To use the Calendar, Javascript must be activated in your browser.
For more information

Home > Parliamentary Proceedings > Committee Proceedings > Journal des débats (Hansard) of the Committee on Institutions

Advanced search in the Parliamentary Proceedings section

Start date must precede end date.

Skip Navigation LinksJournal des débats (Hansard) of the Committee on Institutions

Version finale

42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)

Wednesday, March 10, 2021 - Vol. 45 N° 123

Clause-by-clause consideration of Bill 64, An Act to modernize legislative provisions as regards the protection of personal information


Aller directement au contenu du Journal des débats

Table des matières

Étude détaillée (suite)

Intervenants

M. André Bachand, président

M. Éric Caire

M. Marc Tanguay

M. Gabriel Nadeau-Dubois

M. Mathieu Lévesque

*          M. Jean-Philippe Miville-Deschênes, Secrétariat à l'accès à l'information et à la réforme des
institutions démocratiques

*          Témoin interrogé par les membres de la commission

Journal des débats

(Onze heures trente-six minutes)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bienvenue. Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte.

La commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. M. Zanetti (Jean-Lesage) est remplacé par M. Nadeau-Dubois (Gouin) et Mme Hivon (Joliette) est remplacée par M. Ouellet (René-Lévesque).

Étude détaillée (suite)

Le Président (M. Bachand) : Merci. Je vous informe que les votes pour ce mandat devront se tenir par appel nominal, et ce, jusqu'au 2 avril 2021.

De plus, je vous rappelle qu'en fonction des mesures de distanciation physique énoncées par la Santé publique, vous devez conserver votre place assise en commission. De plus, le port du masque de procédure est obligatoire en tout temps, hormis au moment de prendre la parole dans le cadre de nos travaux.

Lors de l'ajournement de nos travaux le mercredi 17 février 2021, il avait été convenu de suspendre l'étude de l'amendement visant à introduire l'article 12.1 et celui visant à introduire l'article 13.1, qui ont été tous les deux déposés par le député de René-Lévesque.

Nos discussions, à ce moment-là, portaient donc sur l'article 63.4 énoncé à l'article 14 du projet de loi. Interventions? On avait sur 63.4 puis on avait discuté de 63.5 aussi, où on avait eu une adoption d'amendement. M. le député de LaFontaine.

M. Tanguay : Oui. Bien là, on a le défi de se remettre dans un dossier qui est à rebours, qui est par saccades, dirions-nous. Ça fait que 63.4, M. le Président, je pense que vous nous aviez indiqué, sans que ce soit formel, que nous allions descendre les articles. Je pense qu'on avait discuté beaucoup de 63.4. Est-ce que nous étions donc rendus, dans notre logique... Vous le voyez, on y allait, grosso modo, article par article.

Alors, est-ce qu'on pourrait peut-être demander au ministre de lire 63.5, toujours en n'étant pas forclos de revenir en arrière? Puis on pourrait peut-être relire 63.5. Je pense qu'on était rendus là.

Le Président (M. Bachand) : Il avait été lu puis il avait été amendé, mais on avait... Il y avait un amendement qui avait été proposé pour 63.4. On était revenus alors.

M. Tanguay : Puis on n'a pas, dans nos travaux, d'amendement suspendu, là, à 60... à 14, là.

Le Président (M. Bachand) : Non, non, mais on va avoir des amendements supplémentaires plus tard dans l'étude.

M. Tanguay : O.K. Ça fait qu'on pourrait peut-être inviter le ministre, peut-être, si ça lui chante, de nous relire 63.6. On serait rendus là puis là on pourrait le...

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Caire : Merci, M. le député de Gouin...

M. Nadeau-Dubois : ...M. le Président.

M. Tanguay : On se passe la puck.

M. Nadeau-Dubois : C'est de l'entraide. On était en train de discuter de 63.5, en fait, si mon souvenir est bon, parce que j'avais posé...

Une voix : ...

M. Nadeau-Dubois : Oui, 63.5, puisque j'avais posé une question sur le caractère public de l'évaluation des facteurs relatifs à la vie privée. Il me semble que j'avais à peine eu le temps, même, de poser la question, puis la séance s'était interrompue. Ça fait que je peux essayer de reprendre le questionnement? Oui.

Une voix : ...

M. Nadeau-Dubois : Je veux la réponse maintenant. Non. Ma question était au sujet, donc, de 63.5, où on peut lire que «les organismes publics doivent procéder à une évaluation des facteurs relatifs à la vie privée», et le Barreau du Québec, à la page 21 de leur mémoire, posait la question : Pourquoi ne pas exiger de la part des organismes publics que soit rendue publique l'évaluation des facteurs relatifs à la vie privée? Et je me demandais, donc, si le ministre avait une réponse à cette interrogation formulée par le Barreau du Québec.

M. Caire : En fait, je vais peut-être demander à Me Miville-Deschênes de répondre à cette question. J'essaierai tentativement une réponse qui ferait en sorte que je me demande s'il n'y a pas une question de mettre à jour des informations qui pourraient être préjudiciables pour les organismes en question, mais je vais laisser Me Miville-Deschênes, là, répondre à cette question-là, puis ça va me permettre à moi aussi de me démêler dans mes affaires.

• (11 h 40) •

Le Président (M. Bachand) : Donc, est-ce qu'il y a consentement? Consentement. Me Miville-Deschênes, s'il vous plaît.

M. Miville-Deschênes (Jean-Philippe) : Oui. Dans le fond, dans l'évaluation des facteurs relatifs à la vie privée, il est susceptible d'y avoir des renseignements, là, qui pourraient être confidentiels. Notamment, en vertu de l'article 29 de la loi sur l'accès, là, c'est tout renseignement qui pourrait nuire à «l'efficacité d'un programme, d'un plan d'action ou d'un dispositif de sécurité». Donc, quand l'organisme public identifie certaines éventuelles failles de sécurité ou certains risques qui pourraient découler de la mise en place d'un système informatique, bien, il pourrait y avoir des renseignements là-dedans qui sont confidentiels.

Donc, dans certains cas, le fait de rendre publique une telle évaluation, bien, aurait pour effet... on peut croire que ça aurait pour effet d'aseptiser un peu cette évaluation-là, là, de sorte que les renseignements un peu plus confidentiels, bien, qui ne doivent pas, parce que c'est une restriction obligatoire, qui ne doivent pas être communiqués seraient retirés, là.

M. Nadeau-Dubois : Je comprends la préoccupation. Elle m'apparaît, à première vue, bien légitime. D'ailleurs, le Barreau le mentionne dans son mémoire en disant : «Le Barreau du Québec propose que ces évaluations devraient obligatoirement être rendues publiques, à moins que certains impératifs l'empêchent. On peut penser à de rares cas où la divulgation pourrait occasionner un risque quant à l'intégrité du système ou du logiciel.» Donc, pourquoi ne... Et je fais juste vraiment poser des questions pour bien comprendre l'intention du ministre puis pourquoi il a fait le choix, qui pourrait par ailleurs être justifié, de ne pas donner suite à cette recommandation du Barreau d'écrire dans la loi que les évaluations doivent être rendues publiques, quitte à inscrire des exceptions, notamment si ça représente des risques pour l'intégrité des systèmes ou pour répondre aux préoccupations que vient d'émettre Me Miville-Deschênes. Donc, pourquoi ne pas faire preuve de cette transparence pour que les citoyens et citoyennes qui sont en relation avec les organismes publics sachent que voici les risques théoriques auxquels je m'expose en transmettant mes renseignements personnels?

M. Caire : Bien, là-dessus, je vais, puis Me Miville-Deschênes pourra compléter, mais je dirais d'abord, puis là je vous parle un peu plus d'expérience, ce n'est pas... ça ne sera pas un épiphénomène dans le sens où les évaluations des facteurs relatifs à la vie privée n'amèneront que rarement des situations où ça pourrait être préjudiciable, et/ou pour l'organisme, et/ou pour le citoyen, parce que l'objectif est effectivement de mettre au jour d'éventuelles failles, que ce soit une faille technologique ou que ce soit une faille, bon, dans le système. Donc, c'est l'objectif de l'évaluation. Donc, de penser que ce ne sont que quelques évaluations qui vont nous conduire à ce résultat-là, à mon avis, ce n'est pas comme ça que ça va se traduire sur le terrain. Je pense que, de façon majoritaire, il y aura de ces situations-là dans un premier temps.

Dans un deuxième temps, cette évaluation-là, elle est évaluée par la Commission d'accès à l'information. Donc, ce chien de garde qu'on s'est donné collectivement va être capable de mesurer l'impact, de mesurer les dangers potentiels, les écueils potentiels, je devrais dire, dans ce qui pourrait être un... bon, ce qu'on a statué, là, une acquisition, un développement ou une refonte de système. La Commission d'accès à l'information va avoir ce rôle-là, justement, de protéger l'intérêt public et de préserver cette partie-là du travail de développement d'un système, d'une refonte ou d'une acquisition qui pourrait être préjudiciable soit pour nos organismes publics, parce qu'on comprend qu'ici on s'adresse à nos organismes publics, soit pour nos organismes publics, soit pour les concitoyens avec qui ils font affaire.

Donc, dans ce contexte-là, l'utilité de la rendre publique, je pense que, dans la balance des inconvénients, les inconvénients sont beaucoup plus grands que les avantages, notamment par le fait que la Commission d'accès à l'information va jouer ce rôle-là, de s'assurer qu'on ne se lance pas dans une acquisition, un développement ou une refonte qui va être préjudiciable pour le citoyen dans les façons de traiter nos renseignements personnels.

Le Président (M. Bachand) : M. le député de LaFontaine.

M. Tanguay : Oui. Merci beaucoup. Dans son mémoire, le Barreau proposait que ces évaluations soient publiques et être rendues publiques. Je ne sais pas, le ministre, qu'en pense-t-il? Évidemment sous réserve d'impératifs pouvant l'empêcher tels que protection des renseignements personnels ou les risques de sécurité...

M. Caire : C'est le plexiglas, le son ne se rend pas.

M. Tanguay : Hein?

M. Caire : C'est parce que le député de Gouin vient de me poser exactement la même question

M. Tanguay : Ah! Désolé.

M. Caire : Pas de problème.

M. Tanguay : Puis la... O.K. La réponse, c'est oui ou non? C'est parce que la réponse, là...

M. Caire : La réponse, c'est...

M. Tanguay : Est-ce que vous faites du temps?

M. Caire : La réponse... Non, mais ça va me faire plaisir de la répéter, M. le député, parce que je comprends la situation, là, puis on est tous à la même place. Ça a parti raide, un peu.

M. Tanguay : En plus, j'étais sûr que ma question était bonne. J'ai dit...

M. Caire : Non, mais ceci étant, elle est excellente.

M. Tanguay : Parce que j'étais convaincu...

M. Nadeau-Dubois : Je suis d'accord, elle est excellente.

M. Caire : Elle est excellente.

M. Tanguay : Bien, elle méritait d'être posée une deuxième fois.

M. Caire : C'est juste qu'elle arrive en deuxième, mais bon. C'est comme au salon bleu.

M. Tanguay : Non, mais le «executive summary», là, c'est oui ou c'est non?

M. Caire : Oui. Bien, en fait, c'est qu'il y a une possibilité de révéler des failles qui seraient préjudiciables contre l'organisation ou pour le citoyen en la rendant publique. Puis, de toute façon, c'est pour ça qu'on demande à la Commission d'accès à l'information de faire les évaluations, de ces évaluations-là, pour s'assurer que, quand on fait une refonte, bon, etc., on a bien évalué le risque potentiel et on a mis en place les mesures de mitigation pertinentes.

M. Tanguay : O.K. Ce qui va être public, à tout le moins, c'est qu'il y a, dans tel organisme public, untel projet en route qui occasionne tel coût. Tu sais, il y a toujours une publicité de l'octroi des contrats. Donc, tout ça, ça sera public, mais le «nitty-gritty» du système, le cas échéant, et son évaluation...

M. Caire : Oui. Le comment pouvez-vous nous attaquer, on ne le rendra pas public.

M. Tanguay : Ça, ça ne sera pas public. O.K. Et donc on préjuge que toute demande d'accès à l'information pour obtenir, justement, le détail serait systématiquement refusée à ce moment-là.

M. Caire : On peut penser que le préjudice ferait en sorte, effectivement, sans présumer de ce que la Commission d'accès à l'information et toute la structure qu'on vient de mettre en place prendraient comme décision, mais on peut penser que, ce document-là n'ayant pas un caractère public à sa face même, la réponse pourrait effectivement être négative.

M. Tanguay : En toute transparence, est-ce que le ministre est convaincu que la rédaction actuelle de la Loi sur l'accès à l'information prévoit... je pense que c'est aux articles 36, déjà, cette exception-là. Parce que je ne voudrais pas qu'on détourne le sens d'un article en disant : Bien, on va l'embarquer là-dedans. Si on veut faire un débat public sur le caractère non public de ces évaluations-là, en toute transparence, est-ce qu'il est satisfait de la rédaction actuelle de la loi?

M. Caire : Je vais laisser Me Miville-Deschênes répondre à celle-là.

M. Tanguay : Pas parce que je ne veux pas qu'on l'ait puis qu'on mette une porte bien cadenassée, mais je voulais savoir... que le débat soit fait. Puis, s'il faut mettre un article, bien, proposez-le, puis on va voter contre, tout simplement, là.

M. Miville-Deschênes (Jean-Philippe) : Oui, mais il y a une restriction qui est obligatoire. En fait, si la restriction s'applique, l'organisme est obligé de refuser. C'est le deuxième alinéa, là, de l'article 29 qui... Je vais vous le lire, là. Puis il a déjà été interprété pour protéger vraiment de l'information qui révélait des failles, là, dans des systèmes informatiques.

C'est : «L'organisme doit refuser de confirmer l'existence ou de donner communication d'un renseignement dont la divulgation aurait pour effet de réduire l'efficacité d'un programme, d'un plan d'action ou d'un dispositif de sécurité destiné à la protection d'un bien ou d'une personne.» Donc, c'est cette disposition-là qui est invoquée pour refuser de donner accès à ce type de renseignement qui serait préjudiciable.

M. Tanguay : O.K. Quel est l'état des lieux? Actuellement, des monopoles ont beaucoup de désavantages quant aux fournisseurs de services, le cas échéant, parce que, là, j'entends qu'il va falloir formaliser l'évaluation, la mise en place de tels systèmes, puis ça va être plus qu'hier et moins que demain. Quel est l'état des lieux? Je sais que ce n'est pas dans la cour du ministre, mais j'imagine... Est-ce qu'on va faire ça à l'interne? Est-ce qu'on va donner ça à des fournisseurs externes? Est-ce qu'il y a une saine écologie d'acteurs à l'extérieur pour s'assurer que ça ne soit pas tout le temps un quasi-monopole d'une compagnie qui fait tout ça clé en main, puis c'est bien parfait, mais qu'à un moment donné, collectivement, on se rend compte que, oups, on a peut-être échappé...

M. Caire : C'est une excellente question, M. le député. En fait, il y a une demande actuellement de la Commission d'accès à l'information pour que le gouvernement se dote d'outils qui vont permettre d'automatiser et de systématiser ce genre d'évaluation là. Et il y a aussi une expertise. Parce que la notion d'évaluation des facteurs relatifs à la vie privée n'est pas une notion qui arrive avec le projet de loi n° 64, on l'avait déjà adoptée dans le projet de loi n° 14 l'année dernière, où il y a... En tout cas, ma mémoire me fait défaut, vous m'excuserez, mais on avait déjà adopté cette notion-là. Donc, déjà, au niveau de la Commission d'accès à l'information et au niveau des ministères et organismes, on était sensibilisés au fait que cette situation-là allait prévaloir. Donc, dans le fond, ce qu'on fait ici, c'est de formaliser, dans la loi sur la protection des renseignements personnels, cette procédure-là, cette façon de faire. Mais déjà il y a une expertise à l'interne qui se met en place. On nous demande des outils aussi. Comme je vous ai déjà dit, là, on nous demande des outils, demande à laquelle nous acquiesçons, évidemment — là, il faut quand même prendre le temps de le faire — pour formaliser et systématiser la production de ces évaluations-là.

Donc, l'objectif n'est pas d'aller à l'externe ou... Je ne dis pas que ça n'arrivera jamais, je ne dis pas qu'il n'y a pas des expertises externes qui seront nécessaires, mais l'idée, c'est de se donner au moins les assises à l'interne pour qu'on puisse avoir cette capacité-là de produire de telles évaluations.

• (11 h 50) •

M. Tanguay : Et dans le contexte du débat de l'article 1 qui référait au nouvel article 8, notamment, et suivants, on se rappellera qu'on avait eu la confirmation du ministre que... parce que, là, 63.5, au coeur de l'action, il y a le comité sur l'accès à l'information et à la protection des renseignements personnels, ce comité-là. On avait déjà eu la discussion avec le ministre, qui pourra, le cas échéant... Des membres externes pourraient, le cas échéant, être assis à la table de ce comité-là. Ça pourrait vouloir dire le représentant d'un fournisseur qui a eu le mandat de procéder?

M. Caire : Ça pourrait, oui, effectivement, pour avoir peut-être une connaissance plus approfondie de l'application. Ça pourrait être aussi des expertises par rapport à des technologies plus récentes. Je pense aux chaînes de blocs. Quand on parle de protection de communication, je pense à l'intelligence artificielle, notamment, où, au sein du gouvernement, c'est des expertises qui sont naissantes et pour lesquelles il pourrait y avoir temporairement un besoin d'aller à l'externe.

M. Tanguay : Est-ce que le ministre a une évaluation du coût que ça va représenter? Ou a-t-il demandé... Je ne vais pas lui demander le coût pour tout le monde, là.

M. Caire : Oui. Bien, écoutez, je veux... Oui, il y a une évaluation des coûts qui a été...

M. Tanguay : Il faut s'attendre à ce que...

M. Caire : Bien, je vous avoue que... Écoutez, l'évaluation qui a été faite, je vous le dis... Puis, je ne sais pas, on a-tu le... On peut-tu fournir les documents à la commission à cet effet-là, là? Les évaluations qui ont été faites, si ma mémoire est bonne, seraient de 11 000 $ environ pour la mise en place de tout ça dans une organisation.

M. Tanguay : 11 000 $? Dans une organisation donnée?

M. Caire : Oui, dans une organisation.

M. Tanguay : Ah oui? 11 000 $. Si on pouvait avoir le détail...

M. Caire : Mais là c'est pour ça que je suis un peu... J'y vais sur la pointe...

M. Tanguay : Ça me semble peu. Ça me semble peu, 11 000 $, pour... Évidemment, là, tu sais, ça peut être... Il y a des plus petits puis des plus gros organismes, là.

M. Caire : Oui, c'est ça, c'est des moyennes puis c'est des... En tout cas, je... Mais je m'engage à fournir l'information qu'on a là-dessus à la commission et je laisserai mes collègues évaluer...

M. Tanguay : À 11 000 $, j'en prendrais deux. Et je ferais écho...

M. Caire : Oui, d'accord. J'envoie ça à quelle adresse?

M. Tanguay : Bien, regardez bien, ça, vous vous l'enverrez. Le Barreau du Québec a recommandé également la mise en place, puis je reviens là-dessus, on ne refera pas le débat, d'une disposition transitoire afin que les organismes publics procèdent à une analyse des systèmes d'information déjà en place.

Tu sais, quand on se disait... Il y a le coût. 11 000 $, j'en prends deux. J'en prends deux, là, mais il y avait l'aspect organisationnel puis sclérosant de ce mandat-là pour ce qui est en place. Mais je pense, puis je relance l'idée, puis je ne redirai pas tout ce que j'ai dit, M. le Président, mais je pense que le gros, gros... 100 % des données, à l'heure actuelle, c'est dans les systèmes actuels. Alors, si on fait la loi uniquement pour l'avenir, il va y avoir des organismes qui n'auront, pour les prochaines années, pas de nouveau système à implanter et ils n'auront pas procédé à un état des lieux, évaluation quant à la conformité de leur système actuel qui contient 100 % des renseignements personnels.

Alors, je relance l'idée au ministre. Il faudrait trouver une voie de passage, quelque chose pour qu'ils y jettent un oeil, sans que ce soit... Puis j'avais même... Excusez-moi. Rapidement, j'avais même dit : Bien, on pourrait... Puis je pense qu'on avait déposé un amendement là-dessus, par rapport au fait de demander que, pour les systèmes actuels, il y ait une évaluation qui soit faite, mais sans que ce soit formalisé, tel que rédigé par 63.5.

M. Caire : Bon, bien, M. le Président, je vais revenir sur cette discussion-là qu'on a eue avec le député de LaFontaine. Puis il faut comprendre, là, que je n'ai plus le chiffre, exemple, le chiffre en tête, là, mais c'est des milliers de systèmes dont le gouvernement du Québec dispose présentement, puis tous, d'une façon directe ou indirecte, vont traiter des renseignements, ou personnels, ou sensibles, ou etc., pour lesquels il faudrait faire une évaluation. Donc, je laisse... Puis en admettant, là, en admettant que le coût dont je vous parle, il est exact, je vais laisser le député de LaFontaine faire le calcul de ce que ça représente pour le contribuable québécois.

Pour faire quoi? Pour en arriver à quoi? L'idée d'une évaluation des facteurs relatifs à la vie privée, c'est de voir, dans les processus, dans la façon de faire, dans ce qui est planifié, dans ce qui est prévu, dans ce que sont les résultats attendus d'un système, quels sont les facteurs qui pourraient représenter un risque ou une faille pour la vie privée. Or, les systèmes que nous utilisons, ces éléments-là, ils sont connus, on les connaît. On connaît les intrants, on connaît les extrants, on connaît les manipulations, on sait qui a accès à quoi, qui a la permission de faire quoi avec ça. On le sait déjà parce que c'est l'usage qui nous a permis d'aller chercher cette information-là.

Donc, l'évaluation des facteurs relatifs à la vie privée, dans ces cas-là, ne nous apporterait pas de réponse que nous n'avons pas. Et c'est là où je dis aux collègues : Nous sommes aussi, à l'Assemblée nationale, gardiens des deniers des contribuables. Ce sont les députés de l'Assemblée nationale qui dotent le gouvernement de ses budgets. Puis je sais que mon collègue est très sensible à ces questions-là. Alors, on parle de millions de dollars pour un exercice qui ne va pas produire d'effet positif.

Alors, c'est là où je dis : C'est pour ça qu'on l'impose pour les futurs systèmes. Parce que les futurs systèmes, c'est des questions pour lesquelles on doit trouver ces réponses-là, et non pas par la pratique du terrain, mais il faut que ces évaluations se fassent justement avant qu'on les déploie. Puis c'est même une mesure qu'on a mise... deux mesures, en fait, qu'on a mises dans la politique de cybersécurité. La première, c'est, quand on dessine un système, il faut avoir cette pensée-là de sécurité. Et quand on acquiert un système, il faut faire ces évaluations-là pour savoir, lorsqu'on va le déployer, est-ce qu'on va avoir des mauvaises surprises, oui ou non? C'est ça, l'idée. Donc là, à ce moment-là, c'est pertinent de le faire dans les paramètres dont nous avons discuté précédemment, avec les amendements que nous avons apportés.

C'est la même logique qui fait que je disais aux collègues... tu sais, on a commencé l'article en disant «tout système» puis là on s'est dit : Bien non, parce qu'il y a bien des moments où une telle évaluation ne sera pas pertinente. Donc, on va engager des ressources matérielles, financières et humaines à faire quelque chose qui n'a pas d'utilité. C'est pour ça qu'on a apporté la modification de dire «acquisition, développement ou refonte» parce que, là, effectivement, on est dans une situation où ces questions-là se posent et où on doit aller chercher les réponses.

Le Président (M. Bachand) : M. le député, s'il vous plaît.

M. Tanguay : Très rapidement, puis je... On l'avait fait, le débat. On avait déposé l'amendement 63.4.1 qui demandait que ça soit fait pour les systèmes actuels dans les six mois, puis ça aurait pu être un an, puis ça aurait pu être un autre délai, évidemment. Puis, en tout respect, je ne suis pas d'accord avec le ministre, en tout respect, puis c'est pour ça que ça...

M. Caire : C'est correct.

M. Tanguay : C'est pour ça qu'on siège. C'est bien correct. Moi, je pense que coût-bénéfice... Tout a un coût. Coût-bénéfice, je pense que le jeu en vaut la chandelle. Et allez parler à toutes celles et ceux qui, tant au ministère du Revenu, au ministère de la Santé, au ministère de l'Éducation, de l'Enseignement supérieur, qui ont été victimes de vol de données parce que, visiblement, il y avait des carences.

Évidemment, un système parfait à 100 % et à l'abri à 100 %, je veux dire... La CIA se fait hacker aux États-Unis, M. le Président, puis il y en a qui sont capables d'entrer. Alors, des systèmes parfaits, ça n'existe pas. Il y aura toujours une course technologique face aux malfaiteurs. Des fois, ils vont être en avance, des fois, nous, on sera en avance, mais je pense que, coût-bénéfice, le jeu en aurait valu la chandelle. Voilà, tout simplement.

Le Président (M. Bachand) : Merci. Interventions? Sinon, on continue l'étude de l'article. On serait à 63.6. M. le ministre.

M. Caire : Oui, merci, M. le Président. J'ai un amendement. Non, c'est à 63.6.1. O.K. Excusez. Non, mais je vais me remettre dedans, là, promis, promis, promis.

63.6, M. le Président, se lirait comme suit : «Le comité peut, à toute étape d'un projet visé à l'article 63.5, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :

«1° la nomination d'une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;

«2° des mesures de protection des renseignements personnels dans tout document relatif au projet, tel un cahier des charges ou [de] contrat;

«3° une description des responsabilités des participants au projet en matière de protection des renseignements personnels;

«4° la tenue d'activités de formation sur la protection des renseignements personnels pour les participants au projet.»

Donc, M. le Président, le 63.6., cet article prévoit que le comité sur l'accès à l'information et à la protection des renseignements personnels peut, à toute étape d'un projet de système d'information ou de prestation électronique de services visé par l'article précédent, suggérer des mesures de protection des renseignements personnels applicables à ce projet telles que certaines mesures qu'il énumère.

Le Président (M. Bachand) : Merci, M. le ministre. Interventions? M. le député LaFontaine, s'il vous plaît.

• (12 heures) •

M. Tanguay : Oui. Merci, M. le Président. Je retombe dans l'article 8 et 8.1. De facto, la plus haute autorité, est-ce qu'elle est membre du comité de facto, ou elle constitue le comité?

M. Caire : Elle le constitue.

M. Tanguay : Elle le constitue puis elle n'y siège pas.

M. Caire : Non.

M. Tanguay : O.K. Est-ce qu'il est bon que le comité sous-délègue la nomination d'une personne chargée de la mise en oeuvre des mesures de protection sans qu'il y ait une sorte de lien fait avec la plus haute autorité ou...

M. Caire : Bien, en fait, c'est que la plus haute autorité, de par la loi, sera toujours responsable, sera toujours imputable. C'est d'ailleurs, je vous dirais, le coeur de l'argument que nous avons eu, vous et moi, pour lequel nous étions entièrement d'accord, d'ailleurs. Donc, tout acte de délégation se fait dans l'exécution d'une tâche mais non pas dans la responsabilité qui incombe au premier dirigeant de l'organisation.

Le Président (M. Bachand) : Interventions? Sinon, nous allons continuer. M. le ministre, vous aviez un amendement.

M. Caire : Oui, 63... cette fois, j'y suis, 63.6.1. Donc, l'amendement se lit comme suit : Insérer, après l'article 63.6 de la Loi sur l'accès aux documents des organismes publics et de la protection des renseignements personnels, proposé par l'article 14 du projet de loi, l'article suivant :

«63.6.1. Un organisme public qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s'assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

«Ne sont pas visés au premier alinéa les paramètres de confidentialité d'un témoin de connexion.»

Le Président (M. Bachand) : C'est beau. Alors, on va suspendre quelques instants...

M. Caire : Bon, bien...

Le Président (M. Bachand) : Oui?

M. Caire : Ah! il n'avait pas été déposé, M. le Président?

Le Président (M. Bachand) : C'est parce qu'il était... il avait été déposé, mais je pense qu'il a été retiré puis il va être redéposé.

M. Caire : Ah! c'est le nouvel amendement, oui, effectivement. C'est pour mettre la...

Le Président (M. Bachand) : C'est ça. Merci.

Ça fait qu'on va suspendre quelques instants. Merci.

(Suspension de la séance à 12 h 02)

(Reprise à 12 h 04)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Interventions sur l'amendement du ministre? M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui, j'aimerais savoir qu'entend le ministre lorsqu'il dit : «Un organisme qui recueille des renseignements personnels en offrant au public un produit [...] disposant de paramètres [...] doit s'assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.»

Je vous donne un exemple bien tangible que j'ai vécu, moi. Je devais envoyer à Revenu Québec un document, et c'était bien, bien, simple, l'affaire. J'avais parlé à la dame au téléphone, ça allait super bien, elle dit : Envoyez-le-moi. Moi, c'est un document qui était, par ailleurs, public, mais elle a dit : Non, non, vous devez l'envoyer de façon sécurisée. Puis vous savez, dans nos vies, du temps, on n'en a pas... des fois, on n'en a pas de lousse. Alors, je lui dis : Quelle est votre adresse courriel? Je l'ai, votre adresse courriel. Elle a dit : Non, non, non, vous devez l'envoyer de façon sécurisée. Bien, j'ai dit : Il est public. Non, correct, parfait. Alors, je vous envoie la procédure. Elle m'envoie la procédure. Je reçois un courriel, et là je devais... c'est là, «aucune intervention de la personne concernée», je devais aller créer un compte, me faire un mot de passe, m'identifier et télécharger de façon sécurisée le document qui, par ailleurs, est public, pour pouvoir lui envoyer puis qu'elle le récupère. Moi, je l'aurais imprimé, là, puis, si on n'était pas en pandémie, j'aurais...

Alors, est-ce que c'est ça qu'on vise ici? Parce que ça m'a demandé, honnêtement, moi, comme citoyen... Je pense que, finalement, je ne l'ai même pas envoyé parce que je me disais : Elle va l'avoir, de toute façon, selon les voies naturelles, puis c'est ce qui est arrivé.

M. Caire : Bien, en fait, non, ce n'est pas à ça... parce que là on parle vraiment d'une transmission d'une information entre vous et un organisme public. Donc, sur la transmission, bon, ils sont tenus à certaines procédures, surtout dans le cas de Revenu Québec. Ceci étant, je ne me permettrai pas de juger si c'est exagéré ou non, je vais vous laisser ça, là.

Mais ici, ce dont on parle, c'est que si vous avez... si vous utilisez un système sur un... ou un site Web, ou une application de toute nature et que les paramètres de sécurité... bien, en fait, la sécurité est paramétrisable, dans le sens où vous pouvez autoriser, je ne sais pas, moi, l'utilisation de votre adresse IP, vous pouvez utiliser... quoique ça, ce n'est pas vraiment sécurisé, mais bon, vous pouvez définir par quelles caractéristiques de sécurité vous voulez que l'échange ou l'utilisation de l'application soit fait.

Ce qu'on demande, c'est que, par défaut, on vous offre les plus hauts paramètres de sécurité qui sont disponibles dans l'application sans que vous ayez à aller à paramètres, paramètres d'affichage, sous-paramètres de ci, aller cliquer ici et là parce que vous ne voulez pas... Par exemple, Google, vous ne voulez pas que Google garde des renseignements, donc là vous dites : O.K., bien là, je vais aller le paramétrer pour qu'il n'y ait pas de renseignement dans mon navigateur qui soit conservé, ou etc. Donc, quand vous utilisez une application, ce qu'on dit, c'est qu'elle doit d'emblée vous amener dans son environnement le plus sécurisé possible sans que vous ayez à intervenir.

M. Tanguay : O.K. Avez-vous un exemple concret?

M. Caire : Bien, je vous dirais, mettons, quand vous... Oui, ce n'est peut-être pas le meilleur exemple. Quand vous allez sur Google, vous pouvez...

M. Tanguay : Mais avec un organisme public.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : L'application de la SAQ. La SAQ, c'est un organisme public, ils ont une application où il y a des fonctions de localisation.

M. Caire : C'est un bon exemple. Il y a des fonctions de localisation, il y a l'utilisation de certains paramètres d'identification.

M. Nadeau-Dubois : Des fonctions de profilage aussi.

M. Caire : Oui, je pense que tu peux utiliser ta carte.

M. Nadeau-Dubois : L'application...

M. Tanguay : La carte Inspire?

M. Caire : La carte Inspire, oui.

M. Nadeau-Dubois : Bien, il y a la carte, mais il y a l'application. Moi, je ne l'utilise jamais.

M. Tanguay : C'est pour d'autres, c'est pour d'autres.

M. Nadeau-Dubois : Bien, c'est pour les gens qui parfois boivent du vin. Moi, ça ne m'arrive jamais, mais on m'informe que l'application de la SAQ a des fonctions de localisation.

M. Caire : Des citoyens nous ont dit que...

M. Nadeau-Dubois : Exact. Des fonctions de profilage aussi, peut enregistrer les achats qu'on fait pour créer un profil de consommateur puis nous proposer certains produits. Ça fait que ça, je pense, c'est un bon exemple concret parce que c'est un organisme public.

Est-ce qu'en fonction de cet amendement-là, les... On va y aller schématiquement, là, mais est-ce que, par exemple, les fonctions de localisation de l'application de la SAQ devraient être d'emblée désactivées quand on télécharge l'application?

M. Caire : Si ça va dans le sens de vous offrir le plus haut niveau de protection possible dans l'application, la réponse à cette question-là, c'est oui.

M. Nadeau-Dubois : Mais est-ce que ça implique que nécessairement... parce que là je prends l'exemple de la SAQ, mais, tu sais, je ne le sais pas, est-ce que la SQDC a une application? Bien, on pourrait penser à plusieurs organismes publics qui développent des applications de service à la clientèle. Puis on sait que, de plus en plus, la mode, on peut le critiquer ou pas, là, mais, bon, tu sais, c'est de faire de la publicité ciblée, de proposer les options proches du consommateur. On pourrait imaginer d'autres applications d'autres organismes publics qui auraient des fonctions comme celle-là. Est-ce que la fonction de localisation devrait être nécessairement désactivée si on adopte l'amendement?

• (12 h 10) •

M. Caire : Oui, oui, oui. En fait, il faudrait que vous l'activiez. Donc, d'emblée, sans que vous interveniez, il faudrait que ce soit désactivé, et là on pourrait vous offrir de dire : Bon, bien, si vous voulez avoir tel et tel service, ça nécessite d'activer ce volet-là de l'application. Voulez-vous l'activer? Oui, je l'active, ou non, je ne veux pas l'activer, je vais me passer du service.

M. Nadeau-Dubois : Est-ce que ça implique nécessairement que les fonctions qu'on appelle, des fois, de profilage soient automatiquement désactivées? Par exemple, l'application de la SAQ, je présume puis je pense que c'est une hypothèse qu'on peut faire, enregistre les recherches qu'on effectue pour ensuite nous proposer des produits liés aux recherches qu'on a effectuées. Est-ce qu'une fonction comme celle-là, si on adopte l'amendement, devrait être désactivée?

M. Caire : Oui.

M. Nadeau-Dubois : Et il faudrait volontairement l'activer.

M. Caire : Voilà.

M. Nadeau-Dubois : O.K. Et tous les organismes publics devraient...

M. Caire : Se conformer.

M. Nadeau-Dubois : ...se conformer à ça.

M. Caire : Bien, évidemment, la loi s'applique à tous.

M. Nadeau-Dubois : Parfait. Bien, déjà, ça me permet de mieux comprendre un peu la portée de l'amendement.

M. Tanguay : O.K., je comprends, mais je ne le lisais pas pantoute comme ça. J'étais ailleurs, moi, j'étais sur d'autres choses, je ne le lisais pas comme ça. Une fois qu'on a dit, est-ce que ça inclut qu'une fois... Si je reprends l'application de la SAQ, je ne sais pas, je ne l'ai, pas cette application-là. J'ai la carte à points par contre.

M. Caire : Moi non plus, je ne bois pas de vin.

M. Tanguay : Quand je vais faire des commissions pour les autres, ils me laissent les points, c'est mon pourboire.

M. Caire : Bon bonhomme.

M. Tanguay : Mais si je veux... Parce que la SAQ, si je veux : Ah! quelle est la SAQ... j'imagine, quelle est la SAQ la plus près?, il va me géolocaliser puis il va m'offrir : Il y en a une à huit kilomètres, 11 kilomètres, 12 kilomètres. J'imagine que ça, ça implique qu'évidemment je vais leur permettre de me géolocaliser, mais ça implique aussi qu'après il n'y aura pas conservation, j'imagine. J'en suis sur l'aspect conservation.

Est-ce qu'on doit lire cet article comme étant que la SAQ, une fois que la demande a été faite, on lui a ciblé à huit kilomètres la SAQ la plus près, parfait, que je ne suis plus, après cette réponse-là... je ne suis plus géolocalisé après une certaine période de temps, je ne sais pas s'il y a un temps, et que cette information-là ne reste pas dans leur système, que ce soit... parce que la vie de l'information... On arrive toujours à la mort de l'information qui est... C'est quoi, le terme? Détruite...

M. Caire : Le cycle de vie, la destruction du cycle de vie.

M. Tanguay : Le cycle de vie, mais la dernière étape, c'est «détruite», c'est-tu ça?

Une voix : ...

M. Tanguay : Destruction, que ça soit détruit. Ça implique ça aussi, j'imagine?

M. Caire : Bien, en fait, là, on ne tombe pas dans la portée de l'amendement sur le cycle de vie de l'information puis l'utilisation. Ça, c'est vraiment quand vous faites une utilisation de l'application pour dire : Je vous convie dans l'environnement le plus sécuritaire que mon application peut vous proposer. Et donc à vous de paramétriser, après ça, pour permettre l'utilisation d'information ou d'outils d'information qui vont permettre de personnaliser votre navigation, mais le cycle de vie de ces informations-là ne sont pas traitées par l'amendement. Mais on va voir ça ailleurs, ceci étant.

M. Tanguay : On va voir ça ailleurs.

M. Caire : Oui, on voit ça ailleurs.

M. Tanguay : Puis, à la partie destruction, est-ce que... je ne sais pas à quel article on va voir ça, mais est-ce qu'on aura le débat sur : Est-ce que la SAQ... ou ce n'est pas au niveau de la loi du n° 64, parce que là on est réellement trop dans le détail, mais est-ce qu'on veut, comme législateur, se poser la question : Est-ce que la SAQ pourrait garder cette information-là, que le député de LaFontaine, tel jour, telle heure, tel endroit, a demandé ça? Parce que ça a une certaine valeur commerciale aussi, là.

M. Caire : Oui, bien, en fait, la réponse à votre question, c'est oui, la SAQ pourrait garder ces informations-là. Ceci étant, il y a des articles auxquels ils devront se conformer dans l'utilisation, dans les consentements qui sont demandés, dans le cycle de vie d'une information, à quel moment on doit détruire une information, etc. On va aussi adresser ces questions-là.

M. Tanguay : À quel article on va en parler?

M. Caire : Ça, c'est une excellente question. Là, je ne les ai pas tous par coeur en tête.

M. Tanguay : Ça, on ne les amende pas, hein?

Une voix : ...

M. Tanguay : Oui, 73, mais on l'amende. O.K. Ça fait qu'on va en parler là, de la destruction. O.K. Dernière question de compréhension : «Ne sont pas visés — deuxième alinéa — au premier alinéa les paramètres de confidentialité d'un témoin de connexion.» C'est quoi, un témoin de connexion?

M. Caire : Un cookie.

M. Tanguay : Un cookie. C'est quoi, un cookie?

M. Caire : Quand vous rentrez sur un site, le cookie, c'est une espèce de petit fichier qu'on va déposer sur votre navigateur, qui va enregistrer certains renseignements dans votre séance de navigation. Ce qu'on va faire, par contre, c'est vous demander, dire : Ce site utilise des cookies, les témoins...

M. Tanguay : O.K. Moi, je dis toujours «accepter». Je dis toujours «accepter».

M. Caire : Puis, si vous dites oui, il va être en mesure de déposer ce petit fichier-là, puis c'est des informations dont lui se sert pour paramétriser votre navigation mais à l'intérieur du site. Mais normalement on vous dit : Est-ce que vous l'acceptez, oui ou non?

M. Tanguay : O.K. Donc, si je vais sur le site SAQ, puis : Voulez-vous accepter, moi, je fais toujours «accepter», là, parce que je n'ai pas le temps de lire les termes de : Ah! oui, je veux mon...

M. Caire : En fait, il n'y a pas de termes, hein, c'est vraiment : Ce site utilise des... bien, moi, l'expression connue, c'est les cookies. Est-ce que vous acceptez qu'on s'en serve, oui ou non? Vous dites oui ou vous dites non.

M. Tanguay : Dans le fond, on pourrait... Francisé, c'est-tu un mouchard? Il me semble que ça serait un...

M. Caire : Non, je pense, témoin de connexion, c'est la traduction usuelle, là.

M. Tanguay : O.K. Donc, ça, ça veut dire que ça... ce que j'ai fait pendant le deux minutes, trois minutes sur le site, c'est enregistré.

M. Caire : C'est enregistré.

M. Tanguay : Je pars, ça garde ça.

M. Caire : C'est déposé sur votre navigateur.

M. Tanguay : O.K., ce n'est pas de l'information qu'il... O.K.

M. Caire : Non, non. Ce que vous pouvez faire, à la limite, c'est l'effacer, le supprimer. Une fois que la navigation est terminée, vous pouvez le supprimer.

M. Tanguay : Puis quelle est son utilité?

M. Caire : Le site va aller chercher des informations sur ce que vous avez fait durant votre navigation, c'est son fichier de référence par rapport à vous pour dire : O.K., bien, moi, je suis allé... j'ai consulté telle page, telle page, telle page, etc., là. C'est vraiment comme votre...

M. Tanguay : Puis, quand vous y retournez, il s'en rappelle, c'est sa mémoire.

M. Caire : Il revient chercher le cookie, il va le chercher parce que lui, il sait où il l'a déposé sur votre ordi, il va rechercher le cookie, puis lui, c'est un pro forma qu'il est capable de lire, puis il vient chercher l'information comme ça. Donc, la prochaine fois, ça lui permet de dire : Ah! O.K., la dernière fois que tu es venu me voir, tu as regardé ça, tu as regardé ça, tu as regardé ça, tu es resté tant de temps, parfait. Puis là il peut faire des suggestions.

Ce que vous pouvez faire très simplement, c'est... vous les supprimez. Ils sont dans un fichier puis... Souvent même, votre système d'exploitation, votre ordinateur va vous offrir cette opportunité-là : Voulez-vous supprimer les cookies? Absolument, puis il va tout faire le ménage là-dedans.

M. Tanguay : Pour les organismes publics, pourquoi c'est important de préserver les cookies? Parce qu'on l'exclut du premier alinéa.

M. Caire : Bien, parce qu'en fait c'est au niveau de la paramétrisation, c'est-à-dire qu'on n'interdira pas l'utilisation d'un cookie, parce que normalement, si on se fie au premier alinéa, ça viendra dire que je ne peux pas me servir d'un cookie. Donc, ce que je vais faire, je vais plutôt vous demander le consentement pour l'utiliser, mais je ne vais pas... je ne peux pas désactiver. Je m'en sers ou je ne m'en sers pas.

Puis souvent les applications sont construites comme ça. Je veux dire, c'est prévu dans la conception de l'application de dire : Bon, bien, telle information, je vais la garder dans un fichier, je la dépose sur le poste du client. Donc, ce n'est pas une intrusion, là. Je n'essaie pas de hacker votre système d'exploitation, je fais juste le déposer dans un fichier, bye bye. Puis après ça, ça me donne... ce n'est pas des...

M. Tanguay : C'est une aide à la conduite, dans le fond.

M. Caire : Oui, ce n'est pas... puis sans dire qu'il n'y a pas d'enjeu de sécurité, parce que ça ne serait pas vrai, là, ce n'est pas un outil pour faire une intrusion malicieuse dans votre système, là, c'est vraiment un fichier qui est constitué par l'application. Puis, par contre, comme je vous dis, on va demander le consentement sur l'utilisation, parce que ça reste que je dépose sur votre ordinateur un fichier que vous n'avez pas constitué, que l'application va se constituer elle-même.

Le Président (M. Bachand) : Merci. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Oui. Ma question, c'est, si on adopte cet amendement... D'ailleurs, un bon amendement, hein, on l'avait préparé, mais c'est toujours bien d'être devancé par le ministre, parce que c'est une recommandation qui avait été faite par plusieurs groupes.

Je présume que le ministre va également amender l'article 18 pour que ce soit cohérent, puisqu'à l'article 18 on proposait de devoir informer l'utilisateur du recours à une telle technologie, référant à une technologie comprenant des fonctions permettant de l'identifier, le localiser ou d'effectuer un profilage et des moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage. Est-ce que le 18 va être amendé pour le rendre cohérent avec notre nouveau 63.6?

M. Caire : Je ne vois pas d'amendement en ce sens-là. L'article 18, écoutez, on aura des explications rendu à l'article 18, mais à ma connaissance on a déposé... On a-tu déposé l'amendement pour l'article 18? Oui, bon, alors on a déposé les amendements prévus, M. le Président, à l'article 18.

• (12 h 20) •

M. Nadeau-Dubois : Parce que ça dit... Puis je suis désolé, j'ai lu la mauvaise version de l'article, j'ai vendu le punch, j'ai lu l'amendement que je voulais déposer à l'article plutôt que l'article. Ce que l'article dit, c'est qu'il faut informer l'utilisateur des moyens offerts pour désactiver les fonctions permettant d'identifier, de localiser ou d'effectuer. Oui, donc, ce n'était pas du «privacy by design», le leader du gouvernement n'est pas là, on a le droit d'utiliser des anglicismes, c'était, au contraire, une disposition qui disait : Il faut informer les gens de comment désactiver les fonctions de localisation, de profilage, d'identification.

Là, ce que j'ai posé comme question tantôt, c'est... avec le nouvel amendement on va changer toute l'approche puis, au contraire, on va être dans une approche de plus haut niveau de confidentialité par défaut, donc il faudrait amender 18.

M. Caire : Bien, M. le Président, on aura cette discussion-là quand on sera rendu à 18, mais ceci étant, là, d'entrée de jeu, je n'ai aucun problème... s'il y a une dichotomie entre les deux articles, je n'ai aucun problème à ce qu'on adopte les amendements qui seront jugés nécessaires pour être cohérent, aucun problème avec ça. L'idée est de dire que, quand vous entrez dans un espace numérique, on devrait vous offrir cet espace-là dans ces conditions les plus sécuritaires possible. C'est ça, le principe, puis je n'ai aucun problème à ce qu'on puisse adopter des amendements qui vont aller dans ce sens-là.

M. Nadeau-Dubois : Parfait, parce que c'est ça, je donnais ces exemples-là, justement, parce que c'est les... Je cherchais, comme le député de LaFontaine, un exemple, puis là c'est l'exemple de l'application de la SAQV qui m'est venu.

M. Caire : Le député de LaFontaine étant lui-même un exemple.

M. Nadeau-Dubois : À plusieurs égards.

M. Caire : Il n'y a pas de double sens, c'était juste téteux, Marc.

M. Nadeau-Dubois : Et donc je me disais, si l'objectif de l'amendement à l'article 63, c'est de faire en sorte que les gens doivent activer ces fonctions-là, bien, il va falloir harmoniser...

M. Caire : Bien, comme je vous dis, on aura la discussion à 18, mais effectivement, s'il y a une incohérence, on va s'assurer de la régler.

M. Nadeau-Dubois : Bien, je me permets de dire, M. le Président, que c'est un excellent amendement, là, je... Est-ce que le ministre a l'occasion de faire un amendement similaire pour la loi dans le secteur privé?

M. Caire : Oui, ça va être la même disposition, si tant est qu'elle n'est pas... Elle est-tu déjà là?

Une voix : ...

M. Caire : Elle est déjà là, hein? C'est ça, c'est le public qui s'adapte à ce qui se fait au privé. Il me semblait que ça... Je n'étais pas sûr, là, mais...

M. Nadeau-Dubois : Voilà, c'est ça, c'était déjà le cas pour le privé.

M. Caire : C'est déjà le cas pour le privé. On fait juste mettre... En fait, on s'assure qu'il y ait une cohérence par rapport à ce qu'on faisait au public.

M. Nadeau-Dubois : Voilà. En effet, désolé, moi aussi, je me remets dans le bain, mais ça confirme les souvenirs et les notes que j'ai.

M. Caire : Oui, oui. Non, ce n'est pas grave, on est tous à la même page.

M. Nadeau-Dubois : Bien, parfait, M. le Président, ça complète mes questions pour cet amendement.

Le Président (M. Bachand) : Merci. Autres interventions sur l'amendement? S'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. M. le ministre, s'il vous plaît.

M. Caire : Oui, 63.7, M. le Président. Alors, il se lit comme suit :

«Un organisme public qui a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'il détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

«Si l'incident présente un risque qu'un préjudice sérieux soit causé, l'organisme doit, avec diligence, aviser la commission. Il doit également aviser toute personne dont un renseignement personnel est concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le faire. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.

«Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

«Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.»

Donc, M. le Président, 63.7, cet article prévoit qu'un organisme public qui a des motifs de croire que s'est produit un incident de...

M. Nadeau-Dubois : ...le temps que j'aille effectuer un vote au salon bleu, M. le Président.

Le Président (M. Bachand) : Parfait.

M. Nadeau-Dubois : Le ministre peut finir la lecture de l'article. Je pensais que vous me donneriez la parole juste à la fin.

M. Caire : O.K. Bien, c'est l'explication. J'en ai pour 30 secondes, M. le député.

M. Nadeau-Dubois : Allez-y, allez-y.

M. Caire : Donc, qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel qu'il détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Il prévoit également que, si l'incident présente un risque qu'un préjudice sérieux soit causé, l'organisme doit, avec diligence, aviser la commission et toute personne concernée par... renseignement personnel impliqué.

Afin... Enfin, pardon, il prévoit que l'organisme peut aussi aviser toute personne ou tout organisme susceptible de diminuer le risque du préjudice à certaines conditions. Voilà.

Le Président (M. Bachand) : Merci beaucoup.

Donc, on va suspendre les travaux pour permettre au député de Gouin d'aller voter. Merci.

(Suspension de la séance à 12 h 25)

(Reprise à 12 h 29)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Interventions sur l'article 63.7? M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : ...j'aimerais entendre le ministre sur c'est quoi, un préjudice sérieux.

M. Caire : La réponse à la question du député se retrouve à l'article 63.8, où on dit... Bon, en fait, un incident de confidentialité... Puis à 63.9 : «Lorsqu'il évalue le risque que d'un préjudice soit causé à une personne...» En tout cas, les deux articles vont répondre à cette question-là.

M. Tanguay : «63.9. Lorsqu'il évalue le risque qu'un préjudice soit causé à une personne [...] un organisme [...] doit considérer notamment la sensibilité du renseignement [...] les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables.»

On va faire le débat à 63.9. Est-ce que ces pistes de réflexion là sont cumulatives ou sont alternatives?

• (12 h 30) •

M. Caire : C'est-à-dire que chacune en soi est un élément à considérer...

M. Tanguay : Qui le ferait sérieux comme préjudice.

M. Caire : Oui, oui.

M. Tanguay : Elles ne sont pas cumulatives, là? Il n'y a pas besoin d'avoir...

M. Caire : Non.

M. Tanguay : O.K. C'est là où il est important d'avancer avec C-11. C-11, à l'article 58, 1, Déclaration au commissaire, on parle dans le contexte de «l'organisme déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d'elle s'il est raisonnable de croire», donc déjà là... Je retourne dans le 64 : «Si l'incident présente un risque qu'un préjudice sérieux soit causé, l'organisme doit aviser la commission.» Au fédéral, l'analyse... «...raisonnable de croire que, dans les circonstances, l'atteinte présente un risque réel de préjudice grave...» Et ça, C-11, ça va avoir un impact encore plus, peut-être, déstabilisant pour les entreprises privées, puis, j'imagine, c'est la même rédaction plus tard, dans le 64, sur les entreprises privées, mais n'y échappent pas aussi les organismes publics, tant les organismes fédéraux que provinciaux.

Est-ce qu'il y a eu une réflexion quant à l'harmonisation avec la définition faite avec le fédéral? Parce que le législateur provincial, dans l'exercice de sa prérogative, ne parle pas pour ne rien dire. Je sais que ce n'est pas la même bouche qui parle quand c'est le Parlement canadien, mais les deux lois doivent vivre ensemble, puis là force est de constater qu'en français j'ai des mots différents qui réfèrent à des réalités différentes.

M. Caire : Mais les concepts ne sont pas éloignés l'un de... Le phrasé est différent, mais, je veux dire, on arrive pas mal sur la même cible. Quand vous regardez, mettons, 63.8, où là on va vraiment définir c'est quoi, un incident de confidentialité, puis 63.9, la combinaison de ces deux articles-là vient vraiment circonscrire de façon... à mon humble avis, là, puis je ne veux pas partir de polémique fédérale-provinciale, là, mais, à mon avis, je pense qu'on vient circonscrire l'environnement d'un incident de confidentialité et d'un préjudice sérieux de façon quand même assez précise, là, dans la mesure où trop, ce n'est comme pas assez, là.

M. Tanguay : Est-ce que l'existence même d'un préjudice n'aurait pas justifié la communication, au deuxième alinéa? Parce qu'un préjudice, c'est un préjudice. Pourquoi ce... parce que préjudice sérieux égale communiquer. Moi, j'aurais été peut-être de l'école, puis on discute, là, préjudice égale communiquer et préjudice sérieux encore plus, une autre couche, là, à ce moment-là, là, mais... parce que, s'il y a un préjudice simple, il n'y aura pas l'obligation de communiquer?

M. Caire : Bien, c'est-à-dire que si... On vient qualifier le préjudice parce qu'on se dit : Bon, bien, dans le cas d'un... Je vous donne un exemple précis. Moi, je télécharge, sur un site, une information par erreur. Je me rends compte que cette information-là peut avoir été rendue publique. J'ai un préjudice sérieux, je dois prendre des mesures pour contrer les effets de ça, corriger l'erreur, prendre tous les moyens à ma disposition pour mitiger tout ça.

Vous envoyez, je ne sais pas, moi, une fiche avec des renseignements personnels, vous vous trompez d'adresse, vous l'envoyez au mauvais collègue. Tu sais, est-ce que... Puis le collègue vous dit : Aïe! ce n'était pas la bonne adresse. O.K., excuse. Bien, ce n'est pas grave, j'ai supprimé le courrier, mais fais juste l'envoyer à un tel, ce n'est pas... Vous comprenez le contexte? Bon, est-ce qu'il y a là un préjudice sérieux qui nécessite qu'on appelle la personne qui est concernée par les renseignements personnels, qu'on mette la Commission d'accès à l'information pour dire : Excusez, je me suis trompé d'adresse?

Tu sais, c'est parce qu'il y a des démarches qui viennent avec ça, puis il faut juste s'assurer que ces démarches-là sont faites lorsqu'effectivement il peut... ça se justifie par le risque qui est encouru de les faire, ces démarches-là, et de mettre tout ce monde-là... parce que, là, on sonne l'alarme. Là, la Commission d'accès à l'information, elle doit prendre des actions une fois qu'elle a été avisée, là. Elle va prendre des actions, elle ne fera pas juste : Ah! O.K., c'est correct, là. Puis la personne... Bien, vous venez de créer quand même un certain environnement. O.K. Mes renseignements personnels se sont promenés puis ils n'avaient pas d'affaire à... alors que, dans les faits, la situation ne le justifie pas, par le fait qu'il n'y a pas de risque, là. C'est une erreur bébête, mais sans plus.

M. Tanguay : Deux choses. Suivez-moi bien. En droit, j'ai un recours judiciaire pour tout préjudice que vous m'avez causé. En droit, Code civil, j'ai un recours judiciaire pour tout préjudice. Que le préjudice soit minime, 10 000 $, 5 000 $, 100 $, j'ai un droit, ou qu'il soit sérieux, 1 million, 3 millions, j'ai un recours judiciaire. Et il n'y a pas de qualification dans notre corpus législatif de... Un préjudice, c'est un préjudice. Puis la façon que le juge va vous accorder un recours, vous devez faire la preuve de trois choses : la faute, j'ai commis une faute; il y a eu un dommage, un préjudice, 10 $ ou 1 million; puis il y a un lien de causalité. Une fois que vous avez établi ça devant une cour de justice, vous gagnez. Vous avez donc votre 10 $, votre 100 $, votre 1 000 $ ou votre million.

Mon point, c'est que, s'il y a possibilité d'avoir un préjudice, effectivement, peut-être qu'on ne va pas alerter la commission, qui va déclarer... déclencher une enquête, puis tout ça, mais, s'il y a possibilité d'avoir un préjudice, j'en informerais le citoyen. C'est pour ça que je garderais les mêmes mots, mais je déplacerais «sérieux» : «Si l'incident présente un risque sérieux qu'un préjudice soit causé», et non pas «un préjudice sérieux».

Ce qui doit être sérieux, c'est l'analyse que je pense qu'il pourrait y avoir un préjudice, j'en informe le citoyen, et non pas : S'il y a juste un préjudice, je m'en fous, il ne sera pas au courant. Je vais attendre juste un préjudice sérieux, là, tu sais, 1 000 $, 10 000 $, non, non. Ah! 1 million, c'est sérieux, potentiel sérieux. Le «sérieux», je le déplacerais. «Si l'incident présente un risque sérieux qu'un préjudice soit causé», là, j'en informerais le citoyen puis peut-être qu'on pourrait en aviser la commission, j'aimerais ça qu'elle soit au courant. Mais elle, à ce moment-là, à l'interne, elle pourrait dire : Regarde, O.K., on ne va pas déclencher la commission Gomery n° 2, là. Il est arrivé ça, parfait, on en prend bonne note, bon citoyen.

Mais préjudice... Tu n'es pas à moitié enceinte, là. Préjudice, il y a un préjudice ou il n'y en a pas. Mais, s'il n'y a pas de risque sérieux qu'il y ait un préjudice, oublie ça.

M. Caire : ...suspendre?

Le Président (M. Bachand) : Bien, j'ai le député de Gouin peut-être sur le même sujet.

M. Nadeau-Dubois : Sur un sujet complémentaire, mais...

Le Président (M. Bachand) : Oui, allez-y, allez-y.

M. Nadeau-Dubois : ...aussi bien de le faire tout de suite. Puis le ministre, s'il souhaite suspendre, il pourra brasser les deux idées en même temps.

J'avais essentiellement les mêmes questions que mon collègue de LaFontaine. J'en ajoute une autre. Puisque l'article 63.7, à sa fin, là, ajoute une exception, en disant qu'il y ait préjudice ou préjudice sérieux, il y a une exception à la responsabilité de divulguer l'incident, et cette exception-là, c'est «tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.» Malheureusement, les enquêtes pour fuites de données, ça peut être très long. Est-ce que le ministre ne craint pas que cette disposition-là de la loi devienne une espèce de prétexte pour se soustraire à l'obligation de divulguer?

La Ligue des droits et libertés, en tout cas, émet ce commentaire-là dans son rapport... dans son mémoire, et le Barreau fait le même commentaire, en disant : Là, on voit une exception. Et on dit : Si le fait d'informer les gens qu'il y a eu fuite de données, c'est «susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois...» D'ailleurs, c'est un libellé très général. Si le département de la sécurité, il doit y avoir des départements de sécurité informatique dans les organismes publics, enquête sur un incident... Ah! on n'a pas fini nos vérifications, on n'a pas encore... on n'est pas obligés par la loi de divulguer aux gens qu'il y a eu un incident. Il me semble, ça ouvre la porte à des interprétations un peu larges. Et d'ailleurs la loi fédérale ne prévoit pas une telle exception, et le règlement d'application de la loi fédérale non plus.

Donc, j'avoue que ça, ça m'inquiète, d'autant plus que, tu sais, ça peut bouleverser une vie, là. Pas toujours, tu sais, des fois, c'est banal, mais ça peut bouleverser une vie, le fait d'être victime d'une fuite de données.

M. Caire : Mais si je peux...

M. Nadeau-Dubois : Ça fait que j'ai comme la crainte, puis elle est appuyée sur les craintes de la Ligue des droits et libertés puis du Barreau, que cet article-là puisse être utilisé, c'est ça, comme prétexte pour bloquer la communication aux personnes concernées.

Est-ce qu'on ne pourrait pas modifier l'article en disant : Il faut que ce soit vraiment, tu sais, préjudiciable pour l'enquête, par exemple, tu sais, venir préciser le libellé un peu? Parce que, là, j'ai l'impression, et ce n'est sans doute pas ça, la volonté, mais qu'on ouvre une potentielle exception très, très large et générale pour permettre à beaucoup de gens de dire : Ah! on enquête encore, on enquête encore, ce n'est pas fini, ne divulguez pas l'information. Je ne sais pas si le ministre voit un peu la crainte que j'ai.

• (12 h 40) •

M. Caire : Oui, mais je ne la partage pas. Puis la réponse du député, elle est dans deux éléments. D'abord, on s'entend que les enquêtes ne sont pas faites par les organismes. Donc, quand je dis : l'incident présente un... Bon, pour l'instant, le libellé est «un risque de préjudice sérieux...» «l'organisme doit, avec diligence, aviser la commission», donc la commission est avisée. «Il doit également aviser toute personne dont un renseignement personnel est concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le faire.»

Donc, ce qu'on amène comme élément, c'est que, si, dans sa... Puis on parle d'une personne ou d'un organisme. Donc, on peut penser que ça peut être un corps policier. On a tous des exemples en tête où les policiers ont dû enquêter sur des fuites de renseignements personnels. Ça peut être la commission, le volet surveillance de la commission, qui est capable de faire des audits, qui a évidemment cette capacité, ce pouvoir-là d'enquête. Mais, pour pallier à ce dont le député parle et pourquoi moi, je n'ai pas cette crainte-là, c'est que la Commission d'accès à l'information peut aussi ordonner à un organisme de divulguer le fait qu'il y a eu fuite de renseignements, ou qu'il y a eu un incident de confidentialité, devrais-je dire. Et donc une organisation qui voudrait retarder l'exécution de cette obligation légale pour se protéger verrait certainement... et je ne veux pas parler au nom de la Commission d'accès à l'information, mais je pense que je vais le faire quand même, verrait certainement la Commission d'accès à l'information utiliser ce pouvoir-là de lui ordonner de communiquer avec la personne qui a fait l'objet de ce préjudice-là et de l'aviser de cette situation-là.

Donc, non, ça ne m'inquiète pas parce que je pense que cette disposition-là de la loi, ce pouvoir-là de la Commission d'accès à l'information, qui doit être avisée avec diligence... donc ça, c'est des mots qui sont très forts, et donc qui a ce pouvoir-là d'audit, qui a ce pouvoir-là de faire les enquêtes en question, donc à qui on ne pourra pas cacher le fait qu'on se traîne les pieds, si tant est que cette situation-là prévaut, elle aura le pouvoir d'ordonner à l'organisme : Non, tu dois faire ça, c'est une obligation légale, et tu le fais, point à la ligne.

Et l'idée étant qu'il peut arriver des situations où d'aviser la personne, et après ça la personne est libre de faire ce qu'elle veut avec cette information-là qu'on lui a donnée, notamment des interventions publiques, pourrait peut-être avoir causé un préjudice à une enquête, ce qu'on ne souhaite pas, personne, parce que... puis je sais que c'est le cas aussi du député de Gouin.

Donc, je pense que ces deux dispositions-là nous garantissent... Tu sais, notre chien de garde a le pouvoir d'ordonner, là, de le faire. Ça fait que moi, pour moi, ça me rassure sur le fait qu'une rétention d'informations à des fins de préserver sa réputation, pour moi, ça ne serait pas possible à cause de ce pouvoir-là de la CAI.

M. Nadeau-Dubois : Le ministre a bien compris l'objet de mon interrogation, là, en effet, parce que c'est ce qu'on veut éviter, qu'un organisme public, par crainte de scandale de relations publiques...

M. Caire : Oui, oui, tout à fait, pour des mauvaises raisons.

M. Nadeau-Dubois : ...par crainte d'un appel courroucé de la part d'un ministre, se dise...

M. Caire : Une question en Chambre.

M. Nadeau-Dubois : Ouf! Ah! il y a encore une enquête, il y a encore une enquête, puis, dans la loi, quand il y a une enquête, on a le droit d'attendre un petit peu avant de le dire, tu sais. Puis c'est ce qu'on veut éviter, puis je caricature mais pas tant que ça, là.

Sur les dérives potentielles, ce que le ministre me dit, c'est que la commission a, de toute façon, le pouvoir d'ordonner à l'organisme d'informer les gens qui seraient visés par une fuite ou un incident. Mais, encore une fois, là, ça nous ramène à l'interrogation du collègue de LaFontaine. C'est seulement dans la version actuelle du projet de loi, s'il y a un préjudice...

M. Caire : Sérieux.

M. Nadeau-Dubois : ...jugé sérieux, puis je fais miennes ses préoccupations sur, exactement, qu'est-ce qu'un préjudice sérieux et...

M. Caire : Et je vais consulter Dieu sur...

M. Nadeau-Dubois : O.K. Parfait. Bien, on peut... Si le ministre souhaite suspendre, on peut procéder, puis je reviendrai.

Le Président (M. Bachand) : Ça va? Alors, on va suspendre quelques... Oui, M. le député de LaFontaine avant.

M. Tanguay : Pour la suite du point du collègue de Gouin, juste... Vous l'avez peut-être dit, puis ça m'a échappé, parce qu'on essaie de lire en même temps. Puis, si le ministre le dit, ça va être dit au micro puis... Le troisième alinéa, qui dit : «Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée», bla, bla, bla... Mais, en tous les cas d'espèce, si l'organisme public juge que c'est susceptible d'entraver une enquête, dans tous les cas d'espèce, la CAI va être avisée?

M. Caire : Oui. C'est seulement la personne qui n'a pas à être avisée en cas d'enquête. Dans tous les cas où il y a un préjudice sérieux, la CAI doit être avisée.

M. Tanguay : Et la CAI aura tous les pouvoirs de dire à l'organisme public : Bien, désolée, je ne considère pas qu'en l'espèce c'est susceptible d'entraver une enquête. Puis la CAI pourrait même avoir... Tout en respectant le champ... l'indépendance des institutions, le cas échéant, policières, la CAI pourrait même... Je veux dire, la CAI va devoir aussi développer une relation avec celles et ceux qui vont mener de telles enquêtes pour leur dire... Il va falloir qu'il y ait une ligne de communication, sans aller dans le détail, parce que ce n'est pas sa job... mais de dire : Vous êtes réellement sûrs? Puis même, je vous dirais de challenger ça, parce que nos amis, nos amis qui font des enquêtes, au sens très large, valorisent beaucoup le secret, valorisent très, très, très beaucoup le secret. Dans le doute, il y a secret, puis on ne dit rien.

M. Caire : Oui, mais comprenons de ça que, dans un contexte administratif, on s'entend que la CAI va faire son enquête. Elle a ce pouvoir-là. La CAI a deux volets. Il y a le volet juridictionnel, il y a le volet surveillance. Donc, dans le volet surveillance, la CAI peut faire de la prévention mais peut aussi faire des enquêtes. Bon, alors, ça, ce pouvoir-là, il est exercé pleinement par la CAI.

Dans le cas où le préjudice ou l'incident de confidentialité aurait des répercussions plus qu'administratives, on peut penser, par exemple, qu'un corps policier pourrait être impliqué, et donc là il y a une nécessaire coordination avec la CAI, qui garde son pouvoir, là, qui garde son pouvoir. Mais on l'a vécu avec un incident que nous avons tous en tête, qui a impliqué à peu près tous les Québécois, là, où la police a fait enquête, mais où la CAI est aussi intervenue, là. La CAI faisait son travail, nonobstant tout ça. Donc, à ce moment-là, on a un beau cas d'espèce où... Est-ce qu'il aurait été justifié d'aviser immédiatement les gens qui ont été victimes de ces incidents de confidentialité là? Est-ce que ça entraverait le travail des policiers? La CAI a l'autorité pour le faire, et, à la limite, la CAI aurait pu ordonner...

Transposons cette situation-là à une situation qui implique un organisme public, parce que, dans ce cas-ci, on parle d'organismes publics, là. La CAI, donc, par l'adoption de 63.7, aura le pouvoir, si elle arrive à la conclusion qu'il n'y a pas entrave à une enquête, elle aura le pouvoir d'ordonner à l'organisme d'aviser les gens qui seront visés par l'incident et qui, de ce fait, pourraient subir un préjudice, jusqu'à ce jour, sérieux.

M. Tanguay : Là, on pourrait mettre du béton armé à ça. Est-ce que l'on veut que ce pouvoir juridictionnel là de la CAI soit exclusif? Ou, si on ne le fait pas, s'il n'est pas exclusif, ce qui va arriver, il va peut-être y avoir des avocates, avocats de corps policiers qui vont se rendre en Cour supérieure puis qui vont contester l'évaluation de la CAI puis ils vont demander une ordonnance de la Cour supérieure. Il pourrait y avoir un débat juridictionnel.

Est-ce que l'on veut mettre dans la loi... Puis, si c'est marqué dans la loi, comme dans le Code de procédure civile, c'est une loi qui donne les compétences des cours, est-ce qu'on veut que ce soit une compétence exclusive de la CAI de statuer quant à l'à-propos de cela ou... il pourrait peut-être même y avoir là un argument constitutionnel, mais là ce n'est pas des droits individuels. Est-ce que l'on veut permettre à un corps policier de contester ça? Parce que ça peut être un méchant noeud, là.

M. Caire : Bien, moi, je vous dirais, là, puis on jase, là, je n'ai pas fait une longue réflexion sur le sujet, là, mais il me semble, ça ferait beaucoup, là, ça ferait beaucoup, là.

M. Tanguay : De?

• (12 h 50) •

M. Caire : Bien, de dire que la CAI a, là, la seule autorité pour décider si on doit...

M. Tanguay : On laisse le recours possible. O.K.

M. Caire : Bien, il me semble que, tu sais, dans une idée de justice...

M. Tanguay : Comme soupape de sécurité, oui, oui.

M. Caire : Oui, parce que ça fait un énorme pouvoir, puis là les policiers pourraient trouver que la CAI a effectivement une mauvaise évaluation, puis, à par le pape, personne n'est parfait. Donc, je trouve qu'on aurait comme un contre-pouvoir pour dire à la CAI : Non, non, non, attends un peu, là.

M. Tanguay : Parfait. Alors, ce que vous venez de dire là est excessivement important, parce que ça sera utilisé, le cas échéant, si la CAI voudrait prétendre s'être fait octroyer une juridiction exclusive. Alors, l'ayant dit, puis on peut y réfléchir, on n'a pas fermé notre article par article, l'ayant dit, que nos amis qui travaillent avec vous puissent parfaire la réflexion, s'il y a lieu, ou on laisse ça de même... Effectivement, moi, je suis plus du poids et contrepoids puis pas de créer des royaumes. Mais, en le disant que non, ce n'est pas, par ailleurs, une juridiction exclusive, ça a des conséquences importantes et, je crois, à prime abord, bénéfiques, que si, effectivement, un corps de police dit : O.K., non, je me tue à essayer d'expliquer, puis ils ne voient pas ça à la CAI, puis ils vont le rendre public, ça n'a pas de bon sens, là...

M. Caire : Ça va scraper mon enquête, puis je vais chercher une injonction, puis...

M. Tanguay : ...on peut essayer quelque chose, là. Ça va.

J'aimerais savoir... parce que, là, j'imagine, la réflexion sur le sérieux... à moins que, sans qu'on suspende... J'avais une autre question de compréhension. À la fin du deuxième alinéa, dernière phrase : «Dans ce dernier cas, le responsable de la protection des renseignements...» Alors : «Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée.» Ça, on comprend ça. «Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.» Qu'est-ce qu'on entend par là?

M. Caire : Il va tenir un registre du fait que... qui a été avisé, à quelle date, à quel propos, etc. C'est vraiment tenir un registre. Ce registre-là, annuellement, peut être fourni à la CAI.

M. Tanguay : O.K. Donc, dans la légistique québécoise, quand on dit, dans une loi, «enregistrer la communication»...

M. Caire : Non, ce n'est pas avec... Ce n'est pas «taper», là...

M. Tanguay : Non, non, c'est ça.

M. Caire : ...c'est tenir un registre.

M. Tanguay : Ça aurait pu être chose que...

M. Caire : Puis là, si je dis des niaiseries, Me Miville-Deschênes, vous avez le droit de me corriger.

M. Tanguay : Parce qu'enregistrer, que ce soit dit, là, justement, ce n'est pas faire... comme quand on écoutait la radio, quand on était jeunes, puis on... Aïe! la toune va commencer après les annonces, puis on faisait «Rec» puis «Play», là, dans le petit... puis c'était la haute technologie. Je referme la parenthèse, mais c'est ça que ça veut dire. Alors, je ne sais pas si monsieur... Me Miville-Deschênes...

M. Miville-Deschênes (Jean-Philippe) : Effectivement, déjà, il y a des enregistrements de communications de renseignements personnels qui sont prévus dans la loi, à l'article 60 notamment. Donc, il y a déjà ce mécanisme-là d'enregistrer certaines communications, effectivement, dans un registre, là, qui est tenu par l'organisme public.

M. Tanguay : Donc, un registre, c'est que, tel jour, telle heure, j'ai parlé à un tel, je lui ai dit ça, essentiellement, avec un petit... donc de garder une trace, à quelque part, de ça.

M. Miville-Deschênes (Jean-Philippe) : De la communication, oui.

M. Tanguay : O.K. C'est bon. Écoute... Puis c'est ça, moi, j'avais les mêmes préoccupations pour le troisième alinéa, que ça ne soit pas systématiquement : Ah! bien là, ça entrave, ça entrave, ça entrave, puis toujours des enfarges. La CAI va veiller au grain, comme on dit.

M. Caire : Oui, oui.

M. Tanguay : Parfait. Alors, sous réserve, là, du «sérieux».

Le Président (M. Bachand) : M. le ministre?

M. Caire : On va juste suspendre, peut-être, une petite minute. Je vais juste aller...

Le Président (M. Bachand) : Parfait. On va suspendre quelques instants. Merci.

M. Caire : Bien, je dis «une minute». Je suis peut-être optimiste, là, de penser que je vais avoir un avis en une minute, mais bon.

Le Président (M. Bachand) : Merci.

(Suspension de la séance à 12 h 53)

(Reprise à 12 h 56)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.

M. Caire : Oui. Merci, M. le Président. Bien, pour la suggestion du député de LaFontaine, je vais laisser Me Miville-Deschênes expliquer le pourquoi du libellé puis pourquoi on l'a libellé comme ça, alors, avec le consentement de la commission.

Le Président (M. Bachand) : Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Oui. Bien, d'une part, notamment les lignes directrices de l'OCDE, mais la plupart des législations qui ont... toutes les législations qu'on a consultées qui ont une obligation similaire, il y a toujours une approche basée sur un degré de risque, principalement pour éviter qu'il y ait trop d'avis qui soient transmis aux citoyens par rapport aux... et qui rendent plus difficile de déterminer quels sont les incidents qui présentent vraiment un risque par rapport aux incidents qui sont peut-être plus légers.

Deuxième aspect, puis c'était la principale raison pour laquelle, là, ces termes-là ont été utilisés, c'est l'harmonisation avec le fédéral. Les entreprises nous ont demandé d'être... là, on est dans le secteur public, mais les deux sont... c'est un miroir entre public, privé, d'être harmonisées avec les dispositions fédérales, qui prévoient, eux, un risque de préjudice grave. Dans notre cas, c'est «sérieux», mais les critères sont les mêmes, c'est-à-dire la sensibilité du renseignement et la probabilité qu'il soit utilisé, là, de façon préjudiciable. Donc, c'est les motifs, là, pour lesquels on a également prévu un degré de risque, là, avant la communication.

Le Président (M. Bachand) : M. le député de LaFontaine.

M. Tanguay : Oui. Moi, je comprends. Par contre, je ne peux pas me réconcilier avec l'idée qu'il y a des incidents où il y aura un risque sérieux de préjudice et qu'on ne va pas en informer le citoyen. C'est juste ça avec lequel je ne suis pas capable de me réconcilier.

Le Président (M. Bachand) : Juste vous dire qu'il y a un vote présentement à l'Assemblée. Donc, on...

M. Nadeau-Dubois : ...s'assurent qu'on ne termine pas sur l'article dans les...

Le Président (M. Bachand) : Bien, c'est ça. Alors, on va...

M. Nadeau-Dubois : C'est ça, ou sinon je vous laisse discuter, ça ne me dérange pas. Juste ne pas finir l'article avant que je revienne.

Le Président (M. Bachand) : On va vous laisser aller voter et on va suspendre les travaux jusqu'à 14 h 30. Merci.

(Suspension de la séance à 12 h 58)

(Reprise à 14 h 33)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. La Commission des institutions reprend ses travaux.

Nous poursuivons l'étude détaillée du projet de loi n° 84, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Lors de la suspension de nos travaux cet avant-midi, nous étions rendus à l'étude de l'article 63.7, introduit par l'article 14. Interventions? M. le député de LaFontaine.

M. Tanguay : Oui, bien, regardez, je vais parler.

Une voix : ...

M. Tanguay : Oui, c'est ça. M. le Président, on est en train de peaufiner ce qui sera... puis je vous l'annonce déjà, là, je déposerai l'amendement sur l'article... Là, on est — j'y vais de mémoire — à 65... 63.7, c'est-tu ça? Bon, 63.7.

Je suis en train de jongler avec l'idée de déposer un amendement où là, je vous disais, bien, on pourrait peut-être changer le «sérieux» de place, dans le sens premier de cette expression-là. «Si l'incident présente un risque sérieux qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la commission. Il doit également aviser toute personne...» Donc, évidemment, cette phrase-là... Je vais vous arriver avec un amendement, M. le Président.

Puis ce qui est important pour nous autres, là, c'est que la phrase fait état qu'il doit aviser la commission, mais aussi, au premier titre, il doit également aviser toute personne dont un renseignement est concerné. Bon, ici, on est en matière d'un organisme public et on aura l'occasion... Sophie m'indiquait à l'article 95, pour ce qui est de la loi, projet de loi n° 64, à l'article — c'est-tu ça, Sophie? — 95, on aura le pendant de cette obligation-là à l'article 3.5, qui sera introduit par l'article 95 de la loi.

Puis plus je jongle avec l'idée, M. le Président, plus je suis en train de me dire si on ne devrait pas tout simplement enlever le mot «sérieux». Donc : «Si l'incident présente un risque qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la commission. Il doit également aviser toute personne...» Autrement dit, un risque qu'un préjudice ou un risque sérieux... on pourrait laisser le «sérieux» là. Mais j'ai fait certaines recherches, M. le Président, puis sur la fondamentale de la chose, là, ce qui est important de retenir, c'est que, tant en matière civile, en matière privée qu'en matière publique, il y a des obligations excessivement importantes qui découlent de la bonne foi.

Et dans notre Code civil, M. le Président, il y a les articles 6 et 7 du Code civil, mais également en matière contractuelle. Pourquoi je parle de contractuel? Parce qu'on va vouloir faire miroir de cette obligation-là. Je pense qu'un renseignement personnel, pour un citoyen, que ce soit... qu'il y ait une fuite auprès d'un organisme public ou qu'il y ait une fuite auprès d'un organisme privé, une entreprise privée, je pense qu'il doit en être informé, le citoyen doit en être informé aujourd'hui. Puis il n'y a pas de raison, puisque c'est un renseignement personnel qui, par définition, est sur un support informatique. Ça veut donc dire qu'aujourd'hui, contrairement à il y a 50 ans, où on devait communiquer avec un client, bien, on lui envoyait une lettre, on lui envoyait... les fax n'existaient même pas, c'était compliqué, c'était ardu. Là, de dire : Veuillez prendre note, par courriel, qu'il y a eu une... Ça va-tu? Es-tu correcte? Oui, O.K. Elle me regarde avec des grands yeux. Il y a eu une fuite, je pense que ça peut se faire de façon efficace.

Et, à 1375 du Code civil, «la bonne foi doit gouverner la conduite des parties tant au moment de la naissance de l'obligation qu'à celui de son exécution ou de son extinction». Et j'ai mis la main, durant l'heure et demie qu'on a pour manger, avec un caucus à travers ça, puis sur le coin de la table, un sandwich, puis on va se brosser les dents après, puis on court ici, puis on arrive en retard... j'ai un article écrit par Élise Poisson : La bonne foi et loyauté dans les relations commerciales, octobre 2006. Et il y a très clairement... puis c'est ça mon point, il y a une obligation d'information dans un rapport contractuel. Il y a une obligation d'information qui découle, oui, de 1375 du Code civil, qui fait en sorte... Et là il y a des exemples jurisprudentiels où, en matière de contenu implicite et d'interprétation de contrat, l'obligation implicite de renseignement, il y a l'obligation implicite de collaboration et d'assistance technique et l'interprétation d'une clause de modification unilatérale.

Mais ça, c'est des notions très, très établies en droit, l'obligation implicite de renseignement, l'obligation implicite de collaboration et d'assistance technique. Ce qui fait en sorte que moi, M. le Président, je ne voudrais pas puis je vais résumer mon argument de même, là... parce qu'à 95, quand on va être rendu dans les rapports privés, je ne voudrais pas qu'on vienne diminuer la protection, le corpus jurisprudentiel puis légal dans la relation privée qui fait en sorte que vous avez une obligation proactive.

Si on le laisse de même dans la sphère privée, on vient de diminuer l'obligation pour une partie cocontractante qui sait qu'il y a eu un accroc... je ne suis pas en train de dire qu'il a commis une faute, je ne suis pas en train de dire que la personne a commis une faute, mais qui sait qu'il y a eu un accroc, elle sait qu'il y a un risque de préjudice, il y a un préjudice qui va en découler. Indépendamment qu'il soit sérieux ou pas, il y a un risque de préjudice. Il a, en vertu de notre droit québécois, l'obligation d'en informer.

Et là la loi viendrait diminuer ça, M. le Président. Et je vous dirais même, a fortiori, en matière de protection du consommateur aussi, je pense qu'on viendrait, sans que ce soit notre intention comme législateur, mais on viendrait diminuer ça, puis ça serait un recul pour la protection du consommateur, pour les citoyens. Puis là, M. le Président, je veux dire, moi, là, on ne pourra pas me taxer de ne pas être partie du système capitaliste puis d'être contre les entreprises, puis tout ça. Non, non. Si vous avez une relation contractuelle, vous détenez de l'information ou un mandat vous a été donné par un tiers qui, lui, a une relation directe avec le client, bien, vous avez des obligations là-dedans, puis il ne faudrait pas que la loi diminue ça. Pour ce qui est de nos organismes publics, même chose.

• (14 h 40) •

Alors, j'aimerais entendre le ministre. Honnêtement, là, si l'incident présente un risque... j'enlèverais «sérieux», présente un risque qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la commission puis doit aviser la personne... qu'un risque soit causé, il doit en aviser la commission et la personne.

La commission va prendre ça puis elle va dire : Ah! O.K. La commission... puis les articles 63.8 et 63.9 sont tout à fait pertinents parce que la commission, ça va lui donner son guide pour dire : O.K., face à ça, qu'est-ce qu'il doit faire? Bon, bien, ce n'est pas hautement sensible, ce n'est pas excessivement préjudiciable... le préjudice serait limité. Tu peux réagir de telle, telle façon, puis on «monitore» ça, si vous me permettez l'expression, puis on va gérer ça de même. Et la personne reçoit puis est informée, puis la personne pourra, à ce moment-là, agir en conséquence, sous réserve du fait que s'ils enquêtent, il ne pourra pas le faire.

Alors, moi, j'enlèverais, puis j'aimerais entendre le ministre... j'enlèverais «sérieux», parce que ce qu'on fait là, je ne pourrais pas croire qu'on aurait un régime distinct pour les privés... tantôt, à l'article 95. Ce qu'on fait là, moi, je le ferais aux deux. Puis ce n'est pas la mer à boire, en 2021 et plus, là, au XXIe siècle, de dire : On a les adresses courriel, on peut communiquer, on les en informe. Puis là ce n'est pas supposé d'être une grosse alarme, là. Oh my God!. Non, non. Un incident limité... nous vous informons qu'un incident limité aurait peut-être fait en sorte que votre information serait mise à risque. Sachez que nous en avons informé les autorités compétentes, nous travaillons là-dessus et nous allons vous tenir informé, tout simplement. Puis ça, c'est une obligation contractuelle.

Le Président (M. Bachand) : Merci, M. le député. M. le ministre.

M. Caire : Oui. M. le Président, avec le consentement de la commission, je vais laisser Me Miville-Deschênes répondre, parce que c'est essentiellement des arguments d'harmonisation et des arguments juridiques qui nous amènent à vouloir garder le libellé tel qu'il est présentement.

Le Président (M. Bachand) : Me Miville-Deschênes, s'il vous plaît.

M. Miville-Deschênes (Jean-Philippe) : Oui, bien, je vais revenir rapidement sur les éléments, là, qui nous ont conduits à faire référence à un risque de préjudice sérieux. Premièrement, c'était le fait qu'au Canada, là, et dans la majorité des États américains, on fait référence à un certain degré de préjudices. C'est aussi les lignes directrices de l'OCDE.

Pourquoi? Bien, c'est principalement pour éviter une multiplication des avis qui seraient faits, peu importe le niveau de risque, parce que la notion de préjudice, c'est une atteinte portée aux droits et aux intérêts de quelqu'un, d'une personne. Donc, c'est une notion qui est quand même facilement rencontrée, c'est-à-dire un risque de préjudice, ça peut être un préjudice qui est mineur ou insignifiant puis dans le contexte aussi où la définition d'un incident est très large, ça peut être une communication non autorisée, un accès non autorisé. Donc, automatiquement qu'il y a une communication qui n'est pas autorisée, on pourrait conclure qu'il y a effectivement un risque de préjudice. Puis, de ce fait, il y aurait de nombreux, là... de nombreux avis qui seraient communiqués aux personnes à la commission pour des préjudices qui sont très, très minimes ou mineurs.

Donc, l'autre aspect, bon, je me répète peut-être, mais, si on diminue le seuil, on s'éloigne de la pratique canadienne puis du fédéral qui nous a précédée. Ça fait deux ans que les entreprises canadiennes, les entreprises en Ontario, Maritimes ainsi que les entreprises pancanadiennes sont soumises à un régime de notification qui repose sur un risque de préjudice grave. Et puis, dans le cadre des consultations, il y avait une douzaine, là, d'intervenants qui nous ont mentionné l'importance d'harmoniser, donc c'est dans cette finalité-là qu'on a inclus un risque de préjudice sérieux.

C'est sûr que, s'il y a un risque de préjudice tout court, il y a quand même des mesures qui doivent être prises par l'organisme public, là, pour diminuer le risque, là, au premier alinéa de l'article. Donc, je comprends la relation contractuelle, mais rien n'empêche dans le cadre... que la loi n'a pas préséance sur les obligations contractuelles. Mais la loi met minimalement l'obligation d'aviser les personnes lorsque le préjudice est sérieux, mais n'empêche pas de l'aviser dans d'autres circonstances s'il y a un préjudice, là, qui ne répondrait pas à ces critères-là.

Le Président (M. Bachand) : Merci beaucoup, maître. M. le député de LaFontaine.

M. Tanguay : Oui, merci beaucoup. Est-ce que l'analyse a été faite, de l'impact, dans l'interprétation de cet article-là? Puis le débat qu'on fait là est utile pour 95, gardons toujours les deux choses en tête, là.

Puis mon point s'exprime peut-être mieux en matière privé-privé, mais c'est copié-collé ici. Nécessairement, si ça, c'est la loi, nécessairement, moi, je ne me sentirai pas obligé de vous en informer. Nécessairement, je n'ai pas, en vertu de la loi... La loi met le standard du bon comportement. Si vous ne me dites pas que je dois l'informer à moins qu'il y ait un préjudice sérieux, s'il y a juste un simple préjudice, je ne l'informerai pas, c'est très clair. Puis on ne pourra pas me dire : Tu as commis une faute, parce que la loi québécoise va me dire que je n'avais pas... Bien, écoutez, c'est un préjudice, oui, il a perdu de l'argent, il s'est fait... il a eu tel, tel préjudice, mais ce n'était pas sérieux. Puis là le juge va dire : O.K., est-ce que c'était sérieux ou pas? Ça va être ça, le débat juridique. Puis s'il dit : Oui, il y a eu un préjudice, tout le monde s'entend. Mais sérieux, que veut dire sérieux? Oui, il y a eu une perte, mais la perte n'était pas si grande que ça, alors, dans le fond, il a bien fait de ne pas l'informer.

Et, si bien, M. le Président, qu'on dit, quand on visite une maison, là : Vous avez le devoir d'informer la personne qui vient. Mais la personne qui vient visiter aussi a un devoir de s'informer. En latin, ça s'appelle caveat emptor. Posez les bonnes questions, puis renseignez-vous, puis faites affaire à un... vous devez... Les relations contractuelles sont basées sur la bonne foi. Vous devez vous renseigner puis vous devez me dire... s'il y a un vice que vous connaissez, ça va être un vice caché puis je vais pouvoir annuler la vente, mais vous devez vous renseigner.

Si bien que cette logique-là est reprise dans l'article où l'on dit que la personne qui voit qu'il y a une fuite, elle doit limiter. Elle doit tout faire pour limiter les risques. Elle doit patcher puis elle doit faire ci, elle doit faire ça, mais l'individu l'autre bout, là, il n'est pas mis dans le coup. Il y a peut-être des choses qu'il pourrait faire lui aussi. Il a peut-être de l'information qu'il pourrait donner à l'entreprise. Il y a peut-être des... il faut le mettre dans le coup. Il ne faut pas le voir comme étant une épée de Damoclès, que si on l'informe, j'ai l'impression qu'on met derrière ça, là... si on l'informe, bien, tabarnouche, on n'aura pas juste un problème à gérer, il va falloir en gérer deux, parce que lui va falloir le gérer, mais il faut le mettre dans le coup. Il faut le mettre dans le coup.

Alors, M. le Président, j'aurai l'occasion de parfaire mon... peut-être vous donner... puis des arrêts de la Cour suprême, l'arrêt de 1992, Montréal c. Bail Ltée, où la Cour suprême disait : «Alors qu'auparavant il était de mise de laisser le soin à chacun de se renseigner et de s'informer avant d'agir, le droit civil est maintenant plus attentif aux inégalités informationnelles et il impose une obligation positive de renseignement dans le cas où une partie se retrouve dans une position informationnelle vulnérable d'où des dommages pourraient s'en suivre.» La Cour suprême ne parle pas de dommages sérieux. Ici, préjudices puis dommages, c'est du un pour un, c'est la même affaire. Alors, je pense qu'on irait même à l'encontre de l'arrêt de la Cour suprême, puis ce n'est pas peu dire, là.

Moi, je pense que l'article 95, si on l'adopte, puis je ne ferai pas peur à personne après-midi ici dedans, mais ça va être challengé puis je ne suis pas sûr que ça tienne la route devant la Cour suprême en vertu de l'arrêt de la Cour suprême, Bail, en 1992. Vous devez le faire, puis il en va de la bonne foi de nos rapports contractuels. Et là on vient diminuer le régime de protection du Code civil et l'interprétation que les tribunaux en ont donnée. Vous devez être proactifs.

Le Président (M. Bachand) : Merci. M. le ministre... Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Oui, en fait, premier élément, là, les... dans le projet de loi, on ne l'a pas indiqué, mais certaines lois l'indiquent, elles énumèrent un peu qu'est-ce qui peut constituer un préjudice sérieux ou grave dans ce cas-là. Donc, ça reprend l'ensemble, quand même, des préjudices qui sont généralement considérés comme importants, là, dans ce genre de situations là, comme l'humiliation, le dommage à la réputation, pertes financières, vol d'identité, effet négatif sur le dossier de crédit, dommages aux biens et à leur perte, perte de possibilité d'emploi ou d'occasion d'affaires ou d'activités professionnelles. Donc, c'est le type de préjudice dont l'on fait référence quand on parle de préjudice sérieux.

Par rapport à la relation contractuelle, il y a une distinction, je pense, à apporter sur le fait que, dans la loi sur l'accès, c'est sûr qu'on exige lorsque, présentement, préjudice sérieux... on avise. Mais, dans un contexte contractuel, une entreprise ou un citoyen pourrait intenter un recours contre une entreprise qui ne serait pas... qui serait fondée sur la personne raisonnable. On dit : Il y a eu une faute contractuelle parce que, dans cette circonstance-là, il y a eu communication d'un renseignement, puis on pense qu'une personne raisonnable, dans les mêmes circonstances, m'aurait informé. Ça fait que ce n'est pas parce que l'obligation, dans la loi sur l'accès, se situe ici que, dans le contexte contractuel, la personne, là, concernée perd tout recours face à son cocontractant. C'est sûr que le fait de ne pas avoir avisé ne sera pas automatiquement une violation de la loi, puisque la loi, effectivement, a un certain seuil, mais il y a quand même... je dirais que c'est deux voies de recours différentes, là, par rapport à la poursuite de nature contractuelle qu'une personne peut déposer à l'encontre, là, d'une entreprise qui aurait agi de façon non responsable avec ses renseignements personnels.

Le Président (M. Bachand) : M. le député de LaFontaine.

M. Tanguay : Oui, puis merci. Je vous suis, mais là où... Puis je suis d'accord avec vous, tout ce que vous avez dit, mais là où on commence à prendre des chemins divergents, c'est : Quel sera l'étalon de mesure du comportement fautif ou pas du cocontractant? Ce sera s'il a respecté ses obligations légales, s'il a respecté ses obligations légales, sinon contractuelles.

Donc, ce que vous pourriez me dire, c'est que moi, je pourrais le mettre dans le contrat que, nonobstant la loi, je peux resserrer ça encore plus. Mais, si le contrat ne le prévoit pas, je dois me rabattre sur la loi qui donne l'étalon de mesure. En matière contractuelle, c'est 1458 du Code civil et c'est ce que l'exécution que les parties en font, une personne raisonnable, c'est l'étalon de mesure.

• (14 h 50) •

Mais une personne raisonnable qui respecte la loi, qui ne va pas au-delà de la loi ne serait pas fautive. Elle serait fautive si elle avait, de façon non contractuelle, de façon... contrairement à ses obligations contractuelles, elle n'aurait pas respecté telle, telle clause ou elle aurait, de façon... de mauvaise foi, elle aurait engagé quelqu'un qui s'en foutait complètement puis qu'elle n'avait pas encadrée, et ainsi de suite. Ça, c'est la faute qui explique pourquoi l'information a été éventée. Mais est-ce que moi... J'en suis sur l'obligation.

Est-ce que je devais vous en informer pour que, le cas échéant, vous puissiez diminuer votre préjudice, vous en prémunir ou faire quoi que ce soit? Vous avez l'obligation de m'informer en vertu des rapports minimums entre les parties. Quand la loi dit : Dans ce contexte très précis là, vous n'avez pas l'obligation de l'informer, il n'y aura pas de faute. Il n'y aura pas de faute, et le recours pour avoir manqué à votre obligation de m'informer, je vous dirais, serait encore plus affaibli par 95 adopté que si on n'adoptait pas 95, parce que là, au moins, les tribunaux pourraient dire : Bien, la loi ne le prévoit pas. Là, je pense qu'une personne raisonnable, parce qu'il y avait un préjudice, aurait pris le temps de vous informer, c'est clair.

M. Miville-Deschênes (Jean-Philippe) : Bien, écoutez, je pense que votre point sur l'impact sur les relations contractuelles est effectivement, là, correct, là, c'est-à-dire que l'entreprise, sachant que l'obligation est d'aviser... préjudice sérieux, puis qui ne le ferait pas puisque le préjudice n'est pas sérieux, bien, il respecterait la loi, donc, ça serait plus difficile de démontrer une responsabilité contractuelle. J'en suis. Par contre, là, je réitère, en fait, là, que... je comprends très bien l'objectif, mais je réitère la préoccupation, un peu, qui a été soulevée par une quinzaine d'intervenants, incluant, là, les différents représentants d'entreprise, à l'effet que, quand il y a un incident, bien, ils voudraient avoir un seul étalon de mesure à appliquer pour l'ensemble du Canada, là. Et c'est la raison pour laquelle, pour l'instant, on a mis le préjudice sérieux, là, cette raison-là, et aussi le fait qu'en Californie, entre autres, il y a eu certaines critiques à l'effet que la communication... Automatiquement, lorsqu'il y a une communication d'un renseignement qui n'est pas autorisée par la loi, il y a un avis, et puis ça résulte dans de nombreux avis communiqués aux personnes qui, dans certains cas, perdent un peu le, comment dire... le degré de préoccupation qu'ils devraient avoir. Puis ce n'est peut-être pas bien dit, mais en voulant dire que, quand tu as trop d'avis, bien, c'est sûr que tu n'y prêtes plus attention. Donc, c'est les deux enjeux, aussi, principaux, qui justifiaient de maintenir un degré de préjudice, là.

Le Président (M. Bachand) : M. le député de LaFontaine.

M. Tanguay : Oui. Merci, M. le Président. Alors, j'ai dit ce que j'avais à dire. Si vous me le permettez, j'aimerais lire l'amendement qui est déjà sur Greffier. Puis je peux laisser le temps aux collègues de rafraîchir leur Pentium 100. Amendement, article 14 :

Dans le deuxième alinéa de l'article 63.7, introduit par l'article 14 du projet de loi, remplacer la première phrase par la suivante : «Si l'incident présente un risque sérieux qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la commission.»

Et ça, M. le Président, ce sera un amendement pour lequel on pourra faire un amendement miroir à l'article 95, et je pense... dernier élément, j'ai jonglé avec l'idée d'enlever carrément «sérieux», là, un risque qu'un préjudice, un risque sérieux. Parce qu'on aurait pu dire, à ce moment-là : Bien, un risque... il y a tout le temps un risque. Je veux dire, je me lève le matin puis je suis à risque qu'il arrive de quoi. La principale cause de la mort, c'est la vie. Alors, il y a un risque à toute chose. Mais qu'un risque sérieux qu'un préjudice soit causé, à ce moment-là, informez-le. Donc, ça ne vient pas dire qu'à toutes les fois, là, aïe, il y a un risque. J'ai envoyé un courriel avec l'information, on pourrait dire : Bien, il y a un risque. Alors, gardons «sérieux». Mais avec le risque sérieux qu'un préjudice soit causé parce qu'il y a une anomalie qui est arrivée, je pense que ce serait... je pense qu'on est rendus là en 2021. Voilà.

Le Président (M. Bachand) : Merci beaucoup. Interventions sur l'amendement? Est-ce qu'il y a d'autres interventions? Sinon, nous allons procéder à la mise aux voix de l'amendement du député de LaFontaine. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. Pour les membres du groupe parlementaire formant l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Contre.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Contre.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Abstention.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est rejeté.

Donc, on retourne à l'article 63.7. Interventions? S'il n'y a pas d'autre intervention, M. le ministre, s'il vous plaît.

M. Caire : Oui. Merci, M. le Président. Donc, article 63.8 :

«Pour l'application de la présente loi, on entend par "incident de confidentialité" :

«1° l'accès non autorisé par la loi à un renseignement personnel;

«2° l'utilisation non autorisée par la loi d'un renseignement personnel;

«3° la communication non autorisée par la loi d'un renseignement personnel;

«4° la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement.»

Alors, M. le Président, cet article définit, pour l'application des nouvelles dispositions de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels introduites par le projet de loi, le terme «incident de confidentialité».

Le Président (M. Bachand) : Merci beaucoup. Interventions? M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Quand on dit... je pense que oui, là, quand on dit «non autorisé par la loi», ça inclut de facto non autorisé, par ailleurs, en vertu d'une obligation prise par un règlement. C'est inclusif, ça aussi, là. Quand on dit «la loi», c'est les règlements qui en découlent également, n'est-ce pas?

M. Caire : Oui, et les règlements qui en découlent, oui.

M. Tanguay : Oui? O.K. L'accès non autorisé, la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement, est-ce que... puis je vois qu'on a quand même été dans le détail ici, est-ce qu'on est assurés de pas mal couvrir tous les cas d'espèce ici? Parce qu'on dit : l'accès non autorisé, O.K., l'utilisation non autorisée, la communication... On couvre tout?

M. Caire : Oui, oui. On fait... Oui, oui.

M. Tanguay : Parce que, là, on est limitatifs.

M. Caire : Oui, oui, oui. Puis la perte peut avoir un sens aussi qui est assez large, là, une suppression d'un renseignement qui n'aurait pas été autorisé, etc., là. Ça fait que, oui, je pense qu'on couvre vraiment tous les cas de figure.

M. Tanguay : O.K. Puis juste pour conclure là-dessus, là, puis ça va être mon dernier commentaire, je fais un lien avec le débat qu'on vient d'avoir, on dit beaucoup : Si, en vertu de la loi, en vertu de la loi, en vertu de la loi... La loi donne le ton.

Alors, je ne referai pas le débat, mais quand la loi nous dit : Dans ce contexte-là, vous n'avez pas besoin de les aviser, tu peux être sûr, M. le Président, que vous ne pourrez jamais faire reconnaître... j'ose me tromper, mais vous avez toute une... que si la loi ne vous obligeait pas à renseigner, de faire dire à un juge que c'est une faute parce que vous n'avez pas été au-delà de la loi, ça ne tiendra pas la route. Alors, je referme la parenthèse, mais ça me va, 63.8.

Le Président (M. Bachand) : Merci. Interventions sur 63... 63.8, pardon? S'il n'en a pas... M. le ministre.

M. Caire : Alors, 63.9, M. le Président, se lit comme suit : «Lorsqu'il évalue le risque qu'un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, un organisme public doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables. L'organisme doit également consulter son responsable de la protection des renseignements personnels.»

Donc, M. le Président, l'article 63.9, cet article prévoit que, lorsqu'un organisme public évalue le risque qu'un préjudice soit causé à une personne dont un renseignement personnel est concerné par un accident... un incident, pardon, de confidentialité, il doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables, en plus de consulter son responsable de la protection des renseignements personnels.

Le Président (M. Bachand) : Merci, M. le ministre. M. le député de LaFontaine.

M. Tanguay : Oui, là, vous allez dire : Je parle des deux côtés de la bouche, mais c'est juste par simple cohérence. Je veux dire, j'ai déposé mon amendement, il a été battu, ça fait que c'est la loi. Juste par cohérence, ne devrait-on pas lire : Lorsqu'il évalue le risque... parce que le concept, c'est le préjudice sérieux. Alors, lorsqu'il évalue le risque qu'un préjudice sérieux soit causé... parce qu'il doit trouver un préjudice sérieux, il ne doit pas trouver...

M. Caire : Pas nécessairement.

M. Tanguay : Moi, je pense, par cohérence, il faudrait mettre «un préjudice sérieux soit causé», parce que lorsqu'il évalue le risque qu'un préjudice soit causé... Ce qu'il cherche, ce n'est pas un préjudice, ce qu'il cherche... puis, contrairement à mon amendement, il doit évaluer un risque qu'un préjudice sérieux soit causé. Alors, j'ajouterais «sérieux» après «préjudice», par simple cohérence.

• (15 heures) •

M. Caire : Bien, en fait, non, parce que, là, on est à l'étape où on doit évaluer, justement, si c'est un préjudice, un préjudice sérieux et quelles sont les mesures conséquemment qu'on doit prendre. Donc, on ne peut pas dire : Pour évaluer si un préjudice est sérieux, vous devez considérer la sensibilité, vous devez évaluer l'utilisation appréhendée à des fins préjudiciables. Alors, c'est là où vous allez décider, est-ce que c'est un préjudice sans conséquence, est-ce que c'est un préjudice sérieux. Donc, c'est ça que l'article vient faire, il vient vous donner quelles sont les unités de mesure pour déterminer quel est, justement, le degré... à quel degré il est préjudiciable.

M. Tanguay : Oui. Bien, là-dessus... Des fois, si tu fais des arguments, tu sais... Là, je suis sûr à 100 %, là. 100 %, là. Vous me dites, plus haut : Vous devez... Un risque qu'un préjudice sérieux soit causé. Un risque qu'un préjudice sérieux soit causé. Il y a huit mots. En bas, le risque qu'un préjudice soit causé. Vous ne cherchez pas un préjudice. Si je vous dis : Allez à l'épicerie puis trouvez-moi des oranges, cherchez-moi pas d'autres choses. Lorsque vous devez évaluer le risque qu'un préjudice sérieux soit causé, vous devez... parce que vous pourriez prendre les mêmes critères plus bas puis dire : Oui, finalement, je considère que j'ai trouvé un préjudice. Bien, ce n'est pas ça qu'il faut que tu cherches. C'est des oranges que je veux, ce n'est pas une banane. C'est un préjudice sérieux, puis il considère la sensibilité, ci, ça, ça. Ça, là-dessus, là...

M. Caire : Non, mais j'entends ce que mon collègue dit, mais suivez-moi, là. Alors, deuxième alinéa de 63.7 : «Si l'incident présente un risque qu'un préjudice sérieux soit causé, l'organisme doit...» Alors là, on dit... On vient d'évaluer le préjudice. Est-ce que c'est un préjudice? Est-ce que c'est un préjudice sérieux? Là, on est... L'article 63.7 arrive avant 63.9, dans le phrasé, mais je dirais que 63.9, dans les étapes, arrive avant 63.7 en ce sens que 63.9 nous indique sur quelles bases on doit... sur quoi on doit se baser, pardon, pour déterminer le niveau de préjudice. Donc là, ce que ça dit, c'est : «Lorsqu'il évalue le risque qu'un préjudice soit causé». Première étape, il y a-tu un préjudice qui a été causé par la situation? Alors, est-ce qu'il y a un... Mais est-ce qu'il y en a un?

M. Tanguay : C'est quoi, la deuxième étape?

M. Caire : Parce qu'il peut n'y en avoir aucun. Et s'il y en a un, est-ce que c'est un préjudice sérieux ou non?

M. Tanguay : À la lumière de quels critères il va être sérieux? 63.9?

M. Caire : À la lumière... Mais en même temps, là, je rajoute la réponse de Me Miville-Deschênes, tout à l'heure, mais 63.9 va nous dire notamment... Mais Me Miville-Deschênes nous a dit qu'il y a d'autres lois qui disent... Sur la question de ce qui est sérieux, il y a d'autres lois qui vont vous dire : Bon, bien là, vous avez... Ça porte une atteinte à l'emploi, à la réputation, à la dignité, à blablabla et donc «notamment la sensibilité du renseignement concerné». Donc, ça, c'est un critère, la sensibilité du renseignement, les conséquences appréhendées de son utilisation. Est-ce qu'il y a des conséquences s'il est utilisé à mauvaise fin, oui ou non? La probabilité qu'il soit utilisé à des fins préjudiciables... Donc, on est en train de vous donner des critères sur lesquels vous évaluez s'il y a préjudice ou non. Et vous avez d'autres critères qui existent, qui ont été mentionnés, qui viennent vous dire si c'est un préjudice sérieux ou non. Donc, première étape, il y a-tu un préjudice? Si oui, il y a-tu un préjudice sérieux, oui ou non?

Le Président (M. Bachand) : Le député de Gouin, ensuite le député de LaFontaine.

M. Nadeau-Dubois : Merci, M. le Président. Question complémentaire à celle de mon collègue de LaFontaine. À la dernière phrase de 63.9, on peut lire : «L'organisme doit également consulter son responsable de la protection des renseignements personnels.» Donc, il y a une obligation de consulter le responsable, dans quel objectif?

M. Caire : Bien, on est toujours dans l'évaluation du risque.

M. Nadeau-Dubois : Dans l'évaluation du risque. Est-ce qu'il y a, à quelque part dans le projet de loi, une obligation, pour les organismes publics... puis c'est une question très simple, je l'assume, mais, des fois, il faut écrire les choses même si elles sont simples. Est-ce qu'il y a, à quelque part dans le projet de loi, une obligation d'informer, tout simplement, le responsable de la protection des renseignements personnels dans les organismes publics au moment où il y a un incident de confidentialité?

M. Caire : De l'informer...

M. Nadeau-Dubois : Qu'il y a eu un tel incident de confidentialité.

M. Caire : Je vais laisser... Je ne pense pas. Je vais laisser Me Miville-Deschênes, mais c'est des notions qu'on introduit avec le projet de loi n° 64. Là, je ne pense pas que ça existe dans le corps législatif, actuellement, là, mais ça, c'est des notions qu'on amène ici et maintenant. Mais peut-être, maître... Je ne sais pas, moi, à ma connaissance, non.

M. Miville-Deschênes (Jean-Philippe) : Bien, il n'y en a pas actuellement, puis dans la section sur les incidents, le moment où il est consulté, c'est vraiment lors de l'évaluation du préjudice, évaluation qui a lieu pour tous les incidents, là.

M. Nadeau-Dubois : Oui, qui a lieu après l'incident. L'Association des archivistes du Québec, dans leur mémoire, soulevait cette... peut-être cette absence, dans le projet de loi, c'est-à-dire il y a un organisme public, il y a un incident de confidentialité, ce n'est pas nécessairement le responsable de la protection des renseignements personnels tel que défini par la loi qui va le constater en premier, là, ça pourrait être dans plusieurs... dans un département autre de l'organisation.

M. Caire : Ah! tout à fait, tout à fait, tout à fait.

M. Nadeau-Dubois : Est-ce qu'il n'y aurait pas lieu de prévoir une obligation légale d'informer, sur-le-champ ou le plus rapidement possible, le responsable de la protection des renseignements personnels? Parce que, là, on est... Le ministre a raison de le dire, là, c'est ici qu'on vient intégrer dans le projet de loi une interaction avec le responsable, mais on le fait dans une étape subséquente. Puis je ne veux pas insinuer que ça va arriver trois ans plus tard, là, ce n'est pas ça que je dis, mais quand même... ou plus tard dans le processus. Ce serait donc seulement au moment où il est temps d'évaluer le préjudice qu'on le consulte.

Est-ce qu'il n'y aurait pas... Est-ce que ce ne serait pas pertinent d'inclure, nommément, dans la loi, un truc aussi... Tu sais, je reconnais que c'est élémentaire un peu, là, mais est-ce que ce ne serait pas pertinent de dire : Quand il y a... Dès que c'est constaté dans l'organisation, il y a une obligation d'informer le responsable de la protection des renseignements personnels?

M. Caire : Bien, en fait, je vais dire à mon collègue : Je ne pense pas. Compte tenu du rôle du responsable de la protection des renseignements personnels, ce n'est pas quelqu'un qui va avoir nécessairement pour mandat de mitiger les conséquences, dans le sens où il y a un incident de confidentialité, il y a des mesures à prendre pour circonscrire les conséquences au maximum, voire si on peut même les éviter. Et c'est pour ça qu'on va dire, essentiellement... Dans la réaction, on va dire essentiellement, par exemple, qu'il peut aviser également «toute personne ou tout organisme susceptible de diminuer ce risque».

Donc, dans l'opérationnalisation d'un événement, il est arrivé un événement, un incident de confidentialité, on a des mesures à prendre rapidement pour limiter, voire faire en sorte qu'il n'y ait pas de dégât ou les limiter, s'il y a des dégâts. Le responsable de la protection des renseignements personnels, là, a plus un objectif d'application de la loi, mais son intervention, je comparerais ça au... Le feu est pris? Vous appelez les pompiers, vous n'appelez pas l'assureur. Vous commencez par appeler les pompiers. Après ça, là, quand il sera le temps de constater les dégâts puis de... Là, vous appellerez l'assureur.

Et donc, dans ce sens-là, 63.9 vient faire obligation dans le sens de ce que le collègue de Gouin suggère parce qu'on dit : Il doit également consulter. Donc, tôt ou tard, là, quand on aura éteint l'incendie, là, il sera le temps d'évaluer les dégâts. Donc, c'est ce que 63.9 fait, et, dans ce cas-là, vous devez consulter le responsable de la protection des renseignements personnels. Donc, ce n'est pas un choix que vous avez, vous devez le faire, mais c'est juste que ça vient séquencer à quel moment c'est une obligation de le faire. Ce n'est pas quand le feu est pris. Là, c'est les pompiers qu'on appelle. Et, quand tout ça est sous contrôle, quand on a contrôlé la situation, qu'on s'est assuré qu'il n'y avait pas ou peu de danger, bien oui, à ce moment-là, quand il sera le temps d'évaluer le risque de ce qui s'est passé, là... parce que c'est... Dans la chaîne des événements, c'est à ce moment-là que lui doit intervenir.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Je comprends. Je comprends ce que le ministre dit, là, puis je comprends bien que, dans un organisme public, puis surtout si ce sont des grandes organisations, ce n'est pas le responsable de la protection des renseignements personnels qui va aller vérifier à la mitaine si le code est correct ou qui va faire le... qui va se mettre les mains dans le cambouis, là, dès le moment où on remarque un incident, mais c'est quand même lui qui est légalement, le ministre l'a dit, le responsable de l'application de la loi. Il est redevable au sein de son organisation de tout ce qui se passe de lié à la protection des renseignements personnels. En dernière instance, là, c'est lui qui est... Puis il y a eu une grande discussion, par ailleurs, entre le collègue de LaFontaine et le ministre sur cette question-là, là, tu sais, pour évaluer son niveau de responsabilité puis de redevabilité dans ces situations-là.

• (15 h 10) •

Qu'est-ce que ça... tu sais, qu'est-ce que ça coûte? Qu'est-ce que ça... Quel est l'inconvénient de venir inscrire dans la loi une obligation qui, oui, est élémentaire, mais est à la fois très importante, de dire : Quand il y a un incident... Puis là je comprends bien, ce n'est pas comme, tu sais... Je comprends le ministre quand il me dit... S'il y a un incident de confidentialité, je comprends que le ministre nous dise que ce n'est pas pendant que le feu est pris, dans la minute, là... On en convient tous, puis je pense que les gens qui appliquent la loi, ils sont capables de jugement aussi, là, mais de dire que, lorsqu'il y a un bris de... lorsqu'un incident de confidentialité est constaté, qu'il y a une obligation légale d'informer la personne qui va être responsable de la situation dans l'organisme, pas seulement quand vient le temps, dans un deuxième ou un troisième temps, de dire : O.K. quels sont les préjudices?, mais dès que... bien, dès que l'événement se produit, dans un délai raisonnable, disons-le comme ça.

Je me demande qu'est-ce que ça coûte puis je me demande surtout, est-ce que ce n'est pas une espèce de filet de sécurité pour les organismes publics eux-mêmes puis pour les responsables dans ces organismes-là de savoir que, s'il y a un événement, bien, il y a une responsabilité légale de communiquer l'incident en question puis son existence au responsable des renseignements personnels, puis pas juste quand, après, par exemple, quelques jours de vérification, on commence à prendre la mesure de l'ampleur, par exemple, de la fuite.

Parce que le ministre sait comme moi que ce n'est pas tranché au couteau, ces affaires-là. Des fois, on se rend compte qu'il y a une fuite. Puis, dans le cas de Desjardins, là, je sais que ce n'est pas un organisme public, mais c'est l'exemple qui a été beaucoup médiatisé, ça a pris quand même plusieurs semaines pour qu'on prenne progressivement, en tout cas, publiquement, conscience de l'ampleur de la fuite. Au début, on pensait que c'était certains clients, au début. On pensait que c'était un petit peu plus de clients, puis c'est quoi, quelques semaines plus tard, voire quelques mois plus tard que, finalement, c'était tout le monde, bon. Là, je prends un exemple extrême, je prends un exemple dans le privé, mais, tu sais, souvent, quand on remarque un incident de confidentialité, ce n'est pas dans les premières heures ni même dans les premiers jours qu'on peut tout de suite savoir exactement son ampleur puis tout ce qui a été compromis.

Moi, je présume que l'évaluation du préjudice, elle vient quand même en aval dans le processus, dans la mesure où, le ministre l'a dit lui-même, on commence par essayer de comprendre qu'est-ce qui s'est passé, où sont, par exemple, les brèches de sécurité, quelles données ont été compromises. Une fois qu'on a fait tout ça puis qu'on a un portrait de la situation, dans un deuxième temps, on essaie d'évaluer le préjudice. Et là c'est à ce moment-là que la loi vient dire, là, quand vous arrivez à évaluer le préjudice, c'est quand même en aval pas mal, là, vous devez avertir.

Est-ce que ce ne serait pas pertinent de dire : Non, dès qu'il y a connaissance d'un incident, il doit y avoir communication au responsable, ne serait-ce que pour que cette personne-là soit, je veux dire, au courant que la situation existe? Ce qui n'empêche pas, par la suite, la disposition de 63.9 qui vient dire : Par ailleurs, vous le consultez à nouveau quand vient le temps d'évaluer le préjudice.

M. Caire : Bien, en fait, quand on regarde la loi, c'est... Ce que le député de Gouin décrit, c'est ce qui va se passer. J'explique. Si vous regardez le premier alinéa, 63.7, bon, on dit : Il y a un motif. Il y a un incident de confidentialité, ça implique un renseignement personnel. On prend les mesures raisonnables pour diminuer le risque qu'un préjudice soit causé. Donc, la première chose à faire, comme je disais, c'est de s'assurer qu'on va limiter les dégâts au maximum.

Ensuite de ça, on dit : Si l'incident présente un risque de préjudice sérieux. Alors là, déjà, au deuxième alinéa, on est dans l'évaluation du préjudice, là. Or, dans l'évaluation du préjudice, on se rapporte à 63.9. Et 63.9 nous dit quoi? Nous dit comment on va... sur quoi on va se baser pour évaluer s'il y a eu un préjudice, sérieux ou non. Et, déjà là, on dit : Vous devez consulter le responsable. Donc, ça arrive en amont de tout le reste de la séquence, mais tout de suite après le fait qu'on prend des mesures pour mitiger le risque.

C'est un peu... puis c'est un peu ce que j'expliquais. La première étape, c'est de s'assurer que l'incident est circonscrit. La deuxième étape, c'est d'évaluer le préjudice, si tant est qu'il y en ait un. Et déjà, à cette étape-là, il faut informer le responsable de la protection des renseignements personnels, en vertu de 63.9.

Donc, on est pas mal à la genèse. Dans la chaîne des événements, là, on est pas mal à la genèse, tout de suite après le fait que : O.K. Prenez les mesures immédiates pour contrer le préjudice, pour s'assurer qu'il y en ait le moins possible, mais tout de suite après, là, on est dans : O.K. Est-ce qu'il y a eu préjudice, oui ou non? Puis tout de suite, à ce moment-là, on doit consulter le responsable. Donc, on est vraiment à la genèse, là, des mesures administratives, là, qui ne sont pas directement liées au fait qu'on veut circonscrire l'incendie, là.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Je comprends, mais, à moins de me tromper, puis le ministre connaît bien le domaine de l'informatique, colmater les brèches en question, là, ça ne prend pas une demi-journée, tu sais. Ça ne prend pas nécessairement une demi-journée, là. Ça peut prendre... Ça peut être long, là. Si les systèmes sont compromis, c'est, pour reprendre les métaphores à notre portée, là, c'est des réparations, c'est des interventions qui peuvent prendre un certain temps.

Et pendant ce temps-là, s'il y a brèche de confidentialité, cette brèche-là peut rester ouverte, peut rester béante pendant le temps qu'on procède, tu sais. On constate un problème de confidentialité, on constate un problème de sécurité. On est au travail pour le corriger. Ça va parfois nécessiter de faire affaire avec des consultants externes, avec des entreprises avec lesquelles on a des partenariats pour nos serveurs, qui ne sont pas toujours au Québec, bon.

Ce travail-là d'éteindre l'incendie, pour reprendre la métaphore du ministre, ce n'est pas... Justement, la différence avec éteindre un feu, c'est que ça ne prend pas seulement... Souvent, ça ne prend pas seulement quelques heures. Ça peut être un travail... Oui, d'ailleurs, je suis béni des dieux pour illustrer mon propos. Ça ne prend pas seulement quelques heures, tu sais, ça peut prendre plusieurs jours et ça peut prendre plusieurs semaines si des systèmes sont sévèrement compromis. Pendant ce temps-là, on est encore en train d'éteindre l'incendie.

Et donc, techniquement, si je comprends bien l'explication du ministre, pendant toute cette période de temps, techniquement parlant, il n'y a pas d'obligation légale, à ce stade-là, d'informer. Ça viendra seulement en aval, quand vient le temps d'évaluer le préjudice. Ça fait que je me demande, à la rigueur, pour le bien de ces responsables-là qui vont être ceux qui seront imputables de la situation, pourquoi ne pas inclure... Puis l'idée, elle ne m'a pas été donnée par intervention divine, là. C'est l'Association des archivistes du Québec qui lançait la proposition au ministre, pourquoi ne pas inscrire une obligation légale, dès que c'est constaté, dans un délai raisonnable, c'est communiqué au responsable.

Moi, je trouve que ce serait une manière de s'assurer qu'il y a une gouvernance saine puis que, puis je vais le dire peut-être de manière plus familière, là, mais, s'il y a quelqu'un qui l'a échappé quelque part dans l'organisation, cette personne-là, elle a beau l'avoir échappé, elle a une obligation légale d'informer le patron des patrons de la question plutôt que de dire : Oui, oui, je vais rattraper, je vais essayer de remettre la pâte à dents dans le tube, je vais essayer de réparer mon erreur. Puis une fois que j'aurai fait ça, on verra l'étendue des dégâts puis, à ce moment-là, on informera, tu sais. Il me semble qu'on ne devrait pas laisser cette possibilité-là ouverte puis s'assurer que personne ne peut essayer, dans un organisme public, de peut-être réparer la situation sans en informer le responsable.

• (15 h 20) •

M. Caire : Oui. Mais ça, je rassure le député, ça ne peut pas arriver, là. Cette situation-là, où il y aurait un incident de confidentialité et où la personne... où le responsable de la protection des renseignements personnels ne serait pas impliqué, ça ne peut pas arriver, là. Ça ne peut pas arriver parce que...

M. Nadeau-Dubois : Pourquoi le ministre... Pourquoi une telle certitude?

M. Caire : Bien, parce que, si vous avez un incident de confidentialité, donc, il se passe un incident de quelque nature que ce soit, vous avez donc une obligation d'évaluer s'il y a un préjudice. Et aussitôt que vous faites ça, et vous devez le faire, vous devez consulter le responsable de la protection des renseignements personnels. Ce n'est pas un choix.

Et je reprends un peu ce que mon collègue de Gouin disait, c'est vrai qu'un incident de confidentialité, ça peut se régler en quelques minutes, ça peut se régler en plusieurs mois. Et, je veux dire, ça, c'est... On ne le sait pas. Mais ce qu'on comprend, là, c'est qu'aussitôt qu'on a un motif de croire que s'est produit un incident de confidentialité, donc, j'ai trouvé, sur un site non approprié, des renseignements gouvernementaux — là, je ne sais pas si mon exemple est bon, là — mais j'ai un motif de croire qu'il y a un incident, tu sais, j'ai un motif, là, j'ai une raison de penser que... À ce moment-là, il y a une évaluation du risque qui va se faire, et, à ce moment-là, je dois consulter le responsable de la protection des renseignements personnels.

Donc, ce que je fais dans la séquence, là : il arrive un incident, je prends les mesures appropriées pour essayer de colmater la brèche. Et aussitôt je dis : Bon, est-ce qu'il y a un préjudice? Est-ce que c'est préjudiciable? Est-ce que cet incident de confidentialité là est préjudiciable, oui ou non? Bien là, il y a une évaluation qui se fait. Et là je dois consulter, selon ce qui est écrit dans 63.9, je dois consulter le responsable de la protection des renseignements personnels. On fait l'évaluation. L'évaluation nous dit : Oui, le risque est sérieux. À ce moment-là, j'avise la Commission d'accès à l'information et j'avise la ou les personnes qui pourraient être visées par cet incident de confidentialité là.

Ça fait que je vous dirais que, dans la séquence des événements, là, le responsable de la protection des renseignements personnels arriverait même avant la Commission d'accès à l'information.

M. Nadeau-Dubois : C'est intéressant parce que le ministre, au départ, dans cette première réponse, je croyais comprendre, parce qu'il a même pris la métaphore de : il y a un feu, on commence par éteindre puis, une fois que c'est fait, une fois que c'est terminé, le feu est éteint, là, on appelle l'assureur.

M. Caire : Oui, mais si je peux me permettre...

M. Nadeau-Dubois : Donc, c'était consécutif dans sa...

M. Caire : Mais dans une séquence où on est sur plusieurs mois, bien, c'est sûr que... Il faut contextualiser, là, c'est...

M. Nadeau-Dubois : Non, non, mais c'est parce que... J'explique pourquoi j'avais l'interrogation.

M. Caire : Oui, oui, je comprends.

M. Nadeau-Dubois : C'est que, dans son explication initiale, le ministre l'a représenté de manière vraiment consécutive. D'abord, on s'assure que le feu est éteint. Donc, on traduit, d'abord, on s'assure que l'incident est vraiment, vraiment, vraiment réglé, les flammes sont complètement apaisées, et ensuite, dans un deuxième temps, on... alors que, là, dans sa dernière réponse, il a dit : Bien non, dès qu'on constate l'incident, on fait l'évaluation du risque puis, si ça prend, pendant ce temps-là, six mois pour évaluer l'ampleur des dégâts, bien, l'évaluation du risque, elle va s'être faite non pas après le sixième mois, mais au départ. Donc, ce n'est pas consécutif.

M. Caire : Non. Bien, dans une situation où, par exemple, prenons...

M. Nadeau-Dubois : Parce que si ce n'est pas consécutif, en effet, mon objection ou mon questionnement est répondu.

M. Caire : Oui.

M. Nadeau-Dubois : Parce que moi, l'impression que j'avais, c'est que c'était consécutif.

M. Caire : Bien, pas nécessairement. Je vais donner un exemple, un exemple qui est sorti publiquement, là, donc, je peux m'en servir, un hôpital dont les systèmes ont été victimes d'un rançongiciel. Alors là, on comprend que... Est-ce que j'ai un motif de croire qu'il s'est produit un incident de confidentialité? Oui. Donc, est-ce qu'il y a un préjudice? Le responsable de la protection des renseignements personnels doit être consulté, mais, pendant ce temps-là, ça ne veut pas dire que j'ai réglé mon problème de rançongiciel.

M. Nadeau-Dubois : Ça peut prendre plusieurs jours.

M. Caire : Alors, je comprends ce que le député... Puis je vous présente mes excuses pour la confusion, mais ce que je voulais dire, c'est que la première chose à faire, c'est d'essayer de protéger le renseignement personnel. Maintenant, on est conscients que, dans le temps, ça peut s'étirer. Et, à ce moment-là, oui, vous avez tout à fait raison, M. le député, il va être nécessaire d'aviser le responsable de la protection des renseignements personnels parce qu'il y a, administrativement, des mesures à prendre aussi et que tout ça peut se faire de façon concomitante.

M. Nadeau-Dubois : Exactement. Ça peut se faire en simultané, pendant qu'on répare...

M. Caire : Absolument. Donc, je m'excuse de la confusion, mais c'est sûr qu'on...

M. Nadeau-Dubois : Pendant qu'on répare... Non, non, pas de problème. C'est pour ça que...

M. Caire : Je pensais plus à un incident très, très restreint...

M. Nadeau-Dubois : Ponctuel. Oui, oui, mais...

M. Caire : ...mais dans un cas comme celui-là, où ça a pris des mois avant de régler la problématique, là, parce qu'on comprend que le niveau de complexité était nettement supérieur par rapport à un courriel que j'aurais envoyé à la mauvaise adresse, par exemple.

M. Nadeau-Dubois : Oui, oui. Puis il fallait, dans le cas des rançongiciels... La réponse n'était même pas au Québec, elle était chez Microsoft...

M. Caire : Absolument.

M. Nadeau-Dubois : ...aux États-Unis, puis on attendait en se croisant les doigts et en espérant que le problème se règle là-bas. Donc, voilà, puis c'est pour ça qu'on a des commissions aussi, là, c'est pour bien comprendre la séquence puis l'application de la loi.

Ça fait que moi, ce que je comprends, juste pour bien être sûr qu'on est sur la même longueur d'onde, c'est qu'à partir du moment où l'incident est constaté, il y a, de manière pratiquement simultanée, déjà, une évaluation du risque de préjudice, à quel point on a mis le monde dans le trouble, pour prendre une expression polie. Puis dès ce moment-là, donc, le responsable est consulté, on n'a pas besoin d'avoir fini l'évaluation de la situation ou encore moins d'avoir fini de réparer les systèmes qui auraient été compromis pour que la communication soit faite. Parfait.

M. Caire : Tout à fait. Ce que je souhaitais exprimer, dans le fond, c'est de dire : Écoutez, le premier téléphone que vous faites devrait être envers la personne ou l'organisme qui peut vous aider à mitiger les préjudices, là, faire en sorte que... Mais après ça, le deuxième téléphone, effectivement, peut se faire au responsable de la protection des renseignements personnels. Je vais le libeller comme ça, ça va être peut-être un peu plus clair et plus compréhensible.

M. Nadeau-Dubois : J'ai réponse à ma question, M. le Président.

Le Président (M. Bachand) : Merci, M. le député de Gouin. Interventions sur 68.9? M. le ministre, s'il vous plaît, pour la suite des choses.

M. Caire : Ah! c'est... Mon Dieu! 63.10, M. le Président.

Le Président (M. Bachand) : 63.10, pardon, oui.

M. Caire : 63.10, M. le Président, donc, se lit comme suit :

«Un organisme public doit tenir un registre des incidents de confidentialité. Un règlement du gouvernement peut déterminer la teneur de ce registre.

«Sur demande de la commission, une copie de ce registre lui est transmise.»

Donc, M. le Président, cet article prévoit qu'un organisme public doit tenir un registre des incidents de confidentialité et que, sur demande de la Commission de l'accès à l'information, une copie de ce registre lui est transmise. Il prévoit enfin que la teneur de ce registre peut être déterminée par règlement du gouvernement.

Le Président (M. Bachand) : M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui. Est-ce qu'il est prévu qu'un tel registre pourrait être public?

M. Caire : Ce n'est pas prévu, non.

M. Tanguay : Et, dans les rapports annuels, on verrait qui sont les premiers de classe puis les derniers de classe, j'imagine, sur le nombre d'incidents et leurs qualifications.

M. Caire : Je ne croirais pas. Ça, je pense que ce n'est pas prévu comme ça. En fait, ce qui... Ça fait obligation à une organisation de tenir, vraiment, quels sont les incidents de confidentialités qui se sont produits. Aux fins de consultations, la Commission d'accès à l'information pourrait les demander soit dans son volet juridictionnel, soit dans son volet de surveillance, c'est-à-dire que ça lui est transmis, mais...

M. Tanguay : ...pas public, c'est...

M. Caire : Ça s'arrête là. Ce n'est pas public, non.

M. Tanguay : Et ici, c'est tous, tous, tous les incidents. Qu'ils aient résulté de préjudices ou préjudices sérieux, c'est tous les incidents qui vont être dans le registre?

M. Caire : Oui, oui. Et je vous dirais, en même temps, il y a une idée de ne pas les rendre publics qui permettrait, j'imagine, de mettre plus d'informations, voire des informations plus sensibles sur un état des lieux au niveau de la sécurité de l'information, par exemple, ou en se disant, bien, si c'est tenu par l'organisme, bon, l'organisme a l'état des lieux de sa situation au niveau de la sécurité des systèmes d'institution, et/ou la Commission d'accès à l'information qui, à mon avis, doit avoir un accès complet à ce genre d'information là, parce que la commission à cette capacité à traiter de l'information confidentielle dans le cadre de ses opérations. A contrario, le rendre public, à mon avis, ferait en sorte d'avoir un registre qui est une espèce de générique un peu beige pâle de choses qui sont plus ou moins informatives.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Le registre en question, à 63.10, on peut lire : «une copie de ce registre lui est transmise», mais c'est sur demande de la commission. Donc, la commission devrait, quand elle est intéressée à savoir s'il y a eu incident dans son organisme public, faire la demande, puis ça lui est transmis. Il y a quand même beaucoup d'organismes publics au Québec, là.

M. Caire : À peu près 300.

Une voix : 3 000.

M. Caire : 3 000. Ah oui! C'est vrai, la loi ce n'est pas juste gouvernement, c'est les 3 000. Excusez.

M. Nadeau-Dubois : Bien là, je ne demande pas au ministre de me donner des arguments, hein? Ce n'est pas nécessaire.

M. Caire : Non, mais on n'est pas à un zéro... On n'est pas un zéro près.

M. Nadeau-Dubois : Et encore moins à ses juristes.

M. Caire : 300, 3 000, c'est un zéro ça, là, là.

M. Nadeau-Dubois : Et donc il y a quand même 3 000 organismes publics, là.

M. Caire : Oui.

• (15 h 30) •

M. Nadeau-Dubois : Je ne sais pas si la commission va faire une vigie, tu sais, mettons, tu sais : Cette année, à qui on demande le registre? Bon. Pourquoi ne pas prévoir que c'est : les organismes publics transmettent des registres à la commission, et, tu sais, je me demande, par exemple, pour des fins de production de statistiques, de rapports, pour émettre des recommandations?

Parce que c'est un des rôles de la Commission d'accès à l'information, tu sais, d'avoir une espèce d'expertise puis de compréhension du phénomène. Tu sais, pour parler... Tu sais, ils ne les liront peut-être pas tous tout le temps, mais est-ce qu'au lieu que ce soit sur demande ce ne serait pas une bonne pratique de dire... Si on veut faire de la CAI, puis je sais que c'est un des objectifs du ministre, un genre de chien de garde qui a des vraies dents, là, en matière de renseignements personnels, pourquoi ne pas dire aux organismes publics... Bien, déjà là, ils ont l'obligation de le produire, le registre, O.K. La paperasse en question, elle va exister, ils vont la garder. Le gouvernement, par règlement, peut en déterminer le cadre, et là on dit : Bien... et si la commission est intéressée, elle peut le demander puis elle le reçoit.

Mais pourquoi ne pas dire : Les organismes publics, c'est une bonne pratique, vous l'établissez de toute façon, envoyez-le donc à notre chien de garde pour que le chien de garde en question ait l'information? Puis pas nécessairement dans une optique de surveillance et de répression des mauvais comportements mais comme je le disais, tu sais, dans une logique de production de statistiques, de rapports.

Encore une fois, là, ça ne sort pas non plus de mon chapeau. C'est l'Association des archivistes aussi qui proposait ça. Il me semble que ça pourrait être une bonne pratique en matière de gouvernance.

M. Caire : Bien, d'abord, parce que, bien... puis on me corrigera si je me trompe, mais la CAI ne l'a pas demandé. On peut comprendre que recevoir annuellement 3 000 registres d'incidents... Je pense qu'il y a une logique à dire : Bien, si la CAI en a besoin, ces organismes-là doivent rendre disponible cette information, le registre en question. L'inverse, c'est de présumer que la CAI en a besoin et va en avoir l'usage, puis ce qui n'est pas le cas, dans le sens où la CAI ne nous a pas fait cette demande-là. Et soyez assuré, M. le député, que, si ça avait été le cas, j'aurais répondu positivement à cette demande-là. Je pense qu'elle voyait plutôt, dans la situation actuelle, justement, le fait de ne pas se faire envoyer 3 000 registres par année dont elle n'a pas nécessairement... ou dont elle juge qu'elle n'a pas nécessairement besoin.

Le fait que ce soit disponible à la demande fait en sorte que, si la CAI, dans une opération, par exemple, de surveillance, donc de prévention... parce que je suis à la même enseigne que le collègue, on n'est pas nécessairement dans la répression mais dans la prévention. Si, dans un exercice de prévention, le volet surveillance de la CAI voulait avoir un historique des incidents de confidentialité ou tout autre usage qu'elle peut faire du registre, bien, c'est à sa disposition. Donc, je pense qu'il y a une commodité, il y a une question de commodité là-dedans, pour la CAI, de ne pas recevoir inutilement ces registres-là.

Le Président (M. Bachand) : Merci. M. le député de Gouin.

M. Nadeau-Dubois : Bien, je le vois bien, là, tu sais, que c'est disponible à la demande, mais... Puis là c'est parce que je ne veux pas tomber trop dans la spéculation, mais on est forcés quand même, quand on adopte une loi comme ça, d'essayer d'imaginer des applications concrètes, puis ça nous force quand même à faire des hypothèses un peu, là.

Si la CAI voulait, par exemple, prendre la mesure de l'état de la confidentialité dans les municipalités, elle devrait contacter chacune des municipalités pour leur faire la demande d'obtenir leur registre, puis, en vertu de la loi, chaque municipalité aurait la responsabilité légale de répondre. Bon, en effet, ça peut quand même être un exercice qui peut être chronophage, là. Tu sais, ça va prendre du temps, écrire à chaque municipalité pour demander leur registre de confidentialité, là, puis avoir une réponse.

M. Caire : Je peux peut-être leur suggérer d'avoir une liste d'envoi.

M. Nadeau-Dubois : Puis là est-ce que ça ouvre la porte à des stratégies, tu sais, par exemple, dilatoires de certaines... Évidemment, je suis conscient que je spécule, mais, tu sais, une municipalité ou un organisme public, il pourrait y avoir des délais, tu sais. Je me demande, de prévoir un mécanisme où ces informations-là sont automatiquement centralisées à la CAI, est-ce que ça ne met pas à la disposition de la CAI, encore plus rapidement puis de manière plus efficace, une banque d'informations pertinente pour faire son travail de surveillance puis d'étude du phénomène?

M. Caire : Écoutez, je vais réitérer que ce n'est pas une demande que la CAI a faite. Puis ils ont quand même passé à travers le projet de loi, puis c'est sûr qu'une disposition comme celle-là ne leur a pas échappé. Donc, je présume que, si la présidente avait vu un intérêt à l'exiger d'emblée, elle nous l'aurait fait savoir. Puis je peux vous dire qu'on a eu quelques discussions avec Me Poitras sur différentes dispositions du projet de loi n° 64, et, à aucun moment, elle n'a manifesté un intérêt qui allait dans ce sens-là.

Je ne veux pas... Puis vous comprenez mon malaise, M. le député, là, je ne veux pas parler au nom de la présidente de la CAI, mais, en même temps, je pense qu'on peut comprendre que c'est peut-être plus simple, de façon ad hoc, de contacter des organismes pour exiger ce registre-là que d'en recevoir 3 000 systématiquement chaque année avec le traitement que ça implique.

Mais je réitère, M. le député, que, si la CAI avait cette demande-là, je pense que... puis je ne veux pas me prononcer pour les collègues, mais on recevrait cette demande-là très favorablement, là. Ça ne serait pas... parce qu'une fois que le registre est produit, il s'agit de l'envoyer, là, ça fait que ce n'est même pas... mais j'extrapole, là, mais j'imagine que c'est parce que, du côté de la CAI, on se dit : Bien, écoute, je vais recevoir annuellement, là, 3 000 registres dont j'ai plus ou moins l'usage ou l'utilité de façon systématique, alors que, de façon ponctuelle, elle pourra aller chercher cette information-là au gré de ses besoins.

Et j'entends ce que le collègue dit, mais la CAI a quand même un pouvoir assez important pour contraindre une organisation qui fait preuve d'une certaine négligence, là. Je pense que la loi n° 64 va donner des pouvoirs réels à la CAI de se faire entendre par tout le monde.

Le Président (M. Bachand) : Merci beaucoup. Interventions? M. le député de LaFontaine.

M. Tanguay : Sur le dernier point du ministre, pourrait-il nous indiquer c'est à quel endroit, dans le p.l. n° 64, où, justement, on va revisiter les pouvoirs de la CAI? Puis j'imagine... Sa vocation qui est justement d'être un chien de garde, là, avec plusieurs... autour de quels articles qu'on va aborder ça?

M. Caire : Je ne les ai pas tous en tête, là, mais entre autres, notamment, quand on va donner son pouvoir de directive.

Une voix : ...

M. Caire : À partir de 35? À partir de 35, M. le député.

M. Tanguay : On parle de ça comme si c'était un roman : À partir du chapitre 35, vous allez voir, là, l'intrigue, là...

M. Caire : Oui, c'est ça, verset 12, chapitre 35.

M. Tanguay : Ah! bien là, ça, c'est une autre histoire. Amen. Amen pour l'article 14, M. le Président.

Le Président (M. Bachand) : Alors, c'était ma question. Est-ce qu'il y a d'autres interventions sur l'article 14 tel qu'amendé? S'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Abstention.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 14, tel qu'amendé, est adopté. Merci. M. le ministre, s'il vous plaît.

M. Caire : Oui, M. le Président, article 15, qui se lit comme suit : L'article 64 de cette loi est modifié par le remplacement du troisième alinéa par les suivants :

«La collecte visée au deuxième alinéa doit être précédée d'une évaluation des facteurs relatifs à la vie privée et s'effectuer dans le cadre d'une entente écrite transmise à la commission. L'entente entre en vigueur 30 jours après sa réception par la commission.

«Cette entente doit prévoir :

«1° l'identification de l'organisme public qui recueille le renseignement et celle de l'organisme public pour lesquels la collecte est effectuée;

«2° les fins auxquelles le renseignement est recueilli;

«3° la nature ou le type du renseignement recueilli;

«4° les moyens par lesquels le renseignement est recueilli;

«5° les mesures propres à assurer la protection du renseignement personnel;

«6° la périodicité de la collecte;

«7° la durée de l'entente.»

Alors, M. le Président, l'article 64 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels est modifié afin de prévoir le contenu de l'entente qu'il prévoit. Il est également modifié afin de prévoir que cette entente doit être précédée d'une évaluation des facteurs relatifs à la vie privée.

Le Président (M. Bachand) : Merci beaucoup. Interventions? M. le député de LaFontaine.

• (15 h 40) •

M. Tanguay : Oui, merci, M. le Président. On avait un commentaire de la Ligue des droits et libertés qui faisait écho d'une recommandation qui était à l'intérieur du rapport quinquennal 2016 de la CAI mais qui n'était pas dans son mémoire quant à l'actuel projet de loi, qui indiquait que le consentement ne permet pas de recueillir des renseignements personnels qui ne sont pas nécessaires aux fins poursuivies.

Alors, la Ligue des droits et libertés disait : «Nous souscrivons donc à la proposition suivante de la CAI : "La commission recommande que les articles 64 de la Loi sur l'accès et 5 de la Loi sur le privé précisent qu'un renseignement qui n'est pas nécessaire ne peut être recueilli, même avec le consentement de la personne concernée".»

M. Caire : Bien, je vous dirais, du moment où quelqu'un consent à quelque chose qui lui appartient, je ne vois pas comment la loi pourrait l'interdire.

M. Tanguay : C'est-à-dire, le consentement, c'est une chose, mais que l'organisme public le recueille, c'est surtout là, l'écueil, là.

M. Caire : Bien, j'essaie de voir c'est quoi... parce qu'on dit : «Nul ne peut, au nom d'un organisme public, recueillir un renseignement personnel si cela n'est pas nécessaire à l'exercice des attributions de cet organisme ou à la mise en oeuvre d'un programme dont il a la gestion.

«Un organisme public peut toutefois recueillir un renseignement personnel si cela est nécessaire à l'exercice des attributions ou à la mise en oeuvre d'un programme de l'organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d'une mission commune.»

Et là, après ça, on dit, bon, bien : «La collecte visée au deuxième alinéa doit être précédée d'une évaluation des facteurs...» Donc, je ne sais pas, là. Il m'apparaît que c'est assez clair qu'on recueille les renseignements qui sont nécessaires à la prestation de services de l'organisme ou d'un ou de plusieurs organismes.

M. Tanguay : Et l'ajout qui est fait, le remplacement du troisième alinéa, quand on parle d'une évaluation des facteurs, on fait écho ici à une même évaluation de facteurs qu'on avait vue un peu plus haut, là, à 63.4 et 63.5, c'est ça, hein?

M. Caire : C'est ça.

M. Tanguay : O.K. Et ça, est-ce que c'est... L'entente entre en vigueur 30 jours après sa réception. Et la façon dont ça doit être interprété, c'est pour l'avenir. C'est la même logique, j'imagine, on ne revisitera pas des ententes passées.

M. Caire : Des collectes qui ont déjà été faites, oui.

M. Tanguay : Puis ici, dans le fond, la collecte doit être précédée... Donc, c'est de la sous-traitance entre organismes publics-publics ou ça peut impliquer un...

M. Caire : Entre public-public.

M. Tanguay : O.K., pas un privé, là, à ce moment-là.

M. Caire : Non, public-public.

M. Miville-Deschênes (Jean-Philippe) : ...c'est juste pour la transitoire, en fait, là, pour les ententes comme à 64, là. À l'article 163, on prévoit que, dans le fond... Je vais juste le lire, là.

M. Caire : Parce qu'on parle d'organisme public.

M. Miville-Deschênes (Jean-Philippe) : L'article 64 continue à s'appliquer à l'entente, là, l'article 64 actuel, jusqu'à son renouvellement ou au plus tard deux ans suivant son entrée en vigueur. Donc, il y a comme un délai de deux ans pour...

M. Caire : Ah! bien, ça, c'est le prochain article, oui.

M. Miville-Deschênes (Jean-Philippe) : Pour s'assurer que l'entente entre 64... respecte le nouveau 64. Il y a comme une disposition transitoire : si tu as une entente en cours, tu as deux ans pour la renouveler pour respecter le nouvel article 64.

M. Tanguay : Autrement dit... Puis ça, c'est le 163 du projet de loi, hein, c'est ça?

M. Miville-Deschênes (Jean-Philippe) : C'est ça.

M. Tanguay : On dit : Les articles 64, tels qu'ils se lisent, continuent de s'appliquer à toute entente conclue conformément...

Des voix : ...

M. Tanguay : Transitoire... À l'un de ces articles avant cette date et toujours en vigueur et jusqu'à la date... Autrement dit, c'est pour l'avenir et ça va être aussi lorsqu'il y a renouvellement d'une entente qui existait déjà, mais, troisièmement... C'est-tu ça qu'il faut que je comprenne : troisièmement, s'il ne se passe rien, il n'y a pas... Si ce n'est pas une entente déjà existante qui n'était pas à renouveler, si, dans les deux ans, il y a une entente déjà existante, elle doit être revisitée en vertu du nouveau?

M. Miville-Deschênes (Jean-Philippe) : Oui, oui. Dans le cas où il y a des ententes qui se renouvellent automatiquement ou qui sont pour 10, 12 ans, bien, souvent, c'est plus des ententes qui se renouvellent automatiquement aux trois ans, donc c'est pour ça qu'il y a un délai maximal qui a été prévu à 163.

M. Tanguay : Là, vous me voyez... Ça aurait été un bel argument que j'aurais pu vous servir pour le passé, pour l'évaluation, l'article et...

M. Caire : Mais malheureusement, on avait tout prévu.

M. Tanguay : M. le Président, je demande le consentement de rouvrir l'article 14. Je ne vous le demande même pas, ça regarde mal, mais là on voit la logique d'un regard vers le passé, là.

M. Caire : Oui, mais dans le cas d'un système d'information... puis je l'entends, mais on est quand même dans deux choses différentes, dans le sens où là on parle d'une entente pour collecter de l'information, donc par un organisme, alors que, dans l'article précédent, on parlait de la refonte, l'acquisition ou le développement d'une application, d'un système. Donc, le système, puis ça, je suis bien placé pour vous le dire, là, il ne changera pas ses comportements. Le système d'information, là, sa façon d'opérer sera toujours la même, donc les failles, les vulnérabilités, là, si, après x mois d'utilisation, vous ne les avez pas détectées, là, vous ne les détecterez pas avec une évaluation des facteurs relatifs à la vie privée, là.

Donc, ce n'est quand même pas le même univers où là on parle qu'un organisme public peut toutefois recueillir un renseignement personnel. Donc, on n'est pas dans une application informatique qui suit un algorithme de travail, là.

M. Tanguay : Et quand on regarde, justement, 63.5 avec la proposition du troisième alinéa nouveau du 64 : «La collecte visée doit être précédée d'une évaluation de facteurs relatifs à la vie privée dans le cadre d'une entente écrite transmise à la commission.

«Cette entente doit prévoir l'identification; la fin auquel est recueillie; la nature», et tout ça. Donc, est-ce à dire que pour les ententes... Là, ici, la mesure transitoire, il y a deux choses. On parle de l'évaluation et on parle de ce que doit contenir l'entente. Alors, ça se peut que les ententes actuelles, qui pourraient être renouvelables, ne contiennent pas le dernier alinéa, là, 1°, 2°, 3° jusqu'à 7°. Ça, est-ce que ça veut dire que, sur cet aspect-là, une entente déjà existante devrait être reformulée ou devrait être amendée de manière, le cas échéant, à prévoir tout ça?

M. Caire : Selon les modalités des mesures transitoires.

M. Tanguay : Donc, dans les deux ans, si elle n'était pas renouvelée, par fiction, on va dire : Il faut que vous la renouveliez même si c'était prévu, puis là on va...

M. Caire : C'est ça, maximum deux ans, on va la renouveler puis on va se conformer aux paragraphes 1° à 7° de l'article 64, du nouveau troisième alinéa de l'article 64.

M. Tanguay : O.K. Alors là, il y a deux choses. Il y a ce que doit contenir l'entente, 1° à 7°, on vient d'en parler, puis la deuxième chose, c'est l'évaluation des facteurs relatifs à la vie privée. Ça, il faut que ce soit fait, dans 100 % des cas, au plus tard dans les deux ans.

M. Caire : C'est ça.

M. Tanguay : Donc, il y a deux choses à faire pour se mettre à niveau.

M. Caire : C'est ça.

M. Tanguay : Et juste comprendre, dans le 64, premier, deuxième alinéa, «nul ne peut», «nul», ça peut être un privé, ça, ou c'est juste un public?

M. Caire : Bien là, on est dans une relation entre deux organismes publics, parce que, si vous regardez le deuxième alinéa, c'est : «Un organisme public peut toutefois recueillir un renseignement personnel si cela est nécessaire à l'exercice des attributions ou à la mise en oeuvre d'un programme de l'organisme public avec lequel il collabore». Ça fait que là la loi est vraiment sur les organismes publics.

M. Tanguay : Oui, le deux, il est clair, mais le un, on parle de : «Nul ne peut...» Puis... en droit, quand on dit «nul ne peut», ça inclut tout le monde incluant les privés.

M. Caire : Oui, bien, c'est tout le monde, tout le monde, au nom d'un organisme public.

M. Tanguay : Mais ça peut être un privé au nom d'un organisme public, dans le premier alinéa?

M. Caire : Oui, oui.

M. Tanguay : Oui, O.K., mais le deuxième alinéa, c'est dans la relation public-public. O.K.

Puis l'objectif... Juste dernière question de compréhension, l'objectif de «cette entente doit prévoir», dans le fond, c'est de documenter, de donner le sérieux, d'étayer puis de s'assurer que les bonnes questions soient posées. Et j'imagine... Évidemment, on dit «une entente écrite transmise à la commission», puis elle, elle pourra faire oeuvre pédagogique ou taper sur les doigts, le cas échéant, là.

M. Caire : Le cas échéant.

Le Président (M. Bachand) : Interventions sur l'article 15? M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Si je comprends bien l'article 15 qui introduit le 64... Puis je vais peut-être répéter une question du collègue de LaFontaine, mais, bon, il l'a fait tantôt, ça fait que... Non, mais juste pour être... parce que des fois on lit aussi, en tout cas, on fait beaucoup de choses en même temps, là.

L'article 64 permet à l'organisme public de recueillir un renseignement personnel si c'est nécessaire à l'exercice de ses activités ou des activités d'un organisme public avec lequel il collabore. Bien, donc, juste pour être bien compris, là, ça, c'est un pont ici entre deux organismes publics, seulement ça.

M. Caire : Voilà, strictement, oui.

M. Nadeau-Dubois : C'était ma question.

Le Président (M. Bachand) : D'autres questions sur l'article 15? S'il n'y a pas d'autre question, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

• (15 h 50) •

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 15 est adopté. Merci beaucoup. M. le ministre, s'il vous plaît.

M. Caire : Oui, M. le Président, l'article 16. Article 16 : Cette loi est modifiée par l'insertion, après l'article 64, du suivant :

«64.1. Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité parentale, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.»

Et, M. le Président, je dépose un amendement, amendement qui dit : Insérer, à l'article 64.1 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, proposé par l'article 16 du projet de loi, après «titulaire de l'autorité parentale», «ou du tuteur».

Le Président (M. Bachand) : Merci beaucoup. Alors, on va suspendre quelques instants... On l'a déjà sur Greffier?

M. Caire : Ça a tout été déposé, ça, M. le Président.

Le Président (M. Bachand) : O.K. Quelle efficacité, M. le ministre. Quelle efficacité! Merci beaucoup.

M. Caire : Une machine.

Le Président (M. Bachand) : Alors, interventions sur l'amendement du ministre?

M. Tanguay : On va l'ouvrir.

M. Caire : ...l'autorité parentale ou le tuteur.

M. Tanguay : ...on a fait du 84 puis on parle beaucoup du... on parlait des 14 ans, puis ça va toujours de pair, c'est l'autorité parentale ou le tuteur sur le 84. On faisait de ça hier. Ça fait que ça me va, M. le Président.

Le Président (M. Bachand) : Autres interventions sur l'amendement? Nous allons procéder à sa mise aux voix donc. Mme la secrétaire.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement à l'article 16 est adopté. Donc, interventions sur l'article 16 tel qu'amendé? M. le député de Gouin.

M. Nadeau-Dubois : Oui, merci, M. le Président. L'article 64.1 se termine avec une phrase que certains pourraient juger un peu... bien, une phrase, avec un bout de phrase que certains pourraient juger un peu critique, là, «sauf lorsque cette collecte est manifestement au bénéfice du mineur».

Qu'est-ce que ça veut dire? Comment on évalue le bénéfice du mineur? «Manifestement au bénéfice du mineur», est-ce que ça, c'est des notions qui sont usuelles? Il y a-tu des précédents, des références dans d'autres lois? Parce que c'est à la fois très clair et potentiellement très flou sur qu'est-ce que ça peut vouloir dire puis qui est juge de ça. Qui est juge de quel est l'intérêt manifeste du mineur?

M. Caire : Sur les assises juridiques, je vais laisser Me Miville-Deschênes répondre à votre question, mais ce qui est manifestement au bénéfice du mineur, si le député de La Pinière était ici, je pense qu'il nous dirait que, par exemple, un renseignement qui est collecté par un médecin ou qui, dans l'objectif d'une prestation de soins envers le mineur ou... Bon, je pense que... des différents exemples comme ça qu'on peut avoir.

Maintenant, sur la notion juridique de «manifestement au bénéfice de ce mineur», je vais laisser Me Miville-Deschênes nous donner les assises juridiques sur lesquelles on s'est basées pour libeller l'article de cette façon.

M. Miville-Deschênes (Jean-Philippe) : Oui, bien, en fait, une communication... À l'article 68, on a déjà la communication qui est manifestement au bénéfice d'une personne, donc qui peut se faire sans consentement. C'est une communication, dans le cas de l'article 68, là... Exemple, s'il y a un chèque ou un montant d'argent qui est dû à une personne, dans le secteur public, bien, tu peux lui communiquer des renseignements, là, afin de lui faire parvenir puisque c'est considéré comme manifestement à son bénéfice.

Dans le cas de l'article qui nous concerne, c'est ça, c'était le même libellé un peu pour s'assurer que c'était clairement à son bénéficie. Puis on visait principalement les cas, justement, dans le secteur de la santé où il peut y avoir soit une urgence pour différentes raisons, une collecte de renseignements à un moment où le tuteur n'est pas disponible puis qu'on veut faire une intervention auprès du mineur. Ou il y a aussi les cas de la DPJ qui nous ont été soulevés, où là il pourrait y avoir, évidemment, là, une utilité de collecter des renseignements sur le mineur sans le consentement du titulaire ou du tuteur.

Donc, les exemples qu'on a, c'est ça. Puis «manifestement», bien, c'était pour que ce soit clair que ça soit... un peu à l'instar de l'article 68, là, qu'il n'y ait pas de doute sur le fait que c'est au bénéfice du mineur ou de la personne concernée.

M. Nadeau-Dubois : O.K. Et, si c'était dans le cas d'un enfant qui a un parcours DPJ, tout ça, dans ces cas-là, le tuteur, ce n'est pas un réseau que je connais bien, là, ça se trouve à être qui?

M. Miville-Deschênes (Jean-Philippe) : Bien, au début de...

M. Nadeau-Dubois : Parce que vous, tu sais, vous me donnez l'exemple d'un enfant qui serait dans une situation de violence, par exemple, pris en charge par la DPJ. Dans ce cas-là, qui doit consentir à la cueillette des renseignements personnels?

M. Miville-Deschênes (Jean-Philippe) : Bien, si on n'avait pas cette exception-là, au tout début de l'intervention, ça serait le tuteur ou le titulaire de l'autorité parentale, donc la personne qui serait présumée être le...

Une voix : ...

M. Miville-Deschênes (Jean-Philippe) : Le parent... bien, oui, qui serait la personne qui maltraite le mineur, finalement.

M. Nadeau-Dubois : O.K., bien là, dans le fond... parce que moi, c'est que je ne suis pas familier avec le statut juridique d'un enfant qui est pris en charge par la DPJ, là. Le titulaire de l'autorité parentale, est-ce que ça reste le parent? Est-ce que le parent est relevé? Est-ce qu'il se fait... Est-ce que le parent biologique se fait retirer ce titre-là? Si oui, à quel moment? Parce que ce qu'il y avait derrière mon intervention, c'est justement ce genre de situation là où les parents peuvent faire partie du problème, là, plutôt que la solution. Comment on fait pour que l'État garde sa capacité d'intervenir auprès de ces enfants-là, tu sais? Donc...

M. Caire : Ce qui va se produire... Un exemple, M. le député, un enfant mineur qui, justement... Bon, j'ai une situation de maltraitance à la maison, c'est signalé à la DPJ, la DPJ intervient, bien, le représentant de la DPJ, compte tenu du signalement qui pourrait impliquer le titulaire de l'autorité parentale ou le tuteur, bien, évidemment, à ce moment-là, le représentant de la DPJ aurait l'autorité parce que c'est manifestement dans son intérêt de collecter des informations concernant cet enfant-là pour étayer la plainte, monter le dossier, aller de l'avant avec des procédures dans l'objectif de protéger l'enfant.

Et, dans un cas où, évidemment, c'est le titulaire de l'autorité parentale qui fait l'objet de la plainte, bien, vous comprendrez qu'on ne peut pas lui demander son consentement pour recueillir des enfants pour aider la DPJ à monter un dossier contre lui pour éventuellement prendre des mesures administratives, voire judiciaires, là.

Donc, c'est une occasion ou situation vécue, un enfant se blesse de façon très importante, doit recevoir des soins rapidement, pas capable de rejoindre les parents, bien là, j'ai besoin de collecter des renseignements sur l'enfant : Prends-tu des médicaments? Ta, ta, ta. Est-ce que tu es asthmatique? Est-ce que tu es diabétique? Est-ce que tu es allergique? Est-ce que... Bon, bien... Puis là je n'ai pas le temps de demander à l'autorité parentale ou au tuteur si je peux collecter ces informations-là, c'est manifestement dans son intérêt. Donc, c'est des situations comme ça qu'on cherche à couvrir avec cet article-là.

M. Nadeau-Dubois : Dans le fond, ma question, c'est : Qui va être juge? Parce que les exemples que j'allais donner, c'est ceux-là, là, par exemple, les services de protection de la jeunesse souhaitent connaître les antécédents médicaux d'un enfant, puis c'est une information essentielle dans un contexte comme celui-là. Le parent aurait de très mauvaises raisons, mais, en même temps, de son point de vue à lui, de très bonnes, s'il ne veut pas collaborer avec la protection de la jeunesse, de refuser le consentement. Qui va être juge, dans ce processus-là, que c'est manifestement au...

Parce que moi, je suis d'accord, mon opinion personnelle est celle du ministre, là, mais, dans le processus, qui va être juge que là c'est manifestement au bénéfice du mineur puis que là, bien, le parent ne veut pas, ce n'est pas grave, la RAMQ communique, par exemple, les informations directement à la protection de la jeunesse, puis c'est fini, on ne niaise pas? Qui va être juge de ça?

• (16 heures) •

M. Caire : Bien, dans le cas de 64.1, ce sera l'organisme public qui a à rendre le service, qui nécessite cette collecte de renseignements personnels là. Donc, si on parle, par exemple, de la DPJ, bien, c'est l'officier représentant la DPJ qui va, dans le cadre de son travail, ou les responsables de... qui vont être juges de cette situation-là.

Donc, l'intervenant auprès du mineur qui aura à donner une prestation de services conditionnée par une situation qui fait en sorte que l'autorité parentale et/ou le tuteur ne peut être contacté, soit qu'on ne peut le rejoindre, soit qu'on ne doit pas le contacter parce qu'il est lui-même l'objet d'une situation problématique, à ce moment-là, il y a quand même une... Là, on parle d'organisme public. Dans ce cas-ci, il y a effectivement une autorité publique qui a une prestation de services à donner et qui, dans ce sens-là, peut assumer qu'elle agit manifestement dans l'intérêt du mineur en question.

Éventuellement, je vous rejoins, M. le député. C'est sûr que l'autorité parentale et/ou le tuteur pourront, par la suite, prendre action parce qu'ils se sont sentis lésés dans leur droit ou dans leur privilège, et, bon, bien... mais d'où le fait que l'article est libellé pour ne laisser aucun doute sur le fait que ça a été manifestement au bénéfice du mineur de le faire.

Donc, il ne faut pas qu'il y ait de doute non plus, dire : Bien, oui, tu sais, je ne suis pas capable de rejoindre ta mère, ou ton père, ou le tuteur, puis, tu sais, ce n'est pas grave, là, tu peux me le dire. Bon, tu sais, il faut que ce soit vraiment manifeste.

M. Nadeau-Dubois : O.K. Et donc l'officier représentant la DPJ serait habileté par la loi à agir, à collecter les renseignements personnels auprès d'un autre organisme public, par exemple. Si ensuite le parent souhaite... parce qu'il se sent lésé, à tort ou à raison, pourra...

M. Caire : Il aura des recours.

M. Nadeau-Dubois : ...pourrait avoir des recours juridiques, mais au moins l'intervention pourrait être faite, puis on va venir en aide au mineur en question.

M. Caire : Oui.

M. Nadeau-Dubois : C'était l'esprit de ma question.

Le Président (M. Bachand) : Merci. Intervention, M. le député de LaFontaine? Non, ça va, pas d'autre intervention? Alors, s'il n'y a pas d'autre intervention sur l'article 16 tel qu'amendé, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 16, tel qu'amendé, est adopté. M. le ministre, s'il vous plaît.

M. Caire : M. le Président, article 17 se lit comme suit : L'article 65 de cette loi est modifié :

1° par le remplacement des deux premiers alinéas par les suivants :

«Quiconque, au nom d'un organisme public, recueille des renseignements personnels auprès de la personne concernée doit, lors de leur collecte et par la suite sur demande, l'informer :

«1° du nom de l'organisme public au nom de qui la collecte est faite;

«2° des fins auxquelles ces renseignements sont recueillis;

«3° des moyens par lesquels les renseignements sont recueillis;

«4° du caractère obligatoire ou facultatif de la demande;

«5° des conséquences pour la personne concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande ou, le cas échéant, d'un retrait de son consentement à la communication ou à l'utilisation des renseignements recueillis suivant une demande facultative;

«6° des droits d'accès et de rectification prévus par la loi.

«Le cas échéant, la personne concernée est informée du nom du tiers qui recueille les renseignements au nom de l'organisme public et de la possibilité que les renseignements soient communiqués à l'extérieur du Québec.

«Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d'elle, des catégories de personnes qui ont accès à ces renseignements au sein de l'organisme public, de la durée de la conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels.»;

2° par la suppression, dans le troisième alinéa, de «se nommer et»;

3° par l'insertion, dans le cinquième alinéa et après «fait par», de «une personne ou».

M. le Président, l'article 17... pardon, l'article 17, oui, c'est ça. L'article 65 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels est modifié afin de préciser davantage l'information devant être communiquée à la personne auprès de qui des renseignements personnels sont recueillis au nom d'un organisme public.

Et, M. le Président, j'ai un amendement à l'article 17. Donc, l'amendement se lit comme suit : Remplacer, dans le deuxième alinéa de l'article 65 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels proposé par le paragraphe 1° de l'article 17 du projet de loi, «et» par «, du nom des tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 2° du premier alinéa et».

Le Président (M. Bachand) : Commentaires? Il y avait des commentaires sur l'amendement, je ne sais pas...

M. Tanguay : ...sur Greffier?

Le Président (M. Bachand) : Oui, c'est sur Greffier.

M. Tanguay : O.K. Est-ce qu'on peut suspendre une minute, M. le Président?

Le Président (M. Bachand) : Oui, on va suspendre quelques instants. Merci beaucoup.

(Suspension de la séance à 16 h 05)

(Reprise à 16 h 10)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Alors, sur l'article 50, M. le Président... Non, à l'article 17, M. le Président... On voyait que notre collègue de Gouin ne bronchait pas, stoïque, flegmatique.

Sur l'amendement... Puis je vais faire un commentaire, puis la petite pause a été bénéfique, des fois on fait de l'ordre dans nos idées. Je fais un commentaire, peut-être Me Miville-Deschênes pourra nous aider à voir, je n'ai pas vu à nulle part... Tu sais, puis là, là, ça, c'est un exemple où on précise bien des choses, là, je veux dire, on précise ça, on précise ça, puis on vous dit comment marcher, on définit comment vous allez marcher, vous allez faire un pas, très précis, mais je n'ai pas vu — puis à moins qu'on pourrait me dire : Non, non, non, c'est déjà dans la loi actuelle ou c'est ailleurs dans le... je vais le dire tout croche, là — de ligne de communication constante et permanente avec la personne pour laquelle on collecte et conserve des renseignements personnels.

Autrement dit, il y a-tu, à quelque part, un devoir de s'assurer, lorsque vous collectez des renseignements personnels ou si, et dans ce cas-ci, vous êtes un tiers puis vous le collectez pour d'autres, d'en tout temps être capable d'avoir une ligne de communication avec la personne? Parce qu'il se pourrait qu'on puisse collecter des renseignements personnels sans que l'on ait, par exemple, une adresse courriel, sans qu'on ait une façon efficace de rejoindre la personne. Il y a-tu une obligation en quelque part qui le dit que, si vous avez des renseignements personnels, vous devez avoir une ligne de communication avec la personne? Et ça, ça fait écho un peu au débat qu'on a eu dans le contexte de l'article 14 où on dit : Bien, il faut communiquer, s'il y a un incident. Mais c'est-tu marqué à quelque part que je vais pouvoir communiquer de façon efficace, là?

M. Caire : Bien, je vais juste demander à mon collègue de préciser sa question, parce que, dans l'article, on dit «quiconque, au nom d'un organisme public, recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte et par la suite sur demande», donc... mais je ne sais pas si c'est à ce niveau-là...

M. Tanguay : Encore plus macro, là, à 30 000 pieds d'altitude. On parle des organismes publics, puis même ça a un impact sur les privés. Il y a-tu de quoi, un principe qui dit que, lorsque vous détenez de l'information qui concerne un individu, vous devez vous assurer en tout temps d'avoir un moyen de communication avec ledit individu, ne serait-ce que pour lui souligner qu'il y a eu un incident, ou ne serait-ce que pour vérifier son consentement, ou ne serait-ce que pour que lui puisse communiquer avec vous, et vice versa?

M. Caire : En fait, là, je vous... Puis je vais laisser Me Miville-Deschênes compléter la réponse, mais, compte tenu de la façon dont l'information est gérée de par la loi, chaque organisme public a la... j'allais dire l'obligation, mais ce n'est pas... bien oui, d'une certaine façon. Elle peut collecter les informations qui sont nécessaires à sa prestation de services, et, ce faisant, donc, récolter l'information qui lui permet d'entrer en contact avec le citoyen. Il n'y a pas, au niveau du gouvernement du Québec, cette obligation-là, parce que la collecte d'information, la collecte de données est propre à chaque organisme public qui est le détenteur et donc le responsable de l'information qu'il collecte. Donc, c'est une prérogative de chaque organisme public dans l'état actuel de la loi.

M. Tanguay : Parce que 63.7, mettons qu'il y a un préjudice sérieux, je dois aviser toute personne. Puis vous allez me dire : Il coule de source que vous devez donc vous assurer d'avoir une possibilité de communiquer directement avec la personne. Puis oui, il coule de source, mais mon point, c'est que, puis ça m'a frappé dans la petite pause tantôt, on est très précis, à 65, là, c'est ça, c'est ça, c'est ça, on est très précis, très, très cartésien, endigué, mais je n'ai pas vu à nulle part l'obligation nommée : Si vous avez des renseignements personnels... parce que je pourrais les avoir collectés via un tiers aussi qui pourrait les avoir collectés.

Comme là, 65, ça met en action un tiers, puis 64 aussi, ça mettait dans l'action un tiers, mais il n'est pas dit à nulle part, puis peut-être qu'on pourrait le dire, je nous lance ça, là, que l'organisme public qui détient des renseignements personnels doit s'assurer d'être capable de communiquer en temps efficace et efficacement à la personne notamment visée à 63.7, parce qu'il va falloir que vous l'avisiez d'une manière ou d'une autre.

M. Caire : Bien, je vous dirais que ce n'est pas explicite dans la loi, à moins que je me trompe, là, il n'y a pas... même dans la loi actuelle, il n'y a pas cette disposition-là explicite, mais c'est implicite. Et je vous dirais que, dans la pratique, généralement, le gouvernement qui a besoin de rejoindre un citoyen, je pense qu'il y a tous les moyens à sa disposition pour y arriver, là. Ce n'est pas...

M. Tanguay : L'ensemble du gouvernement, mais lorsqu'on parle d'un organisme tout seul dans son coin, là...

M. Caire : Non, c'est ça que je vous expliquais, M. le député, dans l'état actuel de la loi, c'est chaque organisme public qui a cette prérogative-là, dans une perspective de prestation de services évidemment, on s'entend. Puis c'est ce que la loi dit, là, de collecter ces informations-là et d'avoir cette capacité-là qui est individualisée à chaque organisme. Puis c'est même, à mon humble avis, puis j'ai en tête l'éditorial de notre collègue de La Pinière, là, d'il y a trois semaines, avec lequel j'étais tout à fait d'accord, c'est même un problème, si vous voulez mon humble avis, mais dans...

M. Tanguay : Parce qu'il n'y a pas de guichet unique.

M. Caire : Pardon?

M. Tanguay : Parce qu'il n'y a pas de guichet unique.

M. Caire : Bien, c'est ça. Puis là, bien, ça reste la prérogative et la responsabilité de chaque organisme public de le faire, de les détenir, de les mettre à jour, de les sécuriser, ce qui cause plus de problèmes que d'autres choses, à mon humble avis.

M. Tanguay : Chacun est tout seul dans son coin, là.

M. Caire : Absolument, mais c'est l'état de nos lois actuelles.

M. Tanguay : Puis vous avez un plan pour...

M. Caire : Absolument, que je vais vous déposer dans les prochains jours.

M. Tanguay : En trois ans, il n'a pas été déposé encore?

M. Caire : C'est-à-dire que, sur cet événement-là très précis, je vais avoir des choses à vous proposer.

M. Tanguay : Incessamment.

M. Caire : Ah! très. Je brûle de vous le communiquer.

M. Tanguay : O.K., mais vous voyez... Puis je ne sais pas si on peut entendre Me Miville-Deschênes, là.

M. Caire : Oui, oui, absolument.

M. Tanguay : Parce qu'encore une fois on dit tout comment marcher aux organismes : Vous devez faire ci, vous devez faire ça, puis on est précis, on est pointu, mais il me semble que d'avoir l'obligation de vous assurer de pouvoir communiquer... parce qu'il va y arriver des cas d'espèce où : Bien, voyons donc, la commission va taper sur la tête d'un organisme.

63.7, je reprends cet exemple-là parce que c'est l'exemple... vous devez avoir une ligne de communication, puis il y a une certaine urgence, là, si c'est un préjudice sérieux. Il y a-tu l'expression «sans délai», là? Ou, en tout cas, il y a une certaine expression d'urgence, bien, vous devez vous assurer... Puis on va vous le dire, parce que le but, ce n'est pas de piéger les organismes puis dire : Ah! tu as mal fait, c'est de leur dire, dans la loi, le livre de recettes.

Ça fait que je ne veux pas qu'on dise : Bien, voyons donc, le gâteau sans sucre, tu n'as pas mis de sucre dans la recette. Bien, moi, j'ai suivi la recette, tu n'as pas dit de mettre de sucre. Bien, il coulait de source que, dans un gâteau, on met du sucre. Alors, tu sais, à un moment donné... Alors, il n'y aurait pas lieu de le dire, ne serait-ce que pour remplir, encore une fois, 63.7, son obligation de façon efficiente?

M. Miville-Deschênes (Jean-Philippe) : Bien, je ne le sais pas. Je vais vous faire un petit état, dans le fond, des exigences qu'il y a dans la loi, là. Évidemment, au début, bon, il y a une exigence d'information, là, l'article 65, où le citoyen doit être informé de différents éléments par rapport à ses renseignements personnels.

Puis on est dans une situation où... Bien, on vient de voir 64, tu sais, l'organisme public recueille des renseignements pour ses attributions, soit la mise en oeuvre de programmes ou... Ça fait que je pense qu'il y a toujours une relation, là, entre l'organisme public et le citoyen, puis l'organisme public a aussi l'obligation de tenir à jour, là, ses... Je vais vous sortir l'article, là, il doit s'assurer que les renseignements qu'il détient sont à jour, complets et exacts. Donc, il a une obligation quand même proactive de s'assurer que les renseignements qu'il a sur le citoyen sont quand même à jour, là, pour... notamment quand c'est le temps de prendre une décision à son sujet.

Donc, c'est un peu ça, mais évidemment le citoyen aussi à un droit d'accès et de rectification, là, mais je n'ai pas entendu, dans la pratique, de problème par rapport à un organisme public qui n'avait pas le renseignement qui lui permettait de communiquer avec le citoyen, mais, dans la loi, il n'y a comme pas cette obligation générale, là, là, de... exemple, que l'organisme détienne tous les renseignements nécessaires pour communiquer avec le citoyen, ou quelque chose comme ça, là.

M. Tanguay : Sur votre point, je vais à l'article 113 de la loi. Ça, c'est rendu au privé, je pense. À 113, on est rendu au privé, hein, je pense, Me Miville-Deschênes?

M. Miville-Deschênes (Jean-Philippe) : Oui, mais...

M. Tanguay : Oui?

M. Miville-Deschênes (Jean-Philippe) : Excusez-moi. Bien, en fait, pour la mise à jour, c'est l'article 72 de la loi actuelle. L'article 72, là, si c'est ce que vous cherchiez, c'est : «Un organisme public doit veiller à ce que les renseignements personnels qui le concernent soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.» Donc, il y a une exigence quand même que l'organisme s'assure d'avoir tous les renseignements, là, à jour, notamment si, dans la prestation de services, il doit communiquer avec les citoyens de façon régulière, là.

• (16 h 20) •

M. Tanguay : Puis les personnes concernées... des renseignements peut exiger qu'une personne... diffusion des renseignements... Puis, dans le contexte à jour, dans le contexte de ce qu'on va ajouter... parce que c'est intéressant, ce qu'on fait là, on fait des liens, 113, puis je veux dire, on travaille, là, même si on dit : Aïe! On n'est pas sur l'article. Non, non, je veux dire, on travaille, puis il y a des liens. C'est parce qu'on va mélanger les oeufs, la farine puis le lait tantôt, ça fait qu'il faut parler des... on ne parlera pas juste du lait puis, à un moment donné, après ça, on va dire : On va aller chercher des oeufs au dépanneur.

L'article 113, 28.1, on dit, dans le contexte des privés : «Dans l'évaluation des critères du deuxième alinéa, il est tenu compte, notamment : du fait que le renseignement est à jour et exact;». Alors, il y a cette notion-là. Puis vous disiez : «72. Un organisme public doit veiller à ce que les renseignements personnels qu'il conserve soient à jour, exacts et complets pour servir aux fins...» Ça, ça veut dire... O.K., 63.7, ça veut dire, pour servir aux fins, s'il faut que tu envoies un avis, assure-toi que : Aïe! J'ai une liste de 35 000 courriels puis j'ai 28 000 retours qui sont «undelivered», ça ne va pas bien.

M. Caire : Ça ne va pas bien.

M. Tanguay : Je pense qu'il y a un meeting lundi matin, à 8 heures. C'est bon.

Sur l'amendement, M. le Président, je pense que vous aviez hâte qu'on revienne à l'amendement, mais quand même c'est intéressant, ce qu'on fait là, puis on travaille pour l'avenir des articles. Qu'est-ce qu'on veut faire? On dit : Remplacer, dans le deuxième alinéa...

M. Caire : Bien, en fait, ça se lirait... le premier paragraphe se lirait, donc : «Sur demande [...] l'informer du nom de l'organisme public au nom de qui la collecte est faite et du nom des tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 2° du premier alinéa et...» Après ça, on enchaîne avec le paragraphe 2°.

M. Tanguay : O.K. Moi, j'avais vu aussi... O.K., c'est ça, puis ça répondait à ma question, parce que j'avais fait, à 65 tel que rédigé... À 65, là, de la loi actuelle, pas du 64, il y avait le 3° : «des catégories de personnes qui auraient accès à ce renseignement». J'ai dit : Ah! il n'est pas listé. Lui, on l'a isolé dans un deuxième alinéa : «...la personne concernée est informée du nom du tiers qui recueille», donc... et par «nom du tiers à qui il est nécessaire de communiquer les renseignements», donc on ajoute... On n'a pas enlevé : «Le cas échéant, la personne concernée est informée du nom du tiers qui recueille», on fait juste ajouter «du nom du tiers à qui il est nécessaire de communiquer les renseignements».

M. Caire : C'est ça.

M. Tanguay : Autrement dit, si j'ai un sous-contractant qui collecte pour moi, la personne qui va donner son renseignement personnel va connaître l'identité du sous-contractant puis il va connaître que c'est pour Revenu Québec ou pour...

M. Caire : C'est pour... au nom de qui, c'est ça, c'est ça.

M. Tanguay : De qui c'est fait. O.K. C'est ça, le but de... O.K. Ça me va, M. le Président, sur l'amendement.

Le Président (M. Bachand) : Merci. Interventions sur l'amendement à l'article 17? S'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement à l'article 17 est adopté. On revient maintenant à l'article 17, tel qu'amendé, pour discussion. M. le député de LaFontaine.

M. Tanguay : Oui, merci beaucoup, M. le Président. Dans la nouvelle mouture de l'article 65, je vais au troisième alinéa, celui qui commence... le dernier nouveau, là, sur demande de la personne concernée : «Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d'elle, des catégories de personnes...» Donc : «Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d'elle», ça veut dire quoi, ça? C'est bizarre un peu.

M. Caire : J'essaie de la retrouver, là.

M. Tanguay : Le dernier alinéa nouveau, là, le troisième : «Sur demande...» Quatrième avant-dernier du nouvel article, là : «Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d'elle...» Comment devons-nous lire ça? Peut-être Me Miville-Deschênes, il a de l'air à être...

M. Miville-Deschênes (Jean-Philippe) : Bien, en fait, c'était pour viser les cas où des renseignements sont collectés... Oui, consentement?

M. Tanguay : Oui, consentement.

Le Président (M. Bachand) : Consentement, toujours pour la séance au complet.

M. Miville-Deschênes (Jean-Philippe) : Ils sont collectés notamment suite à la navigation de la personne ou un peu à son insu. Tu sais, il y a des renseignements qu'on donne, qu'on fournit, mais il y a d'autres renseignements qui sont collectés à l'insu de la personne, dans le fond, là, notamment par la navigation d'un site internet ou par l'utilisation d'un service. Donc, c'est des renseignements qui sont collectés par l'organisme sur nous mais qu'on n'a pas nécessairement conscience. C'est un peu pour viser ces situations-là, là.

M. Tanguay : Ça, c'est intéressant, parce que, ce matin, j'ai été instruit sur les cookies. Là, on cherchait le nom sur, justement... Puis ça, on ne parle pas des cookies, ça, c'est d'autre chose. Là, on parle... Je ne le savais pas que les organismes publics s'adonnaient, peut-être, sûrement oui, là, à collecter des renseignements sur, par exemple, la navigation qui est faite sur leur site. J'imagine, c'est de ça dont on parle.

M. Miville-Deschênes (Jean-Philippe) : Bien, je pense que la carte Inspire est peut-être un bon exemple aussi, là.

M. Tanguay : La carte Inspire, ça, c'est la...

M. Miville-Deschênes (Jean-Philippe) : La SAQ.

M. Tanguay : La SAQ. Oui, oui, O.K.

M. Miville-Deschênes (Jean-Philippe) : Ah oui! Puis je sais que vous ne l'utilisez pas, là.

M. Tanguay : Non, je ne l'utilise pas. Tu sais, c'est contradictoire, j'ai un témoignage contradictoire, à matin j'ai dit : Je l'utilisais même pour plein d'autres mais pas pour moi. Témoignage... Pas crédible, le témoin.

Carte Inspire, O.K. Donc, la SAQ peut collecter des renseignements, évidemment, sur la consommation de la personne qui utilise la carte, c'est ça? Et donc, ce qu'on dit ici, c'est que, si c'est fait sans qu'on demande le consentement, il faut l'en informer, c'est ça? Parce que là j'ai dit une hérésie, il va falloir qu'il y ait un consentement.

M. Miville-Deschênes (Jean-Philippe) : Oui, mais la... Bien, en fait, tu peux demander. Dans le fond, la personne concernée peut demander. Je dis : Je veux savoir quels sont les renseignements collectés sur moi. Parce qu'il y a des situations où il ne les a pas nécessairement tous fournis par écrit ou verbalement.

M. Tanguay : O.K., mais, M. le ministre, la nouvelle logique, ce n'est pas de dire : On demande des consentements à tout bout de champ puis spécifiques? Il ne devrait pas y en avoir un là?

M. Caire : Pas nécessairement.

M. Tanguay : Non?

M. Caire : La nouvelle logique, c'est de demander un consentement lorsqu'il y a des finalités différentes dans un service, mais on va voir plus tard, M. le député, qu'il y a des consentements qui seront implicites ou qui seront... bien, c'est ça, implicites. Je ne veux dire en bloc, là, parce que je n'aime pas l'expression, mais il ne faut pas non plus... Comment je dirais ça? Lorsque je collecte des informations personnelles sur vous, je vous avise de ce que je veux faire avec, dans la mesure où ces choses-là peuvent être éloignées les unes des autres par rapport à ce que je vous ai dit. Puis on a pris l'exemple, là, de la paire de jeans qu'on s'achète, là, où on nous demande le courriel.

M. Tanguay : Oui.

M. Caire : Bon, bien, parfait, si c'est pour m'envoyer une facture par courriel, c'est oui. Si c'est pour me mettre sur une liste de télémarketing, c'est non, mais, si c'est pour m'envoyer une facture par courriel puis que, dans la facture, il s'adonne que vous me faites part d'une promotion, O.K., c'est correct, tu sais.

M. Tanguay : O.K.,, c'est ça. Puis, dans la logique des entreprises, c'est pour servir la relation contractuelle, c'est toujours une finalité ou un objectif qui sert la... Exemple, puis je prends un exemple peut-être un peu boiteux, mais le «do not call list», ça ne s'applique pas si j'ai une relation contractuelle. Moi, je peux vous appeler, si je suis votre assureur, je vais prendre le téléphone, je vais vous appeler...

M. Caire : Bien, dans ce cas-ci, on parle d'un organisme public.

M. Tanguay : C'est ça. C'est ça, c'est la même logique.

M. Caire : Donc, dans un contexte de prestation de services, je suis l'Agence de revenu, je dois entrer en contact avec vous, je vais le faire.

M. Tanguay : Oui. D'ailleurs, il faut que je les rappelle. M. le Président...

M. Caire : C'est rarement une bonne nouvelle.

M. Tanguay : Non, non, c'était... «de la durée de conservation de ces renseignements», je me demande, est-ce que ça, ça tient la route? Autrement dit, est-ce qu'il... Je comprends l'objectif, mais est-ce que les organismes publics peuvent ne serait-ce que dire : O.K., parfait, vous leur faites la demande, je vous informe, puis on va garder ça un an, deux ans ou trois ans? Ils vont pouvoir le dire? Est-ce que de facto... O.K., là, je vais revenir à une fondamentale, tout renseignement... Le fait de détenir un renseignement personnel doit avoir une date de péremption, ça, c'est impératif?

M. Caire : Non, pas tout renseignement personnel qui a une date de péremption. Par contre... Puis on va reprendre l'Agence du revenu, normalement, vous avez l'obligation de garder vos états de cotisation cinq ans. Bien, on peut penser qu'après x nombre d'années, c'est une information qu'on peut supprimer.

C'est quand on établit le cycle de vie d'une information qu'on se dit : Cette information-là, je la conserve. Vous pouvez avoir une politique... Par exemple, je vous donne un exemple, un autre exemple : J'ai un fichier... J'ai une politique, si le fichier n'est pas ouvert pour une durée de tant d'années, après tant d'années, je supprime le fichier. Donc, ce fichier-là n'a plus d'utilité, je dois le supprimer. Donc... Et ça, je vous dirais que le problème qu'on a actuellement, ce n'est pas de supprimer trop de données, c'est d'en garder trop, de la donnée qui est, on va le dire, là, un peu passée date, là.

M. Tanguay : Mon point, c'est qu'il faut lire «de la durée de conservation de ces renseignements»... le cas échéant, ça pourrait très bien en arriver, puis probablement dans bien des cas, que la durée de conservation ne soit pas déterminée, autrement dit qu'elle soit... Il n'y a pas de date de péremption, monsieur.

M. Caire : Tout à fait.

M. Tanguay : Vous allez garder ça combien de temps? Bien, monsieur, aujourd'hui, je vous dis qu'on va le garder toujours.

• (16 h 30) •

M. Caire : Je vous donne un exemple : votre adresse. Je ne peux pas mettre une date de péremption sur votre adresse. Bien, peut-être que, dans un an, vous allez déménager, peut-être que vous allez passer votre vie à la même adresse, il n'y a pas... Je ne peux pas établir un cycle de vie précis pour cette information-là. Par contre, vos données fiscales, bien, je le sais, qu'après cinq ans il n'y a plus de recours, puis normalement, c'est cinq ans qui est le délai prévu.

M. Tanguay : Autrement dit, il ne faut pas lire «de la durée de conservation» comme prévenant un organisme, comme interdisant un organisme de dire : Bien, je n'ai pas prévu de date de destruction. Il peut le faire, il peut le dire.

M. Caire : Oui, oui.

M. Tanguay : Parfait. Quand on dit... et tout de suite, à la fin, «ainsi que des coordonnées du responsable de la protection des renseignements personnels», ça, c'est le responsable auprès de l'organisme public ou le responsable, le cas échéant, auprès de celui qui collecte, qui pourrait être par ailleurs public, privé?

M. Caire : Le responsable de l'organisme... bien, dans ce cas-ci, de l'organisme public puisqu'on parle de l'organisme public.

M. Tanguay : Du mandant.

M. Caire : C'est ça.

M. Tanguay : Et non du mandataire.

M. Caire : Celui dont on a parlé à l'article 8.

M. Tanguay : O.K. Et on le verra, que ce soit... parce qu'on a vu à l'article 64 précédent, qui pouvait tantôt être... le mandataire pouvait être un public et tantôt pouvait être un privé. Ces sous-traitants-là, ces mandataires-là, nécessairement, eux aussi, ils vont avoir des comités tant sur la loi publique que sur la loi privée, et des responsables normalement?

M. Caire : Le privé, il y a...

Une voix : ...

M. Caire : Il y a un responsable, il n'y a pas de comité, hein?

Une voix : Oui. On ajoute un responsable dans le projet de loi.

M. Caire : Oui, c'est ça, c'est ça. C'est ça, il n'y a pas de comité, mais il y a un responsable...

M. Tanguay : Il y a un responsable.

M. Caire : ...au niveau du privé, oui.

M. Tanguay : Mais ici, on parle du responsable, pas du mandataire du mandant.

M. Caire : C'est ça.

M. Tanguay : O.K. Là, ça me va, M. le Président. Ça me va.

Le Président (M. Bachand) : Interventions? M. le député de Gouin.

M. Nadeau-Dubois : Dans le champ des informations qui sont à divulguer quand il y a collecte de données, on n'indique pas notamment... on ne dit pas aux gens à qui ces renseignements-là seront partagés. On n'informe pas, par exemple, des catégories de personnes qui vont avoir accès à ces renseignements-là, pourquoi?

M. Miville-Deschênes (Jean-Philippe) : En fait, c'est l'amendement...

M. Caire : Vas-y.

M. Miville-Deschênes (Jean-Philippe) : Bien, j'allais dire que c'est l'amendement qui vient d'être déposé, qui ajoutait...

M. Caire : C'est parce que je le cherchais.

M. Nadeau-Dubois : Du nom des... oui, c'est les tiers.

M. Caire : Au «nom des tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 2° du premier alinéa». Puis je le cherchais, je m'excuse, c'est parce que je scrollais puis...

M. Nadeau-Dubois : Mais ça, c'est... Donc, c'est les tiers qui sont... donc, ce n'est pas l'organisme public ni la personne qui consent, ça serait un organisme, donc un autre organisme public, par exemple.

M. Caire : Bien, on a le nom de l'organisme public au nom de qui la collecte est faite.

M. Nadeau-Dubois : Mais est-ce...

M. Caire : Mais on ajoute à ça... avec l'amendement, on a ajouté le nom des tiers à qui il est nécessaire de communiquer les renseignements.

M. Nadeau-Dubois : Oui, mais je vais... Ma question portait plutôt sur : à l'intérieur de l'organisme public, est-ce que ce ne serait pas pertinent d'informer la personne de qui aura accès aux informations?

M. Caire : Vous voulez dire... là on parle d'individus qui composent l'organisme public.

M. Nadeau-Dubois : Ça pourrait être des... évidemment, pas une liste, là. M. Stéphane Tremblay, Mme Magalie...

M. Caire : Non, non, non, mais je veux dire, mettons, le responsable de, le directeur de.

M. Nadeau-Dubois : Voilà, des catégories de personnes, par exemple. Est-ce que ça peut... et c'est vraiment une question, est-ce que ça peut ne pas faire partie d'éléments qui peuvent être pertinents pour que les gens expriment un consentement qui soit éclairé?

M. Caire : Me Miville-Deschênes brûle du désir de vous répondre.

M. Nadeau-Dubois : C'est ce que je constate.

M. Caire : Je ne saurais le priver de ce plaisir.

M. Miville-Deschênes (Jean-Philippe) : C'est gentil. Présentement, au troisième alinéa, dans le fond, c'est une information qui est donnée sur demande dans l'article 65 tel qu'il est déposé. Donc, on dit : «Sur demande, la personne concernée est également informée des catégories de personnes qui ont accès à ces renseignements au sein de l'organisme public.» Donc, c'est une information, dans l'article présentement, qui est donnée à la personne concernée si elle le demande.

M. Nadeau-Dubois : Bien, en fait, moi, je lis : «...lors de leur collecte et par la suite sur demande.» Ma lecture, c'était que c'était automatique dès la collecte et pour d'autres communications subséquentes sur demande. Est-ce que je lis mal l'article?

M. Miville-Deschênes (Jean-Philippe) : Non, vous lisez bien l'article. Dans le fond, dans les six premiers paragraphes, ça, c'est... on est obligé de donner lors de la collecte et aussi sur demande.

M. Nadeau-Dubois : C'est ça.

M. Miville-Deschênes (Jean-Philippe) : Pour ce qui est du troisième alinéa, là, il y a d'autres renseignements qu'on donne uniquement sur demande. Donc, il n'y a pas d'obligation, pour le point que vous soulignez, les catégories de personnes, dans la mouture actuelle, il n'y a pas d'obligation d'informer la personne concernée des catégories des personnes. Il y a obligation uniquement s'il le demande.

M. Nadeau-Dubois : Donc, l'information elle serait donnée, mais elle ne fait pas partie du bouquet initial d'informations qui est transmis. Ça, c'est un type d'informations qui va être seulement transmis si la personne est particulièrement intéressée par la question, puis de dire : Moi, j'aimerais savoir qui exactement va avoir accès à mes informations dans l'organisme public, par exemple? Est-ce que je comprends bien votre réponse?

M. Miville-Deschênes (Jean-Philippe) : Exact. Tout à fait.

M. Nadeau-Dubois : Est-ce qu'il ne serait pas pertinent, quand un organisme public demande des renseignements personnels et sollicite le consentement de la personne à cet effet, de l'informer de qui est la personne responsable?

M. Caire : Mais c'est dit. On doit l'informer de qui est le responsable.

M. Nadeau-Dubois : «...ainsi que les coordonnées du responsable de...» Parfait, ça répond à ma question.

Le Président (M. Bachand) : Interventions sur 17 amendé? S'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

Le Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 17, tel qu'amendé, est adopté. M. le ministre, s'il vous plaît.

M. Caire : Article 18 se lit comme suit :

Cette loi est modifiée par l'insertion, après l'article 65, des suivants :

«65.0.1. En plus des informations devant être fournies suivant l'article 65, quiconque recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci doit, au préalable, l'informer :

«1° du recours à une telle technologie;

«2° des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage.

«Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

«65.0.2. Toute personne qui fournit ses renseignements personnels suivant l'article 65 consent à leur utilisation aux fins visées au paragraphe 2° du premier alinéa de cet article.»

Donc, M. le Président, cet article introduit les articles 65.0.1 et 65.0.2 à la Loi sur l'accès des documents des renseignements publics et sur la protection des renseignements personnels. Le nouvel article 65.0.1 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels prévoit l'information devant être communiquée à la personne auprès de qui des renseignements personnels sont recueillis en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci. Il définit également la notion de profilage.

Le nouvel article 65.0.2 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels prévoit que toute personne qui fournit ces renseignements personnels, suivant l'article 65 de cette loi, consent à leur utilisation aux fins visées par le paragraphe... du premier alinéa de cet article.

Et, M. le Président, j'ai un amendement à déposer.

Le Président (M. Bachand) : Allez-y, M. le ministre.

M. Caire : Alors : Insérer, dans l'article 65.0.2 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels proposé par l'article 18 du projet de loi et après l'«utilisation», «et à leur communication».

Le Président (M. Bachand) : Merci. M. le député de Gouin.

M. Nadeau-Dubois : J'imagine qu'on va traiter d'abord de l'amendement du ministre.

Le Président (M. Bachand) : L'amendement. Après ça, on va faire comme on a fait à 14, on va y aller par les articles introduits.

M. Nadeau-Dubois : O.K. Bien, moi, je vais laisser le ministre nous parler de son amendement puis j'interviendrai après sur l'article.

M. Caire : Bien, M. le Président, c'est juste de dire que l'article suit un... les personnes... voyons, «toute personne qui fournit ses renseignements personnels suivant l'article 65 consent à leur utilisation et à leur communication aux fins visées par le paragraphe 2° du premier alinéa de cet article.» Donc, c'est de rajouter le fait que les renseignements pourraient être communiqués.

Le Président (M. Bachand) : Donc, interventions sur l'amendement du ministre? M. le député de LaFontaine.

M. Tanguay : ...on vient juste d'avoir sur Greffier, bien, il y a 43 secondes, là, l'amendement. Alors, on essaie d'être le plus efficaces possible, M. le Président, là.

Après «utilisation», «et à leur communication». Alors, après... «Toute personne qui fournit ses renseignements personnels suivant l'article 65 consent à leur utilisation et à leur communication...»

M. Caire : Aux fins visées...

• (16 h 40) •

M. Tanguay : Pourquoi c'était le «à leur utilisation»? Utilisation n'incluait pas communication, à ce moment-là?

M. Caire : Bien là, je vais laisser Me Miville-Deschênes compléter la réponse, mais l'utilisation, c'est lorsque le renseignement sert à la prestation de services de l'organisme. La communication, j'imagine que, là, quand on parle de collecter pour un tiers, qu'on puisse communiquer les informations.

M. Miville-Deschênes (Jean-Philippe) : Oui, bien, bref retour en arrière, là, en matière de consentement, on a prévu que le consentement devait être distinct par finalité, un consentement vraiment qui ne peut pas être en bloc. Puis il y a eu des commentaires et des questions à l'effet... à savoir : Est-ce que ça veut dire qu'il faut qu'on... je consens à une utilisation puis si... mettons que j'adhère à un service, puis ça implique une utilisation et une communication, parce que, souvent, il y a les deux, est-ce que je dois consentir à la fois pour l'utilisation et pour la communication? Ce qui serait assez problématique, là.

Donc, l'objectif, c'est de dire : Tu es informé, citoyen, tu es informé, d'une part... bien, de plusieurs éléments, mais d'une part de quelle façon... à quelles fins on va utiliser ton renseignement, à qui il va être communiqué pour cette fin-là, puis, une fois que tu es informé, bien, tu as consenti à cette utilisation et à cette communication. Je ne sais pas si...

M. Tanguay : Autrement dit, c'est une présomption de consentement, on n'a pas à le demander si... c'est une présomption de consentement.

M. Miville-Deschênes (Jean-Philippe) : Bien, c'est un peu une technicalité, parce que, dans la loi actuelle, il n'y a pas de consentement rattaché à la collecte. Dans le fond, on dit : La collecte, je t'informe, puis après, bien, je peux l'utiliser, etc. On trouve que c'est important de clarifier que c'était un consentement à la collecte, d'une part, pour clarifier que c'était un consentement à l'utilisation et à la communication, mais aussi pour permettre le retrait du consentement. Un peu plus loin, on arrive avec la notion de retirer le consentement, mais pour le retirer, il fallait s'assurer que ça soit clair dès le début que quand, moi, je donne mes renseignements à un organisme public, je consens à cette collecte-là.

M. Tanguay : ...ça va être spécifique pour le retrait, mais quand... Ce que dit 65.02, puis avec l'amendement on fait «utilisation et communication», c'est que, lorsque la personne fournit, bien, de facto, en vertu de fiction de la loi, c'est comme si c'était un consentement aussi qui coule de source pour l'utilisation et la communication, sans qu'on ait à le demander. C'est ça?

M. Miville-Deschênes (Jean-Philippe) : Bien, en fait, il y a déjà, à 65, l'exigence de l'informer de plusieurs éléments. Ça fait qu'effectivement c'est un peu une fiction, mais, en même temps, on lui a donné tous les éléments pour que son consentement soit éclairé.

M. Tanguay : O.K. C'est bon. Merci.

Le Président (M. Bachand) : Interventions sur l'amendement du ministre? M. le député de Gouin.

M. Nadeau-Dubois : Oui. J'essaie juste de suivre la cascade des références, là. Donc, quand on dit «au paragraphe 2° du premier alinéa de cet article», c'est l'article actuel, l'article 65 dans la loi actuelle.

M. Miville-Deschênes (Jean-Philippe) : Bien, dans la loi telle qu'amendée par notre projet de loi.

M. Nadeau-Dubois : Oui, mais c'est l'article 65 de la loi, pas du... on s'entend.

M. Miville-Deschênes (Jean-Philippe) : Oui, oui, de la loi. Exact.

M. Nadeau-Dubois : Et les fins en question, est-ce qu'on peut me les rappeler?

M. Miville-Deschênes (Jean-Philippe) : Bien, en fait, tout organisme public qui collecte doit l'informer... les fins : Je collecte pour t'offrir le service de... ou pour pouvoir t'offrir une prestation, RQAP, etc. Donc, c'est une exigence, lors de la collecte, d'informer la personne des finalités. Puis une fois informée, bien, la personne a consenti... 65.02, il dit : Bien, elle a consenti à l'utilisation pour cette finalité-là.

M. Nadeau-Dubois : Et là on ajoute... on vient ajouter la notion de communication. Puis c'est quoi, l'impact? Qu'est-ce que ça change d'ajouter cette notion de communication?

M. Miville-Deschênes (Jean-Philippe) : Bien, pour plusieurs produits, services, etc., il y a une utilisation et une communication à un sous-traitant ou un autre organisme public. Donc, une fois qu'on a informé la personne de l'utilisation qu'on va en faire et de la communication que ça nécessite, bien, 65.02, il dit : La personne a consenti à ces éléments-là.

M. Nadeau-Dubois : Parfait. Merci.

Le Président (M. Bachand) : D'autres interventions sur l'amendement? S'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement à l'article 18 est adopté. Alors, si vous êtes d'accord, nous serions à l'article introduit, 65.0.1. Interventions? M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : J'ai envie de reprendre où je l'avais laissé un peu plus tôt. À 65.0.1, on peut lire, donc «des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage». Plus tôt, on a introduit dans la loi le principe du plus haut niveau de confidentialité par défaut qui implique que l'utilisateur doit faire le choix d'activer ces fonctions-là. Là, l'article vient plutôt dire qu'il faut informer des moyens pour les désactiver.

Est-ce qu'il n'y a pas un potentiel hiatus entre les deux qu'il faudrait combler en disant plutôt que, par exemple, l'utilisateur doit être informé, puisqu'on prend pour acquis que, par défaut, tout va être décoché, là? Est-ce que ça ne vient pas être périmé, cette disposition-là? Je ne sais pas si le ministre comprend ce que je veux dire.

M. Caire : C'est parce que, dans ce cas-ci, ce que l'article dit, c'est que, si je recueille des renseignements personnels auprès d'une personne concernée en ayant recours à une technologie comprenant des fonctions, donc c'est que là, c'est l'utilisation de la technologie qui est inhérente au fait que j'utilise ça.

La différence avec tout à l'heure, c'est que, tout à l'heure, je disais : D'entrée de jeu, je dois vous offrir un environnement qui offre le maximum de la sécurité paramétrable. Parce que vous êtes dans cet environnement-là, vous n'avez pas nécessairement connaissance de ce fait-là. Que le site collecte des informations, vous ne le savez pas, puis là ça se fait un peu à votre insu. Puis ça, on ne veut pas ça.

Dans le cas qui nous préoccupe, on dit «la personne concernée en ayant recours à une technologie comprenant», donc c'est que c'est inhérent... la technologie que j'utilise, c'est inhérent à son fonctionnement, que j'utilise ça. Alors là, je dois vous en informer.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Mais le principe de plus haut niveau de confidentialité par défaut, s'il vaut pour les exemples qu'on a donnés plus tôt, là, un site Internet, une application, pourquoi est-ce qu'il ne... ne devrait-il pas valoir aussi pour les technologies? En quoi... Je ne suis pas sûr de comprendre la distinction que le ministre a faite. Il me semble qu'on est dans deux cas de figure extrêmement similaires. Parce que la technologie à laquelle on a recours, ça pourrait être une application, non?

M. Caire : Oui, oui, oui. Tout à fait.

M. Nadeau-Dubois : Et donc pourquoi, dans ce cas-là, ça ne vaut pas le principe de confidentialité par défaut? Puis pourquoi est-ce qu'on ne pourrait pas simplement changer «désactiver» pour «activer»?

M. Caire : Parce que... Bon, bien, je vais reprendre l'exemple que vous avez pris tout à l'heure, M. le député. Vous dites : Je vais sur le site de la SAQ, je m'en vais voir si le vin préféré du député de LaFontaine est disponible à telle ou telle succursale, espérant pouvoir écouler ses points. Je ne m'en vais pas nécessairement... c'est-à-dire que je m'en vais faire une navigation sur un site, chercher une information, et là l'application, elle, est paramétrée pour collecter de l'information ou non. Donc, moi, je dois vous offrir, d'entrée de jeu, cet environnement-là qui vous offre le plus haut niveau de sécurité.

Dans le cas qui nous concerne, là, je suis dans une collecte d'information, donc je ne suis pas dans une application de services, où il y a des paramètres de sécurité qui pourraient vous géolocaliser ou... Comprenez-vous ce que je veux dire? Là, je suis... «En plus des informations devant»... relisez l'article, vous allez voir. «En plus des informations devant être fournies suivant l'article 65, quiconque recueille des renseignements personnels auprès [d'une] personne concernée en ayant recours à une technologie...»

Donc là, je suis dans une collecte d'information, je suis en train de collecter... Vous n'êtes pas... On n'est pas dans une navigation générale, où vous entrez sur un site... Vous n'êtes pas en interaction avec qui que ce soit, là. Vous êtes en train de naviguer sur un site, vous voulez acheter une bouteille de vin. Vous vous promenez sur le site, vous faites votre transaction, vous vous faites livrer votre bouteille de vin. Donc là, il y a un certain nombre d'informations personnelles qui sont nécessaires pour ça. Quand j'entre d'emblée dans le site, je peux peut-être juste aller voir si tel ou tel vin est disponible, mais je ne veux pas nécessairement acheter, je ne veux pas... Donc, si je clique sur telle bouteille de vin, bien, je ne veux pas que ce soit enregistré, parce que vous dites : Ah! ça, c'est une préférence de la personne qui visite le site, ou je ne veux pas... ou si j'achète une bouteille, bien, je ne veux pas que vous enregistriez ça puis dire : O.K., bien, ça, il aime tel type de vin. Là, on est dans une collecte qui pourrait se faire à votre insu.

• (16 h 50) •

Donc, ce qu'on dit, c'est que, si c'est ça, le cadre dans lequel vous naviguez, je dois vous offrir que ces informations-là ne soient pas collectées, à moins que vous posiez des gestes pour dire : Oui, oui, ça ne me dérange pas, garde mon adresse en mémoire, oui, fais... garde en mémoire mon profil de consommateur, je n'ai aucun problème avec ça, ça ne me dérange pas.

Alors que là, on est dans une collecte d'information. Donc, vous, vous êtes dans une relation avec le gouvernement, il y a une prestation de services, je dois collecter des informations. Ce faisant, j'utilise des technologies qui pourraient me permettre de vous géolocaliser, de vous identifier, de... etc. Donc, ça... là, je dois vous le dire : Bien, j'utilise telle application, et cette application-là pourrait avoir pour effet de vous géolocaliser. Ça vous dérange-tu? Et sinon, voici comment la désactiver. Mais là je suis dans une collecte d'information. On n'est pas dans une navigation où vous vous promenez sur un site comme vous allez vous promener dans une succursale de la SAQ, là.

M. Nadeau-Dubois : Je comprends ce que le ministre me dit, mais je n'ai pas l'impression que c'est ça qui est écrit, c'est-à-dire que, dans les commentaires, on lit : «Le nouvel article prévoit l'information devant être communiquée à la personne auprès de qui des renseignements personnels sont recueillis en ayant recours à une technologie comprenant des fonctions d'identification, de localisation et de profilage.»

Moi, quand je lis ça, ce que je lis, c'est : Cet article prévoit qu'est-ce qu'on doit dire à la personne quand une personne utilise une technologie qui recueille des renseignements personnels. Et donc notre fameux exemple qui est pratique, parce que c'est un exemple qu'on connaît tous, par exemple, de l'application d'un organisme public comme la SAQ, quand je lis l'article et les commentaires, l'article m'apparaît s'appliquer, puisque l'application, c'est une technologie. En y ayant recours, la technologie recueille des renseignements personnels sur moi. Cette technologie-là comprend des fonctions d'identification, de localisation et de profilage, et donc l'article me semble s'appliquer. Et donc il me semble y avoir une contradiction entre ce qui est écrit ici, c'est-à-dire : Dites aux gens que vous... par exemple, que vous les localisez et dites-leur comment désactiver la localisation, alors que, plus tôt, on a adopté le contraire, on a adopté : Vous devez informer les gens du contraire, c'est-à-dire comment activer la fonction. Donc, il me semble y avoir une contradiction entre cet article puis celui qu'on a adopté tantôt. On pourrait faire le même exemple avec un... je ne sais pas, l'application de la... Je présume qu'Hydro-Québec a une application également.

Donc, j'ai comme l'impression qu'il y a une tension ici, là, parce que... D'ailleurs, tu sais, les fonctions comme identification, localisation, profilage sont comme... c'est des fonctions qu'on peut juger plus invasives que d'autres, que, par exemple, juste donner volontairement son adresse. Donc, je ne suis pas sûr de comprendre la distinction que fait le ministre entre... le ministre parlait de navigation générale puis là d'une technologie précise. Il me semble que...

M. Caire : Non, je disais juste que, là, on est dans... on parle de... là, on parle vraiment de collecte d'information. Je ne suis pas dans une application où vous allez... Bon, j'essaie de trouver un exemple. Mettons, je renouvelle mon permis de conduire puis là j'essaie de voir une application pratique versus la SAQ, tu sais, où je m'en vais...

M. Nadeau-Dubois : Oui. Bien, mettons, j'appelle pour renouveler mon permis de conduire, là, au téléphone.

M. Caire : Non, mais je vais sur le site de la SAAQ, là.

M. Nadeau-Dubois : Parce que ça dit... ça parle, quand même... «en ayant recours à une technologie».

M. Caire : Oui, oui, c'est ça.

M. Nadeau-Dubois : Donc, ça ne fait pas référence à une interaction humaine, par exemple. Tu sais, on parle de technologie.

M. Caire : Non, non, je ne m'en vais pas à un guichet de la... on s'entend, là, je ne suis pas au guichet de la SAAQ, là. Je m'en vais sur le site de la SAAQ, je renouvelle mon permis de conduire puis je dois transmettre ma photo, je dois donner... je dois passer par l'application de paiement, donc, pour payer mon permis de conduire. Et donc, avec... je transmets ma photo, bien, on s'entend que la photo, c'est biométrique, biométrique, profilage.

Est-ce que je peux désactiver cette... Ce n'est pas la même... c'est parce que ce n'est pas la même finalité, là, quand on collecte de l'information versus quand on offre un service... un site où on offre un service plus général.

M. Nadeau-Dubois : Tu sais, je comprends, mais ça me semble... il me semble que ce n'est pas écrit dans la loi, ça, tout le contexte que le ministre rajoute. Moi, ce que je lis, à 65.0.1, c'est : «En plus des informations devant être fournies suivant l'article 65...» Quand on est dans des... ça semble être un cas spécifique du cas général, pas un autre cas. Moi, ce que je lis, c'est : Il y a, à l'article 65, des dispositions pour prévoir quelles...

M. Caire : Ce que je dois vous donner comme informations.

M. Nadeau-Dubois : Exactement, quelles informations doivent être données. Et là on dit, cas spécifique de ce cas plus général, 65.0.1. Donc, de manière générale, vous devez communiquer les informations suivantes dans toutes les situations où il y a collecte de renseignements personnels.

M. Caire : C'est ça.

M. Nadeau-Dubois : 65.0.1, moi, je le comprends comme un cas plus spécifique où, ah, attention, là, quand on est dans des situations spécifiques où il y a technologie qui permet d'identifier, de localiser ou de profiler, là, on rajoute une exigence de plus, puisque c'est un cas plus... puisqu'on est dans des situations qui peuvent être potentiellement plus invasives, et on ajoute... Là, il faut informer qu'il y a une technologie comme celle que je viens de décrire, et vous devez dire aux gens comment désactiver la localisation si ça ne fait pas leur affaire.

M. Caire : Voilà.

M. Nadeau-Dubois : Mais le concept de confidentialité par défaut, c'est le contraire. C'est qu'on devrait dire aux gens : Il y a une technologie, vous entrez dans un environnement numérique qui va vous profiler. Si vous voulez que ce soit le cas, activez-le. La logique de la confidentialité par défaut, il me semble que c'est celle-là, alors que, là, on dit non, ce qu'on va dire aux gens, c'est : Nous allons vous profiler. Si vous ne voulez pas que ça arrive, désactivez-le. Il me semble qu'on est en train de renverser la logique de la confidentialité par défaut dans un cas spécifique de la règle plus générale.

M. Caire : Non, mais je ne dis pas... Mais comprenons-nous bien, puis je vais laisser Me Miville-Deschênes... mais oui, ce que je vous dis, c'est que c'est le contexte qui est différent dans le sens où, dans un premier cas, c'est un site de navigation, de service, et on veut s'assurer que vous êtes... dans cette navigation-là, dans cet univers numérique là, on veut s'assurer qu'ils vous offrent le meilleur niveau de sécurité. Dans le cas précis ici, c'est que je suis dans une collecte d'information. Je me sers d'un outil. Cet outil-là, qui me permet de collecter cette information-là, peut aussi me permettre de faire le profilage, la, la, la. Si vous ne voulez pas, je dois vous en informer et vous donner l'opportunité de le désactiver. Bon, est-ce qu'on aurait pu dire : Je le désactive puis je te demande de l'activer?

M. Nadeau-Dubois : Bien, il me semble que c'est ça, la logique de... ma compréhension de la logique de la confidentialité par défaut, c'est qu'il faut qu'il y ait un geste actif de la personne pour l'activer.

M. Caire : Mais ça, je le comprends. Je veux juste... pour les fins de la discussion, je veux juste que mon collègue comprenne qu'on n'est pas dans le même contexte. On n'est pas dans un contexte où, de façon candide, j'entre dans un site puis là je me fais ramasser de l'information personnelle à mon insu, puis ça, je ne veux pas ça.

M. Nadeau-Dubois : Oui, oui, mais ça...

M. Caire : Mais ce que je veux dire, c'est qu'il n'y a quand même pas la notion, ici, de : ceci va se passer à votre insu. C'est pour ça, je dis : Ce n'est pas la même chose.

Maintenant, on peut avoir le débat. Est-ce qu'on veut pousser plus loin puis dire : Bien, il faut qu'il soit désactivé par défaut puis on va vous demander de l'activer? Là-dessus, je vais demander à Me Miville-Deschênes de peut-être compléter parce qu'il y a peut-être des raisons juridiques à tout ça, mais ce que je veux dire, c'est qu'on n'est pas dans le même univers. Ce n'est pas quelque chose qui va être fait à votre insu.

M. Nadeau-Dubois : Non, je comprends parce qu'on est dans... puisqu'il y a collecte, il y a eu demande de consentement.

M. Caire : C'est ça.

• (17 heures) •

M. Nadeau-Dubois : Mais je vais donner un exemple. Reprenons notre fameux exemple de l'application de la SAQ, là. Moi, je m'inscris volontairement à cette application-là, je m'ouvre un compte. Donc, j'inscris déjà mon courriel, je me crée un mot de passe, je me crée un profil. Bon. Donc, j'ai déjà consenti à l'utilisation de l'application puis j'ai déjà donné certaines informations, à commencer, toujours bien, par mon nom, mon courriel pour m'ouvrir un compte.

Bon, honnêtement, tu sais, je ne connais pas comment est programmée la fameuse application qu'on utilise comme exemple depuis tantôt, mais, si j'arrive dans une situation où je fais une certaine action sur l'application, par exemple un achat... Non, en fait, je vais prendre un exemple qui existe vraiment. Je veux savoir si un produit est disponible dans une succursale près de moi, et cette fonctionnalité-là, elle existe sur l'application. Je clique : Informez-moi s'il y en a proche de moi. Pour me fournir cette information-là, l'application doit me géolocaliser, on en convient? Le principe de plus haut niveau de confidentialité par défaut, ce qu'il veut dire, c'est que l'application devrait me dire : Pour faire ça, je vais devoir te géolocaliser. Et là il faudrait que moi, je clique : Oui, géolocalise-moi. L'impression que j'ai... Et ça, ce serait... Et ça, tout le petit récit que je viens de faire, ce serait respectueux du principe de «privacy by design».

Moi, ce que je lis là, c'est que ce n'est pas exactement ça. Ce que je lis là, c'est : Il faudrait que l'application m'informe des moyens pour désactiver la fonction de géolocalisation, et ça pourrait se faire, donc, sans que je fasse un geste volontaire pour l'accepter. Il pourrait me dire : Si vous ne voulez pas qu'on vous géolocalise, allez le désactiver dans x, y, z, le menu à droite, à gauche, trois onglets, machin, machin, machin, ce qui représenterait un obstacle supplémentaire pour l'utilisateur.

Donc, et c'est tout ça, la logique du «privacy by design», c'est de dire : Il faut que ça soit l'option la plus simple, la plus facile par défaut, comme ça, la personne qui a le moins de littératie numérique, qui s'y connaît moins dans l'environnement, si elle manipule mal l'objet, tout ça, il n'y a pas de risque... on minimise les risques que ces technologies soient actives de manière plus ou moins consciente.

Donc, est-ce qu'en vertu du «privacy by design» on ne devrait pas juste venir faire cette précision, subtile, j'en conviens, mais, puisqu'on ne sait toujours pas, bien, quelles applications vont être développées par les organismes publics dans les 10, 15, 20, 30 premières années, être plus clair que clair sur le fait que : Non, non, vous ne demandez pas aux gens de le désactiver, vous demandez aux gens de l'activer, la fonction, parce qu'elle est plus invasive? C'est un peu ça, ma question.

M. Caire : Bien, la réponse à ça, c'est oui, M. le Président. Puis c'est ce que je disais tantôt à l'article 14, on pourra le modifier. La seule chose que moi, je voulais faire, ce n'était pas de dire : C'est une mauvaise idée, ne faisons pas ça. C'est dire que ce n'est pas un même contexte, le contexte est différent. Puis la raison pour laquelle on l'a libellé comme ça, c'est qu'on est vraiment dans...

Puis là on le lit dans 65, là. Il faut lire 65. Donc, 65, je communique avec vous, je le fais dans un but avoué de collecter des informations sur vous et je dois vous dire, bon, tout ce que 65 prévoit, les six paragraphes de 65 : à qui, s'il y a un tiers, pourquoi, qu'est-ce que je vais faire avec ça, ça va être... Alors, c'est tout ça, la mise en contexte, là.

On n'est pas dans le contexte où je m'en vais sur le site de la SAQ, là. On est dans un contexte où vous devez renouveler votre permis de conduire, il arrive à échéance, puis là je prends cet exemple-là, ce n'est peut-être pas le meilleur exemple, mais bon, et là je dois collecter de l'information sur vous, je dois collecter des renseignements biométriques, parce que je dois avoir votre photo sur le permis de conduire. Et donc je vous dis... je dois vous dire, si j'utilise une technologie pour collecter ces informations-là, que cette technologie-là peut m'amener aux éléments dont nous avons discuté, je dois vous en aviser, donc je ne peux pas le faire à votre insu.

Alors, ceci étant, M. le Président, puis je l'ai dit à 14, là, je ne suis pas hostile à ce qu'on le modifie, mais il faut juste comprendre qu'on n'est pas dans le même contexte, ce n'est pas la même finalité. Et, dans 14, on voulait s'assurer qu'il n'y avait pas quelque chose qui se faisait à l'insu de la personne qui va naviguer, alors que ça, on le sait que ça ne se fera pas à son insu. Maintenant, est-ce qu'on pourrait aller plus loin et dire qu'on doit l'en aviser et lui permettre de l'activer? Bien, je ne suis pas hostile à ça, M. le Président, là, puis, si les collègues veulent soumettre un amendement dans ce sens-là, je leur dis d'emblée que je ne serai pas hostile à ça du tout, là, mais on n'est pas dans le même contexte, et c'est sûr qu'il faut comprendre que ça a un impact pour nos organismes publics parce qu'on change la dynamique, mais je ne pense pas que ce soit dramatique.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Oui, bien, c'est ça. C'est que je pense qu'une des raisons qui expliquent le niveau d'abstraction de la conversation qu'on a en ce moment, c'est qu'on essaie de mettre des règles pour des technologies qui existent, mais on essaie aussi de se dire : Bon, qu'est-ce qui pourrait exister comme technologie prochainement? Puis ça nous... Puis c'est pour ça qu'on tourne autour du même exemple. Il faudrait se donner le défi d'en trouver un autre pour notre prochaine séance de commission, mais... parce qu'on pourrait créer des imbroglios.

Mais moi, je me dis : Ce n'est pas impossible de penser que des organismes publics développent des technologies ou des applications dans leur interaction avec les citoyens et citoyennes où il y a, par exemple, de la localisation plus fréquente, tu sais : trouvez un point de service près de chez vous. Grâce à votre profil de consommation, nous allons vous aider à... on va personnaliser le service à la clientèle quand vous allez appeler dans tel organisme public. Je ne sais pas, moi, tu sais. Bon, ça fait que c'est ça qu'on parle quand qu'on parle de profilage, de localisation, bon.

C'est dans ces cas-là où c'est encore plus important, il me semble, le «privacy by design», parce que c'est encore plus invasif qu'une simple... qu'une collecte générale de renseignements personnels. Donc, je vais déposer l'amendement pour qu'on continue la conversation. Ça a été envoyé, M. le Président, à la commission.

Le Président (M. Bachand) : Si vous voulez en faire la lecture, on va le mettre sur Greffier, s'il vous plaît.

M. Nadeau-Dubois : Parfait. Donc : Remplacer, dans le deuxième paragraphe de l'article 65.0.1 proposé par l'article 18 du projet de loi, «désactiver» par «activer».

Le Président (M. Bachand) : Parfait. Donc, il va être sur Greffier dans quelques instants, si ce n'est pas déjà fait.

M. Nadeau-Dubois : Simple de même.

M. Caire : On va prendre une petite minute, M. le Président.

Le Président (M. Bachand) : O.K., on va suspendre quelques instants. Merci beaucoup.

(Suspension de la séance à 17 h 07)

(Reprise à 17 h 43)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.

M. Caire : Après des débats, O.K.

Le Président (M. Bachand) : Donc, interventions sur l'amendement?

M. Tanguay : O.K. à quoi, là?

M. Caire : À l'amendement.

Le Président (M. Bachand) : À l'amendement du député de Gouin.

M. Nadeau-Dubois : C'était le passage de la deuxième opposition comme opposition officielle à l'Assemblée nationale.

M. Caire : Tant que ce n'est pas le gouvernement, moi, ça va.

M. Nadeau-Dubois : Non, c'était l'amendement... Mon amendement, pour le bénéfice de tout le monde qui en a discuté, était de remplacer «désactiver» par «activer» dans l'article 65.0.1, là, au deuxième : «des moyens offerts, le cas échéant, pour — donc, ça deviendrait — activer les fonctions permettant d'identifier, localiser ou d'effectuer un profilage.»

M. Tanguay : O.K. Maintenant, le débat... Parfait, c'est un pas dans la bonne direction. Maintenant, l'impact du «cas échéant», quant à la valeur systémique ou systématique de ce «activer», il y a la Commission d'accès à l'information qui, dans le contexte où c'était marqué «le cas échéant, pour désactiver», disait : Bien là, «le cas échéant», ça veut dire : Quand ça sera offert. Ça veut dire que, dans certains cas, ça ne sera pas offert. Elle le disait : retirez «le cas échéant» parce que ça devrait être offert partout. Alors, «des moyens offerts pour activer», on pourrait peut-être terminer notre cheminement en enlevant «le cas échéant».

M. Caire : Non, ça, là-dessus, sur le «activer», «désactiver», j'ai fait... mais «le cas échéant», c'est qu'il va y avoir des applications où ce ne sera pas possible.

M. Tanguay : O.K. Ça fait que ça, on est «back to square one».

M. Caire : Ça fait que... puis là, puis c'est le débat que nous avons eu sur le «activer», «désactiver», il pourrait arriver que 63.6.1 ne couvre pas tous les cas de figure, notamment une technologie où ce ne serait pas possible, auquel cas, là, avec la notion de «activer», il faut que je te donne, le cas échéant, la possibilité de l'activer.

M. Tanguay : O.K. Autrement dit, l'amendement du collègue de Gouin est un pas dans la bonne direction. On n'a pas 100 %, mais, en changeant «désactiver» par «activer», ça veut dire, à ce moment-là, que, quand c'est technologiquement possible, il faut qu'on puisse... qu'on se fasse demander de l'activer, là, qu'on se fasse demander...

M. Caire : Oui, puis ce que ça veut dire, c'est que, par défaut, je vais le désactiver. Donc, c'est ça, «le cas échéant», c'est : si c'est possible, si ça se fait, il sera désactivé, et je vais vous offrir la possibilité de l'activer. Si j'enlève «le cas échéant», ça veut dire qu'il faut que, dans toutes les circonstances, ce soit possible. Puis là, si l'application ne le permet pas, bien, on fait quoi?

M. Tanguay : Quelle surveillance va être faite pour que de bonne foi, tout le monde est présumé de bonne foi, ça soit technologiquement possible de demander pour activer les fonctions mais que l'organisme dit : Ah! c'est marqué «le cas échéant», moi, je ne le demande pas? Quel sera...

M. Caire : Bien, c'est la beauté de l'amendement du collègue de Gouin parce que... Voilà, hein? Non, mais je suis bon prince quand même. Non, mais sérieusement, parce que, «le cas échéant, de l'activer», ça, ça veut dire que moi, comme organisme, là, c'est désactivé. Donc, mon intérêt de recueillir cette information-là par un moyen technologique, je ne l'ai pas, à moins que vous alliez l'activer. Ça fait que l'incitatif est plus du côté de l'utilisateur que de celui de qui on collecte les informations.

M. Tanguay : Je reprends votre même exemple. Vous êtes l'organisme et vous voulez... vous êtes technologiquement capable d'aller chercher cette fonction-là. Qu'est-ce qui va... Mon point est très, très terre-à-terre, là. Qu'est-ce qui va vous... Parce que oui, si vous avez l'option... Vous vous dites : Moi, j'ai une obligation de le demander si je suis capable de le demander. Si je le veux et que je suis technologiquement capable d'aller chercher le consentement pour que ce soit activé, je dois faire ça, mes obligations en vertu de la loi, mais il va falloir que mon organisme soit tout à fait de bonne foi pour me dire : Bien, je vais le collecter sans demander le consentement de l'activer même si je sais... ou prétendant que je ne peux pas le faire autrement technologiquement.

M. Caire : Non, non, non, je comprends. Je comprends le point du député. Non, non, non, ce que la loi dit, c'est que je dois vous informer. Premièrement, je dois vous informer que j'ai recours à cette technologie-là. Et ce que ça dit, c'est que je dois vous indiquer comment... parce que ce paramètre-là doit être désactivé. Puis on le lit dans la perspective de 63.6.1 qui dit que je dois offrir le plus haut niveau de sécurité à la navigation dans le paramétrage. Donc, ici, je dis que je dois aussi vous indiquer comment l'activer, le cas échéant, «le cas échéant» étant si cette possibilité-là, l'application le permet, mais ce n'est pas si l'application...

C'est parce que l'application ne peut pas... Tu sais, vous ne pouvez pas arriver puis dire : Bien, non, mais c'est parce que moi, je n'ai pas le choix, je veux dire, c'est actif, puis ça ne se désactive pas. Non, parce que... puis c'est le débat que nous avons eu. L'état d'un paramètre, ça se change, c'est sûr. Donc, la question est de savoir : Est-ce que, par défaut, on veut le mettre dans un état inactif ou on veut le mettre dans un état actif? Ici, l'interprétation à faire, au vu et au su de 63.6.1 combiné à ça, c'est que l'état, par défaut, on souhaite qu'il soit inactif et si une telle possibilité existe. Si elle n'existe pas, je ne peux pas vous le demander, elle n'existe pas. Il n'y a pas... Ce paramètre-là n'existe pas. Ce n'est pas paramétrisable. Ça, ça se peut que ce ne soit pas paramétrisable, ce n'est pas impossible. Et c'est d'où la proposition des juristes de dire actif ou... activer ou désactiver, parce qu'ils se disaient : Bien, c'est parce que là je veux couvrir l'ensemble des cas. Et je disais : Si je peux l'activer, je peux le désactiver.

Donc, ce n'est pas comme ça qu'on va couvrir l'ensemble des cas, mais la notion de cas échéant, là, elle prend encore plus d'importance, au contraire, parce que là je dis d'entrée de jeu : Si une telle possibilité existe, ce paramètre-là doit être inactif, et ce que... je dois poser un geste concret envers vous pour le rendre actif. Donc, ça, je dois vous informer que ça existe et je dois vous informer comment le rendre actif. Ce que je ferai, si cette collecte d'information là, elle m'est nécessaire, bien là, j'ai, moi, le fardeau de vous indiquer comment le faire, de vous le demander, ce qui ajoute une couche de plus parce que ça devient une forme de consentement explicite.

• (17 h 50) •

M. Tanguay : À la collecte.

M. Caire : À la collecte.

M. Tanguay : Et pas à l'utilisation. Parce que, plus tard, on pourra en parler, dans le dernier... plus bas, là, dans la définition de profilage, on parle de collecte et utilisation. On pourra en reparler, mais là je vais rester sur l'amendement du collègue.

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Bien, je salue l'ouverture du ministre puis je pense que c'est normal qu'on prenne le temps de bien comprendre ce qu'on est en train de faire, là. Parce que je l'ai répété à plusieurs reprises puis j'ai l'occasion de le faire encore, là, tu sais, c'est des enjeux qui sont nouveaux technologiquement, puis on écrit la loi pour encore de nombreuses années.

La Commission d'accès à l'information avait parlé du problème de l'expression «le cas échéant», puis ce qu'elle nous disait, c'est : «Les mots "le cas échéant" laissent entendre qu'il n'est pas obligatoire pour une entreprise ou un organisme public d'offrir aux personnes la possibilité de désactiver ces fonctions.» Donc, eux recommandaient qu'on retire le mot «le cas échéant» parce qu'ils se disaient : Il faut que dans tous les cas, ils disaient, sauf dans certains cas exceptionnels, ça devrait être permis de désactiver.

M. Caire : Mais si je peux me permettre, M. le député...

M. Nadeau-Dubois : Là, ce qu'on... en changeant désactiver pour activer...

M. Caire : On applique la même logique.

M. Nadeau-Dubois : ...on vient d'atteindre le même objectif que celui de la Commission d'accès à l'information...

M. Caire : Absolument, mais je réitère...

M. Nadeau-Dubois : Et, dans ce cas, ça ne devient plus problématique de conserver l'expression «le cas échéant», puisque l'idée, c'est de dire : Si c'est possible de demander l'activation de ces fonctions, vous devez le faire.

M. Caire : Bien, oui, puis je n'y vois pas d'objection, mais c'est surtout que l'interprétation... parce que là je comprends qu'il pouvait potentiellement, selon la CAI, y avoir un problème d'interprétation. Là, je pense que ce problème d'interprétation là ne se pose plus parce que «le cas échéant», du point de vue de ce que nous, on voulait faire, était vraiment : lorsque la technologie le permet. C'était ça, le point, bon, en phrasé juridique.

Maintenant, comme il s'agit d'activer, bien, on comprend qu'il n'y a plus de possibilité pour un organisme de dire : Bien, je vais l'activer en douce puis... Non, là, là, par défaut, tu dois le désactiver. C'est ça, la logique de l'article.

Le Président (M. Bachand) : Interventions sur l'amendement du député de Gouin? S'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention, M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lévesque (Chapleau)?

M. Lévesque (Chapleau) : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Donc, nous sommes toujours à l'article introduit, 65.0.1. M. le député de LaFontaine.

M. Tanguay : Oui, merci, M. le Président. À la fin de 65.0.1 : «Le profilage s'entend de la collecte — on vient d'en parler ad nauseam, de la collecte — et de l'utilisation de renseignements — donc, j'en suis au niveau de l'utilisation — personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment — puis là on donne des exemples, notamment, c'est des exemples — à des fins d'analyse du rendement au travail...» Ça, j'imagine que c'est le rendement au travail, évidemment, des personnes qui travaillent au sein d'organisme public.

Donc, pour des fins autres que pour servir le citoyen qui nous a donné, on veut utiliser ça pour faire des... tester des affaires puis atteindre d'autres objectifs que de servir le citoyen. Alors : «...des situations économiques, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.»

Ne pourrions-nous pas ajouter, M. le Président, un amendement qui dirait textuellement ce qui suit : Le consentement de la personne est nécessaire pour l'utilisation de renseignements personnels à des fins de profilage? Parce que là c'est des fins autres, et je pourrais, moi, pouvoir décider de ne pas être dans des statistiques qui vont analyser mon comportement, notamment, là.

M. Caire : Bien, je vous dirais, M. le député, que l'amendement qu'on vient d'adopter... En fait, dans l'état initial, je vous aurais dit : Oui, effectivement, regardons ça, mais, avec l'amendement du député de Gouin, le fait d'activer les technologies qui me permettent de faire ça, pour moi, puis je laisserai Me Deschênes me corriger, mais, pour moi, c'est un consentement explicite.

C'est un peu ce que je vous disais tantôt, M. le député, c'est qu'on vient effectivement de faire d'une pierre deux coups, dans le sens où on dit à la personne : Je vais faire ça, si tu es d'accord, vas à tel endroit, active l'application. Et ça, ça devient un consentement,et un consentement explicite. Puis ça relève de ce qu'on disait à 65, en disant : Si tu me donnes les informations, dans le contexte où je te dis pour quoi je les collecte, à quelles fins je les collecte, bien, ça revient à me donner le consentement de les utiliser, ce pour quoi je t'ai dit que je les collectais. Donc, il y a une...

M. Tanguay : Excusez-moi. Quand on dit à 65, «les fins auxquelles ces renseignements sont recueillis», je ne... on ne peut pas, je crois, le lire comme étant l'obligation de tout lister les fins à titre de profilage pour lesquelles j'utiliserais l'information. Les fins de 65, 2°, là, paragraphe 2°, c'est : Je collecte tel, tel, tel renseignement, moi, organisme public, vous concernant puis je vais utiliser ça afin de vous émettre un permis, afin de vous donner une carte d'assurance maladie, tati, tata. Mais les fins de profilage, je pense, ne seront jamais divulguées en vertu de 65, 2°, parce qu'elles sont multiples, elles sont changeantes et elles sont autres par définition.

M. Caire : Bien, en fait, c'est parce que le paragraphe 1° et 2°... Vous dites : Moi, je... Donc, en plus des informations, si vous recueillez «des renseignements personnels auprès de personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer du profilage de celle-ci», on doit l'informer que... je dois vous informer que je fais ça. Puis non seulement je dois vous informer que je fais ça, mais vous devez aller... puis pour reprendre l'exemple du député de Gouin, vous devez aller dans tel onglet, à telle case, activer telle case à cocher pour me permettre d'activer ces outils-là qui vont me permettre de faire ce dont je viens de vous informer.

M. Tanguay : Autrement dit... puis je suis le ministre. Je suis le ministre jusqu'à un certain point. Autrement dit, puis là on pourrait suivre totalement, c'est qu'en activant de façon proactive, moi, je suis l'utilisateur, là, on a changé «désactiver» par «activer», en activant... Comme dirait Jean Lapierre, là, j'achète un cochon dans un sac, je ne l'ai pas vu, je ne sais pas ce qu'on va faire avec ça, mais on va faire du profilage.

M. Caire : Non, non, non, parce que moi, je vous ai informé de ça, là. Ça, c'est paragraphe 1°, je vous informe.

M. Tanguay : Mais l'utilisation pourra être...

M. Caire : Non, mais je vous dis : Écoutez, là, moi, là, je collecte ces informations-là, bon, 65, je décline le pourquoi, le qui, le quand, le où et, en plus, je vous le dis, là, les outils que j'utilise, ça ve me permettre peut-être de vous identifier, de faire du profilage et/ou de vous géolocaliser. Et là, dans la loi... puis là vous allez me dire : Tout le monde ne lira pas la loi, là, je suis bien d'accord, mais quand même, ça me donne les exemples de ce que c'est, le profilage, mais moi, je vous informe de ça, là.

M. Tanguay : C'est ça, mon point. Profilage, «sky is the limit», le profilage, l'utilisation.

M. Caire : Je comprends, mais ça reste que vous avez l'opportunité de ne pas l'activer puis de dire : Bien, écoute, moi, non, je ne suis pas sûr que... je ne sais pas trop, là, tu veux faire du profilage... Parce que ça, je vous le dis, là, c'est du profilage, c'est de la géolocalisation, c'est de l'identification. Ça, paragraphe 1°, je vous dis que j'ai recours à cette technologie-là, je vous informe comment l'activer. Vous ne l'activez pas? Parfait. Vous l'activez? Bien, vous me posez trois, quatre questions avant, là : O.K., tu vas faire quoi avec ça, là?

• (18 heures) •

M. Tanguay : Parce que le collègue de Gouin avait un autre exemple aussi, si on veut sortir de la SAQ, l'exemple, le cas échéant, d'une passe de transport en commun électronique, qui va être une mine d'informations extraordinaire pour la collectivité, savoir si tel le circuit... Avant, rappelez-vous, on était sur le quai de gare puis on faisait des sondages : Bonjour, madame. Bonjour, monsieur. D'où vous venez? Quelles sont vos habitudes de transport? Là, ça va être en temps réel, si vous cochez «activer», puis ça va être extraordinaire, mais il y a des enjeux, évidemment, de vie privée là-dedans aussi, là.

Mon point est que, tel qu'illustré, les utilisations de profilage seront tellement... puis les exemples, je pense que les exemples ne sont pas anodins et ne sont pas candides. Ça pourrait même être du profilage, pas pantoute pour dire : Aïe! il y a du monde sur cette ligne-là, le matin, là, il va falloir mettre deux autobus à l'heure, parce qu'il y a réellement trop de monde. Ça, je vais embarquer à 100 milles à l'heure là-dessus, mais ça pourrait même être pour le comportement, oui, de cette personne, mais ça pourrait être pour des caractéristiques à des fins de rendement au travail. Tu sais, quand vous dites l'analyse du rendement au travail, des personnes pour qui ils travaillent, tout ça, là, c'est réellement, là, 365 degrés, là.

M. Caire : Bien, en tout cas, là-dessus, je suis moins d'accord avec le collègue, mais, comme je dis, il n'en demeure pas moins que le fait d'avoir la possibilité ou non d'activer les technologies en question, pour moi, c'est l'arme ultime. C'est que, dans le fond, tout le reste, oui, on peut, mais, tu sais, c'est...

M. Tanguay : Mais rien n'empêcherait, ceci dit... mais rien n'empêcherait, de façon spécifique, de demander l'autorisation spécifique en vue d'améliorer le service de transport. Nous permettez-vous, de façon spécifique... On peut, de façon ad hoc, aller chercher un organisme. On pourrait construire une façon d'aller chercher la donnée.

M. Caire : C'est juste que, dans les circonstances où, vraiment, là, on active le... de le mettre dans la loi, c'est parce que je me dis, il y a des cas, puis c'est là où je vais rejoindre mes collègues juristes...

M. Tanguay : ...vous réconcilier avec eux autres, parce que tantôt, ça brassait, puis on s'est dit : Aïe! on n'interviendra...

M. Caire : On a des discussions cordiales, mais viriles, mais cordiales. Mais bref, tout ça pour dire, M. le Président, que là je pense, compte tenu du fait qu'on a quasiment donné l'arme nucléaire, là, le reste, je me dis : Il me semble, là, qu'on commence à rajouter des couches, puis là, c'est là que ça devient bureaucratique, ça devient lourd, ça devient... Ça fait que, dans le fond, le contrôle ultime, c'est la personne qui l'a en disant : Bien, moi, non, je ne vais pas activer ça, là. Je ne sais pas qu'est-ce que tu vas faire avec ça, là, ça fait que je ne l'active pas.

Le Président (M. Bachand) : Député de Gouin? O.K. Donc, il y a un vote. M. le député de Gouin, on va suspendre pour vous permettre d'aller voter. Merci beaucoup.

(Suspension de la séance à 18 h 03)

(Reprise à 18 h 14)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Interventions? M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : M. le Président, on est... là, on est sur l'article 18, qui introduit 65.0.1 puis 65.0.2, c'est ça? On ne saucissonne pas les deux, là. La conversation est sur les deux, puis il n'y a pas d'autre article. Moi, ça me va, il n'y a pas d'autre commentaire.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Nous parlions de profilage, d'identification et de localisation tout à l'heure, sujets bien importants, à la fois dans le public, puis on aura des discussions similaires dans le privé, là, dans le privé, c'est-à-dire dans la partie du projet de loi qui porte sur le secteur privé. Dans son mémoire, la Commission d'accès à l'information recommande plusieurs choses relativement aux dispositions qui portent sur le profilage. Une de ses recommandations, c'est d'interdire carrément l'utilisation de renseignements personnels sensibles à des fins de profilage.

J'ai déposé un amendement un peu plus tôt dans l'étude détaillée pour préciser la définition de ce qu'est un renseignement personnel sensible. Et ce que recommande la CAI, pour des raisons qui, moi, m'apparaissent assez évidentes, là, c'est d'interdire l'utilisation de renseignements sensibles à des fins de profilage, sauf en cas de consentement exprès de la personne concernée ou dans les cas où la loi l'autorise expressément.

J'aimerais savoir... le ministre a dit à plusieurs reprises qu'il avait eu des conversations avec la CAI, qu'il trouvait l'avis de la CAI vraiment important dans l'élaboration du projet de loi. Je voulais savoir quelles sont ses réflexions sur cette recommandation de la CAI. Puis, en toute transparence, on a un amendement qu'on pourrait présenter pour donner suite à cette recommandation-là, qui n'est pas une porte fermée à double tour, hein, mais qui est de dire : Par défaut, c'est interdit de profiler avec des renseignements sensibles, tels que nous les avons collectivement ici définis un peu plus tôt, sauf quand il y a un consentement exprès. Qu'en pense le ministre?

M. Caire : Bien, je vous dirais que j'ai... peut-être à cause de mon mandat, j'ai peut-être un peu moins d'a priori. Je m'explique, M. le Président. Ce que nous vivons au Québec présentement, ce n'est pas une utilisation... Puis là je parle des organismes publics, parce que, là, on est... puis comme le collègue de Gouin l'a précisé, on parle des organismes publics. Nous aurons une conversation sur les entreprises privées, le cas opportun, mais dans nos organismes publics, on n'est pas dans une dynamique d'utilisation pernicieuse de renseignements personnels, renseignements sensibles. Et aux fins de la discussion, je vais parler de renseignements personnels en englobant les renseignements sensibles, si le collègue le permet.

Ce qu'on vit, c'est exactement le contraire, c'est-à-dire que, tout à l'heure, je parlais avec le député de LaFontaine puis je lui disais : L'état du droit fait en sorte que tous nos organismes publics sont propriétaires et détenteurs des renseignements qu'ils collectent. Il n'y a pas ou peu... «pas», le mot est trop fort, mais il y a peu de possibilités de s'échanger des informations, justement, au nom de la protection, je dirais justement au nom d'un concept de la protection des renseignements personnels qui veut que je dois garder ça le plus serré possible.

L'impact de ça, M. le député, c'est une médiocre qualité de service à nos concitoyens, médiocre, et le mot... je pèse mes mots. L'impact de ça, c'est une offre de services anémique. Services numériques, on s'entend. Quand je parle de l'offre et de la qualité, c'est les services numériques.

Je donne un exemple que j'aime bien reprendre pour les fins de la discussion. Mon fils... j'inscris mon fils le plus jeune au secondaire pour l'année prochaine, ce qui, outre le fait de me faire sentir encore plus vieux, me permet de tester l'état des lieux en termes de services numériques. Donc, je vais à une école X, dont je tairai le nom, pour inscrire mon fils. Cette école me demande les bulletins de mon fils de l'année dernière. Or, la question : Pourquoi une entité du ministère de l'Éducation me demande de communiquer avec le ministère de l'Éducation pour demander au ministère de l'Éducation de me procurer un document que je vais donner à cette entité du ministère de l'Éducation? Pourquoi ils ne se parlent pas? Pourquoi je suis obligé de... Pourquoi, moi, je suis obligé de jouer à l'intermédiaire entre deux entités du ministère de l'Éducation pour fournir une information au ministère de l'Éducation qui est produite par le ministère de l'Éducation? Comme citoyen, c'est ça. C'est ça, ma vision des choses.

Alors là, on pousse un peu plus loin. On me demande aussi un original de son certificat de naissance. Donc, je vais aller à l'État civil, entité du gouvernement, lui demander de produire un document, papier évidemment que je vais amener à l'école en question, qui va prendre une copie dudit document et qui va retourner à l'État civil pour demander à l'État civil d'attester qu'il s'agit bien d'un document produit par l'État civil. C'est fou, là. C'est d'une inefficacité honteuse, honteuse. Ça me met hors de moi qu'au XXIe siècle les Québécois soient au quotidien pris, je dis bien «pris», à jouer les intermédiaires entre deux organismes, deux organisations publiques du gouvernement du Québec parce que ces organisations publiques là ne sont pas capables de se parler. On pollue l'existence de nos concitoyens, alors qu'on a juré de les servir.

• (18 h 20) •

Ça, M. le député, c'est la vision du ministre délégué à la Transformation numérique, qui se dit : Au XXIe siècle, là, ce n'est pas normal, ce n'est pas acceptable. Or, les organismes publics en question vont vous dire : M. le député, je voudrais bien faire ce que vous me demandez, je n'ai pas le droit. La loi ne me le permet pas. Puis là je pourrais vous donner, M. le député de Gouin, nombre d'exemples où on a demandé à nos concitoyens de poser des gestes totalement inutiles. Je pourrais vous donner nombre d'exemples où on a demandé à des employés de l'État de poser une panoplie de gestes totalement inutiles et injustifiables au XXIe siècle, parce qu'ils ne se parlent pas, parce que la loi dit qu'ils n'ont pas le droit de se parler.

Bien, comme législateur... puis moi, je renvoie la balle au collègue. Je renvoie la balle au collègue, comme législateur, est-ce qu'on se sent interpelés par ça? Est-ce qu'il ne serait pas temps d'aborder la loi dans une perspective où nous avons une obligation, oui, de protéger les renseignements personnels qui nous sont confiés, clairement, mais où nous avons aussi une obligation de donner des services à la population, de faciliter la vie de nos concitoyens, de rendre le service aussi convivial, et disponible, et simple à utiliser que possible, et jamais le contraire?

Alors, je dis à mon collègue : Ce que j'en pense?, bien, j'en pense, M. le Président, qu'on doit trouver... à chaque fois qu'on prend une décision, on doit trouver un équilibre. Le rôle de la Commission d'accès à l'information, pour qui j'ai le plus grand respect, n'est pas de faire ces arbitrages-là. Le rôle de la Commission d'accès à l'information, c'est de s'assurer de veiller à ce que la loi soit respectée dans une perspective où on a une protection adéquate des renseignements personnels de nos concitoyens. Ça, c'est son rôle et elle le joue très bien, à mon avis.

Maintenant, pour aller plus précisément à la question du collègue, ce que j'en pense, je ne suis pas d'accord. Je ne suis pas d'accord qu'on devrait l'interdire. Je suis d'accord qu'on doit mettre des mécanismes en place pour s'assurer que ces renseignements-là, sensibles, personnels, pas sensibles, soient utilisés aux fins pour lesquelles ils sont collectés. Je suis de ceux qui pensent qu'on doit prendre tous les moyens possibles et nécessaires pour en assurer la protection d'une utilisation malveillante, frauduleuse, négligente. J'en suis. Mais l'interdiction systématique sous-entend que je ne peux pas utiliser ces renseignements-là à des fins bénéfiques pour le citoyen, sauf si le citoyen y consent, alors qu'on a amené tout à l'heure, avec Me Miville-Deschênes, la situation où l'intérêt manifeste est quelque chose qu'on peut aussi considérer dans l'utilisation des renseignements personnels. Et, pour moi, le renseignement sensible ne fait pas exception à ça, dans le sens où, si je les utilise dans l'intérêt manifeste d'un citoyen, bien, je devrais pouvoir le faire.

Donc, avoir une vision rigide, une vision en tunnel parce que ce sont des renseignements sensibles, c'est de dire qu'il ne peut pas y avoir une utilisation... Bien non, là, je vais trop loin. C'est de présumer que, outre le consentement, il n'y a pas une utilisation légitime qui peut être faite de ces informations-là, et je ne loge pas à cette enseigne-là.

Le Président (M. Bachand) : Merci. M. le député de Gouin.

M. Nadeau-Dubois : Bien, j'apprécie le plaidoyer du ministre, c'est juste que ce n'est pas l'objet ni de l'article ni de l'amendement que je dépose, c'est-à-dire que la...

M. Caire : Mais, si je peux me permettre, je faisais un commentaire général à l'invitation du député de Gouin...

M. Nadeau-Dubois : Oui, oui, non, c'est correct, c'est juste que... puis on pourrait... c'est parce que moi, je pourrais répondre sur le commentaire général, et de commentaire en commentaire général, on pourrait avoir une discussion philosophique ou de politique générale, mais bon.

M. Caire : 120, c'est moins.

M. Nadeau-Dubois : Pardon?

M. Caire : 120, c'est moins.

M. Nadeau-Dubois : Oui, c'est ça, sans profilage de la part de la SAQ pour nous conseiller les bons achats de vins, ces déductions qui sont moins le fun. Mais non, mais plus sérieusement, là, ici, la recommandation de la CAI, ce n'est pas, comme disait le ministre, là, une interdiction systématique. Là, c'est d'exiger un consentement plus exigeant pour ce type de renseignement personnel, les renseignements personnels sensibles, que pour d'autres renseignements personnels.

M. Caire : Mais on le fait, M. le député.

M. Nadeau-Dubois : Donc, c'est de dire... bien, j'y arrive, c'est-à-dire qu'on a défini, notamment suite à mon amendement... on a bien cerné ce qu'est un renseignement personnel sensible, c'est-à-dire un renseignement qui, de par sa nature... et là on avait ajouté «notamment médical, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication suscite un haut degré d'attente raisonnable en matière de vie privée», critère qui nous a été expliqué par nos juristes, un critère qui existe déjà, notamment défini par des décisions de la Cour suprême sur les fouilles abusives. Donc, on a déjà défini dans le projet de loi qu'il y a une certaine catégorie de renseignements personnels qui sont plus sensibles que d'autres. À partir...

Le Président (M. Bachand) : ...M. le député de Gouin. Vous parlez de votre amendement, aimeriez vous le déposer?

M. Nadeau-Dubois : Bien, on y viendra, là, je parlais... je répondais au commentaire général du ministre.

Le Président (M. Bachand) : Parfait. C'est beau. C'est juste parce que le temps file, je voulais juste m'assurer...

M. Nadeau-Dubois : Oui, bien, sinon, je le déposerai.. je veux dire, la prochaine fois, là, je...

Le Président (M. Bachand) : Parfait. Merci.

M. Nadeau-Dubois : Vous allez avoir le plaisir d'avoir ma compagnie mercredi prochain, M. le Président.

Donc, on s'est entendu sur le fait qu'il y a certains types de renseignements personnels qui sont plus sensibles que d'autres. Bon, à partir de ça... et si on a défini ça dans le projet de loi, c'est bien parce qu'ils méritent d'être traités différemment s'ils sont plus sensibles. On n'aurait pas pris la peine de créer cette catégorie dans le projet de loi si nous n'avions pas comme intention de, plus loin dans le projet de loi, les considérer différemment des renseignements personnels qui ne sont pas sensibles. Je pense que la... sinon, on n'aurait écrit une définition. On a écrit une définition parce qu'ils sont particuliers puis qu'on veut les traiter de manière particulière. C'est juste ça, mon commentaire.

Et donc la CAI recommandait, à la page 23 de son mémoire, d'interdire l'utilisation des renseignements sensibles à des fins de profilage. Donc, ce n'est pas interdire toute utilisation des renseignements sensibles, c'est d'interdire leur utilisation à des fins de profilage. Et la CAI faisait une grosse exception, c'est-à-dire sauf en cas de consentement exprès de la personne concernée ou dans les cas où la loi l'autorise expressément. Donc, ce n'était ni dans l'intention de la CAI ni dans mon intention d'interdire systématiquement l'utilisation des renseignements personnels sensibles par les organismes publics ni même d'interdire systématiquement leur utilisation à des fins de profilage. Donc, il y a deux niveaux de nuance : de un, personne ne dit qu'ils ne doivent pas être utilisés; de deux, personne ne dit qu'ils ne doivent pas être utilisés à des fins de profilage, ni moi, ni la CAI.

Ce que la CAI dit et que je reprends à mon compte, c'est : Pour qu'ils puissent être utilisés à des fins de profilage, ces renseignements sensibles, on devrait demander un consentement exprès de la personne concernée ou prévoir dans la loi, de manière explicite, les moments où c'est possible pour les organismes publics d'utiliser les renseignements personnels à des fins de profilage. Là-dessus spécifiquement, qu'est-ce qu'en pense le ministre?

Le Président (M. Bachand) : En quelques secondes, M. le ministre.

M. Caire : Oui. Bien, je dirai qu'on le fait déjà. Quand on a parlé... abordé les renseignements sensibles dans les articles précédents, on a dit que, dans ce cas-là... parce que, souvenez-vous, là, il y avait des cas de consentement où... on a établi les cas de consentement, mais dans le cas des renseignements sensibles, on a dit que le consentement devait être donné expressément. Donc, ça, on l'a déjà fait ça dans la loi et...

M. Nadeau-Dubois : Juste, à quel article, juste pour mon... pour que mes réflexions, d'ici mercredi prochain, soient productives.

M. Caire : Me Deschênes...

M. Miville-Deschênes (Jean-Philippe) : Il y a 65.1, en fait, c'est le 19, par rapport à l'utilisation.

M. Caire : Mais dans la définition des renseignements sensibles puis du...

M. Miville-Deschênes (Jean-Philippe) : C'était à 59, article 12.

M. Caire : Oui, c'est ça, article 12. C'est-tu ça, 12?

• (18 h 30) •

M. Miville-Deschênes (Jean-Philippe) : Les renseignements sensibles dans le privé...

M. Caire : Article 12.

M. Miville-Deschênes (Jean-Philippe) : Article 12 du projet de loi, 59 de la loi sur l'accès..

M. Caire : C'est ça, où on dit : «Un organisme public ne peut communiquer un renseignement sans le consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu'il s'agit d'un renseignement personnel sensible.» Article 12, qui introduit l'article 59.

Le Président (M. Bachand) : Merci beaucoup à tout le monde.

Compte tenu de l'heure, la commission ajourne ses travaux sine die. Merci.

(Fin de la séance à 18 h 31)

Document(s) related to the sitting