en ce
moment, des ententes de communication qui permettent à la Régie de
l'assurance maladie du Québec de partager des données médicales directement ou
indirectement avec des entreprises privées?
M. Thibault
(Marco) : Non, pas à ma connaissance, il n'y en aurait pas eu dans
l'histoire.
M.
Nadeau-Dubois : Merci. Est-ce que vous connaissez le projet
Precinomics?
M. Thibault
(Marco) : Non. J'en ai entendu parler, je l'ai vu dans les médias,
mais non.
M. Nadeau-Dubois :
O.K. Est-ce qu'il y a des ententes entre la Régie de l'assurance maladie du
Québec, directement ou indirectement, pour transférer des données vers le
projet Precinomics?
M. Thibault
(Marco) : Aucune entente avec la Régie de l'assurance maladie du
Québec avec ce projet.
M.
Nadeau-Dubois : Est-ce qu'il y en a, des ententes, avec l'Institut
national d'excellence en santé et en services sociaux?
M. Thibault
(Marco) : Tout à fait.
M.
Nadeau-Dubois : Est-ce qu'une de ces... Est-ce qu'en vertu d'une des
ententes entre la RAMQ et l'INESSS, il serait possible à l'INESSS de
transmettre des données au projet Precinomics?
M.
Thibault (Marco) : Normalement, non. Normalement, non. L'entente que
nous lui donnons, c'est pour l'usage exclusif de l'INESSS.
M. Nadeau-Dubois : Donc, il n'y a
aucune clause...
M. Thibault (Marco) : Et l'INESSS
doit rendre compte, si vous me permettez...
M. Nadeau-Dubois : Oui, allez-y.
M.
Thibault (Marco) : L'INESSS doit rendre compte de l'utilisation des
renseignements que nous lui proposons par entente. Elle le fait de façon
annuelle à la Commission d'accès à l'information.
M.
Nadeau-Dubois : Parfait. Donc, il n'y a aucune clause d'aucune entente
entre la RAMQ et l'INESSS, qui permettrait à l'INESSS de transmettre des
données au projet Precinomics?
M. Thibault (Marco) : À ma
connaissance, non.
M. Nadeau-Dubois : O.K.
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Pardon?
M. Nadeau-Dubois : Connaissez-vous
le projet ARCHI?
M. Thibault (Marco) : Je l'ai vu, je
pense, dans les médias, mais nous, on n'est pas associés.
M.
Nadeau-Dubois : Donc, il n'y a aucune collaboration entre... la RAMQ
n'est pas impliquée d'aucune manière dans le projet ARCHI?
M.
Thibault (Marco) : Projet
ARCHI, c'est... Non, ce n'est pas la régie. On n'a pas d'entente dans ce
projet-là.
M.
Nadeau-Dubois : Parfait. Est-ce que
le cadre légal actuel, celui qui vous régit actuellement, permettrait à
la RAMQ de transmettre des informations soit directement, soit via l'INESSS, au
projet Precinomics?
M.
Thibault (Marco) : Il
faudrait que je voie la nature du projet, qui est le détenteur. Il faudrait
qu'il passe à travers un projet
d'éthique... comité d'éthique d'un chercheur. Il faudrait qu'il passe l'étape
de la Commission d'accès à l'information en termes de règles, probité. Ça fait qu'honnêtement je n'en
ai aucune idée, s'il passerait ces étapes-là ou pas. Je ne le connais
pas, ça fait que je m'aventurerais sur un terrain très glissant.
M.
Nadeau-Dubois : Merci. Est-ce que
vous avez... Est-ce que la RAMQ a déjà été approchée par des entreprises
privées pour transmettre des données? Est-ce qu'il y a un intérêt du secteur
privé pour les données que vous détenez?
M.
Thibault (Marco) : Moi, je
n'ai pas été rencontré. Ça fait deux ans que je suis ici, je n'ai pas été
rencontré, Mme Marceau non plus. L'entreprise privée, ce qu'elle nous a demandé, et ça, c'est vrai, parce que c'est disponible, ce
sont des données statistiques, aucun renseignement. Donc, on n'envoie pas des
banques. Les gens vont nous demander : Combien
il y a eu d'arthroplasties du genou? Combien il y a eu d'arthroplasties de la
hanche? Combien il y a eu de valves aortiques qui ont été posées? Donc,
c'est des choses de cette nature-là, très statistiques, sur des tableaux
formatés, qu'il n'y a pas de données de renseignements personnels.
M. Nadeau-Dubois : Est-ce que...
Dans un article du...
M.
Thibault (Marco) : Et ça, c'est le même genre de demande que, parfois,
les parlementaires nous font ou les médias. Ça fait que c'est identique.
M.
Nadeau-Dubois : Parfait. Oui.
J'ai peu de temps. Dans un article du 28 août, publié dans LeJournal de Montréal, on parle...
on cite une déclaration du cabinet du ministre délégué à la Santé, à l'effet qu'il y aurait des
échanges entre l'INESSS et le projet
Precinomics. Est-ce que je comprends de vos réponses à mes questions
aujourd'hui que ces échanges-là n'ont pas lieu?
M. Thibault (Marco) : Bien, en ce
qui nous concerne, la régie, nous... mais là je ne peux pas témoigner sur cet
élément-là.
M. Nadeau-Dubois : Parfait. Merci.
Le Président (M.
Bachand) : Merci. M. le député de René-Lévesque, s'il vous
plaît.
M.
Ouellet : Merci. On va
continuer dans la même veine. Messieurs, mesdames, merci de votre présence
tardive ce soir. Je voudrais savoir si, effectivement, il y avait échange d'information entre la RAMQ et
d'autres chercheurs. Est-ce que ces
données-là devraient être détenues au Québec seulement ou elles pourraient être transférées sur des
serveurs ailleurs?
Mme
Marceau (Sonia) : Bien, en
fait — veux-tu que je prenne la parole? — si
je peux me permettre, au niveau des
chercheurs, première des choses, jusqu'à
maintenant, on fait affaire seulement
avec des chercheurs du public, et les chercheurs
passent par un processus qui est déjà très rigoureux, comme M. Thibault disait,
auquel cas il y a déjà un comité d'éthique qui est, habituellement, attaché à une institution universitaire la plupart du temps. Et donc ils passent au travers d'un comité éthique, ensuite ils passent à la Commission à l'accès à l'information, qui est
toujours celle qui s'occupe de rédiger
les ententes avec les chercheurs. Toutefois, une fois que la CAI a donné son
autorisation, elle passe chez nous après, pour une deuxième autorisation, dans le fond, considérant notre régime
restrictif. Donc, habituellement, dans ces ententes-là, est regardé l'hébergement des données, et tout,
et, jusqu'à ce jour, ces données-là sont conservées, là, au Canada, là,
ou au Québec dans les institutions qu'on a reconnues.
Donc, à notre
connaissance, non. Il y a des règles préétablies, et tout, qu'ils doivent
respecter, là, pour... et qu'il revient
à eux de respecter, là, dans le cadre de la protection des renseignements et il
y a aussi des règles de destruction des données après un certain temps aussi, là. Donc, on respecte vraiment
notre politique de cycle d'information. Donc, jusqu'à ce jour, on n'aurait pas eu connaissance qu'il y
aurait eu des informations qui auraient pu être transmises, là, à
l'extérieur.
M.
Ouellet : Je comprends que
ce n'est pas arrivé, mais est-ce que ça pourrait arriver? C'est-à-dire que les
gens qui demandent effectivement accès...
Vous faites référence à des demandes passées pour lesquelles la demande
publique était sur des serveurs
canadiens, mais est-ce qu'on pourrait penser qu'il y aurait effectivement des
demandes qui transiteraient ces informations-là sur des serveurs
ailleurs dans le monde?
Mme
Marceau (Sonia) : Bien, moi, je pense que des consortiums de
chercheurs pourraient, là, à un certain point, avoir un certain partage,
mais...
M.
Thibault (Marco) : ...à ce moment-là de voir si c'est applicable en
fonction de nos règles. À ce moment-ci, ça ne s'est pas présenté, mais
c'est difficile de vous dire est-ce que c'est permis ou pas à ce moment-ci.
M. Ouellet : Est-ce que vous auriez
l'expertise, justement?
M.
Thibault (Marco) : Je sais qu'il y a une volonté gouvernementale, si
vous me permettez, de vouloir garder l'ensemble des données et
renseignements au Québec, en sol québécois.
M. Ouellet : Donc, est-ce que vous
auriez l'expertise pour évaluer le régime de protection des données hors
Québec?
M. Thibault (Marco) : Est-ce que...
Mme Marceau (Sonia) : ...on serait
l'expertise.
M. Thibault (Marco) : Est-ce qu'on
serait l'expertise, nous? Non. On ne détient pas cette expertise-là.
M. Ouellet : O.K. Donc, ça serait la
Commission d'accès à l'information qui serait le premier filtre?
M.
Thibault (Marco) : Bien, c'est un de ceux qui peuvent nous aider
là-dedans pour être capable d'établir ces éléments-là, indéniablement...
M. Ouellet : O.K. Le temps?
Le Président (M.
Bachand) : ...allez-y rapidement, oui.
M.
Ouellet : Donc, vous
comprenez notre interrogation, à savoir si, dans le projet de loi en question,
il ne serait pas lieu d'intervenir
pour s'assurer que, minimalement, les données qui seraient échangées, avec des
compagnies tierces ou des chercheurs tiers, soient faites sur des
serveurs sur le territoire québécois ou exclusivement canadien. Est-ce que vous
seriez d'accord avec ça?
M. Thibault (Marco) : Bien oui, et
l'enjeu, c'est... Votre question soulève un autre élément et qui... là, qui mériterait d'être débattu par les parlementaires,
à savoir jusqu'où on veut ouvrir ailleurs qu'à ces instituts de recherche
publics. Et, à ce moment-ci, c'est l'orientation avec laquelle nous, nous
travaillons, rester à l'intérieur du...
M. Ouellet : Merci beaucoup.
M. Thibault (Marco) : ...avec
laquelle nous travaillons.
Le Président (M. Bachand) : Sur ce, M. Thibault, Mme Marceau, merci beaucoup de votre participation à la commission, c'est fort apprécié. Et
je vous souhaite une supersoirée.
Et la commission suspend ses travaux pour quelques
instants. Merci beaucoup.
(Suspension de la séance à 20 h 15)
(Reprise à 20 h 18)
Le
Président (M. Bachand) : À
l'ordre, s'il vous plaît! La commission reprend ses travaux. Ça nous fait
plaisir d'accueillir les représentants de la
Commission d'accès à l'information du Québec. Alors, comme vous savez, vous
avez 10 minutes de présentation, mais j'aimerais d'abord que vous vous
présentiez pour que vous puissiez débuter votre exposé, et après on aura un échange avec les membres de la commission.
Donc, merci d'être avec nous ce soir. Vous êtes nos derniers invités.
Alors, donc, très heureux de finir avec vous. La parole est à vous. Merci.
Commission d'accès à l'information (CAI)
Mme
Poitras (Diane) : Merci, M.
le Président. Alors, bonjour... bonsoir, en fait. Je suis Diane Poitras,
présidente de la Commission d'accès à l'information, et je suis accompagnée de Me Jean-Sébastien
Desmeules, secrétaire général et directeur
des affaires juridiques. C'est avec plaisir que nous avons accepté l'invitation
d'échanger avec vous au sujet du projet de loi n° 64 visant à
moderniser les lois de protection des renseignements personnels au Québec.
La commission
a maintes fois souligné que ces lois, adoptées au siècle dernier, ne protègent
pas adéquatement les citoyens à l'ère
du numérique. D'emblée, la commission se réjouit du dépôt de ce projet de loi
qui propose une réforme majeure
s'inspirant de lois modernes adoptées ailleurs dans le monde et de
recommandations qu'elle a formulées dans ses rapports quinquennaux. Les
modifications proposées sont audacieuses, ambitieuses, mais nécessaires. Bien
que notre mémoire formule plusieurs
recommandations, notre appréciation générale du projet de loi est positive. Ces
recommandations sont plutôt le reflet
de notre enthousiasme à contribuer à bonifier cette réforme. Ces lois sont au
coeur de notre mission, et nous les
interprétons tous les jours, depuis 38 ans, dans le secteur public, et 26
dans le secteur privé. Un régime clair et complet simplifie son
application et favorise le respect des obligations et des droits qu'il
contient.
Le projet de
loi propose des solutions concrètes à plusieurs enjeux de protection des
renseignements personnels. Par exemple,
on introduit les éléments visant à responsabiliser les organisations et à
améliorer la transparence de leurs pratiques en matière de protection
des renseignements personnels. De telles obligations sont déjà incluses dans
les autres lois canadiennes applicables au secteur privé. Cela rejoint donc la
préoccupation d'uniformisation des règles que certains intervenants ont exprimée. On ne saurait négliger l'importance de
pratiques transparentes, respectueuses et loyales sur la confiance des citoyens. Selon un sondage réalisé
pour la commission, 91 % des répondants se préoccupent de la
protection accordée à leurs renseignements,
au point de faire davantage affaire avec des entreprises qui possèdent une
bonne réputation dans ce domaine.
• (20 h 20) •
Un autre
aspect positif du projet de loi est l'assujettissement des partis politiques à
des règles de protection des électeurs,
des renseignements au sujet des électeurs. Toutefois, l'encadrement proposé est
limité. Il ne vise pas tous les partis
politiques ni tous les renseignements personnels qu'ils détiennent. Par souci
de concision, je dirai simplement que nous
abondons dans le sens des recommandations formulées par le Directeur général
des élections. Aussi, bien qu'elle propose
certaines améliorations, la commission salue les nouveaux droits offerts aux
citoyens et les mesures relatives aux incidents
de confidentialité. Ces dernières permettront à la commission de s'assurer que les mesures essentielles
soient prises rapidement pour protéger les
renseignements des citoyens. Elles lui permettront aussi d'avoir un portrait
plus juste des causes, des incidents de sécurité pour mieux intervenir
auprès des organisations afin de les prévenir.
Au chapitre du consentement maintenant, la
commission souligne la pertinence des modifications proposées. Toutefois, vous l'avez constaté, plusieurs
remettent en question l'efficacité du consentement dans certaines
situations. C'est pourquoi la commission
propose de limiter, voire d'interdire la collecte ou l'utilisation de
renseignements personnels en certaines
circonstances, particulièrement préjudiciables ou intrusives, par exemple certaines
utilisations des renseignements génétiques ou biométriques.
J'ouvre ici
une parenthèse pour préciser qu'au Québec, même si le consentement conserve une
place importante, la loi prévoit déjà d'autres bases juridiques
autorisant la collecte, l'utilisation ou la communication de renseignements personnels. Les modifications proposées par le
projet de loi vont dans le même sens. Par exemple, le consentement n'est
pas requis pour recueillir un renseignement
auprès de la personne concernée. Une entreprise doit avoir un intérêt
sérieux et légitime pour recueillir des
renseignements personnels. Elle doit déterminer, avant leur collecte, à quelles
fins elles serviront et ne recueillir
que les renseignements nécessaires à ces finalités. Elle en informe la personne
concernée. Ce n'est donc que si une
entreprise souhaite utiliser les renseignements personnels qu'elle détient à de
nouvelles fins ou les communiquer à des tiers qu'elle doit obtenir le
consentement de la personne concernée.
La loi
prévoit déjà plusieurs communications qui peuvent être effectuées sans
consentement. Le projet de loi en propose
de nouvelles. Il propose aussi de permettre l'utilisation à des fins
compatibles à celles de leur collecte. Pour la commission, ces mesures permettent un équilibre entre les droits des
citoyens et les obligations des entreprises. Toutefois, le libellé de l'article qui prévoit les modalités de
ce consentement pourrait effectivement être clarifié afin de respecter
l'objectif poursuivi sans imposer de fardeau inutile aux entreprises.
Au
chapitre des améliorations sur lesquelles j'aimerais insister, j'en soulignerai
quatre. D'abord, la commission formule
des recommandations concernant les définitions de renseignements personnels
dépersonnalisés et anonymisés. Puisqu'elle
détermine quelles règles sont applicables à chacune de ces catégories, il
importe qu'elles soient clairement définies.
Deuxièmement,
la commission formule plusieurs recommandations concernant les enjeux soulevés
par le recours à l'intelligence artificielle
et la biométrie. Leur utilisation répandue comporte des risques accrus pour la
vie privée qu'il importe de
considérer davantage dans la présente étude du projet de loi. Par exemple, en
matière d'intelligence artificielle, les
dispositions proposées pour l'encadrement des décisions entièrement
automatisées nous apparaissent insuffisantes pour assurer des décisions
transparentes et équitables, bien qu'elles soient intéressantes.
Les
dispositions visant plus de transparence de la part des entreprises qui
recueillent des renseignements à des fins de profilage pourraient aussi
être améliorées. En effet, le profilage constitue une pratique comportant un
haut risque d'atteinte à la vie privée des
individus et à d'autres droits fondamentaux. Quant à la biométrie, la
législation actuelle ne permet pas
d'encadrer adéquatement certaines de ses utilisations. Le caractère intime,
unique et permanent des renseignements
biométriques en font des renseignements particulièrement sensibles dont la
collecte et l'utilisation posent des
risques importants pour les individus. Les nombreuses critiques formulées au
sujet de l'utilisation de la reconnaissance faciale, à des fins de surveillance, témoignent de la nécessité de
profiter de ce projet de loi pour baliser certaines utilisations de la
biométrie et de l'intelligence artificielle.
Troisièmement, au chapitre de la communication
de renseignements personnels, le projet de loi introduit de nouvelles exceptions à l'obtention du consentement
dans le secteur public. Sans remettre en question la légitimité des objectifs poursuivis, elle tient à souligner que
ces exceptions doivent être limitées, suffisamment encadrées et viser
une finalité clairement définie dans la loi.
Aussi, il importe d'évaluer l'impact des exceptions prévues aux lois
sectorielles, qui prévoient des régimes de
protection plus stricts. Le respect de la vie privée n'est souvent pas le seul
objectif poursuivi par la confidentialité
plus grande accordée à ces renseignements sensibles. Mais surtout, la question
de l'accès aux données à des fins de recherche doit trouver une solution
complète dans ce projet. C'est pourquoi la commission propose un régime similaire à celui des entités prescrites qui
prévaut en Ontario. Il permettrait de simplifier l'accès aux renseignements
de santé pour les chercheurs tout en protégeant les renseignements personnels
de manière optimale.
Enfin, bien
que la commission propose quelques modifications au régime de sanctions
administratives, pécuniaires et
pénales, la possibilité que de telles sanctions dissuasives soient imposées aux
organisations qui ne protègent pas les renseignements
personnels est essentielle. Face aux inquiétudes soulevées par certains
intervenants, elle tient à souligner qu'elle
continuera à utiliser, avec discernement, les différents outils à sa
disposition dans le seul objectif de favoriser le respect des lois qu'elle est chargée de
surveiller. Ceci dit, la commission propose de prévoir des montants fixes pour
certains manquements précis tout en
conservant l'approche générale retenue par le projet de loi de pouvoir imposer
un montant maximal pour les manquements les plus graves.
En
conclusion, la commission considère que le projet de loi envoie un message
clair de l'importance qu'accorde le Québec
à la protection des renseignements personnels de ses citoyens. Cette importance doit aussi se traduire dans les ressources accordées à l'organisme de contrôle chargé de voir à son application. Comme l'ont
souligné plusieurs intervenants,
la commission doit pouvoir disposer des ressources nécessaires pour accomplir,
de manière efficace, l'ensemble des volets
de sa mission, qui sont nombreux. Au 31 mars dernier, elle pouvait compter
sur 67 personnes. C'est le même nombre qu'il y a 10 ans et à
peine plus qu'il y a 20 ans.
Or, le nombre
et la complexité des dossiers soumis à la commission ne cessent
d'augmenter. Le sous-financement de
la commission nuit à une mise en oeuvre efficace et effective de ces lois. Comme en
témoigne son dernier rapport annuel, la
commission a démontré que l'ajout de sommes supplémentaires influence
directement sa capacité à traiter les dossiers qui lui sont soumis. Par exemple, en un an, elle a pu
réduire de quatre mois les délais de traitement de certains dossiers de
la section juridictionnelle et doubler le nombre de plaintes traitées par la
section de surveillance.
J'en profite pour souligner l'extraordinaire
travail accompli par l'équipe de la commission et je les remercie chaleureusement. Je vous remercie de votre
attention, et il me fera plaisir d'échanger avec vous au cours des
prochaines minutes.
Le Président (M.
Bachand) : Merci beaucoup, Me Poitras. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette : Oui. Bonjour, Me Poitras, Me Desmeules.
Merci de participer à l'étude... bien, en fait, aux consultations du
projet de loi n° 64.
Me Poitras,
pour reprendre la balle au bond, vous dites, vous avez un nombre limité de
ressources relativement à votre financement.
Là, je sais qu'il y a 3 millions sur, je pense, trois ans qui vous a été
octroyé l'an... il y a deux ans aussi. Combien
de ressources supplémentaires ça vous prendrait, en lien avec le projet de loi
n° 64, pour ne pas avoir de retard et réaliser le mandat qui vous
est confié... qui vous sera confié?
Mme Poitras
(Diane) : Je vous remercie
pour la question. Ce n'est pas une analyse qu'on a faite actuellement.
Il nous fera plaisir de faire cette analyse
et de... Je ne voudrais pas lancer un chiffre comme ça, mais c'est sûr que ça
prend un financement, un rehaussement important du financement de la
commission.
M. Jolin-Barrette : O.K. Mais quand vous me dites : Ça nous
prend un rehaussement important... mais vous ne l'avez pas évalué. Actuellement, là, supposons que vous nous
dites : Bon, bien, les ressources n'ont pas suivi... mais vous
n'êtes pas capables de nous chiffrer combien de plus ça vous prend.
Mme Poitras (Diane) : Non, en effet. Pour nous, on attend de voir le
projet de loi, tant que le projet de loi n'est pas adopté... pour voir quelles sont, de façon effective, les nouvelles
fonctions qui nous seront attribuées. On n'a pas fait cette évaluation,
évaluation qu'on fera avec tout le sérieux quand le temps sera... quand ce sera
requis.
• (20 h 30) •
M. Jolin-Barrette : O.K. Mais sous réserve de l'adoption du projet de
loi, sous réserve du travail des parlementaires qui sera effectué au cours des prochaines semaines, des prochains mois... Le projet de loi a été déposé en juin. J'invite la Commission d'accès à l'information à faire cette réflexion-là, surtout que ça fait depuis le mois de juin
qu'il est déposé. Donc, je vous
entends sur le fait que vous souhaitez davantage de ressources. Ça aurait été bien de le dire dans
le cadre de la commission ce soir, si vous dites : Ça nous prend davantage
de ressources supplémentaires, peut-être, de faire une évaluation lorsqu'on
réclame des ressources supplémentaires.
Bon, vous souhaitez qu'on assujettisse tous les partis
politiques à la loi sur le secteur privé, incluant les partis politiques municipaux?
Mme
Poitras (Diane) : Bien, je
dirais, un peu à l'instar de ce que fait la Colombie-Britannique, disons, la
loi, là, sur le secteur privé a des
dispositions qui ressemblent essentiellement à ce qu'on peut avoir au Québec.
On pense que ça peut être bien de
protéger les renseignements personnels tout en permettant aux partis politiques
d'accomplir les différentes fonctions ou d'entrer en contact avec les
citoyens.
M. Jolin-Barrette : O.K. Vous
souhaitez qu'on assujettisse les partis politiques à l'égard de l'ensemble des renseignements personnels qu'ils détiennent et pas
juste en fonction de ceux des électeurs et vous ne voulez pas qu'on
prévoie d'exceptions applicables aux partis politiques en ce qui concerne la
destruction, l'utilisation aussi.
Mme
Poitras (Diane) : En fait,
on part du principe que, si le régime général peut s'appliquer, comme il se
fait en Colombie-Britannique ou même dans
d'autres juridictions... On part du principe que le régime général pourrait
s'appliquer. Puis, quant à la portée des
renseignements personnels, les partis politiques détiennent aussi des
renseignements au sujet des bénévoles,
des employés, des candidats, par exemple. Donc, on pense que ces renseignements
personnels qu'ils détiennent méritent la même protection.
M.
Jolin-Barrette : O.K. Je
comprends de cela que vous ne voulez pas avoir de régime distinct pour les
partis politiques. Dans le fond, il faut que
ce soit traité de la même façon que n'importe quel tiers privé qui aurait accès
à des renseignements personnels.
Mme
Poitras (Diane) : En fait,
c'est sûr que... S'il y a une particularité de parti politique qui nécessite ou
qui fait qu'une disposition de la loi n'est
pas applicable à un parti politique, c'est sûr qu'on pourrait en faire une
exception. Mais on pense que ce serait plus simple de les assujettir à
la loi générale, au régime général puis, le cas échéant, de faire des
exceptions, mais, encore une fois, on part du principe que la plupart de ces
dispositions-là s'appliquent dans d'autres juridictions sans que ça nuise au
travail des partis politiques.
M.
Jolin-Barrette : O.K. Vous
nous invitez aussi à préciser la définition de «renseignements personnels»,
parce qu'elle est trop large, cette définition-là. Qu'est-ce qui... Comment
est-ce que vous pensez qu'on devrait la préciser?
Mme
Poitras (Diane) : En fait,
on constate qu'il y a une certaine confusion. Comme elle détermine le
champ d'application de la loi, elle est très
simple, hein : «Qui concerne une personne physique et permet de
l'identifier.» On pense qu'on
pourrait... on devrait la préciser à
l'ère du numérique parce qu'on
constate qu'il y a une certaine confusion de la part des organisations, qui pensent que, simplement en retirant des
identifiants directs, on ne peut plus identifier une personne, donc que
les dispositions de la loi ne s'appliquent pas.
Alors, on
constate qu'il y a une proposition de parler de renseignements dépersonnalisés,
mais on pense qu'on devrait préciser,
en s'inspirant, par exemple, de la définition du RGPD, qu'est-ce qu'on a à
faire par... permettre d'identifier, dans
cette définition-là, par exemple, directement, indirectement. On pense aussi
qu'elle devrait inclure les renseignements qui sont inférés,
c'est-à-dire qu'un renseignement qui concerne une personne physique et permet
de l'identifier... Les renseignements qui
sont inférés ou déduits par les systèmes d'intelligence artificielle, par
exemple, devraient clairement être identifiés comme étant visés par le
champ d'application de la loi.
M. Jolin-Barrette : O.K. Sur un
autre sujet, là, vous dites : On devrait intégrer les dispositions de la
Loi concernant le cadre juridique des technologies de l'information, concernant la biométrie, dans la loi sur l'accès
et dans la loi sur le secteur privé.
Donc, ça fait un petit bout qu'on n'a pas touché à cette loi-là, là, concernant
le cadre juridique des technologies
de l'information. Donc, vous voulez qu'on importe ça puis qu'on
amène ça dans les deux lois, dans la loi publique et dans la loi privée.
Pourquoi?
Mme Poitras (Diane) :
En fait, d'abord, parce que l'objectif... La première raison, c'est parce qu'on
constate qu'il y a beaucoup d'entreprises
qui ne sont pas au courant qu'il y a des règles relatives à la protection des
renseignements personnels qui sont contenues
ailleurs que dans la loi générale. Et la loi-cadre est une loi dont les
objectifs ne sont pas la protection
des renseignements personnels, mais bien l'équivalence des documents, bon,
etc., pour assurer une certaine sécurité
juridique de... les équivalences des documents électroniques, mais ce qui fait
que les entreprises et les organismes ont tendance à ne pas être au courant de ces dispositions-là. On pense que ça
bénéficierait aussi que ça soit dans les lois, parce qu'on pourrait... Ces dispositions sont assez importantes pour
bénéficier de la prépondérance qui est accordée aux dispositions des
lois publiques et privées.
M.
Jolin-Barrette : O.K.
Juste avant vous, on a eu la Régie de
l'assurance maladie du Québec qui
disait qu'il y avait plus d'une centaine d'ententes de communication et qui étaient ensuite approuvées par la Commission d'accès à l'information. Vous, vous dites que
vous devriez avoir le pouvoir de suspendre l'entrée en vigueur d'une entente ou
d'interdire la communication. Comment ça se
passe, là, présentement, là, avec les organismes publics qui ont des renseignements et qui veulent faire une entente
entre ministères, tout ça? Expliquez-nous un petit peu la mécanique,
là, de l'approbation par la Commission d'accès à l'information. Comment ça
fonctionne chez vous?
Mme Poitras
(Diane) : En fait, présentement,
le projet d'entente est soumis à la commission. Il y a un analyste-enquêteur de la direction de la surveillance qui
va analyser le projet, qui va entrer en contact aussi avec les
organismes. Et, un peu comme on vous l'a
mentionné, il y a beaucoup de travail qui se fait à ce niveau-là pour peaufiner
l'entente. S'il voit qu'il y a un
problème, que l'entente n'est pas tout
à fait conforme, que les mesures de
sécurité ne sont pas suffisantes, il va
faire un travail pour inciter les deux organismes à régler ces problèmes-là, ce
qui fait qu'au final, effectivement, souvent, l'avis de la commission
est favorable, parce que, la deuxième étape, c'est qu'il y a l'avis. Une fois
que l'enquêteur considère que le dossier est
complet, c'est soumis à un commissaire en surveillance qui va autoriser l'avis
favorable ou défavorable au sujet de l'entente.
M. Jolin-Barrette : Puis est-ce
que c'est déjà arrivé à la Commission d'accès à l'information d'émettre des
recommandations défavorables par rapport aux ententes?
Mme
Poitras (Diane) : À tout le
moins, je sais qu'on a sûrement déjà émis des avis d'intention, parce qu'avant d'émettre un avis défavorable on émet un avis aux organismes en
indiquant qu'est-ce qu'on trouve qui est... qu'est-ce qu'on pense qui n'est pas conforme, et donc, s'ils
ne corrigent pas la situation, on pourrait émettre un avis défavorable.
Je pense que, dans la plupart... La plupart du temps, ils vont se corriger,
mais, peut-être, Me Desmeules...
M. Desmeules
(Jean-Sébastien) : C'est
déjà arrivé à de rares occasions, effectivement, que des avis
défavorables ont été émis.
M. Jolin-Barrette : O.K. Et puis, maintenant, vous voulez, dans la
loi, qu'on prévoie un pouvoir d'interdire la communication puis de
suspendre l'entrée en vigueur.
Mme Poitras
(Diane) : En fait, c'est que
vous proposez que l'avis de la commission ne soit plus requis. Le projet
de loi propose que l'avis de la commission
ne soit plus requis et qu'on nous envoie simplement l'entente, qu'elle
entre en vigueur dans les 30 jours. Si on prend pour acquis qu'on envoie
le projet d'entente à la commission, c'est sûr qu'on s'attend qu'il faut réagir dans les 30 jours si on voit qu'elle
n'est pas conforme ou encore si l'évaluation des... à la vie privée, là, ne serait pas suffisamment sérieuse,
on va le dire comme ça. Donc, il faut qu'on puisse intervenir avant que
la communication ait lieu. Sinon, il est un peu tard.
M. Jolin-Barrette : O.K. Vous voulez aussi qu'on retire la
possibilité qu'une plainte puisse être déposée sous le couvert de
l'anonymat.
Mme Poitras
(Diane) : En fait, on
s'interroge plutôt sur l'objectif qui est poursuivi. Est-ce que l'objectif est
de permettre à une personne de déposer une
plainte anonyme? Auquel cas, tout ce qu'on dit, c'est que certaines plaintes,
on pourrait avoir de la difficulté à les
traiter si la personne,
sous le couvert de l'anonymat, par
rapport à nous, nous dit :
Bien, moi, on a communiqué des renseignements à mon sujet de façon illégale.
C'est très difficile, si c'est le couvert de l'anonymat.
Si l'objectif est que la commission assure l'anonymat dans le cadre de l'enquête, ça,
on peut le faire et on l'assure déjà en certaines circonstances, si
c'est demandé et que l'enquête peut le permettre.
• (20 h 40) •
M. Jolin-Barrette : O.K. Je vous
remercie.
Le Président (M.
Bachand) : Merci. M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Merci beaucoup.
Me Poitras, Me Desmeules, merci. Une petite question de précision
pour moi, s'il vous plaît.
La loi
fédérale permet déjà à une entreprise d'informer une autre entreprise
lorsqu'il survient un incident ou un bris de confidentialité. Je voyais
dans vos recommandations que vous suggérez de ne pas aller de l'avant avec la
loi provinciale. J'aimerais comprendre le pourquoi, s'il vous plaît.
Mme Poitras (Diane) :
En fait, on s'interrogeait sur quel était l'objectif visé par cet ajout-là, et
si c'était, par exemple, pour informer la police, on pense qu'on devrait
le préciser. On s'interrogeait sur qu'est-ce qu'on vise exactement, quel genre d'entreprise on vise. On a vu,
avec les fuites récentes, que, quand les entreprises proposent de faire
affaire, par exemple, avec des agences de renseignements personnels, Equifax ou TransUnion, ce n'est pas tous les citoyens
qui veulent profiter de cette protection ou qui veulent que leurs renseignements
soient communiqués, sans le consentement, à ces entreprises-là. Je pense que certains souhaitent avoir le choix. Alors,
c'était juste... On s'interrogeait sur l'objectif
qui était poursuivi et quel genre de
communication, quel genre d'entreprise ou d'organisme on... qu'est-ce qu'on avait en
tête quand on a rédigé cette disposition-là.
M.
Lafrenière : Justement, vous
faites allusion à une fuite de données. Je pense qu'on a tous l'exemple en
tête, mais, si on allait avec la notion
d'urgence, justement, que cette information-là soit transmise
pour éviter que la fuite continue dans
le temps avec d'autres organismes, vous ne croyez pas que ce serait important
de rajouter cet élément-là pour limiter la fuite, justement, de limiter
les dommages?
Mme
Poitras (Diane) : De
mémoire, la disposition parle qu'on peut communiquer les renseignements concernant la personne
concernée. Alors, je m'interroge sur... Quel genre d'information on doit communiquer? Est-ce qu'on doit juste dire : Attention, on a été victimes
d'hameçonnage ou... de quel genre d'incident, attention à vous, entreprises,
vous risquez d'être victimes du même genre d'incident?
Alors, encore une fois, on essaie de voir quel est l'objectif poursuivi et simplement de le circonscrire. On
parle de gens qui ont été victimes d'un incident de sécurité et d'une possibilité
de communiquer, sans leur consentement, des renseignements à une autre entreprise. On veut juste s'assurer
que les circonstances et l'objectif qui est poursuivi est bien circonscrit
dans la disposition.
M. Lafrenière : C'est plus une
interrogation qu'une objection, de ce que je comprends. C'est bien ça?
Mme
Poitras (Diane) : Oui, et peut-être
une invitation à préciser la disposition, dans quelle situation ou quel genre
d'entreprise est visée.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque
(Chapleau) : Oui, merci, M. le Président. Me Poitras, Me Desmeules, bonsoir.
Bien heureux d'être avec vous ce
soir... que vous soyez avec nous, c'est-à-dire.
Un peu en lien avec la question
du ministre concernant les ressources et le financement, est-ce qu'au-delà de sommes que vous
allez calculer il y aura d'autres ressources ou d'autres dispositions
dont vous auriez besoin pour bien remplir le mandat qui vous serait confié, le
cas échéant?
Mme Poitras (Diane) :
Au niveau des ressources?
M.
Lévesque (Chapleau) : Oui, au-delà du financement, les autres choses
que vous pensez... Est-ce qu'il manque quelque chose dans le projet de
loi? Est-ce qu'il manque quelque chose dans votre structure ou ainsi de suite?
Mme
Poitras (Diane) : En fait, c'est
sûr qu'on a formulé quelques recommandations au niveau des pouvoirs,
bien que... d'améliorations au niveau des
sanctions administratives, pécuniaires ou pénales pour bien préciser les
régimes, de manière à ce qu'il n'y ait pas de contestation susceptible
de venir paralyser l'efficacité du régime. On a aussi fait des recommandations
sur la possibilité de réfléchir à des façons de prévoir d'autres modalités de
financement pour la commission. Est-ce que
l'utilisation des amendes, des sommes récoltées pour les amendes, un peu comme
ça se fait en environnement, pour un
fonds spécial pour indemniser les victimes, pour faire de la recherche, pour
faire de la promotion, de l'accompagnement... Et ça, évidemment, il
faudrait que ce soit prévu dans la loi.
M.
Lévesque (Chapleau) : O.K., merci. C'est intéressant. Vous avez parlé,
donc, de la question de la définition de renseignements personnels. Il y
a un grand débat, là, bon, toute la question d'anonymité, de
dépersonnalisation, j'aimerais peut-être vous entendre là-dessus.
Puis
également, sur la question d'inférence, là, il y a eu des groupes qui sont
venus nous parler que, malgré le fait que
les données soient anonymes ou dépersonnalisées, il y a peut-être un risque,
dans l'inférence, de retracer ou de retrouver qui était cette personne ou qui était cette entreprise derrière ces
données-là. Peut-être vous entendre là-dessus. Est-ce que vous avez des
craintes? Est-ce que c'est quelque chose qui vous occupe?
Mme
Poitras (Diane) : En fait,
oui. La plupart des experts s'entendent sur le fait qu'il est difficile... Le
critère qui est dans le projet de loi, c'est-à-dire qu'il puisse être anonymisé
de façon irréversible, est pratiquement impossible à atteindre. Alors, on vous proposerait l'approche qui est dans le RGPD.
Mme Castets-Renard en a parlé plus tôt. Ils ont eu ce même débat et ils ont décidé de ne pas inclure
la notion d'anonymiser dans les règles. Eux, ils ont prévu pseudonymiser.
Ici, on parle de dépersonnaliser. C'est un petit peu la même approche. Donc,
notre besoin est de clarifier la définition de renseignements personnels et
peut-être de clarifier quelles utilisations on peut faire au niveau des
renseignements dépersonnalisés.
M. Lévesque (Chapleau) : Merci beaucoup.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay :
Oui, merci beaucoup, M. le Président.
Le Président (M.
Bachand) : 13 min 36 s.
M. Tanguay : 13 min 36 s? Merci beaucoup. Alors, bonsoir. Merci
d'être là pour répondre... bonsoir, Me Poitras, Me Desmeules...
de répondre à nos questions. Je vais y aller, moi, également en rafale.
D'abord,
premier élément, j'aimerais vous entendre sur votre recommandation n° 15 à la page 31 du mémoire. Sans lire la recommandation,
vous dites : «De plus en plus, en effet, d'employeurs et associations
intègrent la vérification d'antécédents
judiciaires ou l'obtention d'un certificat de bonne conduite ou d'habilitation
sécuritaire dans leurs pratiques, que
cette exigence soit ou non prévue par la loi.» Puis vous demandez, donc, de
limiter les circonstances... Quel problème essayez-vous de régler ici?
Mme Poitras (Diane) : En fait, on a constaté qu'il y a des pratiques à
géométrie variable et que les antécédents judiciaires sont demandés. Parfois, on va... Les demandes sont très
élargies par rapport à l'objectif qui est poursuivi. Alors, dans... Par exemple, en matière d'emploi, je
peux... ce n'est pas toujours clair que la vérification des antécédents est
liée à une exigence spécifique du poste, qui est un critère qui est dans la
charte, premièrement.
Deuxièmement,
on trouvait intéressante l'approche ontarienne dans laquelle ils encadrent les
situations où on peut faire des
vérifications, la portée de ces vérifications, est-ce qu'on va juste dans le
punitif ou on va dans les fichiers des policiers,
et surtout de s'assurer que la personne pour qui on va prendre une décision sur
la base de ces vérifications puisse avoir accès à l'information. On a vu
des cas, dans les demandes de révision, où des citoyens se font refuser la possibilité d'adopter à l'international, un
emploi, un permis pour l'exercice d'une fonction quelconque, et ils ne
savaient pas pourquoi, qu'est-ce qu'il y avait dans leur dossier qui faisait
qu'on avait pris cette décision-là.
M. Tanguay : O.K., donc, un encadrement, un resserrement des
cas de figure. Recommandation n° 17,
page 33 du mémoire... recommandation n° 17 : «La commission recommande au législateur, dans le respect de
la décision de la Cour suprême [...] loi [concernant] la
non-discrimination génétique et des compétences de chaque palier de
gouvernement, d'encadrer la collecte,
l'utilisation, la communication, la conservation et la destruction des
renseignements génétiques.» Dans le
cas de la compétence du Québec, ici, ça prendrait quelle forme? On voudrait,
donc, toucher à quelle réalité de façon tangible? Avez-vous des
exemples?
Mme
Poitras (Diane) : En fait,
oui, c'est que le... d'interdire plus spécifiquement l'utilisation de
renseignements génétiques ou d'exiger à une
personne de consentir à la communication de renseignements de nature génétique
à des fins d'emploi ou d'assurance.
M. Tanguay : O.K., et vous avez vu des cas où il y avait de la
discrimination qui pouvait en découler. C'est ce qu'on veut empêcher.
C'est ça?
Mme Poitras (Diane) : Tout à fait.
M. Tanguay : O.K. Et également, j'imagine, aussi, c'est des
informations hautement sensibles. Donc, tout ce qui en suit, évidemment, là, on peut... Quand on le
communique, on ne le contrôle plus. Alors, j'imagine qu'en l'encadrant,
bien, on diminue le risque.
La recommandation n° 24,
j'aimerais avoir vos commentaires peut-être de façon un peu plus générale, recommandation n° 24
en matière d'organismes privés, mais on a également une telle clause miroir,
l'article 27, 70.1 de la loi sur
le... l'évaluation des facteurs relatifs à la vie privée : Il doit
notamment tenir compte des éléments suivants... Donc, c'est une clause
qu'on retrouve dans le domaine public puis dans le domaine privé : évaluation
de facteurs, notamment la sensibilité du renseignement, la finalité de
son utilisation, les mesures de protection, régime juridique applicable.
Ce qui nous a
été dit, c'est que — c'est
l'espérance qui a été exprimée — la
Commission d'accès à
l'information puisse notamment offrir des guides pour aider à comprendre ce
dont il s'agit ici, parce que ce qui peut être raisonnable pour un ne l'est peut-être
pas pour l'autre, ce qui est suffisant pour un ne l'est peut-être pas pour
l'autre.
Trouvez-vous
que, tel que rédigé, de un, c'est suffisamment précis? Est-ce qu'on devrait être encore plus clair
de ce qui est attendu? Et sur quelles bases,
selon quels critères un peu plus concrets les personnes devraient juger... Et
vous, dans un deuxième temps, je pense que
vous avez pleinement conscience du fait qu'il va falloir réellement
accompagner les décideurs et décideuses qui devront jongler avec ces concepts
qui sont, somme toute, assez vagues.
Mme
Poitras (Diane) : En fait,
c'est une évaluation des facteurs à la vie privée. La commission a un petit
peu pris d'avance. On a déjà un guide qui a
été diffusé il y a quelques mois déjà, une première version d'un guide. On a le
projet aussi de faire un gabarit et d'autres
outils qui vont venir essayer d'accompagner les organisations publiques et
privées qui auront à réaliser des évaluations de facteurs à la vie privée.
Par contre,
je crois que vous vous référiez à l'article qui parle des communications hors
Québec. Là-dessus, la commission
convient qu'il y a sûrement moyen... Nous sommes d'avis qu'on pourrait miser
sur l'objectif qui est poursuivi, c'est-à-dire de s'assurer d'une
protection équivalente des renseignements qui sont communiqués hors Québec et
que l'article, tel que rédigé, impose effectivement un fardeau quand même assez
lourd aux organisations.
• (20 h 50) •
M.
Tanguay : Deux dernières questions, puis je vais laisser
l'occasion à ma collègue de Notre-Dame-de-Grâce de s'inscrire.
L'avant-dernière
question, la commission... la recommandation n° 44 :
«La commission recommande de
préciser qu'elle a le pouvoir d'ordonner la
production de documents et d'en faire l'examen, nonobstant le secret
professionnel, le privilège relatif au
litige ou tout autre privilège de confidentialité.» Vous dites que ça se fait
déjà dans certaines lois québécoises,
là, votre note de bas de page, 132. J'aimerais ça vous entendre là-dessus,
sur... parce que, quand on parle notamment de secret professionnel,
c'est assez hermétique, d'habitude, comme traitement, n'est-ce pas?
Mme Poitras (Diane) :
En effet puis, en fait, c'est le secret professionnel ou d'autres privilèges.
Je vais vous donner un exemple concret. Il
peut arriver qu'on fasse une enquête sur une situation dans une organisation où
on a des interrogations sur le fait
qu'ils aient pris des mesures de sécurité adéquates. Il pourrait arriver qu'ils
aient fait leur propre évaluation
dans le but de se protéger contre des recours collectifs ou des recours de
citoyens qu'ils auraient pu avoir. Bien, on pourrait nous invoquer le privilège relatif au litige pour refuser de
nous communiquer cette évaluation-là qu'on juge pertinente dans le cadre
de nos enquêtes.
Évidemment,
on peut prévoir des modalités de confidentialité pour que les renseignements,
tels que détenus par la commission, ne deviendraient pas pour autant
accessibles et prévoir que ce n'est pas parce qu'on nous communique l'information que l'entreprise ou l'organisme
renonce au secret professionnel ou au privilège relatif au litige. C'est
une situation qui est vécue par mes
homologues, et nous réclamons tous d'avoir cette disposition expresse, parce
que ça prend une disposition expresse
pour écarter le secret professionnel ou d'autres privilèges génériques comme le
privilège relatif au litige. Et je crois que c'est la commissaire
fédérale qui a obtenu une disposition, la loi qui est citée en bas de page.
M. Tanguay : C'est clair que ça, ça serait testé devant les
tribunaux. Il faudrait voir, donc, le poids et le contrepoids que ça
pourrait avoir par rapport... Entre autres, le secret professionnel entre
avocat, client, il y aurait... Une question réellement...
Peut-être que vous en traitez, là, dans votre mémoire,
mais, de façon succincte, je vous poserais la question... Si, demain matin, la loi... Si d'aventure, demain
matin, la loi était sanctionnée, quels seraient, pour vous, les délais de
sa mise en application pour justement vous permettre d'être effectifs dans ce qui
seraient, là, à la lumière de la mouture qui est devant nous, vos nouvelles responsabilités et obligations? Quels
seraient les délais ou les fenêtres de mise en vigueur, en ce qui vous
concerne, ou vous n'avez pas besoin de délais? Vous allez nous le dire.
Mme
Poitras (Diane) : En fait,
c'est sûr qu'on a besoin de délais. On pourrait penser à une mise en vigueur
en paliers. C'est sûr que le volet pour
lequel... qui va demander le plus de travail, c'est tout le volet des sanctions
administratives pécuniaires. Il y a tout un régime à mettre en place,
une procédure à adopter pour les critères, la même chose pour les sanctions
pénales. Donc, ce régime-là, cette section-là de la loi pourrait entrer en
vigueur par la suite. Mais pour le reste, là, un an, il n'y aura pas de
problème, avec les ressources nécessaires, évidemment.
Le Président (M.
Bachand) : Merci. Mme la députée de Notre-Dame-de-Grâce.
Mme Weil :
Oui. Alors, bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de
vous pendant la consultation. Vous
avez peut-être suivi... On parlait de, comment dire, comment
faire en sorte de prévoir un accompagnement de votre part pour des plus petites entreprises
qui, face aux obligations que contient la
loi, une fois qu'elle sera adoptée, seraient débordées, dépassées,
incapables, sans l'expertise possible... sans les ressources humaines ni
financières, etc.
Et donc on a
posé la question à plusieurs intervenants, experts, qui ont dit : Oui, en
effet, ce serait une très bonne idée...
et que la CAI puisse aussi fournir des guides, vraiment, des orientations pour
tous ceux... On était beaucoup... Je vous dirais, au tout début, c'était plus le secteur des entreprises qui
doivent... qui auront à respecter la loi, mais qui n'ont pas les
compétences pour le faire... mais d'autres enjeux et d'autres intervenants qui
touchent d'autres domaines de l'activité humaine qui feraient en sorte qu'ils
sont soumis.
Comment vous
voyez ce rôle? Est-ce que vous l'avez envisagé auparavant? J'imagine, lorsque
la loi a été... ou le projet de loi a
été déposé... mais là on a été un peu plus concrets avec des exemples. On a
parlé de l'Europe, justement, avec
des pénalités très sévères, d'une part, mais, en même temps, il y a un
accompagnement pour justement éviter que les organismes se trouvent dans le trouble, n'ayant pas respecté la loi.
Juste peut-être vous entendre sur ce rôle-là que vous auriez ou qui
pourrait vous être attribué.
Mme
Poitras (Diane) : Alors,
oui, merci pour cette question. Oui, nous avons envisagé ce rôle. Ça fait
même partie d'une des orientations dans
notre planification stratégique 2019‑2023. Pour la commission, ce qui est important, c'est que les entreprises
et les organismes respectent la loi. On a tout intérêt, en prévention, à ce
qu'ils comprennent bien leurs obligations,
qu'ils aient des outils pour bien l'appliquer et la respecter. Ça fait moins de
travail en surveillance, par la suite, pour nous. Notre objectif, c'est
d'éviter les mailles.
Et je vous
dirais qu'on a tenté, à la hauteur de nos moyens, de fournir des guides. On a
le guide dont je vous parlais, sur l'évaluation des facteurs relatifs à
la vie privée. On a fait un guide sur la biométrie. Notre site Internet en
contient quelques-uns. Bien sûr, on pourrait en faire d'autres en ayant
les ressources nécessaires. Et, comme je vous le dis, l'objectif
ultime, c'est que la loi soit respectée, ce n'est pas d'imposer des sanctions à
des entreprises qui ne veulent que respecter la loi.
D'ailleurs,
une petite parenthèse, en ce moment, quand on a une plainte, le premier contact qu'on
fait avec l'entreprise,
c'est clair que, si l'entreprise veut se conformer, ça ne se rendra pas en
enquête. Le dossier va être fermé. On va expliquer à l'entreprise qu'est-ce qu'elle
doit faire pour se conformer, puis le dossier peut être fermé. On ne
s'amuse pas à faire des enquêtes puis à émettre des ordonnances dans ces situations.
Mme Weil : C'est une approche préventive, essentiellement, parce qu'ils sont de bonne foi, mais peut-être vraiment pas
équipés. Les grands, par exemple, je pense qu'on a entendu Option Consommateurs
nous donner un autre portrait, évidemment, de pratiques excessives, et, bon, on n'est pas
là-dedans. C'était vraiment les PME ou les PPME et peut-être d'autres entreprises qui n'ont tout
simplement pas les compétences.
Donc, dans un
cas comme ça, est-ce que vous allez chercher, disons, dans certains domaines
très techniques ou très avancés...
mais, quand même, ce serait une petite entreprise.
Je ne le sais pas exactement. Est-ce que vous, vous serez appelés à chercher des ressources externes parfois
ou est-ce que vous voyez plus le rôle en termes d'explication de la loi,
pas nécessairement l'implantation des mesures de protection de renseignements? C'est parce qu'il y a un aspect qui est très technique puis, l'autre aspect, c'est vraiment
de comprendre le fond de la loi puis des obligations. Alors, dans ce cas-là,
est-ce que vous entrevoyez peut-être d'être obligés parfois d'aller chercher
des expertises à l'extérieur?
Le Président (M.
Bachand) : Rapidement, Me Poitras, s'il
vous plaît. Le temps file. Merci.
Mme
Poitras (Diane) : En fait,
je vous dirais que tous les moyens... Ce qu'on pense, c'est d'être le plus
efficace possible quand on essaie de rejoindre les entreprises. Ça répond à
votre question?
Mme Weil : D'accord. Merci.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour,
Me Poitras, Me Desmeules. Merci d'être avec nous ce soir en commission
parlementaire. Je vais y aller rapidement.
Vous
recommandez que les partis politiques soient soumis aux mêmes cadres juridiques
que les entreprises privées. Ça contraste avec l'avis de la Commission en éthique sur les sciences et
technologies, qui nous a dit plus tôt que les cadres juridiques devaient être pensés en fonction de la
nature des organisations puis de leur finalité sociale. Je pense qu'on
va tous convenir qu'une entreprise
privée puis un parti politique, ça a des finalités sociales différentes. Pourquoi
est-ce que, selon vous, il faudrait être indifférent à cette question-là
et appliquer le même cadre juridique à une entreprise privée puis à un parti
politique?
• (21 heures) •
Mme Poitras (Diane) :
En fait, comme la protection des renseignements personnels dans la loi est
organisée autour de la finalité poursuivie,
je pense qu'il y a une place à ça. Et il ne faut pas voir le fait que vous
êtes... que les partis politiques
seraient assujettis aux mêmes règles que les entreprises. Il ne faut pas y
voir qu'on les assujettit à des entreprises commerciales. Actuellement,
les organismes à but non lucratif sont assujettis aux mêmes règles, et, comme
je le mentionnais, ça fonctionne en Colombie-Britannique.
M.
Nadeau-Dubois : Deuxième élément, votre recommandation n° 18, vous parlez de... votre mémoire parle de... Donc, vous recommandez de limiter ou d'interdire l'utilisation de renseignements personnels en certaines circonstances
préjudiciables aux individus ou portant atteinte à leurs droits fondamentaux.
Concrètement, à quelles circonstances
faites-vous allusion ici? Pouvez-vous nous donner des exemples?
Mme Poitras
(Diane) : Tout à fait,
l'exemple... j'ai parlé tout à l'heure d'utilisation des renseignements
génétiques dans un contexte d'assurance ou
d'emploi. On peut penser à l'utilisation biométrique... des renseignements
biométriques, pardon, pour faire du
profilage. Alors, prendre votre image pour, un exemple concret, là, prendre...
Certains prétendent qu'à partir de votre image ils sont capables de
déterminer votre orientation sexuelle. C'est le genre d'utilisation qu'on ne
devrait pas faire.
M. Nadeau-Dubois : Oui.
Seriez-vous capable de nous donner des exemples qui ne sont pas relatifs à des
renseignements biométriques?
Mme Poitras
(Diane) : Bien, les exemples
d'utilisation de renseignements génétiques dont je vous parlais, c'est
souvent, probablement les renseignements sensibles dont on va parler.
M. Nadeau-Dubois :
Votre recommandation suivante, la n° 19, vous parlez de...
Vous nous invitez à revoir et à préciser la définition de «fins
compatibles». Comment faudrait-il, selon vous, la clarifier?
Mme Poitras
(Diane) : C'est sûr qu'il y
a déjà un bon commencement avec le lien pertinent... direct et
pertinent. Notre crainte, c'est que, dans le
secteur privé, ça puisse donner lieu à certains abus que peut-être on ne
verrait pas dans le secteur public.
Je n'ai pas ce soir... Ça nous fera plaisir, là, de voir et de collaborer, le
cas échéant, mais je n'ai pas une précision à vous donner ce soir.
M. Nadeau-Dubois : Ça, on
serait intéressés à recevoir des suggestions de votre part.
Et,
en terminant, M. le Président, Option Consommateurs est venue plus tôt nous
recommander de vous confier un
pouvoir carrément d'enquête, d'aller dans certaines entreprises privées pour
ouvrir la boîte des algorithmes et voir quel est le code et quelle est
l'utilisation qui est faite dans le privé des renseignements personnels.
Est-ce que
c'est le genre de pouvoir que vous souhaiteriez avoir, aimeriez avoir? Et
qu'est-ce que vous en feriez d'un tel pouvoir?
Mme Poitras
(Diane) : En fait, c'est
intéressant parce qu'on... La réponse courte : Je crois qu'on a le
pouvoir d'obtenir toute information qui nous permet d'avancer dans le cadre
d'une enquête et de réaliser notre mission.
Dans le cas
de l'intelligence artificielle, il y a certains algorithmes que même les
concepteurs ne sont pas capables de
comprendre. Je ne vous cacherai pas aussi que ça prend des experts techniques à
la commission qui seraient capables de comprendre
ces algorithmes-là ou la possibilité de faire affaire avec des experts externes
qui pourraient nous accompagner. Mais on pense qu'on a déjà un
pouvoir...
Le
Président (M. Bachand) :
Merci beaucoup, Me Poitras, Me Desmeules. Merci beaucoup d'avoir été
avec nous ce soir, c'était très apprécié.
Mémoires déposés
Cela dit,
avant de terminer, je dépose les mémoires des personnes et organismes qui n'ont
pas été entendus. Je vous remercie de votre contribution.
La commission, ayant accompli son mandat,
ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 21 h 03)