Journal des débats (Hansard) of the Committee on Institutions

(Onze heures dix-sept minutes)

Le Président (M. Bachand) : Bon matin. Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte. Avant de débuter les travaux de la commission, je vous rappelle que le port du masque de procédure est obligatoire en tout temps hormis au moment de prendre la parole durant nos travaux.

La commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. M. Birnbaum (D'Arcy-McGee) est remplacé par M. Barrette (La Pinière); M. Zanetti (Jean-Lesage), par M. Nadeau-Dubois (Gouin); et Mme Hivon (Joliette), par M. Ouellet (René-Lévesque).

Étude détaillée (suite)

Le Président (M. Bachand) : Merci. Je vous rappelle qu'il avait été convenu de suspendre le titre des amendements visant à introduire l'article 36.1 proposé par le ministre. Nous avions également suspendu les articles 78 à 85 inclusivement et 93 du projet de loi.

Lors de l'ajournement de nos travaux, hier, nous venions d'adopter l'amendement visant à introduire le nouvel article 94.1. Donc, M. le ministre, je vous invite donc à lire l'article 95 du projet de loi.

M. Caire : Oui. Merci, M. le Président. Écoutez, j'espère que vous êtes patient, parce que celui-là, il est assez costaud. Donc, l'article 95 : Cette loi est modifiée par l'insertion, après l'article 3, de la section suivante :

«Section I.1.

«Responsabilités relatives à la protection des renseignements personnels.

«3.1. Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient.

«Au sein de l'entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre de la présente loi. Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à un membre du personnel.

«Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles par tout autre moyen approprié.

«3.2. Toute personne qui exploite une entreprise doit établir et mettre en oeuvre des politiques et des pratiques encadrant [la] gouvernance à l'égard des renseignements personnels et propres à assurer la protection de ces renseignements. Celles-ci doivent notamment prévoir l'encadrement applicable [...] la conservation et [...] la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes relatives à la protection de ceux-ci. Elles doivent également être proportionnées à la nature et à l'importance des activités de l'entreprise et être approuvées par [les responsables] de la protection des renseignements personnels.

«Ces politiques sont publiées sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendues accessibles par tout autre moyen approprié.

«3.3. Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels.

«Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels.

• (11 h 20) •

«La personne doit également s'assurer que ce projet permet qu'un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.

«3.4. Le responsable de la protection des renseignements personnels peut, à toute étape d'un projet visé à l'article 3.3, suggérer des mesures de protection des renseignements personnels applicables à ce projet, telles que :

«1° la nomination d'une personne chargée de la mise en oeuvre des mesures de protection des renseignements personnels;

«2° des mesures de protection des renseignements personnels dans tout document relatif au projet;

«3° une description des responsabilités des participants au projet en matière de protection des renseignements personnels;

«4° la tenue d'activités de formation sur la protection des renseignements personnels pour les participants au projet.

«3.5. Une personne qui exploite une entreprise et qui a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

«Si l'incident présente un risque qu'un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d'accès à l'information instituée à l'article 103 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). Elle doit également aviser toute personne dont un renseignement personnel est concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.

«Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

«Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.

«3.6. Pour l'application de la présente loi, on entend par "incident de confidentialité" :

«1° l'accès non autorisé par la loi à un renseignement personnel;

«2° l'utilisation non autorisée par la loi d'un renseignement personnel;

«3° la communication non autorisée par la loi d'un renseignement personnel;

«4° la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement.

«3.7. Lorsqu'elle évalue le risque qu'un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, la personne qui exploite une entreprise doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables. Elle doit également consulter son responsable de la protection des renseignements personnels.

«3.8. La personne qui exploite une entreprise doit tenir un registre des incidents de confidentialité. Un règlement du gouvernement peut déterminer la teneur de ce registre.

«Sur demande de la commission, une copie de ce registre lui est transmise.»

Donc, M. le Président, petite explication à tout ça. Donc, l'article introduit les articles 3.1 à 3.8 à la Loi sur la protection des renseignements personnels dans le secteur privé. Cet article prévoit que toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient. Il prévoit aussi que la personne ayant la plus haute autorité au sein de l'entreprise veille à y assurer le respect de la loi et y exerce les fonctions de responsable de l'accès aux documents et celle de responsable de la protection des renseignements personnels en plus de prévoir que ces fonctions peuvent être déléguées.

Cet article prévoit que toute personne qui exploite une entreprise doit mettre en oeuvre des politiques et des pratiques encadrant la gouvernance à l'égard des renseignements personnels et propres à assurer la protection de ces renseignements en plus de prévoir le contenu de celles-ci. Cet article prévoit qu'une personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Il prévoit également qu'aux fins de cette évaluation le responsable de la protection des renseignements personnels, prévu à l'article 3.1 de la loi, doive être consulté. Il exige enfin que tout nouveau système d'information de prestation électronique de services permette qu'un renseignement personnel informatique recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.

Cet article prévoit que le responsable de la protection des renseignements personnels prévu à l'article 3.1 de la loi peut, à toute étape d'un projet de système d'information ou de prestation électronique de services, suggérer des mesures de protection des renseignements personnels applicables à ce projet.

Cet article prévoit qu'une personne qui exploite une entreprise et qui a des motifs de croire qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient doive prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Il prévoit également que, si l'incident présente un risque qu'un préjudice sérieux soit causé, l'entreprise doit, avec diligence, aviser le Commission d'accès à l'information ainsi que toute personne dont le renseignement personnel est concerné par l'incident.

Cet article définit ce que l'on entend par un incident de confidentialité. Cet article prévoit ce qui doit être considéré par une personne qui exploite une entreprise lorsque celui-ci évalue le risque qu'un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité. Cet article prévoit qu'une personne qui exploite une entreprise doive tenir un registre des incidents de confidentialité.

M. le Président, j'ai aussi des amendements à présenter à cet article. Je ne sais pas, M. le Président, si vous souhaitez que je les lise maintenant. Je pourrais lire les amendements en question.

Le Président (M. Bachand) : Un amendement à la fois.

M. Caire : Un amendement à la fois. Je vous épargnerai mes talents de chanteur.

Le Président (M. Bachand) : Mais, juste avant d'aller plus loin, parce que l'article est très, très, très long, il fait miroir des dispositions légales, ça fait que je ne sais pas s'il y aurait peut-être une discussion plus générale avant d'aller à l'amendement. M. le député de LaFontaine.

M. Tanguay : Oui. Merci, M. le Président. Juste au niveau de l'organisation de nos travaux, la dernière fois, cet article-là, quand on l'avait vu dans le contexte des organismes publics, on l'avait abordé quand même de façon un peu plus systématique, 3.1, 3.2. Dans le cas-ci, ça serait les... Est-ce que les amendements du ministre... Parce que je peux voir qu'il y en a un à 3.1. Donc, je ne sais pas pour mon collègue de Gouin, je ne veux pas l'empêcher de parler, s'il veut parler de façon générale, mais on pourrait peut-être y aller, là, 3.1, puis y aller de façon systématique sur ces amendements. Mais peut-être une question d'abord, puis c'est ce que je faisais avec Sophie, là, on a adopté... On a eu de grandes discussions à l'époque, qui était l'article 1, de grandes discussions, puis il y a eu des amendements qui ont été adoptés. Est-ce que le ministre peut nous confirmer que ces amendements sont... et reprennent l'entièreté des amendements qui avaient été adoptés précédemment?

M. Caire : Bien, essentiellement, oui. Parce que, notamment, là, sur les évaluations des facteurs relatifs à la vie privée, là, on fait un effet miroir par rapport à ce qu'on a vu au privé. On va aussi moduler, là, quand on parlait de tout projet pour parler de projets qui sont plus de nature d'une refonte, un nouveau projet ou... Donc, essentiellement, les amendements reprennent... Bien, l'article en tant que tel est pas mal un miroir de ce qu'on a fait au niveau du public.

Le Président (M. Bachand) : ...amendement à 3.1. M. le ministre, s'il vous plaît.

M. Caire : Puis je suis d'accord, mais en pleine gorgée de café, M. le Président. Donc, l'article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi, remplace le deuxième alinéa par le suivant :

«La personne qui exploite une entreprise doit rendre accessibles, par un moyen approprié et en termes simples et clairs, des informations détaillées au sujet des politiques et des pratiques encadrant sa gouvernance à l'égard des renseignements personnels.»

Donc, ces modifications visent à ajuster l'exigence de transparence concernant les règles de gouvernance à l'égard des renseignements personnels. Une entreprise devra rendre accessibles, en termes simples et clairs, des informations détaillées au sujet de celle-ci. Ceci facilitera la compréhension par les citoyens des politiques et des pratiques adoptées par l'entreprise. Ces modifications laissent également une liberté aux entreprises de choisir le moyen de diffuser des informations concernant les règles de gouvernance, par exemple, elles pourraient publier les informations sur leur site Internet et elles pourraient également offrir des brochures, des affiches, etc.

Le Président (M. Bachand) : M. le ministre, peut-être... Vous avez lu l'amendement à 3.2. Alors donc, il faudrait peut-être...

M. Caire : Est-ce que j'ai erré, M. le Président?

Le Président (M. Bachand) : (S'exprime en espagnol). Alors donc, j'allais dire «in concreto», mais ça, je le laisse, là, au député de LaFontaine. Donc, c'est tout simplement de, peut-être, de lire 3.1.

M. Caire : ...complètement largué. Je me suis dit bon, bien... Non mais je... 3.1? Non, non, mais pourquoi? Je n'ai pas d'amendement à 3.1, moi.

Une voix : ...

M. Caire : Bien, écoutez, est-ce qu'on peut suspendre quelques instants?

Le Président (M. Bachand) : Oui, on va suspendre quelques instants. Merci beaucoup.

(Suspension de la séance à 11 h 29)

(Reprise à 11 h 38 )

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.

M. Caire : Oui. Merci, M. le Président. Donc, cette pause salutaire, gracieuseté du gouvernement du Québec, m'a permis de retrouver l'amendement à l'article 3.1, que je vous lis à l'instant et qui se lit comme suit :

Remplacer, dans le deuxième alinéa de l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi, «un membre du personnel» par «toute personne».

Donc, la modification au deuxième alinéa vise à permettre, en plus de la délégation qui peut être faite à un membre du personnel, d'utiliser les services d'une personne externe. Cela permettrait, par exemple, à un regroupement d'entreprises de désigner une seule personne responsable. Cette approche peut permettre l'utilisation des services d'une personne spécialisée en protection des renseignements personnels. Par conséquent, les entreprises bénéficieront d'une plus grande souplesse en ce qui concerne la délégation.

Le Président (M. Bachand) : Des interventions sur l'amendement? M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui. Je pense que c'est une bonne chose, parce qu'effectivement «souplesse» est le bon mot, et c'est du cas par cas. Puis, si l'entreprise veut déléguer, bien, c'est ça, elle va payer une ressource externe. Puis tant mieux s'il y a des spécialisations qui se développent et des gens qui sont à la fine pointe, entre autres, on le demande, là : Soyez à la fine pointe. Alors, je n'ai pas de problème. Puis je pense même que c'était miroir avec ce qu'on avait fait aux organismes publics, il me semble qu'ils pouvaient aller à l'extérieur.

M. Caire : Oui. En fait, ce qu'on avait dit, c'est que plusieurs organismes publics pouvaient...

• (11 h 40) •

M. Tanguay : 172.

M. Caire : Mais c'est-à-dire que c'était une personne qui était interne à l'organisme mais que plusieurs organismes pouvaient partager cette même...

M. Tanguay : Ressource.

M. Caire : ...ressource, c'est ça. Mais on avait parlé, à ce moment-là, plus du volet MRC ou... Parce qu'évidemment, au niveau du gouvernement du Québec, on est dans une autre dynamique, là.

M. Tanguay : Mais je pensais qu'on avait eu la conversation... Ils pouvaient aller à l'extérieur pour...

M. Caire : Pas pour le responsable des renseignements personnels. C'était pour les... Comme membres du comité sur la protection des...

M. Tanguay : Oui, oui, oui, qu'ils pouvaient avoir un spécialiste...

M. Caire : ...là, on pouvait avoir... Mais comme... le responsable des renseignements personnels dans un organisme public doit être un membre interne à l'organisme.

M. Tanguay : Je comprends. Moi, je n'ai pas d'autre intervention sur l'amendement.

Le Président (M. Bachand) : ...M. le député de... M. le ministre.

M. Caire : Bien, M. le Président, je veux juste être sûr, là, qu'au niveau de... Juste un petit signe de tête.

M. Tanguay : On peut suspendre, peut-être.

M. Caire :  Sur cet amendement-là, est-ce qu'il y avait des enjeux ou est-ce qu'on peut l'adopter?

Le Président (M. Bachand) : Mais il y aura toujours possibilité pour le député de Gouin de revenir avec un sous-amendement. De toute façon, l'article n'est pas fermé, là, encore, là, donc il n'y a pas...

M. Caire : O.K. Parfait.

Le Président (M. Bachand) : S'il y a lieu, là.

M. Caire : Alors, ça va, M. le Président.

Le Président (M. Bachand) : C'est beau?

M. Tanguay : C'est beau.

Le Président (M. Bachand) : Donc, s'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Donc, on revient, tel que discuté plus tôt, sur la sous-section 3.1. M. le député de LaFontaine.

M. Tanguay : À 3.1, comme vous dites, M. le Président, on n'est pas forclos. Si, des fois, il dit : Ah... Là, on passe à 3.2, on pourra revenir, puis tout ça. Parce que je pense que, pour l'ensemble de l'article, là, on aurait trois jours, techniquement, de possibles si on voulait faire du temps, mais c'est une idée qui, depuis 2012, ne m'est jamais passée par l'esprit.

«Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient.» J'essaie de faire les analogies, mais je le sais, qu'il faut que j'en prenne puis que j'en laisse, parce que public n'est pas privé, et vice versa.

 Et après on parle de «au sein de l'entreprise, la personne ayant la plus haute autorité veille à assurer», ça, je comprends ça. La personne de la plus haute autorité, au sein du privé, ça, je comprends ça. Et c'est comme ça qu'on commençait l'article 1 du projet de loi n° 64, l'article 8, pour les publics : «La personne ayant la plus haute autorité...»

Le petit bout qu'on met au départ, là, me fait me questionner : «Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient.» Qui on vise, là, qui ne serait pas suffisant uniquement en commençant avec le deuxième alinéa, en disant : Bien, dans le privé, c'est la plus haute autorité qui est responsable?

M. Caire : Bien, je vais laisser Me Miville-Deschênes compléter ma réponse, mais j'en comprends que, par exemple, une entreprise qui serait le fait d'un actionnariat, à ce moment-là, peut-être… Bien, mettons… Je veux dire, je ne veux pas personnaliser mon exemple, mais on peut penser que l'actionnaire majoritaire dans une entreprise ou d'un consortium qui a plusieurs entreprises pourrait être désigné par le premier paragraphe, alors que le deuxième paragraphe viserait plus le président ou le président-directeur général d'une telle entreprise, là, de la société, à proprement parler.

M. Tanguay : …du ministre, M. le Président, je revirerais ça de bord.

M. Caire : Puis là je me tourne vers Me Miville-Deschênes puis je ne vois pas de convulsion, donc j'imagine que je n'ai pas dit de…

M. Tanguay : ...j'en ai, là, je convulse.

M. Caire : Vous cachez bien ça.

M. Tanguay : «Exploite», je ne pense pas que l'actionnaire exploite l'entreprise. Je pense, justement, l'exploitant, c'est la personne qui est les deux pieds sur le… dans la bâtisse de l'entreprise. «Toute personne qui exploite une entreprise», est-ce qu'on peut dire qu'on vise les actionnaires?

Mon point, là, je crois, mais détrompez-moi, qu'il aurait suffi de commencer ici comme on commençait pour les publics : «Au sein de l'entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre de la présente loi.» Là, on dit : «Toute personne qui exploite...» Parce que je veux savoir, «toute personne qui exploite», je veux… Pourquoi c'est important qu'on se pose la question? Parce que les gens devront savoir : Ça me vise-tu moi ou pas?

Alors, qui on vise ici, qu'on nécessite de nommer ici puis que l'on ne ferait pas suffisamment oeuvre utile avec juste le deuxième alinéa? Je ne suis pas en train de dire que je propose ça, là...

M. Caire : Mais, si vous allez au registre des entreprises, celui qui exploite l'entreprise, c'est celui qui en est le propriétaire au sens du registre des entreprises...

M. Tanguay : Mais je ne sais pas si, au sens légal…

M. Caire : ...mais il n'est pas nécessairement le plus haut dirigeant de cette… Tu sais, quelqu'un peut en avoir plusieurs, des entreprises, là.

M. Tanguay : C'est qui ça, «toute personne qui exploite»?

M. Miville-Deschênes (Jean-Philippe) : Bien, en fait...

Le Président (M. Bachand) : …consentement. On est au début d'une nouvelle séance. Est-ce qu'il y aurait consentement pour donner la parole à Me Miville-Deschênes?

M. Caire : Oui, c'est correct.

M. Tanguay : Consentement, sous réserve de la question.

M. Caire : Oui, sous réserve de la réponse.

Le Président (M. Bachand) : O.K. Donc, consentement. Me Miville-Deschênes, s'il vous plaît.

M. Miville-Deschênes (Jean-Philippe) : Bien, dans la loi pour le secteur privé, on utilise l'expression «personne qui exploite une entreprise» pour dire «l'entreprise», dans le fond. Donc, dans les articles actuels, c'est déjà comme ça, on dit : La présente loi s'applique à l'égard de toute personne qui communique, utilise des renseignements à l'occasion de l'exploitation d'une entreprise. Puis, dans la loi actuelle et dans le projet de loi, quand on parle de «personne qui exploite une entreprise», dans le fond, on parle de l'entreprise à titre d'entité juridique.

M. Tanguay : «Toute personne», c'est l'entreprise, la personne morale?

M. Miville-Deschênes (Jean-Philippe) : Oui, c'est ça.

M. Tanguay : O.K. Et ça exclut «personne physique»?

M. Miville-Deschênes (Jean-Philippe) : Bien, la personne, ça pourrait être une entreprise enregistrée, là, mais, on se comprend, si je suis incorporé, c'est la personne morale. «Toute personne qui exploite une entreprise», c'est l'entité juridique «entreprise», donc personne morale ou autre type de, comment dire… Ça peut être une personne seule qui exploite une entreprise aussi, là.

M. Tanguay : O.K. Donc : «Toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu'elle détient», autrement dit, ça, c'est l'entité juridique qui va être, dans la très, très grande majorité des cas, une personne morale qui exploite l'entreprise. Ça va être ABC inc., ça va être A. D. enr., ça va être avocat, société en nom collectif à responsabilité limitée. C'est ça qu'on vise, là. Autrement dit, l'entité juridique «personne morale qui exploite l'entreprise» est responsable.

M. Miville-Deschênes (Jean-Philippe) : C'est exactement ça.

M. Tanguay : Autrement dit, ça veut dire que, moi, si j'ai une fuite de données, bien, je vais pouvoir poursuivre, évidemment, l'entité juridique, là. C'est ça qu'on vise, là.

M. Miville-Deschênes (Jean-Philippe) : Exact.

M. Tanguay : Et, deuxième alinéa, je vais pouvoir aussi peut-être mettre dans le débat, là, la plus haute autorité, là. Quelle est la responsabilité de la plus haute autorité? Est-ce qu'on veut ici faire naître une responsabilité personnelle de la plus haute autorité? Parce que la plus haute autorité, on s'entend, c'est une personne physique, n'est-ce pas?

M. Miville-Deschênes (Jean-Philippe) : Oui.

M. Tanguay : Alors, est-ce qu'on veut faire naître sa responsabilité personnelle, lever le voile corporatif?

M. Miville-Deschênes (Jean-Philippe) : Ce n'est pas tant l'objectif. L'objectif, c'est de lui attribuer des fonctions, notamment de traiter les demandes d'accès aux renseignements personnels qui sont faites par des personnes. Dans la loi, elle a une responsabilité de traiter les demandes d'accès puis elle a aussi une responsabilité générale, là, bien, d'assurer le respect des obligations en matière de protection des renseignements personnels.

M. Tanguay : Oui, mais ça n'exclut pas que je peux la poursuivre personnellement.

M. Miville-Deschênes (Jean-Philippe) : Bien, il va falloir démontrer une faute. Ça ne l'exclut pas, là, mais l'objectif n'est pas de lever le voile corporatif pour qu'elle soit responsable en lieu et place de l'entreprise, là.

M. Tanguay : O.K.

Le Président (M. Bachand) : …M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Avec le consentement du ministre, juste revenir sur l'amendement qui vient d'être adopté, sur 3.1. Là, on venait changer «membre du personnel» par «toute personne». Peut-être juste nous expliquer, est-ce que c'est pour permettre que ça soit sous-traité à d'autres entreprises, par exemple? Qu'est-ce que ça a comme effet?

M. Caire : C'est pour permettre, effectivement, que plusieurs entreprises puissent partager une ressource commune, pour qu'ils puissent embaucher quelqu'un de l'externe, un spécialiste, par exemple, en matière de protection des renseignements personnels. Parce qu'il faut comprendre que toutes les entreprises n'ont pas nécessairement la même taille, donc elles auront… C'est un petit peu le débat qu'on avait eu, si mon collègue de Gouin se souvient, avec les municipalités, où on disait : Tu sais, il y a des très petites municipalités qui pourraient avoir besoin de partager les ressources, compte tenu de leur taille, compte tenu de leur importance en termes de capacité financière. Donc, ça vise, oui, à pouvoir partager une ressource et/ou engager cette ressource-là à l'externe si on n'a pas l'expertise à l'interne.

M. Nadeau-Dubois : Puis ça ne change en rien les obligations des entreprises?

M. Caire : Pas du tout, pas du tout.

M. Nadeau-Dubois : Ça n'affecte pas leur responsabilité légale?

M. Caire : Pas du tout. En fait, ce qu'on fait, justement, avec le débat qu'on a avec le député de LaFontaine, c'est d'établir que l'entreprise est responsable, donc elle peut déléguer la tâche, mais elle ne peut jamais déléguer sa responsabilité.

M. Nadeau-Dubois : Merci.

Le Président (M. Bachand) : Autres interventions sur la sous-section 3.1? Sinon, on pourrait aller peut-être avec l'amendement à 3.2. M. le député de LaFontaine.

M. Tanguay : Oui. Merci, M. le Président. Est-ce qu'il y avait d'autres amendements à 8, qui était grosso modo l'équivalent de 3.1? Quand on regarde : «Elle exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à un membre du personnel», je ne sais pas, on n'avait pas eu d'amendement là-dessus, hein?

Des voix : ...

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Quand on a examiné l'article un peu correspondant dans la loi sur le public, on est venu inscrire, par amendement, ici la notion d'autonomie, en disant qu'il était souhaitable que la personne responsable des renseignements personnels dans les organismes publics puisse exercer ses fonctions de manière autonome. Est-ce que ce ne serait pas pertinent, je pose la question, là, de venir faire apparaître cette notion-là ici aussi dans la loi sur le privé?

• (11 h 50) •

M. Caire : J'ai plus de difficultés à le faire au niveau du privé pour la simple raison que, là, on est dans une gestion d'une entreprise privée. Par contre, je pense qu'on peut se garantir que les choses seront faites du fait de responsabiliser l'entreprise comme entité juridique, donc quelle sera la façon dont l'entreprise va interagir avec son responsable. Parce qu'il faut comprendre que les conséquences, pour une entreprise privée, d'une gestion chaotique des renseignements personnels, compte tenu des articles qui vont suivre sur les sanctions pécuniaires administratives, sanctions pénales qui sont conséquentes, je pense que tout le monde va être d'accord, seront de nature à assurer cette autonomie.

Dans le cas du public, bon, on peut imposer des sanctions, c'est vrai, mais, tu sais, c'est le fonds consolidé qui paie, là. Donc, je pense qu'il y avait une pertinence à le faire au niveau du public. Je ne pense pas que ce soit la même chose au niveau du privé quant à l'autonomie.

Je pense que ce qui vient nous garantir d'une gestion responsable des renseignements personnels va être beaucoup plus les sanctions que nous allons voter, en tout cas, si tant est que... Évidemment, je ne peux pas présumer du choix des collègues, là, mais j'ai cru comprendre que, sur ces enjeux-là, on était pas mal tous à la même page. Donc, je pense que ça est la...

Donc, il faut s'assurer que l'entreprise est bien désignée comme responsable, qu'il n'y ait pas d'échappatoire de ce côté-là et que les conséquences soient conséquentes de ne pas avoir une gestion des renseignements personnels. Après ça, comment l'entreprise va décider de gérer et d'interagir avec son responsable des renseignements personnels, je ne pense pas qu'on ait une garantie supplémentaire d'efficacité. Puis on vient se donner comme un droit de gérance sur une entreprise privée, puis ça, j'ai peut-être un peu plus de difficultés avec ça, que je n'ai pas avec le public, pour des raisons assez évidentes, là.

M. Nadeau-Dubois : Autrement dit, si l'entreprise... s'il y a ingérence dans le travail, par exemple, de la personne qui est responsable des renseignements personnels puis que ça provoque un incident, bien, ce sera l'entreprise qui sera responsable, point final.

M. Caire : L'entreprise va payer. Je veux dire, l'entreprise n'a pas intérêt... compte tenu des pouvoirs qu'on donne à la CAI, compte tenu des sanctions encourues qui sont très sévères, l'entreprise n'a pas intérêt à entraver le travail de son responsable des renseignements personnels, parce que les conséquences pour l'entreprise seront importantes.

Et je rappelle aussi qu'on avait mis des critères aussi. Au moment de déterminer les conséquences, on avait mis des critères sur le fait que, s'il y avait eu entrave, s'il y a des gestes qui ont été posés qui ont favorisé ça, c'est des circonstances aggravantes. Donc, je pense qu'on peut aussi aller dans cette direction-là, mais de dire qu'il doit être autonome... Écoutez, faites ce que vous voulez avec, puis, s'il ne fait pas son travail, ça risque d'être à votre détriment.

Le Président (M. Bachand) : Interventions? Alors donc, on continue. Alors, M. le ministre.

M. Caire : Oui. Alors, cette fois, c'est la bonne. L'article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi, remplacer le deuxième alinéa par le suivant :

«La personne qui exploite une entreprise doit rendre accessibles, par un moyen approprié et en termes simples et clairs, des informations détaillées au sujet des politiques et des pratiques encadrant sa gouvernance à l'égard des renseignements personnels.»

Donc, comme j'ai dit, M. le Président, ça vise à modifier les exigences de transparence concernant les règles de gouvernance à l'égard des renseignements personnels. Une entreprise devra les rendre accessibles en termes simples et clairs... des informations détaillées au sujet de celle-ci. Ceci facilitera la compréhension par les citoyens des politiques et des pratiques adoptées. Mais aussi les modifications laissent également une liberté aux entreprises de choisir le moyen de diffuser les informations concernant les règles de gouvernance. Par exemple, elles pourraient publier les informations sur leurs sites Internet, mais elles pourraient également décider d'offrir des brochures, des affiches et tout autre support pour communiquer ces informations. C'est une souplesse que les entreprises ont...

Le Président (M. Bachand) : Juste... M. le ministre, parce que je pense qu'on n'a pas le bon amendement. Alors donc...

M. Caire : Bien voyons, toi.

Le Président (M. Bachand) : Juste... J'essayais de trouver le bon amendement puis je...

M. Caire : Bien oui, M. le Président, vous avez bien raison. Ça va bien, mes affaires, ce matin.

Alors, M. le Président, je vais vous lire l'amendement qui a été déposé, effectivement. Dans le deuxième alinéa de l'article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi, remplacer «Ces politiques sont» par «Des informations détaillées au sujet de ces politiques et de ces pratiques sont, en termes simples et clairs,».

Donc, M. le Président, j'ai sensiblement le même commentaire que j'ai fait mais avec un libellé différent.

Le Président (M. Bachand) : Merci. Interventions sur l'amendement? M. le député de LaFontaine.

M. Tanguay : Oui. Quand on parle... Le ministre pourrait, de façon générale, nous indiquer... On a vu beaucoup la Commission d'accès à l'information. La Commission d'accès à l'information, là, question bien, bien, bien de base, là, est-ce qu'elle va interagir avec les entreprises?

M. Caire : Oui.

M. Tanguay : Au même titre, avec la même force qu'elle va le faire avec les organismes?

M. Caire : Au même titre. Elle a les mêmes pouvoirs, dans le respect de la loi sur l'accès à l'information, protection des renseignements personnels et la loi sur la protection des renseignements personnels dans le privé. Ces deux lois-là sont sous sa juridiction.

M. Tanguay : O.K. Et, quand on disait... peut-être parce qu'on le voit plus loin, là, on parlait... mais ça, c'était pour le comité, là : «L'organisme doit, dès que possible, aviser la commission par écrit du titre [...] coordonnées [...] la date d'entrée...» Je ne vois pas dans... Donc, sur l'organisme public, on voyait que la Commission d'accès à l'information avait un rôle, entre autres, à jouer avec les coordonnées des membres du comité, mais, dans la responsabilité relative à la protection des renseignements personnels, la juridiction de la commission, on n'a pas besoin de lui faire jouer un rôle ici quant à la surveillance des responsabilités relatives à la protection?

M. Caire : Bien non, d'autant plus qu'elle peut émettre, maintenant, des directives, elle a un pouvoir de surveillance qui est accru. Donc, au niveau de l'entreprise privée, la commission a toute latitude, là, pour s'assurer que la loi, elle est respectée.

M. Tanguay : Et la commission n'a pas… Comme législateurs, on ne voudra pas que la commission soit informée, le cas échéant, que la plus haute autorité, je reviens à 3.1, là, a délégué tout ou partie de ses responsabilités? La commission n'a pas besoin de tenir de registre à cet effet-là?

M. Caire : Alors : «[Les titres] et les coordonnées du responsable de [...] protection des renseignements personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles par tout autre moyen...» Donc, il y a une obligation de rendre publique cette information-là.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Sur l'amendement... On est bel et bien sur l'amendement?

Le Président (M. Bachand) : Oui.

M. Nadeau-Dubois : À 3.2?

Le Président (M. Bachand) : Oui.

M. Nadeau-Dubois : Tous au même endroit. Je perçois l'intention, qui m'apparaît être bonne, mais je me demande s'il n'y a pas un enjeu de rédaction. C'est-à-dire, dans la version initiale de l'article 3.2, on dit... on émet une obligation pour les entreprises de publier les politiques en question, donc, on peut présumer, dans leur intégralité. Je perçois, dans l'amendement du ministre, une volonté de dire qu'il faut que ça soit de l'information qui soit simple, claire, accessible, pas un PDF qui fait...

M. Caire : 18 pages.

M. Nadeau-Dubois : C'est... Ah! oui...

M. Caire : ...résumé, là.

M. Nadeau-Dubois : Oui, c'est parce que moi, j'allais dire 75, 80.

M. Caire : Le sommaire exécutif fait 18 pages, là.

M. Nadeau-Dubois : Oui, le sommaire... la table des matières, 18 pages. Non, mais, plus sérieusement... Et là il y a un amendement qui vient dire : Mettez des informations détaillées au sujet de ces politiques et de ces pratiques. Donc, il n'y a plus d'obligation de divulguer la politique ou les politiques.

M. Caire : Oui, exact.

M. Nadeau-Dubois : Ça devient une obligation de donner des informations simples et claires au sujet de la politique.

Est-ce qu'il n'y aurait pas moyen de remplir les deux objectifs à la fois? Parce que, là, ça ouvre la porte... puis je suis plutôt persuadé que ce n'est pas l'intention, là, et on me corrigera, mais que, là, ça permettrait à une entreprise de dire : On a une politique qui fait 80 pages. Sur notre site, on va seulement afficher une espèce de résumé qu'on va rédiger nous-mêmes, où on va donner les grandes lignes, les grandes informations principales. Et là on fait peut-être un gain de clarté, on fait peut-être un gain de concision, mais là on a une perte de transparence parce que la politique au complet n'est plus disponible, alors qu'il me semble qu'on devrait viser les deux, tu sais.

• (12 heures) •

M. Caire : En fait, on avait aussi un enjeu, parce que c'est des… Puis je ne vous le cache pas, M. le député, c'est des représentations qu'on nous a faites, où on a dit : Bien, les politiques de confidentialité, dans certains cas, pourraient nous amener à révéler des informations, sur la nature de nos opérations, qui seraient nuisibles à l'entreprise. Alors, c'est pour ça qu'on a choisi… parfait, on a dit : O.K., bon, si vous le dites, mais on veut des informations détaillées, à ce moment-là, parce qu'il faut que les citoyens connaissent la politique de l'entreprise qui les impacte, il faut que ce soit... Puis je pense que vous l'avez bien résumé, en termes simples et clairs, donc, on ne veut pas être noyés sous une tonne de documentation, il faut que le responsable des renseignements personnels soit connu, qu'on puisse le contacter, qu'on puisse interagir avec lui, qu'on puisse le questionner.

Donc, je vous dirais que c'est un compromis dans cette volonté de dire : Parfait, on ne veut pas nuire aux opérations d'une entreprise en la forçant à révéler des informations qui pourraient être nuisibles. Mais ce qui est clair, c'est que le citoyen qui interagit avec l'entreprise doit savoir pourquoi, à quelles fins on collecte des renseignements personnels, quels sont ses droits, ses prérogatives, comment il peut interagir quand le tout ne se passe pas à sa satisfaction. Donc, il y a quand même une obligation d'informer le citoyen, sans nuire à l'entreprise, et de le faire de façon compréhensible, là, c'est-à-dire que quelqu'un qui va lire la politique, effectivement, ne se tape pas 18 pages juste de table des matières. Parce que ça, ça peut être aussi… Quand on veut cacher une aiguille, on la met dans une botte de foin, là.

M. Nadeau-Dubois : Je comprends, puis, ça, là-dessus, tu sais, j'en suis, là, de forcer les entreprises à ne pas noyer le poisson dans des requêtes de consentement ou des politiques qui sont tellement touffues qu'on…

M. Caire : Exagérément touffues.

M. Nadeau-Dubois : ...qu'on n'y distingue plus rien, là. Ça, j'en suis, là. Mais, comme je disais, là, il y a un… tu sais, pour moi, on n'a pas à faire l'un ou l'autre, on pourrait avoir le même gain d'efficience, de clarté, de simplicité, de concision et dire : Bien, vous devez aussi rendre disponible la politique au complet.

Parce que, je veux dire, les renseignements personnels des gens, on leur demande un… Parce que tout le pilier… le ministre le sait, là, toute l'économie interne de ce projet de loi là, un de ses principes fondamentaux, c'est le consentement éclairé pour qu'on donne des renseignements personnels à une fin spécifique. Puis là tout l'édifice est construit là-dessus. Pour que le consentement soit valide, une des conditions, c'est que les gens savent exactement à quoi ils consentent. Puis ça, c'est contenu, dans le cas du privé, dans la politique qu'on leur demande, par la loi, de faire.

Moi, qu'on ait une version abrégée, une version vulgarisée pour M., Mme Tout-le-monde qui n'a pas le temps ou l'intérêt de lire la politique complète, ça me… tu sais, je veux bien. Mais là j'ai l'impression qu'il y a un petit recul, ici, par rapport à la première version de l'article, qui disait : Vous devez… En fait, il y a une avancée sur un plan, celui de la concision, de la clarté, de la facilité, et un recul sur un autre, celui de la transparence, où, avant, on demandait quand même la totalité de la politique, tu sais.

Puis, pour s'assurer que les consentements donnés soient valides, ça m'apparaît important que ça reste possible pour les citoyens et citoyennes, quand ils contractent avec une entreprise, de connaître exactement la politique puis peut-être… En fait, plutôt convaincu que ce n'est pas tout le monde qui va lire la politique complète, mais ça, ce n'est pas grave, si, au moins, c'est possible puis c'est une information qui est accessible. Ce n'est pas la même chose que de choisir consciemment de ne pas lire quelque chose qui est disponible plutôt que de ne pas y avoir accès. Ça fait que moi, je pense que ces politiques-là devraient être connues. Puis est-ce qu'on peut atteindre les deux objectifs en même temps? Je pense que ce serait possible.

M. Caire : Bien, je ne suis pas... on n'est pas tellement loin, M. le député de Gouin et moi. Par contre, il faut aussi, je pense, tenir compte des commentaires que les entreprises nous ont faits, en disant : Écoutez, c'est parce qu'on ne veut pas... ce n'est pas qu'on ne veut pas divulguer notre politique, c'est qu'on ne veut pas se ramasser à avoir une obligation légale de divulguer des informations qui pourraient nuire à l'entreprise.

Puis je vous ramène à la discussion qu'on vient d'avoir, je veux dire, les obligations d'une entreprise en matière de protection des renseignements personnels vont demeurer les mêmes. Donc, il est de l'intérêt d'une entreprise de bien informer le citoyen, je le pense, compte tenu des conséquences puis compte tenu du fait que ce qu'ils peuvent faire avec un renseignement personnel... Puis je nous rappelle le débat que nous avons eu hier avec le député de La Pinière, là, sur le fait d'avoir des dossiers médicaux électroniques qui collectaient de l'information à l'insu et des médecins et des patients. C'est inacceptable. Et le fait qu'une politique le dise ou ne le dise pas ne changera rien au fait que c'est inacceptable, que nous ne l'acceptons pas, puis, comme législateurs, je pense qu'on a le devoir d'empêcher ça.

Donc, la politique, elle vise effectivement à informer le citoyen, mais elle n'a pas pour objectif de dédouaner l'entreprise — publique, privée — de ses obligations en regard de la loi. Donc, c'est pour ça qu'on a… Puis c'est pour ça que, bon, on a accepté de dire : O.K., c'est correct, on ne veut pas nuire aux opérations d'une entreprise, ce n'est pas l'objectif. L'objectif, c'est qu'il y ait une responsabilisation par rapport à l'utilisation de renseignements personnels, dans toutes ses facettes, qu'il y ait… qu'on prenne ça au sérieux puis qu'on n'ait plus l'impression que c'est quelque chose avec lequel ont peut jouer comme bon nous semble. C'est ça, l'objectif.

M. Nadeau-Dubois : Mais mettons un exemple, là, d'une politique... d'une disposition dans une politique de confidentialité ou de gestion des renseignements personnels, qui serait préjudiciable pour une entreprise, pour ses opérations… J'essaie vraiment de… parce que j'essaie d'examiner l'argument vraiment pour ce qu'il est, là, puis voir de quoi est-ce qu'on parle, comme préjudice. Parce qu'ici, juste… et, en terminant, l'exercice, ici, c'est de regarder quel est en effet, potentiellement, le préjudice pour l'entreprise, par rapport à l'intérêt du citoyen, de la citoyenne, de transparence, puis, pour faire ce rapport-là, bien, j'ai besoin de comprendre c'est quoi, le risque pour les entreprises.

M. Caire : Et, avec le consentement, je… parce que Me Miville-Deschênes, comme vous le voyez, brûle du désir de s'adresser à nous.

Le Président (M. Bachand) : Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Je ne veux pas répondre à la question, malheureusement, je voulais juste remettre en perspective que l'article qu'on étudie, 3.2, il vise l'obligation d'avoir un cadre de gouvernance. Les politiques de confidentialité sont prévues à… excusez-moi, 8.2. C'est-à-dire que, puis je vais faire la distinction, là, lorsqu'une entreprise collecte des renseignements, elle doit donner de l'information à la personne. Ça, c'est prévu à l'article 8 : à quelle fin je les collecte, à qui je vais les communiquer, le droit d'accès de rectification, est-ce que ça va être communiqué hors Québec. Donc, il y a des obligations que tu es obligé de fournir avant la collecte. Puis la politique de confidentialité contient ces informations-là qui ont un objectif d'information du citoyen, sont prévues à 8.2. Puis, à 8.2, pour l'instant, on dit : La politique de confidentialité doit être diffusée.

Le cadre de gouvernance, c'est différent parce que le cadre de gouvernance, c'est de quelle façon, à l'intérieur de l'entreprise, elle va assurer le respect des obligations de la loi, donc de quelle façon qu'elle va s'assurer que... exemple, qui a accès au sein de l'entreprise, qui va avoir accès aux renseignements, de quelle façon on va communiquer pour assurer la sécurité, quelles sont les mesures de sécurité qui vont s'appliquer, quel type de formation qu'on va faire. Ça fait que c'est vraiment un encadrement interne à l'entreprise sur la façon que lui va s'assurer de respecter les exigences puis de sensibiliser son personnel.

Ça fait que c'est dans ce contexte-là où les entreprises ont soulevé le fait qu'il y a des parties de ces cadres de gouvernance là en matière de sécurité, comment on gère les pourriels ou les courriels qui pourraient être malveillants, qui pourraient créer des risques à la sécurité. Ça fait que c'est deux choses distinctes, là.

M. Nadeau-Dubois : Donc, c'est moins…

M. Miville-Deschênes (Jean-Philippe) : C'est pour ça que je brûlais, là.

M. Nadeau-Dubois : C'est pour ça que vous brûliez. Parce qu'en effet, là, on vient de déplacer le débat, là. On n'est plus sur : ça va nous… Ce n'est pas un préjudice… en tout cas, ce que j'entends, c'est davantage une réponse sur le plan de la sécurité que sur le plan de : ça va nous faire perdre un avantage avec un concurrent, on va faire moins d'argent, là. Moi, ce que j'entends, c'est plus…

• (12 h 10) •

M. Caire : …je faisais référence non plus, par exemple.

M. Nadeau-Dubois : O.K. Bien, en tout cas, parce que là, ce que j'entends…

M. Caire : Bien, je l'ai mal… je comprends que je me suis mal exprimé, mais effectivement c'était préjudiciable pour l'entreprise dans ses opérations.

M. Nadeau-Dubois : D'un point de vue de sécurité.

M. Caire : D'un point de vue de sécurité, tout à fait.

M. Nadeau-Dubois : O.K. J'essaie de me rappeler de la commission parlementaire… Parce qu'on a reçu des experts en sécurité. Est-ce que c'est des préoccupations qui ont été émises également par les experts en sécurité qui sont venus nous voir en commission?

M. Caire : Bien, moi, je n'étais pas à la commission parlementaire, comme vous le savez, là — je me permets de souligner ma propre absence — mais c'est, oui, dans les discussions que j'ai eues suite à la prise en charge de cette responsabilité-là. C'est des discussions que j'ai eues avec différents organismes qui représentent, oui, les chambres de commerce, mais qui ont des intérêts en matière de… bien — des intérêts — qui oeuvrent dans le domaine de la sécurité, ce qui explique qu'on fait écho à la demande.

M. Nadeau-Dubois : Je relis le 3.2, là, puis je perçois peut-être un petit hiatus entre l'explication qu'on me fait et ce que je lis, dans la mesure où on dit : «Celles-ci — en parlant des politiques de gouvernance — doivent notamment prévoir l'encadrement applicable à la conservation et à la destruction de ces renseignements...» Ça, est-ce que ce n'est pas, par exemple… Puis je continue, là : «…prévoir les rôles et les responsabilités des membres de son personnel — bon, ça, c'est vraiment de la gouvernance, là — tout au long du cycle de vie de ces renseignements et un processus de traitement des plaintes…»

Il me semble que, quand on parle de processus de traitement des plaintes, ça peut être intéressant... pas juste intéressant, là, c'est pertinent pour les citoyens et citoyennes de savoir, si jamais j'ai un problème avec l'entreprise : voici comment ma plainte va être gérée. Quand on parle, là, d'encadrement applicable à la conservation puis à la destruction des renseignements, c'est quand même une information pertinente pour donner notre consentement.

M. Caire : Bien, je rappelle quand même au collègue, là…

M. Nadeau-Dubois : Peut-être qu'on pourrait le dire, que ces informations-là doivent être rendues publiques, sauf si cela met en risque… Tu sais, peut-être qu'on pourrait l'écrire que, si l'entreprise démontre qu'il y a un risque à la sécurité… Parce que je comprends qu'il ne faut pas, par transparence, comme, pointer du doigt les brèches potentielles ou les failles. Ça, je l'entends. Il y a aussi un droit des citoyens, citoyennes de savoir ce qui est fait avec leurs données personnelles, notamment sur le plan du traitement des plaintes, par exemple, là. Ça, c'est quand même pertinent pour le monde de savoir, s'il y a un problème, qu'est-ce qu'il va arriver.

M. Caire : Je ne suis pas sûr. Je souligne au collègue, là, que ce qu'on dit, c'est que «ces politiques»... On remplace «Ces politiques sont» par «Des informations détaillées au sujet de ces politiques et de ces pratiques sont, en termes simples et clairs», bon, publiées sur le site Internet, ta, ta, ta. C'est parce que ce que je vois dans la proposition du collègue... Puis j'entends sa préoccupation, mais je pense que, dans le libellé, on vient implicitement, aussi, dire : Écoutez, là, il faut que vous donniez quand même des détails aux citoyens, puis on entend votre préoccupation de sécurité.

C'est parce que, si on va sur le chemin de dire : L'entreprise doit démontrer qu'il y a un enjeu de sécurité, avant de dire si, oui ou non, une politique est publiée ou non — on a combien, quoi, 200 et quelques milles entreprises au Québec — je ne vois pas comment la Commission d'accès à l'information pourrait répondre adéquatement à une telle demande, en plus de ses autres charges, là, on s'entend.

Donc, je pense que le libellé qu'on a là indique l'intention du législateur de dire : Écoutez, là, il faut que vous informiez les citoyens sur ce qui est pertinent, à savoir, avant d'interagir, de donner un consentement, etc., qui va dans le sens de... En plus, vous devez l'expliquer de façon très claire, vous devez le rendre public. On amène quand même, là... par rapport à l'existant, on amène quand même un fardeau important, mais justifié — entendons-nous, là, je ne suis pas en train de verser des larmes, là — important mais justifié, à l'entreprise pour qu'elle informe correctement le citoyen.

Mais, en même temps, réalistement, tu sais, on ne veut pas... Puis je pense que le collègue de Gouin a bien exprimé qu'il était d'accord avec le principe qu'une entreprise n'a pas à exposer ses vulnérabilités ou, en tout cas, à exposer des processus qui pourraient être nuisibles à ses opérations. Je pense qu'on s'entend là-dessus.

Ce n'est pas un équilibre qui est simple à trouver, j'en conviens, mais entre... puis ne pas non plus surcharger la Commission d'accès à l'information, qui se fera éventuellement taxer de ne pas être assez rapide, puis l'entreprise va dire : Bien, écoutez, moi, je veux bien la publier, ma politique, mais je suis en attente d'une décision de la Commission d'accès à l'information avant de la publier. Puis, bien, là, on ne peut pas demander à l'entreprise de ne pas continuer ses opérations, le temps que la commission soit capable d'évaluer si ce qu'elle publie est correct, ou non, ou... Comprenez-vous?

Je comprends votre préoccupation, M. le député, je pense que je vous exprime aussi que je suis d'accord. Mais j'essaie de voir comment on peut trouver un équilibre entre le bon fonctionnement de l'entreprise, mais son obligation envers le citoyen.

M. Nadeau-Dubois : Bien, si l'argument, c'est la sécurité, moi, je l'entends, cet argument-là, parce qu'en effet ce serait complètement contre-productif, par vertu de transparence, de rendre vulnérables des entreprises et, par extension, les renseignements personnels que les entreprises détiennent. J'en suis. Mais, admettons, le processus de traitement des plaintes, là, ce n'est pas de la sécurité, ça.

M. Caire : Non. Je suis d'accord.

M. Nadeau-Dubois : Tu sais, il y a-tu... on peut-tu faire... travailler l'article ou envoyer, pardonnez mon langage familier qui va hérisser les poils des juristes... mais envoyer des choses à l'article 8? Parce qu'il y a des trucs, à l'article 3.2, ça, c'est les trucs qu'on ne veut peut-être pas qu'ils soient 100 % transparents, et il y a des trucs à l'article 8 qui, là, sont des choses qu'on affirme dans la loi, que les gens doivent connaître. Et moi, j'ai, sous les yeux, l'article 3.2 et je vois «processus de traitement des plaintes», je me dis : Me semble que ça, ce n'est pas dans la catégorie des choses qui mettent en péril la sécurité des entreprises.

M. Caire : Non. Je suis d'accord.

M. Nadeau-Dubois : Et ça m'apparaît plutôt être dans la catégorie des informations pertinentes pour exprimer un consentement éclairé, c'est-à-dire : Si jamais j'ai un problème, ça va être quoi, mes recours au sein de l'entreprise. Après ça, il y a des recours à la commission, là, mais je me demande... Puis je comprends bien, là, que le principe de 3.2, c'était de dire : Les éléments de gouvernance, on les met là puis on met les autres éléments à 8. Mais il faut trouver l'équilibre entre la transparence puis la sécurité.

Puis moi, ce qui me saute aux yeux, là, c'est que le processus de traitement des plaintes, ça, c'est... je ne vois pas en quoi on affaiblit la sécurité d'une entreprise. L'entreprise dit : Si jamais vous avez un problème, voici quel sera le processus, puis là les entreprises, selon leur taille, auront soit des processus très timides soit des processus plus structurés, structurants. Il y a même des entreprises qui pourraient avoir des politiques de compensation, là, tu sais, financières. Je veux dire, je ne sais pas, les entreprises se gouverneront comme elles veulent. Mais il me semble que ça, ça fait plus partie de ce que les gens doivent savoir, que ce que... ce qui représente des risques pour la sécurité.

M. Caire : Bien, oui, je ne suis pas en désaccord avec le collègue sur le fait qu'un processus de traitement de plaintes n'est pas quelque chose qui met en péril les... et qu'il m'apparaît que les informations détaillées devraient effectivement inclure un processus de traitement de plaintes.

Par contre, le traitement du cycle de vie de la donnée, ça, ça m'apparaît être effectivement... il y a un potentiel là qui est plus... il y a peut-être un potentiel là de vulnérabilité sur la façon de traiter. Ça, ça veut dire : Est-ce qu'on donne des informations sur les systèmes?, ce qui n'est pas souhaitable. Aussi, les mesures proportionnées à la valeur de la donnée, ça non plus, je pense qu'il ne faudrait pas aller dans un détail, qu'est-ce qu'on a mis comme mesure de protection pour qu'on soit proportionnels à la donnée, c'est quoi, nos politiques en cette matière. Ça aussi, je pense qu'on peut avoir une marge de discrétion.

Sur le traitement des plaintes, je suis d'accord avec le collègue. Ceci étant dit, est-ce que le fait qu'on parle des informations détaillées, dans l'amendement... «au sujet de ces politiques et de ces pratiques sont, en termes simples et clairs», est-ce qu'il tombe sous le sens que les politiques de traitement des plaintes devraient être publiées? C'est parce que moi, je...

M. Nadeau-Dubois : Tu sais, moi, dans le fond, là... C'est qu'il faut faire aussi, je pense... il faut rédiger l'article en étant conscients que, oui, la grande majorité des entreprises vont être de bonne foi, mais qu'il faut prévoir le coup d'entreprises qui diraient : Ah! information claire et détaillée, on va dire ce qu'on veut dire, puis il y a des trucs, peut-être, qu'on... Peut-être que ça va être moins clair et moins détaillé sur d'autres affaires, tu sais, c'est-à-dire, des entreprises qui pourraient, pour rassurer les consommateurs, dorer la pilule puis présenter les informations qui sont avantageuses puis qui ne sont peut-être pas fidèles à ce qu'il se passe. Et donc, tu sais, comment on s'assure que ça soit juste assez contraignant pour qu'au moins sur les éléments où il n'y a clairement pas de risque de sécurité, bien, on ait une transparence maximale, tu sais. Parce que je comprends que l'argument que je fais, il est comme invalidé par la question de la sécurité sur plusieurs affaires, mais sur...

• (12 h 20) •

M. Caire : Pour ne pas invalider.

M. Nadeau-Dubois : En tout cas, il est affaibli par l'argument de la sécurité.

M. Caire : Nuancé, nuancé.

M. Nadeau-Dubois : Mais, sur d'autres éléments, là, il me semble qu'on peut se dire : Vu qu'il n'y a pas d'enjeu de sécurité, on ne prend pas de chance, transparence maximale.

M. Caire : Mais, en même temps, je vous soumets respectueusement qu'au fond c'est dans l'intérêt de l'entreprise. Puis, ça, pour moi, c'est garant de bien des choses. C'est dans l'intérêt de l'entreprise, sur les informations qui ne sont pas hypothécables pour ses opérations, de les rendre publiques. Parce que la vérité, et vous le savez comme moi, M. le député, là, le responsable de la protection des renseignements personnels étant affiché publiquement ainsi que ses coordonnées, si on a... cette économie de clarté qu'on a dans nos politiques de gouvernance va nous faire dépenser du temps en interaction avec… en tout cas, à mon avis, là, puis je ne vous dis pas que c'est l'argument massue, là, mais notamment sur le processus des plaintes.

Moi, je veux dire, je suis insatisfait, tu me donnes le nom et les coordonnées de ton responsable de la protection des renseignements personnels puis je ne sais pas trop… je veux me plaindre, mais je ne sais pas trop comment. Bien, je l'appelle puis je dis : Là, je veux me plaindre. Ça fait que, tu sais, ce n'est pas dans l'intérêt de l'entreprise, parce qu'au fond ce qu'ils gagnent à ne pas écrire les choses, ils vont le perdre en téléphones, échanges de courriels, explications, et autres.

Ce qui ne veut pas dire, ceci étant, que le fait de le rendre public et de le diffuser va empêcher le responsable en question d'avoir des clarifications ou des questions, mais ça va peut-être diminuer sa charge de travail. Puis un document sur internet, ça coûte moins cher qu'un employé salarié. Donc, si je me mets du point de vue de l'entreprise privée, je pense que mon intérêt est de fournir, si elles ne sont pas préjudiciables à mes opérations, bien évidemment... c'est de fournir le plus d'informations possible aux citoyens. Parce que tout ça va se traduire en questions à quelqu'un que je paie à l'heure ou à la semaine puis qui ne fait pas d'autre chose pendant ce temps-là.

Parce qu'il faut comprendre que, pour beaucoup d'entreprises, le responsable de la protection des renseignements personnels ne sera potentiellement pas quelqu'un qui va faire ça à temps plein. C'est probablement une charge qui va être déléguée à quelqu'un qui va avoir toutes autres tâches connexes, et donc, pendant qu'il fait ça, bien, il ne fait pas les toutes autres tâches connexes. Donc, moi, je pense qu'on a un intérêt, sauf dans les grandes entreprises qui auront peut-être suffisamment de volume pour justifier des gens à temps plein. Mais, dans des plus petites entreprises, j'ai le sentiment que cette publication-là, de toute façon, va être de nature à servir les intérêts de l'entreprise et donc aura un intérêt à avoir plus de détails que moins de détails.

Puis, en fait, je crois tellement à ce que je vous dis là que ça motive le fait qu'on veut que ce soient des termes simples et clairs, justement, parce que la crainte, à mon avis, est beaucoup plus qu'on aille dans beaucoup trop de détails que pas assez de détails.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Oui. En même temps, c'est qu'il y a un aspect préventif, là, au fait de divulguer certaines informations pour bien informer le consentement, là. Ça fait que, tu sais, il y a l'intérêt de l'entreprise à, oui, comme, être exemplaire, pour des raisons qui sont très élémentaires…

M. Caire : Pécuniaires.

M. Nadeau-Dubois : …et pécuniaires. Mais il y a aussi la vertu préventive d'être le plus transparent possible, d'entrée de jeu, pour que le consommateur fasse un choix qui est éclairé, là. Puis ça, c'est toujours ça qui est une des conditions du consentement, que… Peut-être suspendre quelques instants. Je vais proposer un amendement au ministre pour peut-être faire la part des choses.

Le Président (M. Bachand) : Consentement pour suspendre?

Alors, on suspend quelques instants. Merci.

(Suspension de la séance à 12 h 24)

(Reprise à 12 h 57)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.

M. Caire : Merci, M. le Président. Donc, suite aux discussions qu'on a eues, le député de Gouin et moi, je demande le consentement pour retirer l'amendement que j'ai déposé à 3.2.

Le Président (M. Bachand) : Est-ce qu'il y a consentement?

Des voix : Consentement.

Le Président (M. Bachand) : Consentement. Merci beaucoup. Et, pour la suite des choses, M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Donc, je vais déposer un amendement à l'article 95, donc : Dans le deuxième alinéa de l'article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi, remplacer «Ces politiques sont» par «Des informations détaillées au sujet de ces politiques et de ces pratiques, notamment en ce qui concerne le contenu exigé au premier alinéa, sont, en termes simples et clairs,». Fin de la citation et de l'amendement.

La réflexion a évolué quelque peu, M. le Président, au gré des discussions avec le ministre et son équipe. Dans le fond, ce que je propose ici, c'est qu'on s'assure que les informations détaillées en question vont couvrir l'ensemble des éléments qui sont mentionnés au premier alinéa de l'article 3.2, pour ne pas qu'on n'échappe aucun élément du côté des entreprises quand on publie ces informations-là détaillées.

J'ai toujours les mêmes préoccupations en ce qui a trait à la communication la plus transparente possible des éléments du processus de plainte pour obtenir un consentement éclairé, mais on traitera de cette question-là un peu plus loin, quand on travaillera sur l'article 8, qui est introduit par l'article 99. Donc, on va y aller comme ça. Comme ça, je pense qu'on va mieux respecter la structure interne, ce qui est toujours important. Voilà.

Le Président (M. Bachand) : Interventions sur l'amendement du député de Gouin? S'il n'y a pas d'intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Tanguay (LaFontaine)?

M. Tanguay : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Donc, on revient rapidement...

Ah! bien, vous savez quoi? Compte tenu de l'heure, je suspends les travaux jusqu'à 14 h 30. Merci. Bon lunch.

(Suspension de la séance à 12 h 59)

(Reprise à 14 h 36)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La Commission des institutions reprend ses travaux. Nous poursuivons l'étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Lors de la suspension de nos travaux cet avant-midi, nous étions rendus à l'étude de l'article 95 amendé. Interventions? M. le ministre.

M. Caire : ...d'amender, à l'article 95, le 3.2. Et on était à l'étape de savoir s'il y avait des commentaires, corrigez-moi si je me trompe, de la part de mes collègues des oppositions suite à l'amendement qu'on avait déposé, bien, que le député de Gouin a déposé et que nous avions adopté.

Une voix : ...

M. Caire : Oui. Donc, on serait sur 3.2 tel qu'amendé.

Le Président (M. Bachand) : Est-ce qu'il y a des interventions? Sinon, on peut continuer. M. le député de Gouin.

M. Nadeau-Dubois : Juste me laisser le temps... Oui, c'est ça, lui, il est comme : Il n'y en a pas. Juste me laisser le temps de me réorganiser.

Non, je pense qu'on avait fait le tour, en effet.

Le Président (M. Bachand) : Parfait. Donc, M. le ministre, peut-être poursuivre dans l'étude de la section...

M. Caire : Bien, si les collègues sont à l'aise, moi, je serais à l'étape de l'amendement à l'article 3.3, M. le Président.

Le Président (M. Bachand) : Merci. M. le ministre, s'il vous plaît.

M. Caire : D'accord. Alors, il se lit comme suit : À l'article 3.3 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 95 du projet de loi :

1° insérer, dans le premier alinéa et après «tout projet», «d'acquisition, de développement [...] de refonte»;

2° ajouter, à la fin, l'alinéa suivant :

«La réalisation d'une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.»

Donc là, on est vraiment dans le miroir de ce qu'on a fait au niveau du public. Parce qu'on se souvient, on avait dit qu'une évaluation relative aux facteurs de la vie privée pour tout projet informatique, ça devenait exagéré. On l'a accordé au public, cet aménagement-là, donc on fait la même chose pour le privé.

Et ce qu'on avait dit aussi, ce que je préconise, en fait, M. le Président, c'est que, cette évaluation-là, il faut qu'elle soit proportionnée. Je prenais l'exemple de la personne qui va avoir des contrats de déneigement et qui va avoir un nombre très, très, très limité, un, de clients et donc, conséquemment, de renseignements personnels à qui on demanderait de faire une évaluation des facteurs relatifs à la vie privée exhaustive. Comme si, par exemple, Desjardins allait d'une refonte complète de son système AccèsD, bien, on comprend que ça ne peut pas... Tu sais, ce n'est pas les mêmes impacts, ce n'est pas les mêmes enjeux, ça ne peut pas être traité de la même façon. Donc, M. le Président, c'est dans la même optique que nous faisons au privé ce que nous avons fait au public.

Le Président (M. Bachand) : Merci beaucoup. Interventions sur l'amendement? S'il n'y a pas... M. le député de Gouin.

M. Nadeau-Dubois : Je voulais juste prendre le temps de lire convenablement. Donc, le ministre dit : C'est grosso modo un équivalent de ce qu'on a fait au public.

M. Caire : ...ce n'est pas l'équivalent, M. le député, c'est vraiment miroir de ce qu'on a fait au public.

M. Nadeau-Dubois : Donc, encore une fois, bon, on a eu le débat à l'époque, là, c'est sur la distinction entre les projets qui sont déjà là, on ne veut pas forcer à tout refaire, et les nouveaux projets.

• (14 h 40) •

M. Caire : Puis c'est un commentaire qu'on a entendu et du public et du privé, là, que, dans sa forme initiale, on avait peut-être une exigence exagérée, il fallait vraiment mieux le cibler à quel moment. Parce que l'idée n'est pas de dire : Ne faites pas d'évaluation des facteurs relatifs à la vie privée, mais l'idée est de le dire : Faites-le lorsque ce que vous faites a un impact, c'est-à-dire lorsqu'il y a une modification qui le justifie, d'une part. Et, d'autre part, cette évaluation-là doit être proportionnelle à ce que vous avez comme renseignements personnels, là.

Le Président (M. Bachand) : M. le député de Gouin, ça va?

M. Nadeau-Dubois : Non, c'est bon, merci, M. le Président.

Le Président (M. Bachand) : Est-ce qu'il y a d'autres interventions sur l'amendement? S'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Merci. Donc, on revient sur 3.3, la sous-section, avec l'amendement qu'on vient d'adopter. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : À la fin, on parle de format technologique structuré et couramment utilisé. Qu'est-ce que ça veut dire?

M. Caire : Bien, c'est...

M. Nadeau-Dubois : Non, mais c'est-tu un vocabulaire habituel? Tu sais...

M. Caire : Non, j'allais faire une blague en disant : C'est pour éliminer les fax, mais non, en fait, c'est... Excusez-moi, la tentation était beaucoup trop forte. Bien, c'est de s'assurer que, quand on communique des renseignements, on le fait d'une façon où ça peut être utilisé par le citoyen, donc d'y aller... Justement, on parle de courriel, on va parler de PDF, on va parler de ces formats-là que tout le monde utilise et qui sont facilement accessibles.

Le Président (M. Bachand) : ...continuer comme ça, on peut aller à une autre sous-section aussi, mais, comme je vous dis, l'article 95 est ouvert, on essaie juste d'y aller d'une façon progressive et organisée. Donc, est-ce qu'on irait à 3.4... interventions? M. le député de Gouin, oui, s'il vous plaît.

M. Nadeau-Dubois : À 3.4, dans le fond, j'essaie de comprendre, on fait... on formule une obligation pour le responsable de la protection des renseignements personnels à toute étape d'un projet visé à 3.3. 3.3, maintenant, s'applique seulement pour les nouveaux projets. Comment est-ce que les deux articles s'articulent les uns avec les autres? Parce que là on vient d'amender. Dans le dernier alinéa de 3.3, si j'ai bien... non, dans le premier, si j'ai bien compris, on a changé «tout projet» par «tout nouveau projet».

M. Caire : C'est les projets...

M. Nadeau-Dubois : Là, à 3.4, on parle : «à toute étape d'un projet». Donc, est-ce que c'est seulement les nouveaux ou c'est tous les projets?

M. Caire : Bien, en fait, c'est les projets tels que l'article... L'article étant amendé, on va parler de quand on fait une acquisition, un développement ou une refonte. Parce que l'idée, c'est de dire qu'en complément aux facteurs relatifs à la vie privée, donc, vous pouvez aussi... donc, c'est en addition. Le responsable pourrait aussi dire : Bon, bien, nommez quelqu'un qui est chargé de la protection des renseignements personnels.

Donc, l'idée, c'est d'avoir des mesures de protection des renseignements personnels lorsqu'un projet de système d'information amène cette nécessité-là. Et la discussion qu'on a eue est à l'effet que ce qui va nécessiter des mesures de protection, c'est des projets qui amènent un changement dans la nature dont on va les utiliser, les structurer, etc. C'est pour ça qu'on limite les évaluations des facteurs relatifs à la vie privée, et, la prérogative de 3.4, on la limite aux projets d'acquisition, de développement ou de refonte. Parce que, si je fais une mise à jour d'un système, je passe de la version 2.0 à 2.1, bien... puis je suis convaincu que le député de Gouin comprend ce que je veux dire, bien, c'est sûr que là je n'ai pas besoin de faire une évaluation des facteurs à la vie privée.

Je vous donne un exemple. On a un produit pour lequel une vulnérabilité a été trouvée, je vais installer une rustine, qu'on appelle, en bon français, une patch, bien, tu sais, je ne ferai pas une évaluation des facteurs relatifs à la vie privée. J'ai une application, il y a une version 3. J'étais à la version 2, je suis à la version 3, donc on comprend que c'est une version qui est plus performante, qui amène différentes fonctionnalités supplémentaires, mais, sur le fond, c'est le même système que j'utilise. Par exemple, au gouvernement du Québec et dans le déploiement du système SAGIR, il y a différents modules, donc chaque module amène, lui, par contre, une utilisation particulière. Donc là, on va faire une évaluation des facteurs à la vie privée, mais, si je prends un système pour lequel je fais une mise à jour, bien là, c'est le même système, donc je n'ai pas besoin de mesurer est-ce que... mon système, est-ce qu'il a un impact sur les facteurs relatifs à la vie privée. Bien non, je n'ai pas changé le système, c'est le même système.

Donc, c'est un peu la même chose pour les mesures de protection, dans le sens où je ne vais pas nommer un responsable chargé de la mise en oeuvre de la protection des renseignements personnels, parce que je vais dans une version plus évoluée d'un même produit. C'est un petit peu ça, le principe. Bien, en fait, ce n'est pas un petit peu ça, c'est ça, le principe.

Le Président (M. Bachand) : Alors, on continue sur 3.4. M. le député de La Pinière, s'il vous plaît.

M. Barrette : ...

Le Président (M. Bachand) : Oui, mais on peut changer, là, oui, 3.4, oui.

M. Barrette : On peut changer, là? Écoutez, c'est une question... c'est une intervention plutôt qu'une question qui est très, très simple. Pourquoi, à 3.4, on parle... on dit «peut»? À 3.4, le quatrième paragraphe, là, pourquoi ce n'est pas «doit»?

M. Caire : Pour...

M. Barrette : Pour la formation?

M. Caire : Oui, bien, parce qu'il faut laisser la possibilité que ce n'est pas nécessaire.

M. Barrette : Ça, je comprends, mais on pourrait...

M. Caire : Alors, si on met «doit», bien là, il n'y a plus cette notion-là pour... le responsable de la protection des renseignements personnels n'a plus cette latitude-là de décider : Est-ce que c'est nécessaire? Est-ce que le contexte le justifie?

M. Barrette : Je comprends... J'essaie de concilier les expériences récentes qu'on a vécues, déplorables, et je ne parle pas des activités du ministre mais bien de ce que l'on connaît. Là, je vais arrêter de les nommer, parce qu'il paraît que, quand je les nomme, ça les vexe, ça leur fait de la peine, alors je ne nommerai personne, alors, mais on a vécu des situations déplorables qui ont été rendues publiques.

M. Caire : Comme quoi?

M. Barrette : Hein?

M. Caire : Comme quoi?

M. Barrette : Vous savez, quand je viens, j'amène toujours de l'humour avec moi. Alors, je ne les nommerai pas, mais je vois que le ministre sait de quoi je parle. Et il a quand même été, sinon parfaitement, clairement établi... il a quand même très... pas mal assez clairement établi qu'il y avait un problème de mise à jour. Alors, il y a deux mises à jour qu'on peut avoir, évidemment, en termes de protection, une mise à jour technologique et une mise à jour soit de formation ou soit de gestion, là, qui est un peu la...

M. Caire : D'habilité, tout à fait.

M. Barrette : Ce sont des cousins, là, parce qu'on est dans les ressources humaines. Là, d'abord, ça m'amène donc à deux questions. À 3.4, quatrième paragraphe, un, pourquoi ce n'est pas «doit»? Je comprends l'argument du ministre, puis il est correct, l'argument du ministre, mais peut-être qu'on pourrait essayer de le formuler du genre «doit, lorsqu'il y a un changement significatif». Et, quand on dit «formation sur la protection des renseignements personnels pour les participants au projet», on parle de théorie, là, ou on parle de pratique technologique?

M. Caire : Bien, en fait, on parle de connaissance des obligations qui sont faites. On va parler, effectivement, disons, dans un contexte où il y a une évaluation des facteurs relatifs à la vie privée... bien, pas «si», là, mais nous sommes dans un contexte où une évaluation des facteurs relatifs à la vie privée a été faite. Elle amène des conclusions, ces conclusions-là devraient être communiquées aux gens qui vont travailler sur le projet, évidemment. Donc, ça fait partie des formations qui pourraient être requises.

Évidemment, on n'est pas... ici, compte tenu du fait qu'on parle d'un développement de projet, on n'est pas sur l'utilisation, parce qu'on développe le projet ou on le déploie, donc on n'est pas dans le contexte d'utilisateur, on est dans le contexte d'un développement d'une acquisition ou d'une refonte.

M. Barrette : Donc, on est plus dans la théorie. Je pense que le ministre comprend où je veux aller, là.

M. Caire : Oui, oui, oui, absolument.

M. Barrette : Ce n'est peut-être pas à la bonne place, mais je ne l'ai pas vu encore, puis peut-être qu'il y a des raisons évidentes pour lesquelles je ne l'ai peut-être pas vu, là, si c'est en quelque part, mais l'obligation de formation, si on ne la retrouve pas là, on va la retrouver où, dans le privé, dans l'espace... dans le projet de loi? Parce qu'on s'entend, là...

M. Caire : En fait, à ma connaissance... Puis je vous le dis, là, en ouvrant une porte, là, d'abord parce que vous prêchez à un converti...

M. Barrette : Oui, je le sais.

M. Caire : ...celui qui vous parle a demandé à l'Académie de transformation numérique de produire des formations et suit pas à pas l'avancement des ces formations-là au niveau de nos employés. Parce que nous savons que, nonobstant les événements récents, le vol de données par une introduction technologique, par un hackeur, c'est une minorité par rapport à ce qu'il se fait. La majorité, les pirates informatiques vont attaquer les individus, vont berner les individus, parce que c'est...

M. Barrette : D'où l'importance de la formation.

M. Caire : D'où effectivement le besoin de formation, ce que le gouvernement du Québec fait présentement. Maintenant, Me Miville-Deschênes me corrigera, fidèle à son habitude, si je me trompe, mais il n'y a pas... ce type d'obligation là n'est pas prévu à la loi.

M. Barrette : Bien, ça m'apparaît...

M. Caire : Oh! oh! oh! Aïe! Je vais peut-être me faire corriger.

M. Barrette : Oui, bien, alors, justement, c'est tellement un moment de grâce qu'on va le laisser parler.

• (14 h 50) •

M. Caire : Absolument. De toute façon, ça lui démangeait d'intervenir.

Le Président (M. Bachand) : Me Miville-Deschênes, s'il vous plaît.

M. Caire : Je pense qu'il commence à aimer ça.

M. Barrette : Prenez votre temps, Me Miville-Deschênes, puis appuyez fort.

M. Caire : On vous écoute.

M. Miville-Deschênes (Jean-Philippe) : Non, mais, dans le secteur public, il y a des obligations. Il y a une obligation, actuellement, dans le règlement sur la diffusion, une obligation... le sous-ministre ou le dirigeant d'un organisme public doit veiller à la sensibilisation et à la formation des membres du personnel...

Une voix : ...

M. Miville-Deschênes (Jean-Philippe) : Non, excusez, c'est au public. O.K., parce que le privé, il n'y en a pas, effectivement.

M. Barrette : Les événements qu'on a vus étaient...

M. Caire : Me permettez-vous de le taquiner, M. le député de La Pinière?

M. Barrette : Mais bien sûr.

M. Caire : Parce que vous manquez une belle game, là, on parlait des articles sur le privé.

M. Miville-Deschênes (Jean-Philippe) : Non, je sais, mais je n'étais pas sûr si...

M. Barrette : D'ailleurs, d'ailleurs, je me rappelle l'avoir dit.

M. Caire : Puis, si jamais vous voulez en rajouter un peu, M. le député de La Pinière, là, gênez-vous pas.

M. Barrette : Bien, oui, je vais en rajouter. Me Miville-Deschênes, vous êtes un des rédacteurs de la loi, comment ça que nous n'avez pas pensé à ça?

Une voix : ...

M. Barrette : Point d'ordre. Blague à part, on ne devrait pas avoir ça?

M. Caire : ...ce n'est pas prévu d'avoir des obligations de formation sur ce qu'on pourra appeler la cyberhygiène, là, qui est le nouveau...

M. Barrette : Oh! nouveau mot.

M. Caire : Oui, absolument. On essaie d'être créatif, mais parce que...

M. Barrette : Après, il y a le cybersanitaire.

M. Caire : Puis je vous dirais que c'est un peu... Parce qu'effectivement on le fait au public, puis je pense que c'est correct qu'on se l'impose à nous-mêmes, de l'imposer à l'entreprise privée...

M. Barrette : Je vais rappeler des souvenirs au ministre, M. le Président. Dans le projet de loi n° 14, qui était l'initial, c'était ça, oui, je me rappelle avoir fait une intervention en disant que même... Je me rappelle exactement ce que j'ai dit, et ce que j'avais dit, c'est : Quand je suis cet environnement-là aux États-Unis... J'avais raconté que j'avais assisté à une conférence virtuelle où des grandes entreprises souhaitaient que le gouvernement mette en place des règles parce qu'eux autres mêmes constataient que... Eux autres, d'abord, les grandes entreprises pas simplement de TI, les grandes entreprises, c'est ce que j'avais raconté, disaient : Nous, là, dans le monde économique, là, notre ennemi numéro un, c'est le vol de données, parce que c'est la perte de confiance du public plus, surtout aux États-Unis, les poursuites, les coûts, et ainsi de suite.

Et eux autres avaient dit au gouvernement américain, dans ce colloque-là : Écoutez, légiférez, parce que nous qui faisons bien les choses, on est pénalisés vis-à-vis ceux qui sont les mauvais élèves, qui se font hacker, et là ça donne une mauvaise réputation, puis tout le monde perd là-dedans. L'entreprise, elle-même disait au gouvernement : Légiférez, mettez les règles pour nous forcer à être bons. Alors, c'est dans cet esprit-là, moi, que j'avais dit ça à l'époque, puis je le redis encore aujourd'hui. J'ai de la misère à concevoir pourquoi on est frileux. Là, ce que je constate, c'est qu'on a des... ce que je souhaite au public, puis on ne le met pas au privé. Bien, pourquoi on ne le met pas au privé?

M. Caire : ...va me faire plaisir, parce que...

Le Président (M. Bachand) : M. le ministre, parce qu'il y a un vote au salon bleu, alors donc on va libérer notre ami le député de Gouin.

Alors, on suspend quelques instants. Merci.

(Suspension de la séance à 14 h 54)

(Reprise à 15 heures)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux.

Alors, on était sur 95, toujours. Alors, M. le député de La Pinière.

M. Barrette : Oui. Alors, M. le Président, avant qu'on quitte, je disais au ministre que la situation qui est proposée, je la comprends, là. Je comprends très bien ce que le ministre veut faire. Et je trouvais qu'il y avait un débat de faisable parce que, dans ce qui est proposé actuellement, on a régime qui est un peu... pas deux poids, deux mesures, ce n'est pas le bon mot, mais on a un régime qui est différent entre le public et le privé. Or, je comprends que le public, là, c'est important, puis c'est important, mais c'est tout aussi important du côté du privé. Puis on met en place des règles, actuellement, au public qui sont plus fortes qu'au privé. Et moi, c'est le débat que je fais : Pourquoi au privé, on leur leur met des règles moins strictes, moins contraignantes qu'on le fait pour le public? En passant, M. le Président, bon, pour ceux qui nous écoutent, ce n'est quand même pas pire, là, c'est rassurant. Là ils apprennent, ils ont la certitude qu'on est plus sévères au public qu'au privé. Bonne nouvelle. Mais pourquoi pas au privé?

M. Caire : Bien, en fait, ce que j'expliquais au député de La Pinière, c'est qu'au public c'est notre entreprise. Donc, on s'impose des règles de prévention. On laisse une flexibilité à l'entreprise privée de faire ses choix. Mais, comme j'expliquais aussi, si l'entreprise privée a plus de latitudes sur ses choix, elle n'en a pas plus sur les obligations et n'en a pas plus sur les conséquences de ne pas avoir fait face à ses obligations. Donc, ce que l'on souhaite faire, c'est, oui, donner une certaine souplesse, bien que, moi, je crois beaucoup, comme le député de La Pinière, à la formation, j'y crois. J'y crois tellement, comme je l'ai dit, qu'on se l'impose à nous-mêmes et on est dans ce processus-là. Je crois que le gouvernement doit toujours avoir en tête : Est-ce que je suis en... Bien, je veux dire, moi, je ne veux pas gérer l'entreprise privée à la place de l'entreprise privée. Par contre, les obligations, ça, nous sommes intraitables. Il y a des obligations sur la protection des renseignements personnels et il y a des conséquences, puis des conséquences qui sont quand même importantes, là, on le voit plus loin, à ne pas faire face à ses responsabilités.

M. Barrette : Là, M. le Président, pour que ce soit bien clair, là, dans l'esprit du ministre, là, c'est une figure qui a un coût qu'il choisit de ne pas imposer à l'entreprise privée. Ce faisant, pour ne pas l'imposer, il y va par une autre voie qui est celle de la dissuasion due aux amendes, qui passe par les amendes.

Le Président (M. Bachand) : M. le ministre.

M. Caire : Oui, on peut le voir comme ça. Oui, je pense que le député de La Pinière résume bien.

M. Barrette : Ça fait que là...

M. Caire : Si vous n'investissez pas en formation et que, de ce fait, découle un incident et que, de ce fait, il y a — puis on est tous dans le «si», évidemment, là — il y avait soit des sanctions pécuniaires ou on serait plus dans le pénal à ce moment-là, j'imagine, là, bien, l'entreprise pourra se demander s'il n'aurait pas été mieux... s'il n'y avait pas mieux valu investir en formation, en prévention. Mais oui, on peut le voir comme ça.

M. Barrette : Bon, ce qui fait que deux philosophies s'opposent, la mienne et celle du ministre, alors la mienne étant prospective, donc avant l'événement, et celle du ministre, elle est rétrospective, parce qu'elle est après le fait.

M. Caire : Bien, je veux dire...

M. Barrette : C'est deux philosophies, là.

M. Caire : Oui, bien, c'est parce que l'intention du législateur est claire sur la protection des renseignements personnels. Puis ça, là-dessus, moi, je pense qu'on est tous d'accord. Donc, l'objectif, pour l'entreprise publique, privée, il est clair. Les moyens pour y parvenir peuvent être différents, mais les conséquences de ne pas atteindre ces objectifs-là sont les mêmes aussi.

Ce que je dis, c'est juste que, pour l'entreprise privée, comme il y a une notion de gestion, je pense que le gouvernement ne doit pas gérer l'entreprise privée, ce que nous pouvons faire avec nos organismes publics, et donc c'est pour ça que moi, je n'ai pas d'a priori à ce qu'on mette ces obligations-là de formation pour nos entreprises publiques. Parce que, moi, comme ministre, puis je suis convaincu que le collègue de La Pinière est dans la même lignée, là, c'est ce que j'entends de son discours, je préfère former les employés puis éviter les accidents plutôt que de prendre la chance qu'il en arrive un puis de subir des conséquences, puis ça, pour moi, c'est clair.

Maintenant, pour l'entreprise privée, c'est de la gestion interne. Nous, ce qu'on dit ici, c'est que le responsable pourrait tenir des activités de formation, il peut le faire dans le contexte, évidemment, de 3.3, là. Là, je comprends que notre débat de départ, c'est 3.3, parce qu'on est dans l'utilisation, au sens très large, des technologies, mais ça s'applique quand même à 3.3. Donc, dans ce contexte-là, ils peuvent le faire, mais entre pouvoir le faire et l'obliger, moi, je pense qu'il y a un pas à franchir que je préfère ne pas franchir.

M. Barrette : Écoutez, je vais préciser, nuancer un peu ma position, que je maintiens. Je peux comprendre le ministre quand il nous dit que, dans une loi éventuelle, là — elle est là, on l'étudie, on essaie peut-être de la modifier ou non — on peut arriver et penser que : Ah! si j'impose ça, là, ça va causer plus de tort que de bien pour une P et même une M, dans les PME. Bon, maintenant, cet argument-là tient beaucoup moins la route, à mon sens, pour les grandes entreprises. Et là peut-être qu'il y aurait possibilité, je ne sais pas si le ministre serait ouvert à ça, à nuancer ça. Puis là je ne sais pas, là, je n'ai pas d'amendement de préparé là-dessus, M. le Président, là, on en discute, là, mais les grandes entreprises, eux autres, là, les banques, les compagnies d'assurance, et ainsi de suite, là, mais les grandes organisations privées, elles, on ne devrait pas faire ça?

Parce que, moi, M. le Président, là, par déformation professionnelle, je suis toujours enclin à regarder la nature humaine, la nature humaine, elle est faite de même, il y a toujours quelqu'un qui prend une chance à quelque part, là. En général, les gens, pas toujours, mais pas en général, souvent il y a des gens qui vont poser des gestes parce qu'ils sont obligés de le faire. Puis, des fois, s'ils ne sont pas obligés, ils ne le font pas. Alors là, est-ce qu'il y aurait moyen pour le ministre d'envisager la possibilité d'un article ou d'un amendement qui fasse en sorte — puis là je ne le sais pas, on ne va pas déposer des amendements pour le fun, là — de faire en sorte que les grandes entreprises, elles, ça soit une obligation?

M. Caire : Bien, en fait, le principe que j'évoquais, c'était de dire que je ne souhaitais pas imposer un moyen que... Puis ça, c'est indépendamment de la grosseur ou de l'importance en termes de volume d'affaires de l'entreprise, là, c'est un peu... Je comprends ce que le député de La Pinière dit, puis c'est vrai que la grande entreprise a probablement plus de moyens financiers de faire ça, il y a plus d'employés aussi. À la limite, on pourrait dire : Le prix va être proportionnel, mais je ne veux pas embarquer dans ce débat-là, parce que je pense que ce n'est pas ça, l'essence du débat. L'essence du débat, c'est de dire... Puis la vision que j'en ai est de dire : Écoutez, l'intention du législateur sur les objectifs à atteindre est claire, et les conséquences sont claires. Si la responsabilité n'est pas assumée par l'entreprise en fonction de ces objectifs-là, c'est clair. À partir de là, laissons les entreprises se gérer elles-mêmes. Donc, on met quand même certains paramètres, là, ce n'est pas... Ce n'est pas un bar ouvert, là. Mais sur dire : Vous devez former vos employés, vous devez... J'ai plus d'a priori à faire ça pour une entreprise privée, parce que, là, on entre dans la gestion de l'entreprise puis, pour moi, c'est peut-être aller un peu loin. Donc, a priori, je pense que ce que nous proposons dans le 3.4, c'est cet équilibre-là, je pense, qu'il faut rechercher comme législateurs.

Le Président (M. Bachand) : M. le député de La Pinière.

• (15 h 10) •

M. Barrette : Bon, je pense qu'on a fait le tour du sujet, là. Comme j'ai dit, M. le Président, là-dessus, je ne suis pas d'accord. Puis je pourrais, ad vitam aeternam, déposer des amendements, là. Je comprends le... Il se défend, le point du ministre, M. le Président. Je pense que ma position est meilleure, c'est normal, puis le ministre pense que la sienne l'est. Alors, on va en rester là.

Le Président (M. Bachand) : Merci. Des interventions? Donc, on continue. On pourrait aller à 3.5. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : C'est un gros morceau, 3.5. Il y a plusieurs éléments dedans, M. le Président. On va commencer par le début. Premier élément, là, 3.5. «Une personne qui exploite une entreprise et qui a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.»

Pourquoi est-ce que le ministre a fait le choix de ne pas, ici, inscrire de délai? Comment on fait pour s'assurer que les entreprises agissent rapidement quand ça se produit?

M. Caire : Bien, en fait, ça... Puis ça, c'est ce qu'on... C'est pas mal miroir de ce qu'on a fait au public aussi. Puis on avait eu cette conversation-là, et c'est un peu le même argument, à savoir que, bon, quand on se rend compte qu'il y a un incident de confidentialité, il y a des mesures à prendre. Il y a une espèce de séquence. Puis je me souviens même qu'avec le député de Gouin on en était arrivé à la conclusion qu'il y a des choses qui pouvaient se faire de façon concomitante, là. On pouvait continuer à éteindre l'incendie puis, de l'autre main, appeler l'assureur, là. Dans ma mémoire, c'était l'exemple qu'on s'était donné mutuellement. Puis c'est la même logique qui soutient cet article-là, c'est-à-dire que, dans la séquence, il est important de s'assurer que la cause du préjudice... Puis je pense qu'un des bons exemples qu'on peut prendre, c'est l'exemple qu'on a vécu récemment, où il était impératif de s'assurer que la fuite soit... que la brèche soit colmatée par tous les moyens nécessaires. Suite à quoi, là, il y avait quand même des choses à faire. Des... Il fallait divulguer l'incident. Il faut en parler à la Commission d'accès à l'information. Il faut que les gens qui en font l'objet soient avisés. Puis je trouve que l'exemple est bon parce que, pour aviser les gens, encore faut-il savoir qui a été impacté.

Puis ce n'est pas... Ce n'est pas toujours... Ce n'est pas toujours... Tu sais, on a une information, puis on gratte, puis on se rend compte que ça évolue dans le temps. Alors, le délai, dans le fond, c'est de dire : Bien, écoutez, allez chercher l'information. Vous avez l'information et après ça, communiquez-la. Puis la parade pour empêcher que quelqu'un décide d'abuser c'est que la Commission d'accès à l'information peut forcer cette divulgation-là aux individus qui sont impactés. Donc, la notion de raisonnabilité dans le temps, bien, il y a toujours le souffle de la Commission d'accès à l'information dans le cou des individus, pour dire : Bien là, je veux bien être patient, là, mais, à un moment donné, il va falloir que vous le fassiez.

M. Nadeau-Dubois : Oui. Puis on reviendra à la question d'aviser les individus. Ça vient plus loin. Je vais aussi avoir des questions là-dessus. Mais là, à ce stade-ci, c'est vraiment, tu sais, les mesures que doivent prendre les entreprises. Comment on fait en sorte qu'elles soient prises rapidement? Puis c'est intéressant, parce qu'au paragraphe suivant, là, on dit tout de suite : Si l'incident représente... «Si l'incident présente un risque — d'un préjudice sérieux — qu'un préjudice sérieux soit causé, elle doit — donc, l'entreprise — avec diligence, aviser la Commission d'accès à l'information...»

Donc, ici, on vient mettre quand même un marqueur temporel, celui de la diligence. On ne le fait pas juste avant, quand vient le temps de prendre les mesures. Pourquoi?

M. Caire : Bien, en fait, ce que le premier alinéa dit, c'est que vous prenez les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Donc, on comprend qu'on est dans l'instantanéité, là. Si vous voulez éviter un préjudice, bien, si vous tardez vous n'évitez pas le préjudice. Et donc, là, ce à quoi vous vous exposez, c'est que votre laxisme vous met en contradiction avec le fait que vous n'avez pas évité le préjudice. Ce que je veux dire, c'est que, si vous avez accès... Bon, prenons l'exemple très récent. Vous vous apercevez que quelqu'un de sympathique a réussi à percer vos défenses, il entre dans le système, il part avec de l'information. Vous vous en rendez compte. Vous ne faites rien, et, le lendemain, il recommence. Bien là, vous avez eu connaissance d'un incident de confidentialité et vous n'avez pas pris les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter de nouveaux incidents de même nature. Vous ne l'avez pas fait.

M. Nadeau-Dubois : Je ne suis pas juriste, mais est-ce qu'on pourrait... Est-ce que des gens puis des entreprises ne pourraient pas plaider oui? Bien, on était en train... On était en train... On était en train, encore, d'évaluer s'il y a eu un préjudice? Parce que c'est ça aussi, là, c'est pour diminuer les risques qu'un préjudice soit causé. Donc, est-ce qu'il n'y a pas, ici, une porte à ce qu'une entreprise fasse valoir que, bien, ils étaient en train de le faire, ils n'ont pas eu le temps. Puis là ça peut prendre combien de temps, quelques jours, quelques semaines?

Tu sais, comment on fait pour que le message soit compris par les entreprises, comme l'exemple que le ministre vient de donner, que, quand il se produit un incident de confidentialité, on s'attend à ce que, dans les plus brefs délais, là, de manière quasi immédiate, quand vous vous en rendez compte, vous agissez maintenant, pas dans une semaine, pas dans deux semaines? Puis le ministre sait comme moi qu'il y a des cas documentés d'entreprises... Puis on reviendra plus tard sur la question de la divulgation parce que ça aussi, il y a des cas documentés d'entreprises qui se rendent compte qu'il y a un problème, et qui se rendent compte qu'ils sont dans la... dans le trouble, et qui attendent, et qui... Parce qu'ils savent qu'ils sont dans le trouble, notamment envers leurs clientèles. Bon, on reviendra à cette partie-là de l'article quand on y viendra.

Mais, juste sur le fait d'agir dès qu'on a connaissance des faits, il me semble qu'il y a des pratiques documentées d'entreprises qui tardent, puis que ça ne serait pas, ici, inutile de venir installer... de venir faire apparaître une notion temporelle pour dire aux entreprises, comme le ministre vient lui-même de le dire : C'est immédiat, là. Vous vous rendez compte qu'il y a un problème. Ça ne peut pas aller à la semaine d'après, là. Vous agissez maintenant.

M. Caire : Si je peux me permettre, c'est parce qu'on a utilisé le même libellé. Puis corrigez-moi si je me trompe, Me Miville-Deschênes, mais on a le même libellé au niveau du public. Donc...

M. Nadeau-Dubois : ...l'article dans le public aussi, si finalement on s'entend, là, je veux dire.

M. Caire : Non, bien non. Non, c'est parce que, pour...

M. Nadeau-Dubois : Ça va prendre trois minutes de consentement.

M. Caire : Non, mais, M. le député, c'est parce qu'on dit, bon : «Une personne qui exploite une entreprise [...] qui a des motifs de croire [qu'il] s'est produit un incident», donc il faut qu'elle en ait connaissance. Puis ce qui est intéressant, justement, c'est l'exemple récent, où l'entreprise a appris par un journaliste qu'elle s'était fait voler des données. Donc, dans ce cas-là, difficile de lui dire que tu aurais dû prendre des moyens, parce qu'elle n'en a pas eu connaissance. Et c'est plausible. Il est possible d'être victime d'une attaque informatique qui se veut discrète et pour laquelle vous n'avez pas connaissance.

Mais partons du principe que vous en avez connaissance. Bon, qu'elle doit, c'est une obligation de prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter de nouveaux incidents. À partir de là, vous évaluez ce qui s'est passé, vous évaluez les mesures qui ont été prises et vous êtes, je veux dire, quand même capable d'évaluer si vous avez fait ce qui est raisonnable. Donc, dans un cas où l'entreprise jouerait à l'autruche, je doute qu'un tribunal jugerait que c'est une mesure raisonnable.

M. Nadeau-Dubois : ...est-ce qu'il y a des parallèles dans d'autres lois, des précédents de ce type d'interprétation là, où, quand il y a une obligation de prendre certains moyens... Tu sais, dans le fond, moi, ce que... De la manière dont j'interprète la réponse du ministre, ce qu'il dit, c'est implicite, la notion est... la notion de temporel est implicite au fait de prendre les moyens. Ça fait que ma question pour les juristes serait peut-être : Est-ce qu'il y a une interprétation qu'on voit dans d'autres lois, que, dès qu'il y a une obligation de moyens, c'est implicite que ça doit se faire au moment de la connaissance?

Le Président (M. Bachand) : Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Bien là, rapidement, je ne pourrais pas vous nommer de loi, mais effectivement, comme le ministre l'a dit, quand on dit «les mesures raisonnables», ça vient teinter le délai. Donc, quand une entreprise doit prendre les mesures raisonnables pour éviter, bien, pour diminuer le risque, bien là, les mesures raisonnables pour diminuer un risque en cas d'incident, c'est des mesures rapides, là. Donc, ça vient qualifier un peu le délai pour... dans lequel les mesures doivent être prises. Puis, en même temps, est-ce que les mesures raisonnables pour éviter un nouveau... pour la deuxième obligation, pour éviter que des nouveaux incidents de même nature, là, peut-être que ça va être un peu plus long, parce que prendre le temps, en même temps, de voir quelle est la faille et de quelle façon qu'on la corrige... Donc, effectivement, «mesures raisonnables», c'est l'interprétation qu'on en a. Là, je ne pourrais pas vous nommer de loi mais je pourrais vous revenir avec plus, si nécessaire, là.

M. Nadeau-Dubois : Donc, c'est implicite qu'il y a une certaine rapidité, diligence qui est exigée des entreprises, puis une entreprise qui prendrait un mois à le faire serait en contradiction avec la loi. Merci.

• (15 h 20) •

Le Président (M. Bachand) : Merci. Autre intervention sur le bloc 3.5? Allez-y, M. le député de Gouin.

M. Nadeau-Dubois : ...morceau de 3.5 : «Si l'incident présente un risque qu'un préjudice sérieux soit causé, elle doit, avec diligence, aviser la commission...» C'est quoi, ici, la diligence? C'est combien de temps, ici, la diligence?

M. Caire : Je vous dirais...

M. Nadeau-Dubois : Parce que là, là, on est au coeur... Disons que, mes premières interventions...

M. Caire : Bien, ce qu'on avait, c'était aussi vite qu'il est raisonnable...

M. Nadeau-Dubois : Mes premières interventions étaient plus préventives, là. Là, ici, là, il y a des cas documentés qu'on connaît tous, d'entreprises qui ont tardé à divulguer soit au public soit aux forces policières, et/ou à la CAI...

M. Caire : ...pas correspondre... qui ne correspondra... qui ne correspondait pas à la notion de diligence.

M. Nadeau-Dubois : Bien, c'est quoi? C'est parce qu'elle est polysémique, là?

M. Caire : Bien, juridiquement, je vais laisser Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Bien, la diligence, il y a deux volets, mais c'est le soin et l'empressement qui sont apportés à l'exécution d'une tâche ou rapidité et efficacité. Donc, avec diligence, il y a la notion de bien faire la tâche, le soin, mais la rapidité, l'empressement. Ça vient avec, dans le fond, avec une notion de... le plus rapidement possible, un peu, là, sauf qu'il y a les deux aspects.

M. Nadeau-Dubois : Donc, une institution financière réalise qu'il y a eu fuite de données, et que ça prend quelques semaines, voire quelques mois, après la connaissance de l'institution à divulguer que c'est arrivé, on n'est pas dans un cas de diligence.

M. Caire : D'ailleurs, si je peux me permettre, la présidente de la Commission d'accès à l'information avait clairement indiqué que, si 64 avait été adopté, certaines situations, et je m'inspirerai du député de La Pinière, je tairai les noms, mais certaines situations se seraient passées bien autrement, et les conséquences auraient été très différentes.

M. Nadeau-Dubois : Puis, mettons, dans... entre «avec diligence» puis «dans les plus brefs délais», juridiquement, est-ce qu'il y a une différence?

M. Caire : C'est une bonne question, ça. Ça m'intéresse, la réponse.

Le Président (M. Bachand) : Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : Oui, oui, la diligence, c'est le plus rapidement possible, mais il y a aussi la caractéristique de bien faire le travail et le soin donné à la tâche. Ça fait que c'est juste ça. Je dirais que «le plus rapidement possible», on exige un délai seulement. Avec «diligence», on exige un délai qui est grosso modo le même, et c'est pour ça que, dans les lois, on utilise «avec diligence», et je vais juste donner la définition officielle, là.

M. Caire : «Dans les plus brefs délais», tu peux botcher, mais il faut que tu fasses ça vite.

M. Miville-Deschênes (Jean-Philippe) : C'est ça, exactement. Un soin ou une efficacité dans l'exécution de la tâche, ça fait que, c'est ce qu'il y a d'ajouté dans la diligence par rapport uniquement à une notion de délai.

M. Nadeau-Dubois : Prochaine question, un peu plus loin, on dit : «Elle doit également aviser toute personne dont un renseignement personnel est concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le faire.» Et là il n'y a pas de marqueur temporel. Il n'y a pas d'obligation de diligence ici. Pourquoi? Puis, encore une fois, là, ce n'est pas de la science-fiction, il y a des citoyens, des citoyennes au Québec qui ont été victimes de fuite de données et qui ont été avertis dans des délais qui n'ont aucun sens, aucun sens. Ça fait que pourquoi, ici, il n'y a pas de diligence, par exemple? On pourrait juste le réécrire.

M. Caire : Bien, en fait, encore une fois, on est dans les mêmes libellés que ce qu'on a fait au public. Bien, l'idée, puis c'est un petit peu ce que je vous expliquais peut-être un peu prématurément tout à l'heure, c'est qu'une attaque... Vous pouvez être pendant des mois à investiguer puis à trouver des nouveaux cas. Et donc ça devient un peu difficile de mettre un marqueur de temps. Mais c'est pour ça que... Non, mais je... C'est pour ça que la commission doit être saisie. Parce que, dans le fond, ce que nous ne précisons pas par un marqueur de temps, on vient l'encadrer par l'action de la commission. Et la commission...

Puis, là-dessus, je vous dirais que... Là-dessus, je suis assez ferme, puis je vous explique, M. le député. Là, c'est peut-être plus l'informaticien qui parle, mais vous pouvez, un an après, découvrir des nouveaux cas. Ce n'est pas impossible. Ce n'est pas impossible. Donc, je vous donne quoi, comme marqueur? Aussitôt que vous le savez? Mais c'est comme ça...

Alors, pour moi, c'est clair que, quand vous avez connaissance des faits, il y a des gestes à poser. Puis la commission devient l'espèce de chien de garde qui va s'assurer que c'est fait. Et c'est pour ça qu'on dit : «...la commission peut [...] ordonner de le faire». Donc, si vous omettez de le faire, bien, la commission va vous dire de le faire. Et la commission doit avoir en tête en faisant ça qu'on est dans un contexte, comme le stipule le début de l'article, là, un «incident qui présente un risque de préjudice sérieux», là. Donc, la commission, je pense, a la latitude, elle, pour dire : Un instant, là, il y a des mesures de protection qui...

Puis les cas récents qu'on a vécus, je vous dirais que, s'il y a une chose qui n'a pas fait défaut, là, à date, c'est, au moment où les incidents sont connus, la divulgation aux individus et la protection des individus. S'il y a une chose qui a fait défaut, c'est la connaissance de l'événement. Puis, là-dessus, on a des critères de temps.

M. Nadeau-Dubois : Mais le ministre disait tantôt : On peut découvrir juste un an plus tard qu'il y a des nouvelles personnes qui sont concernées. Ça, c'est sûr. Puis, à ce moment-là, on l'avise... On ne peut pas aviser les gens quand on ne le sait pas, donc on avise les gens au moment où on en prend connaissance. Ça fait que, si on pense qu'il y a 10 000 personnes qui ont été touchées par un incident de confidentialité, on avise les 10 000. On se rend compte six mois plus tard que, hé boy! finalement, c'est 20 000, bien, on informe la dizaine de milliers supplémentaires. Tu sais... je veux dire, je ne vois pas de problème à demander aux entreprises... Tu sais, il y a une obligation légale dans la loi pour les entreprises d'informer avec diligence la commission. Puis ça, c'est clair, c'est avec diligence.

M. Caire : Oui.

M. Nadeau-Dubois : Ce n'est quand même pas fou de ma part de constater que, trois lignes plus loin, quand il vient le temps d'informer les individus qui sont les victimes, entre guillemets, de la situation, là, la notion de diligence disparaît. Il me semble... Puis le ministre dit : Oui, oui, mais, s'ils ne le font pas, la commission peut les forcer. Oui, mais là il y a des délais à ça, il faut que la commission enquête, se rende compte. Ils sont avertis? Non, non. Parfait, ordonnance.

M. Caire : Non, non, non. Je...

M. Nadeau-Dubois : Il y a quand même un minimum de délai pour que la commission s'implique dans le dossier, là, ce n'est pas instantané, là.

M. Caire : Avec respect, la commission... Aviser les gens qu'ils sont victimes d'un incident de confidentialité préjudiciable ne relève pas des résultats, des conclusions de l'enquête de la commission. La liste des victimes d'une fuite de données, c'est quelque chose. Donc, à savoir qu'est-ce qui est arrivé avec ça, le niveau de préjudice, pourquoi c'est arrivé, comment ça c'est passé, qui est responsable, si tant est qu'il y a quelqu'un qui est responsable, ça, effectivement, il y a une notion d'enquête.

Mais, oui, et c'est la raison, justement, pour laquelle il faut aviser la commission avec diligence, parce qu'après ça, la commission peut entrer au dossier et s'assurer que les personnes qui sont victimes ne sont pas doublement victimes, donc victimes d'une fuite, et, après ça, victimes d'une négligence ou de laxisme, ou etc.

M. Nadeau-Dubois : O.K. Je n'ai peut-être pas choisi le meilleur mot, peut-être qu'«enquête» était trop musclé, mais c'est-à-dire, la commission est informée d'un incident, là. Quand même, avant de juger, est-ce que l'entreprise devrait informer les gens, quand même faire un minimum de vérification, là? Tu sais, ils ne recevront pas...

M. Caire : Oui, oui, tout à fait.

• (15 h 30) •

M. Nadeau-Dubois : Ça ne sera pas à l'instant où ils reçoivent le courriel, à l'instant... ils disent à l'entreprise : Informez les gens. Bon, il y a un délai pour faire les vérifications de base, d'usage avant de dire : O.K. Oui, là, on est dans un cas où on va demander à l'entreprise de communiquer parce qu'on constate qu'elle ne l'a pas fait.

C'est un truc qui a été vécu par des gens au Québec, c'est une frustration réelle qui a été vécue par bien du monde, de réaliser qu'ils ont été victimes d'une fuite de données puis de ne pas avoir été informés en temps et lieu. Là, on vient, c'est un pas en avant, mettre une obligation d'informer les gens. Puis, s'il y a une... Si, du même incident, on a une obligation d'informer, avec diligence, la commission, pour le même incident, là, notre obligation est qualifiée différemment dans la loi, ça envoie un message, là. Ça envoie un message, parce qu'on prend la peine de dire, pour la commission : Faites-le avec diligence. Puis là trois lignes... Tu sais, je me mets dans la tête de quelqu'un qui doit interpréter cette loi-là, il dit : O.K., avec la... Il faut informer la commission. Et le législateur nous a dit : Faites-le avec diligence, puis, quand ils nous disent d'informer les gens, ah! là ce n'est pas avec diligence. Ça fait que ce n'est pas banal.

Tu sais, on dit toujours... Comment qu'on dit ça? Le législateur ne parle pas pour rien dire, je pense, une affaire de même, la loi... en tout cas. Puis, à l'inverse aussi, là, on ne parle pas pas pour ne rien dire, là. Le fait qu'il y ait une absence, ici, de la notion de diligence, il me semble, ce n'est pas banal. Ça fait que je ne sais pas...

M. Caire : Je dois dire que, là, je ne partage pas le point de vue du député de Gouin. Je pense qu'on s'entend sur beaucoup de choses dans ce projet de loi là, mais, là-dessus, je ne suis pas d'accord, parce que, comme je l'ai dit... D'abord, c'est la même formulation qu'au public, et, pour moi, il est clair que les deux situations doivent être traitées de la même façon parce qu'au fond, qu'on se fasse voler nos informations personnelles par une entreprise publique ou par une entreprise privée, du point de vue de celui qui se fait voler ses renseignements personnels, ça ne change fichtrement rien. Donc, on a le même libellé.

Et, pour moi, l'élément qui est très fort là-dedans, c'est que, oui, il faut que la Commission d'accès à l'information soit au dossier assez rapidement, très rapidement, d'où la notion de diligence. Et, après ça, il est important que la commission ait le pouvoir d'imposer le fait que cette divulgation-là se fasse, mais, à partir de là, moi, j'ai... Puis c'est peut-être là où on a une petite divergence, puis je ne veux pas que le député de Gouin interprète mal mes propos. Moi, j'ai confiance au jugement de la commission. Puis je ne dis pas que le député de Gouin n'a pas confiance à la commission, je pense qu'il a fait de nombreuses professions de foi envers la commission qui sont très claires. Mais là-dessus, là, j'aurais tendance...

Parce que c'est des situations qui ont tellement de variables que c'est pour ça que je pense que ça prend quelqu'un qui est rapidement au dossier, oui, pour s'assurer justement, à la genèse, que les intérêts des victimes sont quand même pris en compte, mais, à partir de là, on lui donne une latitude de décider, là, à quel moment... Parce que, tu sais, ce qui est raisonnable... Oui, mais c'est quoi qui est raisonnable dans cette situation-là? Il y a beaucoup de variables qui rentrent en ligne de compte dans ce genre de situation là. Et, à la limite, ultimement, ce qui me rassure, c'est qu'elle a le pouvoir, la commission, de dire : Non, là, là, là, vous le divulguez, vous le faites.

Alors, je ne vois pas de scénario où une entreprise ne remplirait pas cette obligation-là, parce que ça suggère que la commission cautionnerait ça, puis ça, c'est un scénario que je n'entrevois pas, là.

M. Nadeau-Dubois : ...on est ici dans une question de délai, hein? Il ne s'agit pas de prêter des intentions à la commission en disant : Si elle ne rappelle pas à l'ordre l'entreprise, ça va... Non, c'est juste... Sur ce genre d'affaires là, il y a des pratiques d'entreprises qui prennent trop leur temps pour se protéger. Ça existe. Ça fait que...

M. Caire : Oui, je l'entends, mais mon collègue concédera que ces articles-là...

M. Nadeau-Dubois : ...la commission, elle, elle fait du mieux qu'elle peut dans tous les dossiers, là, puis elle va... Tu sais, si elle juge de bonne foi que, là, on est dans un cas où les personnes devraient être informées... Avez-vous informé les gens? Réponse : Non, on ne l'a pas fait. Faites-le. O.K., on va le faire. Je veux dire, cette interaction-là prend un certain temps qui, pendant... Puis ça, c'est des... c'est une période de temps où il y a un préjudice qui est causé puis les gens ne sont pas au courant. Alors, c'est juste... Ici, il y a une différence entre deux morceaux du même article qui m'apparaît envoyer un mauvais message.

Ça fait que, M. le Président, on va suspendre quelques instants. Je vais déposer un amendement.

Le Président (M. Bachand) : ...on va suspendre quelques instants, merci.

(Suspension de la séance à 15 h 34)

(Reprise à 15 h 39)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Je vais déposer un amendement à l'article 95. Donc : Modifier le deuxième alinéa de l'article 3.5, proposé par l'article 95 du projet de loi, par l'insertion, après «Elle doit [...] aviser», de «, avec diligence,».

M. le Président, je pense que c'est une bonne pratique que d'inviter les entreprises à informer avec diligence les individus qui sont concernés par un incident de confidentialité. J'ai eu l'occasion de l'expliquer au ministre en détail, mais c'est important pour moi d'en faire la proposition formelle parce que, je le répète, puis je m'arrête ensuite, c'est des situations qui ont existé au Québec dans les dernières années, c'est des pratiques qui existent. Je pense que le législateur doit envoyer un signal clair que ce n'est pas acceptable puis qu'on souhaite que les entreprises agissent avec beaucoup plus, justement, de diligence quand vient le temps d'informer les gens, non seulement la commission, c'est vraiment une bonne chose, là, mais également les individus concernés, qu'il y a eu fuite de leurs données personnelles. Voilà.

• (15 h 40) •

Le Président (M. Bachand) : Merci. Interventions? M. le ministre.

M. Caire : Oui. Bien, M. le Président, je vais réexprimer mon désaccord avec mon collègue de Gouin sur cette question-là, peut-être, deux éléments, à mon avis, importants.

Le premier, c'est que ce libellé-là est le même que nous avons utilisé, et qui semblait convenir à tout le monde, là, je tiens à le préciser, avec le public. Pour moi, il n'y a pas de raison. Quand on parle d'incident de confidentialité et de préjudice, que l'entreprise soit publique ou privée, il faut les traiter de la même façon. Donc, il n'y a pas de raison d'avoir cet élément-là supplémentaire pour le privé, parce que l'événement n'est pas plus grave parce que c'est une entreprise privée, il n'est pas moins grave parce que c'est une entreprise publique, c'est le même libellé, d'une part. Et, non, je n'ai pas l'intention de réouvrir les articles qui ont été adoptés.

Et, d'autre part, M. le Président, puis je vais me répéter, mais je pense que ça vaut la peine d'être dit, dans les bonnes pratiques qu'on voit, d'avoir cette… une institution comme la CAI qui est impliquée dans les événements rapidement, c'est dans les bonnes pratiques, d'où l'idée de la diligence dans la divulgation à la CAI. Mais, à partir de là, la CAI a les pouvoirs, a tous les moyens qu'il faut pour s'assurer que la situation que le député de Gouin décrit, à raison... Et je suis d'accord avec lui, c'est des situations qui sont inacceptables et pour lesquelles on ne souhaite pas que ça se reproduise. Et ma conviction profonde, c'est que l'article 3.4 va faire en sorte qu'une telle situation... ou aurait fait en sorte qu'une telle situation ne se serait pas produite, tel qu'on l'a connue. Ça laisse la latitude à la CAI d'évaluer la pertinence de l'action, non seulement dans le geste, mais dans le temps, et moi, je pense que c'est la bonne façon de faire.

Donc, je suis très confortable avec le libellé tel qu'il est présentement puis je ne pense pas que ça envoie un message de laxisme, à savoir que de divulguer l'information aux gens concernés, ça peut attendre. Ce n'est pas une question que ça peut attendre, c'est une question qu'il y a quand même des éléments qui rentrent en ligne de compte, qui doivent être évalués, qui sont différents pour chaque cas. Et, dans ce sens-là, c'est important d'avoir un tiers neutre mais qui a à coeur l'intérêt du citoyen puis l'intérêt du respect de la loi, avec les pouvoirs pour la faire respecter, et c'est ce qu'on a avec l'article présentement.

Le Président (M. Bachand) : M. le député de La Pinière, s'il vous plaît.

M. Barrette : Je ne peux pas m'empêcher de citer précisément ce que vient de dire le ministre : On doit traiter les entreprises et le public de la même façon. Je n'ai pas d'autre commentaire.

Le Président (M. Bachand) : Merci. M. le député de Gouin.

Des voix : ...

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Oui, en effet, il y a énormément d'exceptions. Je me demande même s'il n'y a pas plus d'exceptions que de règles, mais, bon, ça, c'est une autre chose.

Des voix : ...

M. Nadeau-Dubois : Il est sous surveillance, le ministre. Non, mais, plus sérieusement, on a des avis différents là-dessus, on ne fera pas du surplace, là, tout l'après-midi à cause de ça. Je veux juste dire une chose au ministre.

Là, plus on va avancer dans la loi sur le privé, plus on va se retrouver dans cette situation où il y a des dispositions qui sont, appelons ça, miroir, là, dans la loi sur le privé et sur le public. Moi, je l'invite à considérer que peut-être qu'au fil de nos discussions, dans les prochaines heures, puis les prochains jours, puis les prochaines semaines, ça se peut qu'on réalise ensemble, de bonne foi, qu'il y a des choses qui peuvent être améliorées, puis, tant que la loi n'est pas finie, elle n'est pas finie, puis, si d'aventure, on réalise que, c'est vrai, la loi serait meilleure comme ça, juste, par principe, qu'il n'y ait pas d'objection à ce qu'on fasse un petit saut de puce à l'arrière, dans la loi sur le public, puis qu'on aille peut-être corriger un élément qu'on a peut-être sous-estimé ou oublié quand on a travaillé, il y a quelques semaines, sur la loi dans le public. Parce que, sinon, ça va nous empêcher d'avoir des débats sur le fond, puis on va juste avoir un débat de forme, c'est-à-dire : S'il n'est pas dans le public, on ne le met pas dans le privé, puis ça va juste être une discussion peu intéressante si on se limite à ça. Ça fait que...

Là, là-dessus, j'entends, il y a un argument de forme, mais il y a aussi un argument de fond. Les positions sont exposées, on va passer au vote, mais, tu sais, c'est que ça va revenir. Ça fait que laissons-nous la possibilité puis l'ouverture d'y aller si jamais ça devient nécessaire. C'est juste ça.

M. Caire : Oui, je veux rassurer le député de Gouin, là. Mon argument, puis je le remercie de le reconnaître, c'est un argument de fond. Il a tout à fait raison. Si... Advenant le cas qu'on se rend compte, effectivement, qu'il y a une bonification, que cette bonification-là peut se refléter dans ce que nous avons fait, je le rassure, on réouvrira les articles, on apportera les bonifications, il n'y a aucun problème.

M. Nadeau-Dubois : La démonstration de ça, c'est qu'on l'a fait à l'inverse.

M. Caire : Oui, oui, non, non, tout à fait.

M. Nadeau-Dubois : On a eu des discussions dans le public, on s'est rendu compte que c'étaient des bonnes idées. Puis là on est en aval, ça fait qu'on amende dans le privé.

M. Caire : Puis il y a des choses qu'on a faites dans le public qu'on va refaire dans le privé parce que c'étaient des bonnes idées. Il a bien raison. Non, non, je veux le rassurer là-dessus, ce n'est pas… Puis je me suis mal exprimé puis je comprends sa réaction, là. Ce n'est pas une question... Je ne reviendrai pas sur ce qui est fait, ce qui est fait est fait. Non, si on peut l'améliorer, on va l'améliorer.

Ce que je veux dire, c'est que, là-dessus, je pense qu'on est au bon endroit. Puis effectivement on peut avoir des divergences d'opinions, mais, tu sais, on a une divergence d'opinions qui, à mon sens, est mineure, parce que, tu sais, c'est sur la notion de diligence d'un cas où moi, je dis : Bien, laissons la CAI décider de ça. Mais, sur le fond, je veux le rassurer, là, sur le fait que, quand des individus sont victimes d'un incident de confidentialité, en aucun temps, en aucun temps il est pensable dans mon esprit qu'on cache ça aux individus, en aucun temps. Ça, c'est clair. Puis je peux vous dire, M. le député, qu'une expérience récente... ça a été notre ligne de conduite. Nous n'avions pas l'obligation, nous l'avons fait parce que, personnellement, je me dis : Ça fait partie des responsabilités qu'on a à assumer. Quand on est victime d'un incident de confidentialité, les gens qui en sont victimes doivent, doivent impérativement en être avisés.

M. Nadeau-Dubois : Le plus rapidement possible.

M. Caire : Aussitôt que c'est possible de le faire, effectivement. Oui, tout à fait.

M. Nadeau-Dubois : L'intention du législateur est clairement exprimée, M. le Président. On va pouvoir passer au vote sur mon amendement.

M. Caire : Voilà. Et je compte sur la CAI pour qu'il en soit ainsi.

Le Président (M. Bachand) : Alors, s'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix de l'amendement. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Contre.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Contre.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on va continuer sur le bloc 3.5. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Prochain morceau de cet article 3.5 : «Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête...»

Le Barreau et la Ligue des droits et libertés sont venus nous voir en commission et ont produit des mémoires dans lesquels ils s'inquiètent de ce passage. Et je sais qu'il y a un passage équivalent dans le public, mais, puisque nous avons maintenant convenu que ce n'était pas en soi une raison, je dis bien en soi une raison, pour contourner la discussion ou faire l'économie de la discussion, j'aimerais ça entendre le ministre là-dessus.

Ce que la Ligue des droits et le Barreau disent, grosso modo, c'est la même chose, c'est : Ça peut être long, une enquête. Ça peut être même très, très, très long, une enquête. Comment on fait pour que cette disposition-là du projet de loi ne devienne pas un prétexte, pour des entreprises, pour éviter de divulguer, dans la mesure où... Ah! il y a toujours une enquête en cours...

Je cite le mémoire de la Ligue des droits : «L'enquête sur une fuite ou un vol de renseignements peut s'avérer longue; priver les personnes intéressées du droit d'être informées est difficilement justifiable. Sans compter que celles-ci sont souvent les mieux placées pour agir en vue de limiter les dégâts.» En effet, malheureusement, tristement, c'est souvent les individus eux-mêmes sur lesquels repose le fardeau, après ça, de réparer les pots cassés, puis souvent le plus tôt sera le mieux.

De son côté, le Barreau... Puis le Barreau faisait le commentaire pour l'article équivalent dans le public, mais le même commentaire me semble valoir pour le privé : «Ce troisième alinéa — blablabla — [...]risque de devenir un prétexte servant à bloquer toute communication aux personnes concernées. Il permet en effet aux organismes publics et aux entreprises — en fait, ça valait pour les deux — de se dérober à leurs obligations. Nous craignons qu'il soit invoqué de manière systématique, alors qu'il existe une panoplie de situations où informer les personnes visées n'aura aucun impact sur l'enquête. On n'a qu'à penser à un piratage d'un système informatique où des données auraient été volées par des agents malveillants à l'étranger. En quoi informer une personne que ses renseignements ont été compromis pourrait entraver l'enquête?» Et là je saute un morceau et je continue la citation du Barreau : «Ainsi, cet article pourrait être modifié afin de le limiter aux seuls cas où la divulgation serait préjudiciable à une enquête.» Et là on poursuit : «La CAI pourrait se voir octroyer le pouvoir de déterminer s'il est justifié d'attendre avant de rendre l'incident de confidentialité public durant quelques jours...»

J'ai tendance à avoir une oreille attentive pour ces deux groupes qui nous font des recommandations similaires. Comment on fait pour que cette disposition-là ne soit pas, comme l'a dit le Barreau, un prétexte? Comment on fait pour que ça ne soit pas... Parce que ça peut être long, une enquête, là, puis il y en a qui ne se règlent... il y a des enquêtes qui ne se concluent jamais, tristement. Puis, dans ce domaine-là, on peut redouter que ce sera le cas, là, des enquêtes qui ne vont finalement jamais donner de résultat ou en donner très peu. C'est quoi, la réponse du ministre à ces deux intervenants-là qui expriment des craintes très similaires?

• (15 h 50) •

M. Caire : Bien, en fait, la réponse, elle est assez simple, alors… et elle réside dans les mots suivants : «tant que cela serait susceptible d'entraver une enquête». Donc… Et là je vous ramène à ce que je disais initialement : La Commission d'accès à l'information doit être au dossier très rapidement. Et la Commission d'accès à l'information a un volet juridictionnel dont on a convenu, vous et moi, qu'il était quand même assez performant. Et donc il revient à la CAI... qui a le pouvoir d'ordonner, je le réitère, d'ordonner que la divulgation soit faite aux individus concernés, il reviendra à la CAI de juger si la divulgation représente effectivement une entrave. Et cette prérogative-là ne revient en aucun temps, en aucun temps à l'entreprise privée. Ce n'est pas à l'entreprise privée d'évaluer si la divulgation fait entrave à l'enquête, c'est à la Commission d'accès à l'information, et la Commission d'accès à l'information, à ce moment-là, pourra décider que cette divulgation-là n'est pas dans l'intérêt de l'enquête. Et, tout au long du processus, la Commission d'accès à l'information aura le pouvoir de déterminer si on en arrive à un point où la divulgation n'est plus une… même si elle a décidé préalablement, par exemple, que, oui, cette divulgation-là, pour des raisons que je ne pourrais pas imaginer présentement, mais, bon, que c'est une entrave à l'enquête. Comme le dit… Le député de Gouin a raison, ça peut être long, une enquête, puis il peut arriver un moment donné où la Commission d'accès à l'information va dire : Écoutez, là la divulgation n'est plus une entrave à l'enquête, donc vous divulguez. Donc, c'est vraiment au volet juridictionnel de la Commission d'accès à l'information de faire cette évaluation-là et d'exercer son pouvoir de décider si, oui ou non, il y a divulgation parce qu'il y a entrave à une enquête.

M. Nadeau-Dubois : Donc, la commission seule sera juge de ce fameux critère là.

M. Caire : Absolument.

M. Nadeau-Dubois : C'est-tu mentionné quelque part, ça? C'est-tu implicite? C'est explicite? Parce que, tu sais…

M. Caire : Bien, c'est-à-dire que…

M. Nadeau-Dubois : ...c'est ça, je veux qu'on bouche tous les trous, là, s'assurer que ce soit bien, bien clair. Ce n'est pas juste une interprétation, c'est explicite que c'est la commission qui tranche la question.

M. Caire : Bien, en fait, oui, parce que c'est la commission qui a le pouvoir d'ordonner de le faire, donc d'ordonner qu'on fasse la divulgation aux personnes concernées, et donc, à partir de là… et d'où, d'où... puis là je ne veux pas refaire le débat, là, mais d'où l'importance que la Commission d'accès à l'information soit au dossier aussi rapidement que possible, pour qu'elle puisse, justement, à la genèse de la situation, faire les évaluations nécessaires.

Donc, comme c'est son pouvoir à elle d'ordonner la divulgation, bien oui, il est clair que c'est son pouvoir à elle de vérifier si la divulgation ferait entrave à une enquête. Parce que, comme vous l'avez dit, M. le député, il est très possible que l'entreprise, elle, dise : Non, non, non, on n'en parlera pas, il y a une enquête. Mais la commission, elle, peut dire : Oui, oui, tu vas en parler parce que, oui, il y a une enquête, mais la divulgation n'y fait pas entrave, donc je t'ordonne de faire cette divulgation-là.

M. Nadeau-Dubois : Juste pour qu'on se comprenne bien, là, l'enquête, ici, en question, là, ça peut être une enquête d'un service policier...

M. Caire : Oui, ou de la CAI elle-même.

M. Nadeau-Dubois : ...ça peut être une enquête de la CAI elle-même.

M. Caire : Oui.

M. Nadeau-Dubois : Dans le cas d'une enquête de la CAI, la CAI est bien placée pour savoir ce qui va entraver sa propre enquête.

M. Caire : Oui.

M. Nadeau-Dubois : Dans le cas d'une enquête menée par un service policier, c'est… C'est une question en toute candeur, là. C'est quoi, le processus? C'est quoi, le… Tu sais, dans le fond, comment la CAI va juger, elle, de si la divulgation va entraver l'enquête policière? Si ce n'est pas elle qui enquête, tu sais, mettons, c'est la GRC qui enquête, parce que c'est un crime pancanadien, mettons...

M. Caire : Oui, c'est possible.

M. Nadeau-Dubois : ...la Commission d'accès à l'information, comment, elle, elle va être juge? Elle sera… Tu sais, est-ce que les forces policières vont informer la CAI des pistes de l'enquête? Tu sais, j'essaie juste de voir, très concrètement, là, comment la CAI peut juger de ça si c'est elle qui est le juge.

M. Caire : Parce que la CAI, dans son volet juridictionnel, a ces discussions-là avec les… Quand il y a des services policiers qui font enquête, bien, il est possible que les policiers, effectivement, dans un contexte x, demandent qu'on ne divulgue pas les… Et, vous savez, bon, la CAI a aussi un volet tribunal. Donc, il est possible que les services de police demandent à ce qu'on ne divulgue pas les noms des personnes pour une raison x, y et fassent la démonstration : Écoutez, ce faisant, vous feriez entrave à notre enquête. Et la CAI va évaluer la situation comme elle le fait dans d'autres situations qui sont de sa prérogative. Puis là elle pourra juger, dire : O.K., oui, je pense que là, si on fait cette divulgation-là, ça pourrait porter préjudice au travail des enquêteurs, donc nous ne le ferons pas. Mais la CAI a cette expertise-là d'évaluer les préjudices qui sont causés par une divulgation, ou une non-divulgation, ou le respect de la loi. Ça fait quand même partie de son expertise.

M. Nadeau-Dubois : Donc, ça va être… ça va se faire dans le cadre du volet juridictionnel, et les avocats du service de police vont aller faire des représentations à la CAI.

M. Caire : …vérification, lui, il fait son… C'est... Le volet vérification est un volet d'enquêteur, bien, entre autres, là, pas exclusivement, mais est un volet d'enquêteur. Le volet juridictionnel, lui, va apprécier les démonstrations, les preuves… Ça, ça veut dire… C'est ça.

M. Miville-Deschênes (Jean-Philippe) : ...petite clarification, en fait...

M. Caire : Ça, ça veut dire : il était dans le champ.

M. Miville-Deschênes (Jean-Philippe) : Non, non, pas tant. Mais le volet juridictionnel, actuellement, il interprète des dispositions par rapport à l'entrave aux enquêteurs. Il peut dire : S'il y a une demande d'accès, avec l'article 28…

Une voix : …

M. Miville-Deschênes (Jean-Philippe) : Exactement. Oui, oui, mais c'est… La clarification s'en vient par la suite. Donc, il va... Effectivement, il est habitué d'interpréter l'entrave aux… Je pense que... puis... Mais, par contre, dans le cas d'un incident de confidentialité, c'est le volet surveillance qui est avisé. C'est sûr que les critères sont connus puisqu'il y a des décisions de la section juridictionnelle qui ont établi des critères pour savoir s'il y a entrave ou pas, mais c'est le volet… Je voulais juste vous mentionner que c'était le volet surveillance qui allait agir lors d'un incident de confidentialité, en fait.

M. Caire : ...la divulgation ou non, c'est le volet juridictionnel qui…

M. Miville-Deschênes (Jean-Philippe) : Non, juridictionnel, c'est vraiment juste quand il y a une demande d'accès à l'information ou d'accès…

M. Caire : C'était presque ça que j'avais dit.

M. Miville-Deschênes (Jean-Philippe) : Bien, c'est des commissaires dans tous les cas.

M. Nadeau-Dubois : ...commissaires de la section surveillance qui vont être appelés à apprécier si la divulgation de l'identité des victimes d'un incident de confidentialité porte préjudice ou non à l'enquête.

M. Caire : …M. le député, de venir à mon secours.

M. Nadeau-Dubois : Non, mais, des fois, on ne reformule pas pour les autres, des fois, on reformule aussi pour soi. C'est tout ce que je viens de faire. Puis ça me…

M. Barrette : ...

M. Caire : Non, non. Jamais, jamais, jamais je ne dirai que le député de Gouin est venu au secours d'un ministre.

M. Nadeau-Dubois : C'est ce que Me Miville-Deschênes faisait aussi, reformuler pour lui-même seulement, hein? Ce n'était pas…

M. Caire : Mais je vous ai défendu auprès du député de La Pinière, hein, quand même.

M. Nadeau-Dubois : Oui, non, je sais. Je sais. Donc, O.K. Bien, je… Et donc c'est des pratiques qui existent déjà, est-ce que c'est ce que je comprends bien?

Le Président (M. Bachand) : Me Miville-Deschênes.

M. Miville-Deschênes (Jean-Philippe) : ...

M. Caire : Non, non. Vas-y, réponds.

M. Miville-Deschênes (Jean-Philippe) : Il interprète déjà des dispositions qui visent à déterminer s'il y a une entrave à une enquête en cours en fonction de l'étape, des délais qui sont encourus. Donc, il interprète déjà, à l'article 28, là, deuxième paragraphe, cette disposition-là depuis 1982.

M. Nadeau-Dubois : D'accord. Je comprends mieux la mécanique. Je vois, je vois bien. Donc, les craintes du Barreau ou de la Ligue des droits en ce sens-là, le ministre juge qu'elles ne sont pas fondées?

M. Caire : Bien, en fait, je dirais que c'était légitime de les exprimer, mais elles n'ont pas lieu d'être.

M. Nadeau-Dubois : Ça complète pour moi le bloc 3.5, M. le Président.

Le Président (M. Bachand) : Mais, encore une fois, on peut toujours revenir aussi. Alors donc, on serait au bloc 3.6.

• (16 heures) •

M. Nadeau-Dubois : …on définit ce qu'est un incident de confidentialité. Est-ce que c'est des éléments de définition qui ont des équivalents dans d'autres lois, au fédéral, le RGPD? C'est-tu des éléments… C'est-tu une définition qui est standard, inspirée de... ou c'est une création de nos juristes ici? Juste pour savoir jusqu'à quel point on est raccord avec les autres définitions qui existent d'un incident de confidentialité.

M. Miville-Deschênes (Jean-Philippe) : En fait, la définition est calquée sur d'autres législations, notamment la loi fédérale, parce que... entreprises, il y a une distinction. On a ajouté, dans l'article 3.6, «l'utilisation non autorisée», et ça, c'est un élément qu'il n'y a pas dans la loi fédérale actuellement, puis l'objectif étant de couvrir le plus large possible dans la définition, considérant que de toute façon la divulgation avait lieu lorsqu'il y a un risque de préjudice sérieux dans tous les cas. Donc, la définition est un peu plus large au Québec par rapport à la loi fédérale puis à d'autres juridictions.

M. Caire : ...couvrir le fait de gens qui collectent de l'information sous un prétexte puis les utilisent à d'autres fins.

M. Nadeau-Dubois : Oui, ou des gens qui sont à l'intérieur de l'organisation et...

M. Caire : Oui, aussi, mais je pensais...

M. Nadeau-Dubois : Parce qu'on sait que c'est...

M. Caire : Je pensais notamment à un cas de figure dont nous avons discuté récemment, M. le député, où on se disait : Bien, je collecte une information en vous disant : Je veux faire ceci avec, vous me donnez votre consentement, finalement je fais ceci, mais je fais aussi cela. Cela n'ayant pas eu le consentement, c'est une utilisation non autorisée.

M. Nadeau-Dubois : Ah! donc, ici, l'expression «utilisation non autorisée» couvre le fait d'utiliser un renseignement personnel qui a été collecté à une fin x et de l'utiliser à une fin y?

Une voix : ...

M. Caire : Je tenais à le souligner, parce que ça m'apparaît être assez important. Parce qu'on a en tête, évidemment, le fait de dire : De par ma fonction, j'ai accès à des renseignements, je les utilise puis je fais des choses... Je pense que ça, c'est l'exemple qui vient en tête de tout le monde, puis c'est vrai aussi, mais ce qui est important de souligner, c'est que ça vient couvrir le fait qu'on vous demande vos renseignements personnels dans une perspective de service, puis, moi, par exemple, je constitue une liste que je vends à un tiers, mais ça, ce n'était pas autorisé, là, ce n'était pas pour ça que je les avais donnés, là.

Puis je pense qu'on a eu, tu sais, quelques discussions, vous et moi, là-dessus, puis je vous ai dit à quel point cette pratique-là me levait le coeur. Donc, cette disposition-là vient couvrir le fait que : Non, non, non, ce n'était pas pour ça que tu m'as demandé mes renseignements personnels, ça fait que tu ne les utilises pas pour d'autres fins que celles pour lesquelles tu me les as demandés sans mon consentement.

M. Nadeau-Dubois : J'essaie... Parce que le ministre... On a eu plusieurs discussions sur plusieurs incidents de confidentialité, puis c'est dommage, parce que ça veut dire qu'il y en a beaucoup, ça fait qu'on a beaucoup d'exemples à utiliser, mais ce qu'il s'est passé au Tribunal administratif du logement, là...

M. Caire : Non, ça, non. Par contre...

M. Nadeau-Dubois : ...où, dans le fond, des renseignements, qui étaient collectés à une fin, ont été colligés par un tiers, réorganisés, ont fait une liste avec, ce qui est devenu l'espèce de liste noire de locataires. Est-ce qu'on est dans ce type...

M. Caire : Non, ça ne couvre pas ça, parce que, dans ce cas-là, les renseignements ont été rendus disponibles en conformité de la loi. Le problème qu'on a dans ce cas-là, il est autre. Le problème qu'on a dans ce cas-là, c'est cette tendance schizophrénique que nous avons de catégoriser la sensibilité d'un renseignement sur la base de qui l'utilise et/ou qui le génère, plutôt que sur la base du renseignement lui-même.

M. Nadeau-Dubois : Plutôt que de sa nature.

M. Caire : Donc, un renseignement qui a été rendu public tout à fait légitimement, tout à fait légalement par le Tribunal administratif du logement se verrait protégé par quatre lois différentes de régimes particuliers, le même renseignement, mais en santé. C'est ça qui n'a pas d'allure, là.

M. Nadeau-Dubois : O.K. Parfait. Merci, M. le Président, c'est bon pour moi.

Le Président (M. Bachand) : Ça va sur tout le bloc 3.6? On va passer au bloc 3.7. Est-ce qu'il y aurait interventions pour l'instant? On peut y revenir aussi, là, encore une fois. M. le député de Gouin, oui.

M. Nadeau-Dubois : Oui, merci. Juste pour bien comprendre l'esprit du 3.7. Ça, ici, c'est une explication de l'obligation, qui a été faite un peu plus tôt dans l'article, aux entreprises d'évaluer le préjudice, et là on vient dire, à 3.7 : Voici ce que vous devez considérer.

M. Caire : ...vous allez évaluer qu'un incident est préjudiciable.

M. Nadeau-Dubois : O.K. Parfait, merci.

Le Président (M. Bachand) : Est-ce qu'on irait maintenant au 3.8, dernier bloc? M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Il y a des gens qui ont fait des représentations pour que ce registre-là des incidents soit rendu public. Qu'est-ce qui rend le ministre enclin à ne pas aller dans ce sens?

Le Président (M. Bachand) : M. le ministre.

M. Caire : En fait, deux choses. La première, c'est un peu la discussion qu'on avait eue sur le même sujet au niveau du public, qui était que certains... En fait, à moins d'avoir des critères très chenus, le fait de rendre certains incidents publics pouvait être préjudiciable, préjudiciable pour les individus. Puis, si on ne veut pas un registre qui ne dit rien parce qu'on ne veut pas causer ce préjudice-là, bien... Puis l'autre chose, c'était qu'essentiellement ce qu'on souhaite, c'est que la commission puisse avoir cette espèce de journal de bord pour faire son travail. Dans le fond, c'est un outil qui se veut aussi pour la commission.

Je sais qu'il y a des groupes qui se disent... Bon, bien, tu sais, dans une perspective plus large, ça met l'emphase sur les organismes qui ont peut-être eu des comportements, mais, en même temps, tu sais, oui, mais l'erreur de bonne foi... Tu sais, comprenez-vous? Quelqu'un qui a fait une erreur de bonne foi, puis tu te dis : Wow! Je me ramasse dans le registre public. Il y a des sanctions pour ça, puis je reviens là-dessus, mais, en même temps, je me dis : Bien, le Québec va se donner d'un régime de sanctions qui est probablement... pas probablement, qui est le plus sévère en Amérique du Nord et qui est apparenté à celui du Règlement général de protection des données européen, donc qui est très sévère même au niveau planétaire.

Donc, l'idée, c'est surtout d'avoir un outil, pour la Commission d'accès à l'information, sur les incidents de confidentialité, et pas de rajouter une couche de sanctions et/ou d'avoir un registre aussi avec tellement peu d'information qu'on ne pourrait pas porter préjudice à ceux qui ont été les victimes de ces incidents de confidentialité là, qui ne souhaitent pas nécessairement être connus du grand public, là.

M. Nadeau-Dubois : Merci, M. le Président.

Le Président (M. Bachand) : Merci beaucoup. Autres interventions sur l'article 95 globalement? M. le député de Gouin, oui, allez-y.

M. Nadeau-Dubois : Avant qu'on ferme définitivement l'article 95, je vais me permettre de revenir sur la question de la formation. J'ai été témoin de la discussion tantôt, puis je n'ai pas allumé tout de suite, puis là je voulais attendre à la fin pour revenir, là. En commission parlementaire, il y a des experts en sécurité qui sont venus nous mettre en garde contre certaines pratiques, dans certaines entreprises, de, comment dire, se patenter des expertises en protection des renseignements personnels. Il y a tout un marché, là, qui va se développer, là, d'un certain point de vue c'est une bonne chose, de l'expertise sur la question de la cybersécurité, de la cyberdéfense. Il y a des gens qui vont avoir des véritables expertises puis il va y avoir, comme dans tout domaine, des charlatans, puis des gens qui se disent experts puis qui ne le sont pas, bon. Et le ministre...

M. Caire : Il y en a déjà quelques-uns qui sévissent dans l'espace public, je peux vous le dire.

M. Nadeau-Dubois : Bon. Comment on fait pour s'assurer que les gens qui sont responsables des renseignements personnels... Et là ça vaut pour le public et pour le privé, hein? C'est quoi, nos garanties que ces gens-là soient formés convenablement? Est-ce qu'on ne pourrait pas exprimer des exigences législatives à cet égard-là?

M. Caire : C'est une excellente question, et j'y répondrai au meilleur de mes capacités, parce que je vous dirais que nous sommes, même comme organisation, le gouvernement du Québec, interpelés par cette question-là, je ne vous le cache pas. La cybersécurité, c'est une discipline qui, quoi qu'on en dise, est relativement récente.

• (16 h 10) •

M. Nadeau-Dubois : Oui, tout à fait.

M. Caire : Et les vrais experts ne sont pas légion. Alors, les commentateurs, eux, le sont, mais les vrais experts ne sont pas légion. À partir de là, je pense que, pour toute organisation, il y a un intérêt, sinon à aller chercher ces experts-là, d'aller les... de leur offrir des formations. Et là, bien, M. le député, il n'y a pas de magie, il faut éviter, justement, là, les experts autoproclamés. On a des institutions scolaires qui sont reconnues, qui ont des obligations déontologiques, qui donnent des formations qui ne tournent pas les coins ronds et qui donnent des formations qui ont des diplômes et/ou des attestations qui sont reconnus. Oui, c'est plus long, oui, c'est plus cher, mais ça fait des vrais experts.

M. Nadeau-Dubois : Pourquoi on n'exigerait pas, par la loi, que les responsables des renseignements personnels aient certaines qualifications officiellement reconnues?

M. Caire : Parce qu'à mon avis on va tirer à côté de la cible. Je vous explique. J'ai eu cette discussion-là avec le député de La Pinière. Le dirigeant principal de l'information du Québec, M. Rodrigue, est un notaire de formation. Donc, si on se fie à ce critère-là, qu'est-ce qu'il fait là? Pourtant, je peux vous dire que ça fait quelques années maintenant, plus d'une décennie, ça fait mal de le dire, mais bon, que je m'occupe des dossiers informatiques soit dans l'opposition, maintenant au gouvernement, puis c'est probablement une des personnes les plus compétentes que j'ai vues à ce poste-là. On a la chance, au Québec, d'avoir quelqu'un comme dirigeant principal de l'information qui, nonobstant le diplôme qu'il a, qui peut... a des années d'expérience, j'espère qu'il ne m'en voudra pas de le dire parce qu'on parle effectivement en termes de décennies, qui a une excellente maîtrise des technologies de l'information, qui est extrêmement compétent, mais, si on se fie juste à certains critères, alors...

M. Nadeau-Dubois : Bien non, mais je comprends, mais...

M. Caire : Mais ce que je veux dire, M. le député, puis j'ai eu la même discussion avec le député de La Pinière, je pense que ce qu'il faut, essentiellement, c'est de donner des objectifs puis de s'assurer que ces objectifs-là sont rencontrés. Donc, ça, c'est le rôle de la CAI. Si les objectifs sont rencontrés, peu importe qui vous a permis de les rencontrer, c'est le résultat qui compte, mais, si les objectifs ne sont pas rencontrés, bien, tant pis pour vous, il y aura des conséquences, il y aura des conséquences. Donc, ce que je nous invite à faire, c'est de ne pas juger les moyens mais de juger des résultats.

M. Nadeau-Dubois : Dans le RGPD, ils ont, eux, pris la décision, si mes informations sont bonnes, d'affirmer quand même... C'est l'article 37.5 du RGPD, donc mes informations sont bonnes, je pense.

M. Caire : Oui, rendu là.

M. Nadeau-Dubois : Le délégué à la... Ils appellent ça le délégué à la protection des données, là, mais bon, c'est la même chose : «Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.»

Donc, je sais que le RGPD a été une des inspirations du projet de loi. Dans le RGPD, on fait cette affirmation qu'on souhaite que la personne responsable des renseignements personnels soit désignée. On donne des critères généraux, hein? Ce n'est pas... On ne demande pas un diplôme en particulier, tout ça, mais... Ça fait que pourquoi ne pas avoir repris cet esprit-là dans le RGPD?

M. Caire : Bien, comme je vous dis...

M. Nadeau-Dubois : Parce que moi, je trouve ça intéressant de donner... Parce que moi, je l'entends, l'argument du ministre, là, on ne va pas dire : Voici le C.V. que vous devez avoir pour remplir le poste, c'est contre-productif. Puis on ne dira pas : Vous devez avoir tel diplôme. Puis il n'y a pas d'ordre professionnel, aux dernières nouvelles, des... puis ça va... Et, si ça arrive un jour, ce sera dans très longtemps, des gens qui sont responsables en cybersécurité, mais donner des grands principes comme ceux-là, pourquoi pas?

M. Caire : Bien, en fait, on le fait, puis on le fait sur comment, quand, qui, pourquoi vous collectez des renseignements personnels, comment les protéger, quels sont... Donc, on met vraiment les obligations autour du renseignement personnel, de sa confidentialité, du respect de la vie privée, des mesures de protection, de quand est-ce qu'on peut le communiquer, quand est-ce qu'on ne peut pas le communiquer.

Moi, je... Puis, comme je vous dis, ce n'est pas que c'est inintéressant dans tous les cas de figure, ça serait faux de dire ça, mais, dans le cas qui nous préoccupe, je pense que les objectifs sont clairs, les résultats attendus sont clairs, l'organisme qui doit évaluer si ces objectifs-là sont atteints a les pouvoirs pour le faire. Donc, à partir de là, je me dis, ça revient un peu à ce qu'on se disait tantôt, je vais laisser l'entreprise gérer la façon dont l'entreprise veut organiser ça, pour autant que l'entreprise en question atteigne les résultats attendus.

M. Nadeau-Dubois : ...dans le public, pourquoi pas?

M. Caire : Bien, dans le public, on l'a fait d'une certaine façon, parce que, bien, la vice-présidence que nous avons ajoutée à la Commission d'accès à l'information, il est précisé qu'il y a un profil TI qui est attendu.

M. Nadeau-Dubois : Oui, non, mais dans les organismes... Parce que cette personne-là, à la Commission d'accès à l'information, a juridiction sur le public et le privé, là.

M. Caire : Oui, absolument.

M. Nadeau-Dubois : Donc, ça vaut pour les deux, mais, dans les organismes publics, il y a des responsables des renseignements personnels?

M. Caire : Oui. Bien, parce que... Bien, très souvent, en passant, là, dans l'organisme public, puis Me Miville-Deschênes pourra en témoigner parce que ça a été son rôle pendant un certain temps dans sa jeune carrière, les responsables des renseignements personnels ont plutôt un profil juridique parce qu'il s'agit d'interpréter la loi, au fond.

M. Nadeau-Dubois : Bien, d'ailleurs, c'est ce que le RGPD dit, là. Donc...

M. Caire : Donc, c'est pour ça que, dans certains cas... Puis, au niveau de la CAI, il y avait comme une idée de changer la culture de l'organisation, ça a été précisé, parce que là il y avait un objectif qui était de changer la culture. Dans le cas des organismes, ils le font déjà, donc ils sont en continuité de ce qu'ils font déjà. Donc, il n'y avait pas là cette même velléité de changer la culture, il y avait la velléité de changer la loi, le cadre juridique, etc., mais il n'y avait pas cette intention-là, on n'arrive pas avec une nouvelle culture de l'interprétation de la loi. Donc, dans ce cas-là, je pense que ce n'était pas pertinent de le faire, puis, à ce moment-là, bien...

Je veux dire, c'est une vision que je vous partage, M. le député, mais je pense que moins on intervient dans les moyens, plus on fait confiance aux gens sur le terrain. Pourvu que les objectifs, les attentes soient clairs, je pense que c'est encore la meilleure façon d'aborder les choses. Quelquefois, vous avez raison, ça vaut la peine de dire : Bon, bien là, je vais être plus précis, parce qu'on essaie de changer une culture, on essaie d'amener une nouvelle façon de faire, on va légiférer pour obliger les gens à s'attacher parce qu'on veut changer les cultures. Puis, aujourd'hui, on pourrait probablement... puis comprenez bien que je ne dis pas qu'il faut faire ça, là, mais on pourrait potentiellement abolir la loi, puis... et oui, je suis enregistré, puis les gens s'attacheraient quand même parce que ça fait maintenant partie des réflexes qu'on a développés, mais, dans ce cas-là, je pense qu'il n'y aurait pas de pertinence d'aller jusque-là.

M. Nadeau-Dubois : Est-ce que je peux demander une suspension de quelques instants aux collègues, juste vérifier la pertinence ou non de faire un amendement sur la question?

Le Président (M. Bachand) : Parfait. Alors, on va suspendre quelques instants. Merci.

(Suspension de la séance à 16 h 19)

(Reprise à 16 h 28)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Donc, je dépose un amendement à l'article 95 : Ajouter, après le troisième alinéa de l'article 3.1, proposé par l'article 95 du projet de loi, l'alinéa suivant — donc :

«La personne responsable de la protection des renseignements personnels est désignée sur la base de ses qualités professionnelles et, en particulier, de ses connaissances sur les pratiques en matière de protection des données.»

Donc, c'est un libellé que j'ai fait volontairement large parce que je partage en partie, en bonne partie les arguments du ministre quand il dit qu'il ne faut pas restreindre trop pour ne pas disqualifier des gens, en fait, qui seraient, dans les faits, compétents. Donc, je fais une proposition qui est large, qui est générale. Et, si le ministre trouve que c'est important, bien, on pourra revenir dans l'article correspondant dans la loi sur le public pour venir l'inscrire.

Le ministre semblait d'accord avec moi sur le fait qu'il y a un risque, là, de charlatanisme, là, ou, en tout cas, d'expertises improvisées qui ne sont pas sérieuses. J'ai aussi entendu son argument à l'effet qu'il ne fallait pas être trop restrictif, ça fait que j'essaie de trouver ici un juste milieu en parlant de qualités professionnelles au sens large et en précisant : «...et, en particulier, de ses connaissances sur les pratiques en matière de protection des données.» Donc, je n'ai pas souhaité être trop précis, trop spécifique, mais je pense que c'est quand même important d'envoyer le signal aux entreprises et aux organismes publics, avec le consentement du ministre, que n'importe qui ne peut pas occuper ce rôle, que c'est un rôle important et qu'on s'attend que ce soit confié à des gens qui ont certaines connaissances de ces pratiques-là.

J'aurais pu aller beaucoup plus loin, puis il y a des représentations en commission parlementaire qui nous ont été faites puis qui nous amèneraient beaucoup plus loin, là. Il y a des gens qui nous ont recommandé qu'on exige certaines qualifications professionnelles en particulier, là, certaines certifications. J'ai cru comprendre que le ministre ne souhaitait pas aller là, donc je... Déposer des amendements dont je suis sûr et certain qu'ils seront battus, ce n'est pas quelque chose que j'aime faire, ça fait que j'essaie d'aller à une proposition qui, il me semble, pourrait rejoindre le ministre, pour qu'on trouve un terrain d'entente. C'est vraiment aussi le signal qu'on envoie, je pense, ici, qui est important, là, le signal qu'on s'attend que ça soit un rôle qui est pris au sérieux.

Puis je rappelle au ministre qu'on a préalablement adopté un amendement qui fait en sorte que les petites entreprises, qui n'auraient peut-être pas la taille nécessaire pour avoir quelqu'un dans leur personnel qui a ces... qui remplit ces critères-là, bien, on leur a donné la possibilité plus tôt, dans le projet de loi, en amendant, de se regrouper puis de faire affaire avec des ressources externes.

Donc, je pense que ça vient... cet amendement-là vient peut-être préventivement répondre à l'argument qui pourrait être présenté, qui serait de dire : Oui, mais là ce n'est pas... Il y a beaucoup d'entreprises au Québec, ce n'est pas toutes les entreprises qui ont quelqu'un dans leur personnel qui a des connaissances sur les pratiques en matière de protection des données. Je pense qu'on a déjà colmaté ça avec l'amendement qu'on a adopté plus tôt puis qu'on pourrait aller avec cette espèce d'énoncé de principes là qui nous permet de trouver un juste milieu puis qui nous permet d'envoyer le signal aux organismes qui sont soumis à la loi que c'est un job sérieux pour lequel il faut avoir certaines compétences puis certaines connaissances. C'est mon objectif avec cet amendement.

• (16 h 30) •

Le Président (M. Bachand) : Merci beaucoup. M. le ministre.

M. Caire : Oui, merci, M. le Président. Bien, je comprends la préoccupation de mon collègue de Gouin. Maintenant, je me dois d'être cohérent avec ce que j'ai dit et ce que j'ai fait aussi précédemment. C'est un débat qu'on a eu à l'article 8, précédemment, quand on a parlé des responsables au niveau des organismes publics. C'est une discussion qu'on a eue avec le député de La Pinière et pour laquelle je me dois d'être cohérent avec ce que j'ai dit à ce moment-là, à savoir que ça reste la prérogative du premier dirigeant de décider qui est son responsable et pourquoi il le nomme. Ça, ça appartient au premier dirigeant. Puis, pour moi, c'est vrai pour un organisme public. Et là je suis cohérent en disant : Bien, ça va être vrai aussi pour un organisme privé.

Je demeure convaincu que la bonne façon de travailler dans ce type de dossier là, c'est d'être très clair sur l'objectif, puis je pense que nous le sommes, qu'il n'y ait pas d'ambiguïté sur ce à quoi on s'attend en matière de protection des renseignements personnels, que ce soit d'un organisme public ou d'un organisme privé. Je pense que le projet de loi n° 64 fait ça, et de s'assurer qu'il y a un organisme de surveillance qui est là pour faire le travail...

Puis ça, j'en profite, j'ouvre et je referme la parenthèse, parce que c'est quelque chose que j'ai beaucoup apprécié de Me Poitras, qui a bien indiqué qu'elle avait compris l'intention du législateur sur le fait qu'on souhaitait que la Commission d'accès à l'information travaille plus non seulement en surveillance, mais en prévention et en accompagnement. Donc, ça, ça me rassure beaucoup de comprendre que la Commission d'accès à l'information a vraiment enregistré ce rôle-là qu'on souhaite qu'elle joue. Je ferme la parenthèse.

Et donc, en conséquence, on a des objectifs qui sont clairs, on a un tiers neutre qui a un mandat qui est clair, qui est bien compris par l'organisation en question, qui a les pouvoirs pour assumer ce rôle-là. Et ultimement il y a une possibilité, bien, si l'organisme ne prend pas ses responsabilités, il y aura des conséquences.

Alors, pour cette raison-là, M. le Président, je pense qu'il n'est pas nécessaire d'aller sur le terrain, là, de définir le profil de la personne qui est responsable de la protection des renseignements personnels, parce qu'il est de l'intérêt de l'organisme public comme privé d'avoir là la personne qui va être la plus compétente possible. Parce que les conséquences, maintenant, ce qui n'était peut-être pas le cas avant l'avènement du p.l... bien, ce qui n'est pas le cas avant l'avènement du p.l. n° 64, les conséquences peuvent être assez importantes.

Donc, je vais rester cohérent, M. le Président, avec ce que j'ai dit au député de La Pinière, qui m'en voudrait très certainement d'avoir deux discours différents. Lui-même, à l'époque où il était ministre, ne se gênait pas pour le faire à mon endroit. Mais je ne fais pas aux autres ce que je ne veux pas qu'on me fasse à moi-même. Je trouve ça dommage, parce que le député de La Pinière ne réagit même pas. C'est plate.

Une voix : ...

M. Caire : Ah! intérieurement. Mais, bref, M. le Président, pour ces raisons-là, je ne peux pas appuyer l'amendement de mon collègue.

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Avoir deux discours, c'est un problème si on les tient en même temps. Si c'est parce qu'on évolue dans notre pensée et qu'on se corrige, c'est loin d'être un défaut, c'est une qualité, et tout le monde le reconnaîtrait autour de la table de cette commission. Mais, M. le Président, j'ai présenté mes arguments, le ministre a...

M. Caire : ...donner raison au député de La Pinière, vous comprendrez que...

M. Nadeau-Dubois : Ça, c'est le vrai. C'est là, ça accroche pour vrai.

M. Caire : Oui.

M. Nadeau-Dubois : Plus sérieusement, M. le Président, j'ai présenté mes arguments, le ministre a présenté les siens, je suis prêt à passer au vote.

Le Président (M. Bachand) : Merci beaucoup. D'autres interventions? Donc, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Contre.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Contre.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Abstention.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on revient à l'article 95 tel qu'amendé. Interventions? S'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Est-ce qu'il y a d'autres interventions? Je regarde une dernière fois. Ça va? Allez-y, M. le député de Gouin, là.

M. Nadeau-Dubois : C'est bon, on a fait le tour, M. le Président.

Le Président (M. Bachand) : Ça va? O.K. D'accord.

M. Nadeau-Dubois : On a pris le temps de bien disséquer cet article. Je pense que... de mon côté, en tout cas, je suis prêt à passer au vote.

Le Président (M. Bachand) : Parfait. Donc, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention, M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 95, tel qu'amendé, est adopté. Merci. M. le ministre, s'il vous plaît.

M. Caire : Oui. M. le Président, l'article 96 se lit comme suit : L'article 4 de cette loi est remplacé par le suivant :

«4. Toute personne qui exploite une entreprise et qui, en raison d'un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.

«4.1...» Oh! excusez, là, je m'en vais vite un peu. Donc, M. le Président, l'article 4 de la Loi sur la protection des renseignements personnels dans le secteur privé est modifié en raison de la suppression par le projet de loi de la plupart des occurrences de la notion de dossier dans cette loi. Et j'ai un amendement, M. le Président, donc... Ah! bien, non, l'amendement, c'est d'insérer l'article 4.1. Donc, voilà.

Le Président (M. Bachand) : Excusez-moi, là, mais...

M. Caire : C'est ce qu'est l'article 4. Désolé, M. le Président, c'est... l'amendement, c'était d'introduire l'article 4.1, et on va faire 4, puis après ça j'introduirai 4.1, ce qui va représenter une séquence plus logique.

Le Président (M. Bachand) : On va suspendre quelques instants, s'il vous plaît, juste pour la suite des choses, O.K.? Merci. On suspend quelques instants.

(Suspension de la séance à 16 h 38)

(Reprise à 16 h 40)

Le Président (M. Bachand) : Alors, à l'ordre, s'il vous plaît! Donc, on recommence. M. le ministre, s'il vous plaît.

M. Caire : Alors, j'avais lu 4, je vous lirai donc 4.1.

Le Président (M. Bachand) : Donc, l'article 96.

M. Caire : L'article 96 se lit comme suit :

«4. Toute personne qui exploite une entreprise et qui, en raison d'un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.

«4.1. Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l'autorité parentale, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.».

Et j'ai un amendement qui touche 4.1, qui se lit comme suit : Insérer, dans l'article 4.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 96 du projet de loi, et après «titulaire de l'autorité parentale», «ou du tuteur».

Donc, M. le Président, ça vient en concordance avec ce qu'on a fait au niveau du secteur public, à la demande du Curateur public, de prévoir que l'autorité parentale peut aussi être le tuteur, et donc il peut consentir au nom du mineur. Ça, c'est la modification à 4.1. Puis l'article 4 comme tel vient en concordance avec la notion de dossier qu'on avait.

Le Président (M. Bachand) : Merci. Interventions sur l'amendement, s'il vous plaît? S'il n'y a pas d'intervention sur l'amendement, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement à l'article 86 est adopté. Donc, on revient à 96 tel qu'amendé. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : On parle, dans cet article, d'un enjeu dont j'ai déjà discuté avec le ministre, qui est la question de la collecte des données personnelles sur les enfants. Ça peut avoir l'air d'un discours dystopique, mais ce ne l'est pas, il y a des pratiques commerciales qui ont fait leur apparition, notamment au Québec, où de plus en plus d'entreprises colligent des renseignements personnels auprès d'enfants, et une des manières les plus pernicieuses de le faire, c'est via ce qu'on appelle des jouets intelligents, qui, maintenant, meublent les tablettes de nos magasins.

Et il y a eu notamment, là, en 2018, Option Consommateurs qui a publié un gros dossier franchement troublant sur les pratiques de ces entreprises-là, où, via des toutous, des jouets, des tablettes pour enfant, des petits oursons, toutes sortes de choses, là, il y a enregistrements sonores, vidéo, prises de photos, enregistrements également de messages textes qui sont envoyés par les enfants sur certains de ces appareils-là.

On estime qu'au Canada, là, il y a à peu près 300 modèles de jouets intelligents, qui ne sont pas tous répréhensibles, mais ça donne une idée de la gamme de produits qui est en vente et de la multiplication de ces patentes-là puis de ces produits-là, et il y a eu, même aux États-Unis, des campagnes pour appeler au boycottage de certains de ces produits-là. Le FBI s'est impliqué et a émis même un avertissement en 2015 à l'égard de certains de ces appareils-là.

Ça fait que, tu sais, je ne veux pas rentrer dans le discours apocalyptique ou dystopique, là, mais je répète souvent au ministre, puis il est d'accord avec moi, qu'on écrit cette loi-là aussi pour l'avenir puis pour ce qui va se développer, et on sait qu'il y a certaines entreprises, puis ça, souvent, là, c'est vraiment des... souvent, c'est des très grandes entreprises multinationales qui ont des pratiques qui sont franchement questionnables. On a l'occasion, ici, là, de venir baliser, dans notre loi québécoise à nous, ce qu'on veut mettre en... ce qu'on veut permettre puis ce qu'on veut interdire comme pratiques, puis on a l'occasion de venir dire, les enfants du Québec, là, comment on les protège.

Historiquement, on a fait un choix de société, au Québec, important puis qui nous distingue, puis je pense que ça fait partie de notre modèle de société axé sur la justice sociale, c'est l'interdiction de la publicité pour les enfants. Il y a plutôt un consensus là-dessus au Québec, puis je n'ai jamais vu personne remettre ça en question. Donc, ça, cette portion-là est déjà couverte. Ce qui n'est pas couvert, dans les pratiques actuelles, par les lois québécoises puis par le projet de loi qu'on a sous les yeux, c'est l'utilisation à des fins commerciales des données qui sont récoltées sur les enfants.

Par exemple, je viens de le dire, on ne peut pas, au Québec, faire du ciblage publicitaire sur un enfant, parce que c'est de la publicité pour un enfant, puis on n'a pas le droit de faire ça au Québec. Mais un jouet intelligent, ça ne choisit pas qui ça écoute. Ça écoute tout le monde, ça peut écouter plusieurs enfants dans une pièce, le petit frère, la petite soeur, les parents. Et les données, donc, récoltées sur des enfants peuvent être utilisées à des fins commerciales, par exemple du profilage commercial pour les parents.

C'est des pratiques qui sont documentées. Et je me demande si... En fait, je fais plus que me le demander, je pense qu'ici on pourrait venir ajouter un amendement qui dit — sous-texte : Puisqu'au Québec on a fait le choix que la publicité pour les enfants, c'était quelque chose qui était contre le bien commun puis qu'au-delà du consentement ou pas du parent c'était illégal... Je pense qu'on devrait venir ici installer un amendement qui dit : Quand vous collectez, même avec le consentement... Parce que là le ministre va me dire : Oui, mais, déjà, on vient dire : Il faut qu'il y ait le consentement du parent pour collecter des données sur un mineur. O.K. Est-ce qu'on ne devrait pas venir dire ici : Même si vous avez consentement du parent, là, des renseignements personnels collectés sur un enfant, sur un enfant, on n'en fait pas d'utilisation commerciale?

C'est notamment une recommandation d'Option Consommateurs. La CAI, dans son rapport quinquennal, en 2011, en parlait également. La CAI, donc, en 2011... Donc, c'était en 2011, ça fait quand même un petit bout, là, ça fait 10 ans, la CAI disait... faisait référence à une recommandation du Conseil de l'Europe, qui, elle, date de 2010. La CAI, donc, citait cette recommandation du Conseil de l'Europe, et je cite la commission : «La commission appuie cette idée et recommande au législateur d'envisager l'ajout d'une interdiction dans les lois de protection du consommateur ou de protection des renseignements personnels — ce que nous sommes en train de faire — concernant le profilage des jeunes.»

Je pense qu'il faut viser large, dire : Les données collectées auprès des mineurs, on ne fait pas d'argent, là, on ne fait pas de business avec ça, il n'y a pas d'usage commercial possible de données personnelles collectées auprès des mineurs, tout comme on a décidé, au Québec, d'interdire la publicité ciblée pour les enfants. Je pense qu'à la lueur des dérapages auxquels on a assisté, là, puis qui sont bien documentés, ça serait un amendement intéressant. J'aimerais savoir, sur ce sujet-là, qu'est-ce que pense le ministre.

Le Président (M. Bachand) : M. le ministre.

M. Caire : Dire au député que j'ai fait une longue réflexion là-dessus, ça serait lui mentir, et je me refuse à faire ça. D'entrée de jeu, puis je me donne le droit, là, de réfléchir à la question, d'entrée de jeu, je dirais, par contre, que je vois quand même une distinction entre collecter des renseignements personnels avec le consentement du parent ou au bénéfice du mineur et une publicité qu'on reçoit sans avoir de contrôle. Je pense, entre autres, à des messages publicitaires à la télévision. On écoute une émission, la publicité, elle est là, le parent, bon, là, tu sais, il peut toujours prendre la manette puis fermer la télévision le temps de la publicité, mais on s'entend que ce n'est pas... il y a comme une intrusion, il y a comme une... Puis ce n'est pas une intrusion, parce que, je veux dire, on écoute la télévision, on laisse les gens entrer chez nous, mais il n'y a comme pas de contrôle pour le parent à l'exposition de l'enfant à cette publicité-là. C'est la raison, je pense, principale pour laquelle on l'a interdit, parce que je ne peux pas contrôler à quoi mon enfant est exposé ou non dans le cas d'une publicité.

Dans le cas de la collecte de renseignements, c'est différent, c'est-à-dire que, là, on dit : Il y a quand même... je dois, dans les paramètres que nous avons fixés, je dois avoir le consentement du parent — et là on rajoute «du tuteur» — ou alors la collecte doit se faire au bénéfice de l'enfant. Donc, on comprend qu'il y a des situations, puis je sais qu'on a eu cette discussion-là, le député de Gouin et moi, il y a des situations où le parent et/ou le tuteur ne peut pas et ne doit pas être informé de la collecte, là, on a tous des exemples en tête, mais ce n'est pas de ça dont on parle, effectivement, avec le député de Gouin.

Donc, moi, j'ai toujours une réserve à dire : Bien, si le parent est consentant, qui suis-je pour aller au-delà de ce consentement-là? Qui suis-je pour dire au parent : Tu n'as pas d'affaire... Dans le fond, c'est ça, la discussion, c'est de dire au parent : Tu n'as pas le droit de consentir à ça. Bien oui, mais là, là, c'est le parent qui vous parle, je veux dire... j'ai... puis je ne dis pas... Puis, encore une fois, là, je ne veux pas qu'on interprète, là, je me donne le droit de réfléchir à cette question-là, je ne prétends pas être en possession de la vérité, on jase, comme on dit, là. Mais, comme parent, j'ai toujours beaucoup de difficultés à ce que le gouvernement se substitue à moi. Et je comprends qu'il y a des situations où c'est incontournable et où ça doit être fait. Je le comprends, je le comprends. Pour des raisons médicales, pour des raisons de sécurité de l'enfant, il y a des situations où effectivement l'intérêt de l'enfant prime sur l'autorité parentale, j'en conviens, là, d'entrée de jeu, mais, je vous dirais, le moins possible, le moins possible. Quand on dépouille le parent de son autorité parentale, je pense qu'on doit le faire avec beaucoup de sagesse et beaucoup de parcimonie.

Alors, à la question : Est-ce que cette situation-là est une situation où on se dit : Bien, je ne pense pas que le parent est la meilleure personne pour décider si des renseignements personnels de son enfant doivent être donnés à une entreprise pour quelque fin que ce soit, que ce soit à des fins commerciales ou... Je ne le sais pas. Je ne le sais pas. Honnêtement, je ne peux pas dire que j'ai une opinion arrêtée là-dessus. Comme je vous dis, là, d'entrée de jeu, moi, j'ai toujours un préjugé favorable à l'autorité parentale.

• (16 h 50) •

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Il y a aussi des enjeux qui relèvent des choix de société puis pas du libre arbitre des parents. Tu sais, demain va être déposée une réforme de la loi 101, la loi 101, c'est un bel exemple de ça. La loi 101, c'est un puissant dépouillement de l'autorité parentale, c'est une puissante et forte... un fort empiétement sur le choix fondamental des parents de dire : Moi, mon enfant va aller dans quelle école. D'un point de vue strictement libéral, pas au sens partisan, mais au sens philosophique du terme, la loi 101, c'est un énorme empiétement sur la liberté individuelle. Du point de vue de la société québécoise, c'est un choix de société que nous avons fait, pas pour des raisons ni médicales ni de santé, mais pour... ni de sécurité, mais pour le bien commun. Puis, le bien commun, dans le cas de la loi 101, c'est quoi? Bien, c'est la survivance, puis même plus que la survivance, le déploiement dans l'avenir du français.

Ça fait que, tu sais, des exemples où, comme société, on choisit de se faire... d'affirmer un principe qui supplante le principe de l'autorité parentale ou du libre arbitre du parent, il y en a quand même beaucoup. Puis ce n'est pas juste sur des enjeux de santé puis de sécurité, c'est souvent dans des enjeux où on juge que, là, le bien commun commande qu'on instaure, comme société, un certain environnement puis qu'on mette certaines balises en disant : Bien, oui, en effet, les parents, ils n'ont pas ce choix-là, tu sais, tout comme les parents n'ont pas le choix d'envoyer leurs enfants à l'école française ou anglaise au Québec. On a dit : Non, les parents n'auront plus ce choix.

Puis moi, personnellement, je pense que c'est justifié d'avoir retiré ce choix-là, parce qu'on est dans une situation où le bien commun l'emporte sur le choix individuel. Cas classique de choix collectif où on affirme quelque chose comme société puis on dit : C'est plus fort que le strict choix du parent. C'est, d'ailleurs, une des raisons pour laquelle beaucoup de gens contestent la loi 101, ce qui n'est pas mon cas, moi, je juge que c'est un bon calcul.

Donc, il y en a plein, de ça, dans une société de droit, des moments où on affirme des principes puis on dit : C'est plus important que l'autorité parentale. C'est le cas aussi... je donnais l'exemple de la publicité. Et là, quand on arrive dans l'enjeu explosif et sensible de la collecte des données personnelles des enfants, on est, selon moi, dans ce genre de situation où, là, c'est un pensez-y-bien parce que, et on le sait et le ministre le sait, quand les données sont collectées, à un moment donné, elles sont conservées. Puis le parent peut consentir à ce que son enfant interagisse avec un jouet intelligent qui va le prendre en photo, examiner sa voix, ses mouvements, tout ça, en disant : Moi, ça ne me dérange pas. Ces données-là sont conservées. L'enfant vieillit. Les données sont encore conservées par l'entreprise. Après le consentement qui a été donné par le parent, l'enfant, par la suite, vit avec toute sa vie, tu sais? Puis c'est pour ça qu'il y a plein de choix que les parents n'ont pas le droit de faire pour leurs enfants.

Ça fait que moi, je pense qu'il y a là une réflexion importante à avoir. J'ai cité quand même quelques autorités dans ma présentation, Option Consommateurs, la CAI elle-même en 2011. Je pense qu'il y a des balises à venir instaurer ici. On peut suspendre l'article si le ministre n'est pas prêt à y aller. Moi, je voulais, comme on dit, faire mon pitch, lui exprimer mes préoccupations. Est-ce que j'embrasse trop large avec toute utilisation commerciale? Peut-être. Peut-être qu'on peut se concentrer, par exemple, sur la question du profilage commercial. Parce que, là, on cible une pratique qui peut nous apparaître spontanément comme problématique. Moi, je suis ouvert à toutes ces avenues-là.

L'argument fondamental que je présente, c'est : attention ici à la question du consentement parce qu'on est exactement dans le genre de situation où il faut faire une réflexion pour voir qu'est-ce qui devrait l'emporter entre le consentement parental puis d'autres valeurs qu'on pourrait vouloir affirmer collectivement. Puis, encore une fois, tu sais, je ne veux pas avoir l'air du gars qui annonce l'apocalypse à chaque fois, là, en parlant des pratiques de certaines entreprises, mais on le sait, là, tu sais, que ça existe. Puis j'ai lu beaucoup pour me préparer à cette commission-là, puis, tu sais, des jouets qui sont munis de caméras puis de capteurs sonores qui reconnaissent la voix, le visage de l'enfant... Il paraît qu'il y a un petit robot qui s'appelle Cozmo, qui fait ça, je l'ai appris.

Là, il y a quelque chose qui devrait nous heurter, pas juste comme parents mais comme législateurs, en se disant : Du point de vue du bien commun, c'est-tu le genre de pratiques qui devraient être légales? Je pense qu'on a une petite réflexion à faire là-dessus, puis ça tombe bien parce qu'on travaille dans une commission qui avance bien, où la collaboration est bonne. Je ne sais pas comment le ministre veut procéder, mais je pense qu'il faut prendre le temps de réfléchir à ce qu'on veut mettre dans le projet de loi sur cette question-là.

Le Président (M. Bachand) : ...aussi le député de La Pinière.

M. Caire : ...

Le Président (M. Bachand) : Oui, M. le ministre, avant, oui.

M. Caire : Je vais peut-être intervenir sur ce que le député de Gouin vient de dire. Moi, je suis très sympathique à plusieurs éléments qui ont été amenés par le député de Gouin.

J'ai relaté, M. le Président, et vous me permettrez de me répéter ou... J'ai eu le privilège de représenter le Québec au Partenariat mondial sur l'intelligence artificielle à Paris, où j'ai eu le privilège aussi de discuter avec les gens de la CNIL. Ça m'a inspiré beaucoup pour les modifications que j'ai proposées aux collègues, notamment sur une vice-présidence surveillance, mais avec un volet TI très fort. Et ce qui m'a inspiré ça, c'est une visite des lieux que j'ai faite, où, justement, le président de la CNIL m'indiquait qu'ils étaient en train d'enquêter sur certains types de jouets, poupées comme ça, qui filmaient et enregistraient et pour lesquels ils avaient demandé que ce soit enquêté, où il y avait une intrusion à la vie privée qui était assez claire, là, parce que ça se faisait à l'insu des gens. Puis je me disais : Mon Dieu! Oui, il faut aller vers ça. Il faut aller vers ça.

Donc, là-dessus, je pense qu'on n'aura pas de grand débat, là. Tu sais, quand on commence à filmer les gens ou enregistrer les gens... Puis encore... puis je dis «particulièrement les enfants» parce que ça nous touche, on dirait, plus quand c'est des enfants, mais il n'y a pas de situation où c'est acceptable de filmer quelqu'un à son insu, là, je veux juste être clair là-dessus, là, ou de l'enregistrer à son insu, ou de lui prendre des renseignements personnels à son insu. Il n'y a pas de situation où c'est acceptable. Mais ça, je pense que le projet de loi l'adresse bien parce que, dans le fond, c'est une collecte de renseignements personnels, et ça ne peut pas se faire sans le consentement de la personne.

• (17 heures) •

Le député de Gouin amène une autre notion, indirectement, qui est l'exploitation des enfants, exploitation au sens commercial, on s'entend, là, je ne suis pas en train de parler d'esclaves dans les mines ou... on ne va pas là, mais pour lesquels j'ai aussi une sensibilité, M. le Président. Je suis père de quatre enfants, dont certains sont encore relativement jeunes et influençables, donc j'ai cette sensibilité-là, comme parent, de dire : Bien, est-ce que je veux qu'on puisse filmer mes enfants, ou les enregistrer, ou recueillir des renseignements sur eux afin de les profiler puis de s'assurer que leur prochaine visite sur YouTube sera ponctuée de publicités de x ou y? Non, évidemment pas.

Et là je vais faire étalage de mon dilemme sur la place publique, M. le Président, et, suite à ça, donner suite à la demande de suspension de l'article du député de Gouin, parce que je pense que c'est un enjeu qui est très large, c'est un enjeu qui nous dépasse. Je parle des députés qui siègent à la commission, pour lesquels je pense qu'il ne serait pas inopportun d'avoir l'occasion de consulter et de mûrir sur cette réflexion-là avant de poser des gestes, parce qu'on est quand même en train de légiférer.

Et donc mon dilemme vient de ce que j'ai dit au député de Gouin, auquel je crois aussi, parce que, comme parent, j'ai été confronté très souvent, dans la société, à des situations où on prenait des décisions pour mes enfants et où j'avais l'impression de jouer un rôle secondaire du fait que j'étais un parent et non pas un expert en ci, un expert en ça, et où, je le dis candidement, où il s'est avéré que leur mère et moi, on a eu raison, au-delà des expertises, des situations qui amènent beaucoup de frustration au niveau des parents qui sont encore les premiers préoccupés.

Nonobstant, là, les situations qu'on voit dans l'espace public, moi, je pense que l'immense majorité des parents sont des gens qui sont dédiés à leurs enfants, et qui vont faire tout en leur pouvoir pour le bien-être de leurs enfants, et pour qui le bien-être de leurs enfants est la seule préoccupation qu'ils ont. Ça, je pense que c'est l'immense majorité des parents au Québec qui sont dans cette situation-là. Donc, de dépouiller ces gens-là de leur prérogative, de leur jugement, de leur droit à décider pour l'enfant... Puis je parle du droit à décider pour l'enfant parce que je pense que c'est non seulement un droit, mais c'est une obligation, c'est une responsabilité du parent. J'ai toujours beaucoup d'a priori, même si la cause fondamentale me semble juste.

Puis l'exemple que le député de Gouin donne est un bon exemple. C'est vrai qu'au Québec on a décidé de légiférer pour protéger la langue française. Même si je ne suis pas convaincu que la loi s'adressait principalement aux enfants francophones du Québec, ça a quand même pour effet que les enfants francophones du Québec doivent aller à l'école française. Et donc, de ce fait, le député de Gouin a tout à fait raison, on a substitué la raison d'État à un choix parental.

Est-ce qu'on est ici dans la raison d'État? Je ne sais pas, je ne sais pas. Je suis interpelé par ce que le député de Gouin dit et, avec l'assentiment des collègues et après l'intervention, évidemment, du député de La Pinière, je demanderais de suspendre l'article, M. le Président, parce que c'est le genre de sujet où je pense qu'il est sage de prendre un peu plus de temps, d'avoir une réflexion plus large, plus approfondie, de consulter différentes personnes et après ça de revenir peut-être avec une décision éclairée.

Le Président (M. Bachand) : Merci. M. le député de La Pinière, s'il vous plaît.

M. Barrette : Très brièvement. J'ai écouté l'échange, je vais vous avouer que je penche beaucoup du côté du député de Gouin dans ce dossier-là. Puis j'écoute le ministre et puis j'ai de la misère à le suivre, là. Est-ce que le ministre pourrait lui-même nous donner, là, dans son esprit, un exemple où c'est vraiment nécessaire, là, dans le contexte qui est décrit par le député de Gouin, là, un exemple où ça serait vraiment discutable de retirer le droit parental?

M. Caire : Je ne suis pas sûr que je comprends la question de mon collègue.

M. Barrette : Parce qu'un moment donné, quand on dit, là... Le ministre nous dit qu'il est mal à l'aise parce qu'on va retirer aux parents le droit de choisir. Essentiellement, c'est ça qu'il nous dit. Le député de Gouin, lui, il dit : Bien, c'est parce qu'un moment donné il y a des choix de société, puis, dans le choix de société, c'est vrai que, dans bien des circonstances, on retire des droits, là. Le parent ne peut pas dire à son gars : Regarde — ou à sa fille — va donc voler à l'épicerie, là. Tu sais, je veux dire, ça ne se fait pas, là. J'exagère, je caricature, on s'entend. Maintenant, il y a un malaise, dans l'esprit du ministre, de retirer ce droit-là. Alors, je cherche un exemple pratique où, dans le contexte amené par le député de Gouin, ça semblerait poser un problème, un malaise, je ne sais pas trop quoi, dans l'esprit du ministre, et je ne le vois pas.

Le député de Gouin, je ne pense pas qu'il faisait référence... Je ne pense pas, il aura le choix de… il aura la possibilité de me répondre s'il le souhaite. En médecine, on fait des enregistrements de données puis on les garde. Vous avez un enfant de huit ans qui est diabétique, on va lui mettre une pompe, puis on va pouvoir la suivre à distance, puis c'est bien important parce qu'on voit son sucre monter, descendre. Puis la télémédecine, là, de ce type-là, là, pas du type de la téléconsultation, mais le suivi de données cliniques, là, numériques, là, comme la pression artérielle, la glycémie, tout ça, à distance, c'est une grosse, grosse avancée, puis il n'y a personne à qui ça viendrait à l'esprit de dire : Aïe! On va interdire ça, là, parce qu'on collecte et on enregistre des données. Parce que je ne pense pas que c'est le contexte que le député de Gouin met de l'avant, là. Ça fait que ce n'est pas ça qu'on vise.

Alors, ça, tout le monde va dire oui à ça. Mais à quoi on peut imaginer… c'est quoi, un exemple, là, qui ferait en sorte, là, que moi, là, comme parent, là... ou le ministre lui-même, comme parent, il dirait : Bien, là, là, vous poussez un petit peu le bouchon un peu trop loin, là, en m'empêchant de faire ça? J'ai de la misère à trouver un exemple. Parce que ça, c'est vraiment un exemple…

M. Caire : Bien, je vous donne un exemple…

Une voix : ...

M. Caire : Oui, oui.

Le Président (M. Bachand) : …de Gouin, là-dessus, complémentaire. Oui.

M. Nadeau-Dubois : Je suis vraiment… je trouve ça vraiment plate, parce que c'est une super belle discussion, mais j'ai une petite urgence leader à aller m'occuper au bleu. Ce n'est pas un vote, c'est juste un petit problème à régler, ça ne sera vraiment pas long. On peut-tu suspendre trois, quatre minutes, puis je reviens?

Le Président (M. Bachand) : Ça va? Alors, on va suspendre quelques instants. Merci.

(Suspension de la séance à 17 h 06)

(Reprise à 17 h 11)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Bien, je sens que le ministre est intéressé à explorer la question, puis moi, je veux, d'entrée de jeu, lui dire puis je veux lui dire au micro que moi, je suis prêt à travailler avec lui pour qu'on trouve exactement la bonne manière d'inscrire ça puis qu'on mette les bonnes balises. L'idée n'est pas de viser trop large et d'interdire des choses qui ne devraient pas l'être. L'idée, c'est de trouver exactement, comme société, quelles pratiques on juge qui sont possibles, avec le consentement des parents, puis quelles pratiques on juge que, là, même avec le consentement, il y a quelque chose qui nous heurte, puis, comme société, on dit non, puis on trace une ligne.

Ça fait que moi, j'entends l'intérêt du ministre à avancer sur ce chemin-là puis à trouver une solution. Je salue cette ouverture. Puis on peut sans doute suspendre l'article pour se donner le temps de faire ce travail-là ensemble puis trouver les bonnes balises à instaurer. Puis nos équipes travailleront ensemble pour trouver… puis avec le député de La Pinière aussi, qui semble intéressé, ça fait qu'on travaillera tous ensemble pour trouver la solution. Je pense que c'est important de prendre le temps.

Le Président (M. Bachand) : Ça va? Alors, je comprends qu'il y a consentement pour suspendre l'étude de l'article 96?

M. Caire : Consentement, M. le Président.

Le Président (M. Bachand) : Consentement. Merci beaucoup. M. le ministre, s'il vous plaît.

M. Caire : M. le Président, l'article 97 se lit comme suit : L'article 5 de cette loi est modifié par le remplacement du premier alinéa par le suivant :

«La personne qui recueille des renseignements personnels sur autrui ne doit recueillir que les renseignements nécessaires aux fins déterminées avant la collecte.»

Donc, l'article 5 de la Loi sur la protection des renseignements personnels dans le secteur privé est modifié en raison de la suppression par le projet de loi de la plupart des occurrences de la notion de dossier dans cette loi.

Alors, M. le Président, l'ancien article, effectivement, faisait référence aux «renseignements nécessaires à l'objet du dossier». Cette occurrence-là, on tente de la retirer, d'où la modification que nous proposons à l'article 5.

Le Président (M. Bachand) : Interventions?

M. Caire : Adopté.

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : ...il y a deux choses ici, là. Il y a le retrait de la notion de dossier, qui en effet est périmée technologiquement, mais il y a aussi la question... il y a aussi l'obligation de recueillir seulement les renseignements nécessaires aux fins qui sont annoncées. Et il y a, troisièmement, une phrase qui dit : «Ces renseignements doivent être recueillis par des moyens licites.» Qu'est-ce que ça veut dire? Pourquoi est-ce que c'est là?

M. Caire : Bien, en fait, je tiens à préciser que ça, c'est déjà dans la loi, cette notion-là.

M. Nadeau-Dubois : Oui, c'était déjà dans la loi, tout à fait.

M. Caire : Là-dessus, je vais laisser Me Miville-Deschênes donner l'explication juridique...

M. Nadeau-Dubois : ...peut pas le voler, là.

M. Caire : ...aux termes qui ont été utilisés par le législateur à l'époque.

Le Président (M. Bachand) : ...s'il vous plaît.

M. Miville-Deschênes (Jean-Philippe) : Bien, «licite», oui, on en avait déjà parlé un peu, là, mais c'est un synonyme de «légal» en fait, là. Donc, la collecte doit être faite par des moyens qui sont légaux, qui sont autorisés par la loi ou, tu sais, par les chartes, là.

M. Caire : Une petite caméra sur le «side», ça ne marche pas.

M. Miville-Deschênes (Jean-Philippe) : Ceci dit, ça contreviendrait aussi à d'autres dispositions de la loi, là. Mais effectivement c'est l'objectif.

Le Président (M. Bachand) : M. le député de La Pinière.

M. Barrette : Ce qui veut dire qu'éventuellement on pourrait empêcher une collecte de données par des jouets. Ça deviendrait illicite.

M. Caire : Bien, en fait, on aurait deux raisons de le faire. D'une part, ça prend le consentement pour le faire. Et, d'autre part, effectivement, ce n'est pas un moyen qui est reconnu.

M. Barrette : N'est-ce pas merveilleux? Quelle arme!

M. Caire : Mais, en même temps, cette disposition-là existait déjà.

M. Barrette : Oui, je me souviens.

M. Caire : Donc, la notion de consentement vient se superposer à ça.

M. Barrette : C'est bon.

Le Président (M. Bachand) : Merci. M. le député de Gouin, je crois?

M. Caire : Adopté.

Le Président (M. Bachand) : M. le député de Gouin? Ça va?

M. Nadeau-Dubois : ...commentaire éditorial. C'est curieux de préciser dans une loi que les renseignements doivent être récoltés par des moyens légaux, mais... C'est un peu implicite. Je présumais que c'était pour ça qu'on avait une loi qui détaillait les moyens légaux de récolter des renseignements personnels. Mais c'est bon, c'est...

M. Caire : Le contraire aurait été encore plus bizarre.

M. Nadeau-Dubois : Bien, tu sais, c'est parce que je me demande, tu sais, si c'était vraiment important de l'écrire. Mais c'est un fait cocasse.

M. Caire : Oui, bon. Mais on n'était pas là à l'époque, M. le député, donc on est dédouanés des termes.

M. Nadeau-Dubois : Mais c'était déjà là, je n'en tiens pas rigueur au député de... au ministre.

Le Président (M. Bachand) : Merci beaucoup. Alors, s'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 97 est adopté. Merci. M. le ministre, s'il vous plaît.

M. Caire : Oui, M. le Président. 98. L'article 7 de cette loi est modifié par le remplacement dans... deux premiers alinéas par le suivant :

«La personne qui recueille des renseignements personnels auprès d'une autre personne qui exploite une entreprise doit, à la demande de la personne concernée, informer celle-ci de la source de ces renseignements.»

Alors, M. le Président, encore une fois, c'est une question d'éliminer l'occurrence des «dossier» puisque la version originale faisait référence à l'inscription qui fait partie du dossier de la personne concernée. Donc, c'est un article de concordance.

Le Président (M. Bachand) : Interventions? M. le député de Gouin.

M. Nadeau-Dubois : Je veux comprendre dans quel type de situation est-ce qu'un article comme ça est utilisé. Une personne qui recueille des renseignements auprès d'une personne qui exploite une entreprise, donc là, j'imagine, ça peut être une personne physique, une personne morale, doit être... J'essaie juste de comprendre ça s'applique dans quel type de circonstance.

M. Miville-Deschênes (Jean-Philippe) : ...lorsque les communications sont permises. Donc, une entreprise qui a des renseignements personnels va pouvoir communiquer, il y a différents... article 18, il y a différentes possibilités de communiquer : avec le consentement de la personne ou communiquer à une entreprise quand il y a un contrat de service. Donc, tu communiques, puis l'autre entreprise qui reçoit les renseignements, elle doit indiquer dans le dossier de qui elle les a reçus.

Je vais donner un exemple concret, là. Tu vas chez le concessionnaire automobile, il te propose du crédit. Il va communiquer... le concessionnaire automobile, avec ton consentement, va communiquer à la banque, là, qui va t'offrir le crédit, des informations. Bien, la banque doit inscrire dans ton dossier d'où elle a reçu ces renseignements-là. Comme ça, si tu fais une demande d'accès à la banque, elle va non seulement te donner tes renseignements, mais pouvoir t'informer d'où ils proviennent.

Ça fait que, pour chaque entreprise qui reçoit des renseignements, il doit indiquer la provenance de ces renseignements-là. Ce n'est pas clair suffisamment?

M. Nadeau-Dubois : Non, je réfléchis. Et je comprends bien.

Le Président (M. Bachand) : Merci beaucoup. Interventions? S'il n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : Pour les membres de l'opposition officielle, M. Barrette (La Pinière)?

M. Barrette : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'article 98 est adopté. Merci beaucoup. M. le ministre, s'il vous plaît.

M. Caire : Oui, M. le Président. Article 99, relatif au très attendu article 8... de cette loi est remplacé par le suivant :

«8. La personne qui recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte et par la suite sur demande, l'informer :

«1° des fins auxquelles ces renseignements sont recueillis;

«2° des moyens par lesquels les renseignements sont recueillis;

«3° des droits d'accès et de rectification prévus par la loi;

«4° de son droit de retirer son consentement à la communication ou à l'utilisation des renseignements recueillis.

«Le cas échéant, la personne concernée est informée du nom du tiers pour qui la collecte est faite et de la possibilité que les renseignements soient communiqués à l'extérieur du Québec.

«Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d'elle, des catégories de personnes qui ont accès à ces renseignements au sein de l'entreprise, de la durée de [la] conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels.

«L'information doit être transmise à la personne concernée en [des] termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements.»

Donc, M. le Président, l'article 8… l'article 99 de... Cet article introduit les nouveaux articles… Oh! Oh! Oh! J'ai-tu manqué quelque chose? Oui, excusez-moi, M. le Président, je n'avais pas fini, parce que…

Une voix : …

• (17 h 20) •

M. Caire : Non, non, j'avais coupé court un peu, là. Donc :

«8.1. En plus des informations devant être fournies suivant l'article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci doit, au préalable, l'informer :

«1° du recours à une telle technologie;

«2° des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage.

«Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

«8.2. La personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site Internet de l'entreprise, le cas échéant, et diffuser par tout [autre] moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Elle fait de même pour l'avis dont toute modification à cette politique doit faire l'objet.

«8.3. Toute personne qui fournit ses renseignements personnels suivant l'article 8 consent à leur utilisation aux fins visées au paragraphe 1° du premier alinéa de cet article.»

Bon, cette fois, M. le Président, c'est vrai. Cet article introduit les nouveaux articles 8 à 8.3 à la Loi sur la protection des renseignements personnels du secteur privé.

L'article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé est modifié en raison de la suppression par le projet de loi de la plupart des occurrences de la notion de dossier dans cette loi. Il est également modifié afin de préciser davantage l'information devant être communiquée à la personne auprès de qui ces renseignements personnels sont recueillis.

Le nouvel article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé prévoit l'information devant être communiquée à la personne auprès de qui des renseignements personnels sont recueillis en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci. Il définit également la notion de profilage.

8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé prévoit que l'entreprise qui recueille, par un moyen technologique, des renseignements personnels doit publier sur son site Internet et diffuser par tout autre moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs.

Et 8.3 sur la Loi de la protection des renseignements personnels dans le secteur privé prévoit que toute personne qui fournit ses renseignements personnels suivant l'article 8 consent à leur utilisation aux fins visées par le paragraphe 1° du premier alinéa de cet article.

Voilà, M. le Président.

Le Président (M. Bachand) : Je crois que vous avez un amendement, aussi… des amendements, plutôt, potentiels?

M. Caire : Effectivement, M. le Président. Donc là, je veux juste être sûr que je vous lis les bons…

Le Président (M. Bachand) : Et ici, juste si vous êtes d'accord, on va fonctionner de la même façon, un peu comme tantôt, on va y aller par… l'article est ouvert, on va y aller par sections, par blocs de sections.

M. Caire : Donc, un premier amendement, M. le Président, que je vais déposer, parce qu'il y en a un qui sera déposé par mon collègue de Gouin, je tiens à le spécifier, là, pour que ce soit clair pour tout le monde. Donc, celui-ci : Remplacer… donc, à l'article 99 de... l'article 8 : Remplacer, dans le deuxième alinéa de l'article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 99 du projet de loi, «et» par «, du nom des tiers à qui il est nécessaire de communiquer les renseignements aux fins visées au paragraphe 1° du premier alinéa et».

Donc, l'amendement proposé au deuxième alinéa de l'article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé vise à ce que les personnes concernées soient informées, lors de la collecte de leurs renseignements personnels, du nom des tiers à qui seront communiqués ces renseignements pour atteindre les finalités déclarées.

Le Président (M. Bachand) : …sur l'amendement. Interventions sur l'amendement? M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Juste bien comprendre, là. On vient changer le «et», qui est comme au milieu de l'alinéa, pour… Qu'est-ce qu'on… Dans le fond, entre la version initiale de l'article puis la version amendée, au fond, le changement, c'est : on vient inscrire la notion de finalité déclarée. On vient dire : La communication à l'extérieur du Québec doit se faire pour les fins qui ont été déclarées, lorsqu'on est allé chercher le consentement, en fonction des critères du premier alinéa. Est-ce que je comprends bien?

M. Caire : Bien, en fait, là, si on parle de l'amendement...

M. Nadeau-Dubois : Oui, l'amendement.

M. Caire : Là, ce qu'on dit, c'est qu'on va... En fait, l'article se lirait : «La personne qui recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte, et...» Non.

M. Nadeau-Dubois : Non, c'est dans le deuxième alinéa.

M. Caire : Non, c'est ça, c'est dans le deuxième alinéa. Je vais juste vous retrouver le... Oui, c'est ça : «Le cas échéant, la personne concernée...

M. Nadeau-Dubois : «Le cas échéant».

M. Caire : ...est informée du nom du tiers pour qui la collecte est faite [et]...» Excusez-moi. Et : «...du nom [du] tiers [...] à qui il est nécessaire de communiquer les renseignements [personnels] aux fins visées [du] paragraphe 1° du premier alinéa...» Oui, c'est ça. La réponse à votre question, c'est oui.

M. Nadeau-Dubois : Donc, «et de la possibilité que les renseignements soient communiqués à l'extérieur du Québec».

M. Caire : «Communiqués à l'extérieur du Québec».

M. Nadeau-Dubois : Donc, au fond, dans la première version, on disait : La personne concernée doit être informée du tiers, c'est quoi, son nom, et de la possibilité que ce soit communiqué à l'extérieur du Québec. Là, on vient dire... on vient renforcer, au fond, en disant...

M. Caire : ...des tiers.

M. Nadeau-Dubois : ...en précisant que les tiers en question, la communication à ces tiers-là doit être faite pour atteindre les fins visées au premier alinéa.

M. Caire : Voilà. Me Miville-Deschênes va...

M. Nadeau-Dubois : Oui.

M. Miville-Deschênes (Jean-Philippe) : Je veux juste reformuler. Dans le fond, ce qu'on ajoute, c'est que la personne va être informée du nom des tiers, qu'il est nécessaire de communiquer, que ce soit à l'extérieur du Québec ou pas. Donc, si, pour atteindre une finalité, tu dois communiquer à des tiers...

M. Nadeau-Dubois : Ah! c'est ça.

M. Miville-Deschênes (Jean-Philippe) : ...tu dois informer la personne du nom des tiers, mais même s'il n'est pas à l'extérieur du Québec.

M. Nadeau-Dubois : Puis ensuite le reste de l'article, c'est : et de la possibilité que ce soit communiqué à l'extérieur du Québec, le cas échéant, si c'est communiqué à l'extérieur du Québec.

M. Miville-Deschênes (Jean-Philippe) : C'est ça.

M. Nadeau-Dubois : O.K. Donc, on vient renforcer en disant que, si des tiers reçoivent des renseignements personnels, il faut qu'on communique à la personne l'identité de ces tiers-là, et puis on vient préciser que la communication doit être faite aux fins visées par le premier alinéa.

M. Miville-Deschênes (Jean-Philippe) : C'est ça.

M. Nadeau-Dubois : O.K. C'est un bon amendement, M. le Président, on va voter pour.

Le Président (M. Bachand) : Député de La Pinière.

M. Barrette : C'est moi? O.K.

Le Président (M. Bachand) : Oui, c'est vous.

M. Barrette : Regardez, M. le Président, c'est parce que ça revient tout le temps, là... ce n'est pas tant sur l'amendement, mais je vais poser la question ici parce que ça revient à chaque fois. Puis peut-être qu'il n'y a aucun intérêt, là, mais je veux juste avoir une précision juridique, là. Le 8, tel qu'il est écrit, là, c'est toujours «la personne». Puis, à un moment donné, dans les explications, là, dans les commentaires, à un moment donné, c'est «la personne ou l'entreprise». Il y a-tu un enjeu, là?

Le Président (M. Bachand) : Me Miville-Deschênes, s'il vous plaît.

M. Barrette : Parce que moi, je me serais attendu que ça soit, dans l'article 8, là, que ça soit partout «la personne ou l'entreprise», mais là c'est toujours «la personne», puis ce n'est jamais «l'entreprise». Dans les commentaires, à un moment donné, c'est «la personne ou l'entreprise». Ça fait que, si on se sent obligés de dire «la personne ou l'entreprise», c'est peut-être qu'il y a une différence juridique.

M. Miville-Deschênes (Jean-Philippe) : Bien, en fait, la loi vise les personnes qui exploitent une entreprise, parce qu'elle réfère à l'article 1525 du Code civil, qui parle des personnes qui exploitent une entreprise. Donc, toutes les obligations de la loi sur le secteur privé s'appliquent aux personnes qui exploitent une entreprise, donc, de là l'utilisation du mot «personne» dans tous les articles de la loi.

M. Barrette : C'est automatique que «personne»... Bien, c'est vraiment une question purement technique, là. Parce qu'il n'y a pas de M. Alphabet, hein, il n'y a pas de M. Google, là, il n'y a pas de M. Cookie, là, c'est des entreprises qui recueillent. Et là, moi, le fait de voir... Il est bon, là, cet article-là, ce n'est pas ça, là, c'est bon, là, c'est bien écrit, ça fait... Je ne sais pas si c'est tout applicable, ça, on en reparlera peut-être à un autre moment, là. Mais le fait de toujours relier ça à la personne, moi, là, non-juriste, là, je me dis : O.K., ça, c'est un gars qui a sa petite entreprise, là, puis c'est lui qui fait ça. Et ce qui m'a titillé, c'est, à la lecture des commentaires, à un moment donné, c'est «la personne ou l'entreprise», dans les commentaires. Ça fait que, s'il y a «personne ou entreprise», c'est parce que c'est deux entités juridiques différentes.

M. Caire : ...personne morale versus personne physique.

M. Barrette : Bien, c'est ça que je veux préciser, là.

M. Caire : Oui, bien, c'est ça, c'est une bonne question.

M. Miville-Deschênes (Jean-Philippe) : Bien, c'est sûr que, quand on parle de personne qui exploite une entreprise, ça peut être un des deux, là. La personne...

M. Barrette : Oui, mais, implicitement, ça veut dire que c'est deux entités juridiques différentes.

M. Miville-Deschênes (Jean-Philippe) : Bien, la loi s'applique aux personnes qui exploitent une entreprise, ça fait que ce soit une personne morale enregistrée de façon individuelle, qui exploite une entreprise, ou une personne… ou une personne physique, excusez, ou une personne morale, bien, la loi s'applique à cette personne-là qui exploite une entreprise. Donc, on a maintenu un peu, là, la qualification, là, de la personne, qui peut être physique ou morale, mais qui, dans tous les cas, exploite une entreprise.

M. Barrette : Là, je fais un excès de zèle, là, je fais exprès, là. Est-ce que la personne peut nous mener dans une situation juridique où c'est une personne dans une entreprise puis c'est la personne qui est responsable, mais pas l'entreprise?

• (17 h 30) •

M. Caire : Mais ce que j'ai compris... Puis on a eu cette discussion-là avec le député de LaFontaine, je vais me risquer une explication, puis, de toute façon, Me Deschênes est toujours là pour me corriger quand je me trompe, ce qui arrive très rarement. Mais, comme on parle de la personne qui exploite une entreprise, dépendamment de la forme juridique dans laquelle l'entreprise est constituée, ça va être la personne, si elle est enregistrée, donc la personne physique, et la personne morale, si elle est incorporée. Mais donc la notion de personne va s'adapter à la forme juridique que l'entreprise a prise au moment de sa constitution. Est-ce que j'ai bien compris, Me Miville-Deschênes? C'est fort, hein? C'est sérieux, hein?

M. Barrette : Je suis encore inconfortable, là. Puis, encore là, j'insiste, là, il est bien écrit, là, l'article. Il fait ce qu'on veut faire. C'est juste qu'à la case départ... Regardez, là, un moment donné, là, quand vous dites... Quand vous dites, dans les commentaires : Par ailleurs, il ne sera plus exigé que la personne soit informée à chaque collecte des catégories de personnes qui ont accès aux renseignements au sein de l'entreprise, ça fait qu'on a une personne qui collecte. La personne dont les informations sont collectées, là, on vient dire essentiellement qu'elles sont collectées par une personne mais qui est dans une entreprise qu'on ne saura les personnes. Ça fait que moi... C'est dans les commentaires, ce n'est pas dans la loi, mais tout ce que je vois dans les commentaires me mène à conclure qu'il y a deux catégories juridiques là, là, pour ça. Et ça, c'est un article crucial, là. Mais c'est un article «heavy», là, celui-là, là. Ça fait que, là, moi, je cherche à m'assurer qu'il n'y a pas une échappatoire.

M. Caire : Mais, dans l'interprétation, ce que j'en comprends, c'est que la notion de personne va référer à la forme juridique de l'entreprise. Parce que c'est pour ça qu'on parle de personne physique ou de personne morale.

M. Barrette : Bien, moi, ça ne m'apparaît pas clair de même, là, pourquoi qu'on ne met pas «la personne ou l'entreprise».

M. Caire : Oui, mais c'est pour ça que vous êtes médecin et pas avocat.

M. Barrette : Pourquoi... Ce n'est pas clair parce que... Oui. Bon. Mais pourquoi on ne met pas «la personne ou l'entreprise»? Ça pose-tu un problème?

M. Miville-Deschênes (Jean-Philippe) : Dans le fond, l'article 1 qui indique qui sont les personnes ou entités assujetties à la loi vise les personnes qui recueillent, détiennent, utilisent ou communiquent des renseignements à l'occasion de l'exploitation d'une entreprise. Puis, bon, il réfère à l'article 15.25. Donc, le premier article vise les personnes qui exploitent une entreprise. Donc, ce terme-là est utilisé partout dans la loi.

Une voix : ...

M. Caire : Parfait.

Le Président (M. Bachand) : ...amendement? S'il n'y a pas d'autre intervention sur l'amendement, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il...

La Secrétaire : ...contre, abstention. M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Merci. Donc, si on veut garder un petit peu la méthodologie, je ne sais pas...

M. Caire : ...peut-être commencer sur 8.

Le Président (M. Bachand) : Sur le bloc 8.

M. Caire : Bien, en fait, on pourrait faire le débat sur 8. Après ça, en tombant à 8.1, mon collègue de Gouin sera celui qui déposera l'amendement.

Le Président (M. Bachand) : Donc, interventions sur le bloc 8,  pour lequel on vient d'adopter un amendement, bien sûr. Ça va pour l'instant? On peut y revenir aussi. Il n'y a pas de souci, là, si jamais... O.K. Donc, on serait prêt pour changer de bloc?

M. Caire : À ce moment-là, je...

Le Président (M. Bachand) : 8.1. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Oui, M. le Président. J'aimerais déposer un amendement. Je pense qu'il vous a déjà été envoyé, M. le Président. Est-ce que c'est possible?

Le Président (M. Bachand) : Je vérifie. O.K. On va suspendre quelques instants. On ne l'a pas encore reçu.

(Suspension de la séance à 17 h 34)

(Reprise à 17 h 36)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Donc, je dépose un amendement à l'article 99 :

Remplacer, dans le paragraphe 2° du premier alinéa de l'article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, proposé par l'article 99 du projet de loi, «, le cas échéant, pour désactiver» par «pour activer».

Le Président (M. Bachand) : Merci beaucoup. Oui?

M. Nadeau-Dubois : Donc, l'objectif de l'amendement, M. le Président, est de venir inscrire, ici, un principe qui est généralement considéré comme un bon principe, celui de la confidentialité par défaut. Ça, ce que ça veut dire, c'est que, quand on interagit avec, par exemple, une application, bien, l'application devrait être configurée d'une telle manière à ce que ses fonctions les plus invasives, donc dans le cas de l'article qui nous occupe, de localisation, d'identification et de profilage, soient, par défaut, désactivées, et que ce soit par un geste actif que l'utilisateur les active. En anglais, on va souvent dire «opt-in», plutôt que le contraire. C'est-à-dire que l'utilisateur, le citoyen se retrouve dans une situation où il télécharge une application — puis on va prendre cet exemple-là parce que c'est une des situations que les gens connaissent le mieux — où ils téléchargent une application, ils se disent : Ah! c'est juste une application pour la météo. C'est banal, ça, la météo. Mais, sans le savoir, parce que, par défaut, il y a des fonctions de localisation, de profilage et d'identification qui sont activées, bien, l'application se met à collecter toutes sortes de renseignements personnels auxquels la personne n'a pas consenti, parce que, par défaut, les fonctions de localisation et de profilage étaient activées.

En venant faire l'amendement, ici, on renverse la logique puis on va demander aux entreprises de solliciter un consentement actif, un geste actif de la part de l'utilisateur pour choisir d'activer ces fonctions-là. Et là, donc, à ce moment-là, on peut dire qu'il y a réellement consentement à ce qu'il y ait une collecte des renseignements personnels puis à ce qu'il y ait, en fait, pour être plus précis, là, identification, localisation ou profilage. Ça fait que c'est un changement de mots, là, «activer» pour «désactiver», mais c'est un changement important, parce qu'on vient vraiment s'assurer de protéger les gens.

D'ailleurs, commentaire éditorial, Apple, récemment, a fait une mise à jour de ses systèmes pour s'en aller, grosso modo, dans cette direction-là. Ce n'est pas exactement ça, parce qu'on donne l'option oui ou non, pour ce qui est du traçage des applications, mais c'est un pas dans la bonne direction puis c'est intéressant de constater que des... qu'une entreprise comme Facebook, dont tout le modèle d'affaires repose sur la captation massive et souvent inconsidérée de données personnelles, a très mal réagi à l'annonce d'Apple. A contrario, on peut dire qu'ils étaient très fâchés de ces mises à jour là parce qu'ils ont bien vu que c'était une attaque à leur modèle d'affaires. Donc, ce n'est pas exactement ça, l'amendement que je présente, mais ça va quand même dans la même direction. Je pense, ça nous... Puis, de manière intéressante, je pense que la réaction de Facebook nous permet de voir à quel point ce n'est pas banal, parce que, si ça réagit comme ça, c'est parce qu'il y a vraiment, là, un frein qui est mis à la captation massive et invasive de données personnelles.

Puis là on va se donner, au Québec, une loi où on dit aux entreprises privées : Par défaut, vous allez désactiver les fonctions, puis c'est les Québécois puis les Québécoises qui vont choisir de vous donner leurs données pour identification, localisation ou profilage. Ça fait que c'est un amendement que je tenais à présenter parce que je le trouve important. Je pense que c'est significatif comme changement dans la loi. Puis je suis content de savoir d'avance, parce qu'il me l'a déjà dit, que le ministre est d'accord avec ça. Puis je pense qu'on vient vraiment mettre une pierre importante, là, dans l'édifice du projet de loi n° 64 avec cet amendement-là de désactivation par défaut. Ça peut avoir l'air technique, mais c'est important. Puis bien fier de présenter cet amendement, M. le Président.

• (17 h 40) •

Le Président (M. Bachand) : Merci beaucoup. Interventions?

M. Caire : Tout a été dit, M. le Président.

Le Président (M. Bachand) : Merci. Donc, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.

La Secrétaire : Pour, contre, abstention. M. Nadeau-Dubois (Gouin)?

M. Nadeau-Dubois : Pour.

La Secrétaire : M. Caire (La Peltrie)?

M. Caire : Pour.

La Secrétaire : Pour les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?

M. Lemieux : Pour.

La Secrétaire : M. Bachand (Richmond)?

Le Président (M. Bachand) : Abstention. Donc, l'amendement est adopté. Donc, on revient à l'étude du bloc 8.1. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : J'aimerais aborder un deuxième sujet, lui aussi sensible, la question du profilage. Puisque l'article 8.1, son deuxième alinéa, là, porte sur la question du profilage, on vient définir ce qu'est le profilage, c'est-à-dire la collecte et l'utilisation de renseignements personnels pour évaluer certaines caractéristiques d'une personne.

Et souvent le profilage est la première étape pour faire, par la suite, du ciblage publicitaire. C'est souvent pour ça qu'on va parler de profilage commercial, c'est un peu un raccourci pour dire qu'on effectue un... on construit un profil d'une personne à partir de certaines de ses caractéristiques et on va lui proposer de la publicité en fonction de ces caractéristiques-là. Bon, c'est une forme de marketing, de publicité, qui est dorénavant largement répandue. Et ce serait cavalier, voire naïf de ma part, de dire : Le profilage commercial, en soi, il faut l'interdire. Ce n'est pas mon intention. Je pense, néanmoins, qu'il faut mettre des balises sur quelles pratiques de profilage commercial on juge acceptables, quelles balises on juge qu'elles ne sont pas acceptables. Puis, surtout, à partir de quels types de renseignements personnels est-ce qu'on peut faire du profilage commercial? Je pense que c'est, en fait, vraiment là le noeud de la question. À partir de quels types de renseignements les entreprises privées devraient-elles avoir le droit de se... de faire un tel profilage commercial?

Je soumets au ministre que les données biométriques qui ont, donc... qu'on a défini plus tôt, là, ont trait aux caractéristiques intimes et physiques de la personne. Et je soumets au ministre que c'est le genre de renseignements personnels où même, encore une fois, avec le consentement, il ne m'apparaît pas acceptable que des entreprises privées fassent du profilage commercial. Puis je vais donner un exemple : la reconnaissance faciale. Il y a des pratiques qui ont été documentées où la reconnaissance faciale est utilisée pour, et c'est des trucs qui sont en développement incontrôlé, là, en ce moment, là, qui sont utilisés pour faire du profilage commercial, pour ajuster les promotions en fonction de ce qui est capté par des caméras qui font de la reconnaissance faciale.

Puis je répète, ici, ce que j'ai souvent dit, puis je trouve important de le répéter parce que c'est comme toujours un rappel, là, on n'écrit pas la loi juste pour les cinq prochaines années, on l'écrit pour les 10, 15, 20 prochaines années. Puis ces technologies-là évoluent vite. Le phénomène de la reconnaissance faciale est en explosion. Il y a des villes, notamment Boston, Portland aux États-Unis qui ont carrément interdit cette technologie-là dans les espaces publics. Ce n'est pas l'objet de notre débat ici, mais juste pour dire que je ne suis pas le seul à m'inquiéter de cette situation-là. Mais là on est dans un article qui porte sur le profilage commercial. Et je me demande en vertu de quoi est-ce qu'on pourrait juger que c'est acceptable pour une entreprise de faire du profilage commercial à partir de données biométriques du genre : La personne nous donne des renseignements personnels biométriques, genre la personne est enceinte, et là, en fonction de ça, on profile commercialement. Même chose sur des caractéristiques médicales d'une personne, des caractéristiques physiques. Il y a là une pratique commerciale extrêmement invasive dans la vie privée des gens. Il m'apparaît qu'on devrait, ici, là, tracer une ligne collectivement puis dire : On ne peut pas collecter ou utiliser des renseignements biométriques pour faire du profilage commercial. J'aimerais savoir ce que le ministre en pense

Le Président (M. Bachand) : M. le ministre.

M. Caire : Bien, là-dessus, on va peut-être avoir un désaccord plus marqué, M. le Président. Autant je suis très sensible à l'argument de mon collègue quand on parle des enfants, collecter des renseignements personnels sur des enfants... puis le député de Gouin avait un bon argument notamment avec la loi 101, notamment avec le fait aussi qu'il disait : Écoutez, c'est les enfants, mais ces données-là, elles vont traverser le temps, les enfants vont devenir des adultes, mais la donnée, elle, va rester.

Là, on parle d'adultes, d'adultes qui donnent leur consentement et qui donnent leur consentement en connaissant la finalité pour laquelle on collecte des renseignements personnels. Donc, toute la notion de collecter des renseignements à l'insu de la personne, toute la notion de collecter des renseignements sur un... pour une finalité et les utiliser pour une autre finalité, ces notions-là, elles sont évacuées, là, et c'est pour ça que j'ai pris la... Bien, c'est pour ça? Ce n'est pas pour ça, mais j'ai pris la peine tout à l'heure de bien spécifier qu'une utilisation non autorisée de renseignements personnels était considérée comme un incident de confidentialité.

Alors, si moi, on m'appelle ou on a un échange, on collecte des informations sur moi, que ce soient des renseignements personnels biométriques, en me disant : Écoute, voici ce que je vais faire avec, et ça, ça inclut un profilage pour raffiner les publicités que je pourrais t'envoyer parce que tu as consommé tel produit parce que, x, y, puis, bien, on pense que, si on a des promotions, ça pourrait t'intéresser, et que je dis oui, bien, M. le Président, je viens de dire oui. Alors là, la loi... Et là... Et c'est là où je vais dire que, là... Là, là-dessus, je ne suivrai pas mon député de Gouin. La loi, elle, viendrait dire : Bien, toi, tu veux, mais la loi ne veut pas. Non, là-dessus, je ne peux pas. Mais j'espère que le collègue de Gouin comprend bien que je dis non, mais je dis non dans un contexte où la personne est un adulte consentant à qui on demande des informations, des renseignements personnels, biométriques ou autres, en lui expliquant parfaitement ce qu'on va faire avec, pourquoi on le fait, puis que la personne dit oui. Bien, elle a dit oui.

Alors, je suis... Moi, je ne serais pas... Là, je pense qu'on va un peu trop loin, parce que la personne est la propriétaire de ses informations. C'est sa propriété privée, puis elle a le droit d'en disposer à sa guise. Même si on n'est pas d'accord avec la finalité, ça demeure que ce sont ses renseignements personnels. Puis la personne a le droit d'en disposer à sa guise.

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

• (17 h 50) •

M. Nadeau-Dubois : Je respecte, bien sûr, la position du ministre. Je veux juste porter à son attention le fait que je ne suis pas le seul à proposer ça. La CAI, dans le cadre d'une récente consultation sur l'intelligence artificielle disait la chose suivante, suggérait, en fait, d'interdire l'utilisation de certains types de renseignements personnels afin d'effectuer du profilage. Elle faisait une liste d'exemples, d'ailleurs, des exemples beaucoup plus nombreux que moi. La CAI voulait aller beaucoup plus loin. La CAI disait : renseignements concernant l'origine raciale ou ethnique, les croyances, les opinions politiques, la santé, l'orientation sexuelle, les renseignements financiers ou biométriques. Donc, la CAI proposait une interdiction beaucoup plus large en disant : Le profilage, qui est une pratique déjà particulièrement invasive sur le plan de la vie privée, là, la CAI disait : Il faut que tous ces renseignements-là ne puissent pas être utilisés pour faire du profilage. Ils peuvent être utilisés pour faire d'autres choses, mais pas pour faire du profilage. Et les renseignements biométriques, c'était seulement un des éléments.

Ça fait que l'amendement que je vais déposer, je viens de le faire, c'est déjà une version diluée de ce que la CAI proposait, parce que la CAI proposait d'embrasser beaucoup plus large. La CDPDJ, la commission des droits de la personne et de la jeunesse, dans un mémoire que la commission avait déposé à la Commission d'accès à l'information, en mai 2020, c'était au sujet de l'intelligence artificielle, faisait une recommandation similaire et recommandait de son côté, et je cite, « de tenir compte de la totalitédes motifs de discrimination prohibés par la charte dans l'encadrement du profilage». Donc, ce que la CDPDJ, elle, proposait, c'est que tout ce qui, selon la charte québécoise des droits et libertés de la personne, est un motif de discrimination, bien, que tous les renseignements qui sont relatifs à ces motifs de discrimination ne puissent pas être utilisés pour faire du profilage.

Donc, la CDPDJ aussi allait pas mal plus loin. Peut-être que, et je ne mets aucun mot dans la bouche du ministre, mais ma proposition peut avoir l'air intense ou radicale, mais comme disait ma grand-mère, elle a peut-être l'air mais elle n'a pas la chanson parce qu'il y a des acteurs bien crédibles et bien posés dans ces débats-là, la CAI et la CDPDJ, qui proposaient d'aller, en fait, beaucoup plus loin. Moi, déjà, la proposition que je fais ici, là, elle est déjà modérée par rapport à ce que ces acteurs-là recommandaient. Bon, Option Consommateurs, groupe de défense des consommateurs, faisait la même recommandation, en fait, d'interdire le profilage sur la base des motifs qui sont considérés comme discriminatoires en vertu de la charte, donc Option Consommateurs faisait une recommandation similaire à la CDPDJ.

Parce que la question se pose. Si on fait du profilage commercial en utilisant des caractéristiques biologiques des gens, que ce soit intentionnel ou non, c'est l'avis de tous ces acteurs-là, ça revient, au fond à... c'est une pratique commerciale discriminatoire. Et c'est l'avis de ces acteurs-là qui disent : Si tu n'as pas le droit de présenter... Si tu n'as pas le droit de discriminer selon les caractéristiques biologiques de quelqu'un, tu ne devrais pas pouvoir profiler commercialement sur cette base-là. Moi, je... Et là on est au-delà de la question du consentement, on est vraiment au-delà de la question du consentement. Quelles pratiques commerciales sont acceptables?

Donc, voilà la très humble et brève revue des différentes recommandations qui ont été exposées sur cette question-là. Et, ceci étant dit, M. le Président, on pourrait suspendre quelques instants pour que je dépose mon amendement.

Le Président (M. Bachand) : M. le ministre.

M. Caire : Avec la permission, je vais quand même peut-être me permettre un commentaire, puis, après ça, oui, on pourra discuter autour de l'amendement. Mais il y a certains éléments que mon collègue de Gouin a amenés que je veux quand même relever. D'une part, quand on parle de profilage, moi, je ne pense pas qu'on puisse parler de discrimination. Parce que l'objectif d'une entreprise n'est très certainement pas d'interdire la vente de ces produits à tel ou tel groupe. Ce que le profilage en question fait, c'est dire : Bien, écoutez, faire de la publicité, ça coûte quand même quelque chose. Puis on veut s'assurer d'avoir un maximum d'efficacité et un maximum de pénétration des marchés potentiels. C'est ça, l'idée. Donc, je vais essayer de cibler les marchés qui sont susceptibles d'être intéressés par mon produit.

On comprend qu'à mon âge on ne va pas me vendre du Pablum. Bon, peut-être bientôt, mais pas là. Donc, ce n'est pas de la discrimination au sens où on prive quelqu'un de son droit plutôt que de dire : Je vais m'assurer de m'adresser à des clients potentiels. Alors, sur la question de la discrimination, je ne pense pas que je pourrais suivre le raisonnement qui nous a été proposé. Sur la question de la discrimination à proprement parler, c'est déjà balisé par les lois et les chartes. Donc, je pense que, là-dessus, c'est assez clair.

Et, sur la notion d'invasif, là non plus, je ne peux pas aller sur ce terrain-là pour une raison fort simple, c'est que la notion d'invasif sous-entend que ça se fait soit à mon insu soit contre mon gré. Mais, du moment où je suis consentant, ce n'est pas invasif, j'ai consenti. Alors, si vous entrez chez moi par effraction, c'est invasif. Mais, si vous entrez chez moi parce que je vous y ai invité, ce n'est pas invasif.

Donc, la notion de consentement, non seulement elle ne peut pas être occultée, M. le Président, mais elle est fondamentale. Maintenant, ce consentement-là, et on y a vu dans les articles précédents, doit être donné de façon libre et éclairée. On doit savoir à quoi on consent. Ça, là-dessus, je suis d'accord. Je suis d'accord que, si vous collectez des informations sur moi, que ce soit des caractéristiques physiques, des marqueurs biométriques, des renseignements personnels, je dois y consentir et je dois y consentir en sachant ce que vous entendez faire exactement avec ça, puis qu'est-ce que vous entendez faire à court, à moyen et à long terme, s'il y a court, moyen et long termes.

Donc, ça, là-dessus, moi, je suis prêt à suivre. Puis, de toute façon, le projet de loi le prévoit déjà. Donc, on a déjà couvert ces aspects-là. Alors, à partir de là, ce qui, à mon avis, prédomine dans ce débat-là, c'est le fait de : Puis-je disposer à ma guise de mes renseignements personnels? Est-ce qu'ils m'appartiennent? Et, de ce fait, est-ce que je peux en disposer selon ma volonté? Ma réponse à ça, c'est oui, bien sûr. Bien sûr qu'un individu est libre de faire ce qu'il veut de ses renseignements personnels, qu'ils soient des renseignements biométriques ou non.

Je reconnais que le débat est légitime. Ceci étant, là, jamais il ne m'est venu à l'idée de taxer la proposition du collègue de Gouin d'extrême. Pas du tout. Le débat est légitime. Il me demande mon opinion, puis, humblement, c'est ce que, moi, j'en pense. Et, de ce fait, évidemment, je comprends que j'ai un désaccord avec les organismes qui se sont prononcés, qui sont effectivement des organismes pour lesquels j'ai le plus grand respect, ceci étant. Mais, une fois qu'on a dit ça, je ne penche pas... Je ne suis pas d'accord avec ce qui est proposé.

Le Président (M. Bachand) : Merci. M. le député de Gouin.

M. Nadeau-Dubois : Oui. Bien, M. le Président, je vous propose qu'on poursuive cette discussion après le dépôt de mon amendement.

M. Caire : À défaut d'une bière, nous prendrons un amendement.

Le Président (M. Bachand) : Merci. Alors, on va suspendre quelques instants, s'il vous plaît. Merci.

(Suspension de la séance à 17 h 58)

(Reprise à 18 h 03)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Alors, je dépose un amendement à l'article 99 : Ajouter, après le deuxième alinéa de l'article 8.1 proposé par l'article 99 du projet de loi, l'alinéa suivant :

«La collecte et l'utilisation de renseignements personnels biométriques à des fins de profilage commercial sont interdites.»

Le Président (M. Bachand) : M. le député de Gouin, allez-y, oui.

M. Nadeau-Dubois : Donc, je peux peut-être me permettre de poursuivre, parce que je ne répéterai pas ce que j'ai déjà dit, mais, dans le fond, l'objectif de mon amendement, c'est venir dire qu'on ne peut pas collecter des renseignements biométriques à des fins de profilage. Puis je pense qu'il faut, pour bien entamer ce débat-là, se rappeler à quel point la liste des comportements ou des caractéristiques qui peuvent servir à la biométrie est presque infinie. Puis, dans son mémoire, la Commission d'accès à l'information nous le rappelait. Page 25, elle parlait, donc, des comportements ou des caractéristiques qui peuvent servir à la biométrie puis elle disait, je cite : «...certains sont plus connus, comme les empreintes digitales, le visage, l'iris, la voix, la démarche et la signature, alors que d'autres sont plus nichés, comme les odeurs, les battements cardiaques, la manière de conduire un véhicule, le mouvement des lèvres, la façon de déplacer la souris, les clignements d'yeux ou le style de rédaction d'un texte.» Fin de la citation.

Ma première question, ce serait : Mettons, là, les battements cardiaques, là, au sens de notre loi qu'on est en train d'écrire sur les renseignements personnels, est-ce que c'en est un, un renseignement personnel?

M. Caire : ...honnête avec vous, M. le député, là, je n'en ai aucune espèce d'idée, pour être très honnête. Je vais laisser Me Miville-Deschênes stresser, parce que, d'après moi, il ne l'avait pas vue venir, lui non plus, mais honnêtement, là, dans une relation d'affaires sur Internet, là, je ne vois pas comment on pourrait prendre mon rythme cardiaque sans mon consentement, ce serait compliqué.

Une voix : ...

M. Caire : Hein?

M. Barrette : ...iPhone le fait actuellement.

M. Nadeau-Dubois : La montre.

M. Caire : Oui, oui, mais il faut que je le donne, mon... Tu sais, je veux dire, tu ne le prendras pas à mon insu, là.

M. Nadeau-Dubois : Bien, la question est sur : Est-ce que c'est un renseignement personnel au sens où on a défini «renseignement personnel» dans notre loi?

M. Miville-Deschênes (Jean-Philippe) : Bien, moi, ça me semble assez clair que oui, là. Les renseignements... Mon battement cardiaque, là, qui peut être collecté par une montre, entre autres, c'est un renseignement personnel qui me concerne.

M. Nadeau-Dubois : O.K. Puis on sait qu'il y a des entreprises sur le Web qui vont aussi enregistrer le mouvement d'une souris pour savoir... C'est des pratiques documentées, là, ce n'est pas de la science-fiction. Si on arrête la souris plus longtemps à un endroit, moins longtemps à un endroit, ça indique un intérêt plus ou moins grand pour certains types de contenu. C'est considéré dans l'algorithme pour présenter certains types de contenu. Ça, est-ce que, donc, le mouvement de la souris est considéré par notre loi comme un renseignement personnel?

M. Miville-Deschênes (Jean-Philippe) : Bien, il faut qu'il soit lié à la personne. Donc, je ne veux pas me prononcer de façon définitive sur ce type d'exemple là parce que est-ce que le mouvement de la souris est uniquement utilisé pour offrir à l'usager certaines fonctionnalités ou, tu sais, certaines publicités mais sans savoir qui est là, mais, s'il peut être lié indirectement ou directement à la personne, effectivement ça peut être un renseignement personnel.

M. Nadeau-Dubois : Bien souvent, c'est, bien sûr, intimement lié à une personne parce qu'on va dire : Sur le compte Facebook de Gabriel Nadeau-Dubois, la souris s'arrête...

M. Caire : ...mouvement de la souris ou là où mon curseur s'est arrêté? C'est plus ça qui est la question.

M. Nadeau-Dubois : Bien, la vraie réponse à cette question-là, c'est que c'est dur à dire parce que les pratiques de ces entreprises-là sont largement inconnues. Il y a des bribes qui nous parviennent parce qu'il y a des lanceurs d'alerte, parce qu'il y a des ex qui ont quitté ces boîtes-là qui, aujourd'hui, nous disent : Ça fait partie des choses qu'on regarde. Honnêtement, le ministre a raison qu'il y a des grosses zones d'ombre, mais tous les exemples que je viens de prendre sont dans le mémoire de la commission, hein? Je fais juste...

M. Caire : Oui, parce que là où j'ai arrêté mon curseur pour un certain temps, ça peut être capté, là, mais le mouvement de la souris, je ne suis pas sûr qu'il y a un mouvement particulier d'un individu à l'autre, là. Puis, tu sais, il faudrait que j'aie un comparable, tu sais, mais alors... mais où le curseur est arrêté, oui, ça, ça peut être capté clairement, là, ça, c'est clair.

M. Nadeau-Dubois : Puis ça peut être relié à une personne, donc c'est un renseignement personnel. Donc là, même chose, les battements cardiaques, les odeurs, manière de conduire un véhicule, mouvement des lèvres, tout ça, c'est des données de nature biométrique qui peuvent être collectées.

M. Caire : Oui.

M. Nadeau-Dubois : Là, je sais que le ministre me dit : Oui, oui, mais il y a consentement. La question se pose : Dans quelle mesure ce consentement-là est éclairé? Dans quelle mesure les individus ont vraiment conscience de ce qui est en jeu ici? Et la question, c'est surtout : Est-ce que ces données-là devraient servir, devraient être collectées à des fins de profilage commercial? Est-ce que le battement cardiaque, par exemple, d'une personne... Puis là on sait qu'avec les montres intelligentes, les montres d'exercice, puis même les téléphones intelligents, c'est quelque chose qui est de plus en plus répandu comme pratique. Est-ce qu'on devrait permettre à des entreprises d'utiliser, par exemple, le battement cardiaque pour profiler commercialement? Donc, on pourrait faire l'hypothèse qu'on conclut que la personne est sportive parce que son rythme cardiaque est souvent élevé?

Puis de toute façon ce n'est jamais une de ces données-là qui nous permet de faire du profilage, hein, c'est la combinaison des données. Donc, on prend le battement cardiaque plus une autre donnée qui, elle, n'est peut-être pas biométrique, plus une donnée que la personne a volontairement donnée, mettons, en faisant partie d'un groupe sur la course à pied, puis là tout ça ensemble nous permet de dire : Ah! voilà, on a là un coureur d'expérience, on va lui présenter des publicités pour lui faire acheter tel type de produit. Bon, ça, ça existe puis je ne mènerai pas le combat pour l'interdire sur les données qui sont non biométriques, mais, sur les données biométriques, je pense que là on touche quelque chose de très sensible. Puis là ça, c'est le premier exemple que je donne, là, les battements cardiaques.

• (18 h 10) •

Deuxième exemple : la voix. Il y a eu tout un brouhaha, toute une série de scandales médiatiques et légaux autour des fameux assistants personnels. Donc, ça, c'est les Alexa, les Siri, les... Google, je pense, ça s'appelle juste Google, oui, ou O.K. Google, Google Home. Il y a eu toute une série de scandales autour de ces appareils-là qui se servaient de la voix pour, par exemple, reconnaître que c'est une femme qui s'adresse à lui, en tout cas, à l'appareil, plutôt qu'un homme, et donc faire du profilage commercial en fonction de c'est une femme qui est en train de me poser la question plutôt que c'est un homme, et je vais moduler ce que je propose en fonction d'une donnée biométrique, la voix, c'est un homme ou une femme.

Là, le ministre va me dire : Oui, mais les gens l'ont acheté, le truc, là. Tu sais, le Alexa d'Amazon n'a pas été imposé dans la maison de la personne. Vrai. Il y avait sans doute, dans la boîte, un petit feuillet, là, écrit en tout petit, tout petit, tout petit, plié en 26, là, dans le fond, dans un sac de plastique, là, puis là, si tu ouvres le sac de plastique, tu déplies ça en... puis là tu prends ça, puis là, là, c'est sans doute écrit quelque part, sans doute, si on fait preuve d'une grande bonne foi, c'est écrit qu'on pourrait déduire votre genre en... Et encore, j'aimerais bien voir si c'était écrit, mais mettons que c'est écrit puis qu'il y a consentement, puis là la personne le lit, là, puis elle dit : Oui, oui, oui, c'est correct, puis elle installe ça dans sa maison. Puis là tout le monde qui rentre dans sa maison est profilé, mais il y a consentement, j'imagine que ça serait ce qu'Amazon plaiderait, là : C'était écrit sur le feuillet, le monde l'ont acheté.

Là, si on prend au sérieux c'est quoi, un consentement, la question vraiment se pose, là. On est-tu devant une situation où les gens ont consenti à l'utilisation de données biométriques? Surtout que l'appareil, là, le Alexa en question, il est tout le temps allumé. Puis c'est prouvé, là, bien, il y a eu... ça a été documenté que c'est rarement complètement désactivé. Si c'est branché, il y a captation de données.

Donc là, tu sais, l'argument du consentement, là, il me semble qu'il commence à être faible pas mal puis qu'on pourrait, comme société, dire : Bien, non, là, le biométrique pour des fins de profilages commerciales, comme dans les deux exemples que je viens de donner, pour prendre un anglicisme, c'est «too much», on ne veut pas aller là. Je ne sais pas comment le ministre peut me rassurer, en... peut-être en référant aux exemples que je viens d'utiliser, tu sais, sur en quoi c'est acceptable. Puis comme là, même avec un soi-disant consentement, là, qui souvent est très, très fragile, là, très mince, en quoi c'est acceptable, ces pratiques-là?

M. Caire : Bien, en fait, je trouve que l'exemple est intéressant parce que je suis moi-même propriétaire d'Alexa, absolument, et la situation est loin d'être aussi compliquée que mon collègue de Gouin le décrit. Je peux vous dire qu'il est très, très clair que je peux cesser les enregistrements, comment débrancher ci, comment débrancher ça, donc... mais je ne veux pas personnaliser cette intervention-là qui vise un but plus large.

D'abord, en disant au collègue... Je pense que, le projet de loi n° 64, nous avons amené des dispositions sur le consentement qui sont de nature à avoir un consentement qui est libre et éclairé avec des finalités qui sont distinctes. Donc, là-dessus, je pense qu'on a fait un bon boulot, là, sans vouloir faire de l'autocongratulation, mais, s'il est adopté, le projet de loi n° 64 va venir resserrer cette notion-là, va venir s'assurer que le consentement, il est libre, il est éclairé et que les finalités pour lesquelles il est demandé sont très claires, d'une part.

D'autre part, donc, une fois qu'on admet qu'on est dans une situation où une personne raisonnable, selon les paramètres qu'on a établis dans 64, donne un consentement qui est libre et éclairé pour des finalités qui sont claires, ça nous ramène à la discussion quant à sa genèse. Est-ce qu'il est acceptable, pour Éric Caire, de consentir à ce qu'une entreprise utilise ses marqueurs biométriques, ses informations biométriques ou ses renseignements personnels pour faire un certain profilage, pour envoyer à Éric Caire des publicités dont on pense qu'Éric Caire pourrait avoir un intérêt? Dans la mesure où Éric Caire y consent, et y consent de façon libre et éclairée, et qu'il sait exactement à quoi il consent, bien, ma réponse à ça, c'est oui.

Parce que c'est à moi de décider si c'est acceptable ou non. Ce n'est pas à l'État québécois, ce n'est pas au législateur, ce n'est pas à la société de décider si moi, je trouve ça acceptable, parce que l'impact, il est pour moi. Je veux dire, cette décision-là, elle m'impacte, moi. Et de la même façon que je comprends que, pour mon collègue de Gouin, cette situation-là l'amènerait à refuser son consentement. Alors, il faut qu'on respecte ça, là. Ça, on s'entend. Dans la mesure où le collègue de Gouin dit : Mes renseignements personnels pour de la publicité, c'est non, parfait, il n'y a pas de collecte et surtout il n'y a pas d'utilisation de ça, parce qu'il n'y a pas de consentement.

Donc là, c'est là où je pense que l'État ou la collectivité ne peut pas se substituer à moi, parce qu'on parle de mes renseignements à moi. Ce sont mes renseignements, ce sont mes marqueurs biométriques, ce sont mes renseignements personnels. Et, oui, je revendique le droit d'en disposer à ma guise parce que ça n'a pas d'impact sur autrui. Donc, je n'ai pas... je ne porte pas préjudice au collègue de Gouin parce que j'accepte qu'une entreprise m'envoie son infolettre parce que je suis un amateur de plongée, et que c'est su, et que les entreprises qui offrent des produits ou des services de plongée veulent m'envoyer leurs publicités parce qu'ils se disent : Bien, il fait de la plongée, ça fait que c'est un client potentiel, tandis que l'autre qui a peur de l'eau, bien, je ne lui enverrai pas de publicités, les chances qu'il m'achète des équipements sont faibles.

Alors, est-ce que moi, j'y vois un préjudice ou... Non, dans la façon... puis je le répète, là, dans la mesure où les choses sont faites de façon libre, éclairée et que les finalités sont claires. Et ça, on a réglé... en mon âme et conscience, là, je pense qu'on a réglé ça quand on a traité des articles sur le consentement. Je pense qu'on a fait un bon boulot. Je pense qu'on a bien circonscrit ce qu'était un consentement libre et éclairé, ce qu'étaient des finalités pour lesquelles les consentements étaient demandés. Et donc, à partir de là, bien là, ici, évidemment, on vient encore rajouter une couche, puis...

Et à mon tour de saluer l'amendement qui a été apporté par le député de Gouin sur l'activation ou la désactivation, parce que c'est effectivement un changement de philosophie. Et cet amendement-là, en plus de s'assurer qu'un service va arriver dans son état le plus sécuritaire, ça amène une notion de consentement supplémentaire, parce que là je dois poser un geste pour activer les fonctionnalités qui permettraient le profilage, la géolocalisation, etc., je dois les activer. Donc, je pose un geste éclairé pour les activer. Quand j'ouvre ma caméra, je permets qu'on me filme. Quand je ferme ma caméra, je l'interdis.

Alors, dans une pratique commerciale légitime, puis je reprends mon exemple de plongée sous-marine, parce que souvent on prend des exemples qui sont un peu plus limites, j'en conviens, mais dans un exemple comme celui-là, petite boutique de plongée de Québec, je suis plongeur, on m'envoie l'infolettre. Est-ce que j'y consens? Oui, j'y consens.

Le Président (M. Bachand) : M. le député de Gouin.

M. Nadeau-Dubois : Oui, juste là-dessus, c'est un exemple intéressant, mais mon amendement, c'est sur le biométrique. L'exemple du ministre...

M. Caire : Oui, mais mon rythme cardiaque s'accélère quand on me parle de plongée sous-marine, c'est pour ça...

M. Nadeau-Dubois : Oui, oui, non, non, mais... C'est parce que... Oui, bien rattrapé, mais...

M. Caire : Merci.

• (18 h 20) •

M. Nadeau-Dubois : Non, c'est ça, parce que je l'ai dit, là, recevoir une infolettre parce qu'on est un amateur de plongée, parce qu'on est allé acheter quelque chose dans un magasin de plongée, ce n'est pas du profilage à partir de renseignements biométriques, c'est du profilage à partir de... profilage commercial classique. À partir d'achats que j'ai faits, on déduit mes intérêts, puis on me présente des produits. Mon amendement ne vise pas ça. Ça vise à interdire la collecte de renseignements biométriques à des fins de profilage.

Puis continuons sur l'exemple des assistants personnels, là, comme Alexa, là. Le ministre l'a acheté chez lui. Il dit : Moi, j'ai consenti, oui. Tu sais, je lui ferais l'argument que ces appareils-là sont puissants, ils enregistrent tout ce qui rentre, tout ce qui sort de la maison. Est-ce que tous les gens qui rentrent dans sa maison... ou, pour dépersonnaliser notre débat, dans la maison de quelqu'un qui a acheté l'assistant personnel, est-ce que tous ces gens-là ont consenti? On peut en douter. En fait, non, ils n'ont pas consenti.

Il faut comprendre à quel point ces produits-là, maintenant, sont sophistiqués. Ça a été documenté qu'il y a des pratiques, par exemple, que, si les assistants personnels entendent quelqu'un tousser, ils sont capables de reconnaître une toux puis ils vont présenter des produits pharmaceutiques de certaines compagnies pharmaceutiques. Ils vont entendre les pleurs d'un enfant, ils sont capables de reconnaître ce qu'est un pleur, ils vont proposer des produits... des couches, par exemple, des produits pour enfant. Ils vont reconnaître même une assiette qui se brise, par exemple.

En tout cas, ils vont capter énormément de données, y compris des données... je le répète, parce que je l'ai dit, c'est un argument que j'ai déjà présenté également, mais y compris des données que les entreprises ne savent pas encore comment utiliser, hein? Ça, c'est documenté comme pratique chez Google, chez Amazon, chez Facebook, qu'il y a des pratiques de collecte de données massives où on collecte même des éléments... Puis là je viens de réaliser que mon dernier exemple n'était pas un exemple biométrique, alors je le retire, une assiette qui se brise, ce n'est pas un marqueur biométrique.

Une voix : ...

M. Nadeau-Dubois : Mais, mais, mais ça collecte énormément d'informations, y compris de l'information que ces entreprises-là ne savent pas encore comment utiliser, parce qu'elles font le pari qu'avec l'avancement technologique, un jour, ils trouveront une utilité commerciale. Hein? Chez Google, ça a été documenté, comme pratique. On a accumulé pendant des années toute une série de données qui n'étaient pas monétisables au moment où on les collectait, et c'est juste cinq, 10, 15 ans plus tard qu'on réalise qu'elles sont monétisables parce qu'il y a une avancée technologique qui nous permet des entrées dans un algorithme, et là ça augmente notre valeur prédictive, et là on est capable de faire quelque chose avec.

Donc, et c'est en regard de l'ampleur de cet appareil-là de surveillance, parce que c'est de ça dont il s'agit, que le consentement m'apparaît un pilier fragile. Parce que, pour consentir, il faut savoir ce à quoi on consent, puis, en ce moment, il y a une asymétrie informationnelle totale, tu sais, il y a une asymétrie informationnelle très forte entre les individus à qui on vient solliciter un consentement et l'entité qui sollicite le consentement. Quand Google ou Amazon sollicite un consentement, il dispose d'une masse d'information ou de puissance technique complètement disproportionnée par rapport à ce que peut même imaginer la personne qui donne le consentement éclairé, soi-disant éclairé. Quand la personne installe l'appareil, disons, prenons le consommateur sur 100 ou sur 1 000 le plus allumé, le plus conscient, le plus lettré, le plus ferré en informatique, même ce consommateur-là n'a pas la moitié du tiers de 1 % d'un quart d'un autre pour cent de la connaissance qu'une entreprise comme Google a quand elle vient solliciter le consentement. Il y a une asymétrie d'information qui est absolue, qui est totale.

Alors, et c'est pour ça que je ne pense pas que le débat puisse s'arrêter où le consentement commence. Puis là on pourrait faire toutes sortes d'arguments puis dire : Ah! mais, il y a plein... tu sais, il y a plein de choses dont on est propriétaire puis on ne peut pas s'aliéner. Tu sais, moi, je ne peux pas vendre mes organes, pourtant, comme, j'en suis le propriétaire, tu sais. C'est parce que, comme, on considère... puis on revient un peu au débat de tantôt, mais parce qu'on considère, comme société, que, même si ça nous appartient, on ne peut pas le vendre, tu sais. On fait, dans une société de droit... On n'est pas dans une société libertarienne où le consentement individuel prime sur tout le reste, on est déjà dans une société de droit où on fait ces équilibres-là constamment puis où on décide, à plusieurs moments, que le consentement individuel passe en deuxième par rapport à d'autres impératifs. Tu sais, on le fait tout le temps, ça, sur plein de choses, puis pas juste pour des raisons de sécurité ou de santé, pour des raisons de bien commun, on en a parlé tantôt, bon.

Et là on est dans une situation comme celle-là où, comme société, il faut se demander quel cadre législatif on veut mettre en place pour protéger les individus de puissances sociales et économiques qui sont en train d'acquérir un pouvoir qui est incommensurable par rapport aux connaissances que les individus ont. Puis ça, c'est... je pense qu'il faut que ça fasse partie de notre analyse. Sinon, on parle de consentement qui est... franchement, qui est théorique puis qui est abstrait. Les gens ne savent... Puis ce n'est pas une question de ne pas respecter l'intelligence des gens, là, parce que même moi, je suis très conscient de mes limites puis je sais bien que mon consentement, que vaut-il par rapport à des puissances sociales comme Google, Facebook, Amazon?

Donc, je pense qu'on ne peut pas se limiter à la question du consentement, notamment à cause de l'asymétrie d'information, qui m'apparaît ici, là, énorme, quand on parle d'entreprises comme celles-là, énorme. Tu sais, c'est comme... C'est ça, je pense que c'est court de s'arrêter à la question du consentement.

Le Président (M. Bachand) : Merci beaucoup. J'avais le député de La Pinière, si vous permettez.

M. Barrette : ...pas très long. M. le Président, je pense que... J'écoute l'échange, qui est un échange très intéressant, je pense que le député de Gouin pose une question très intéressante. C'est un peu... aujourd'hui, là, c'est l'équivalent de discuter de ce qui se passe avant le big bang, là, quand on pose le problème de la façon dont il le pose, là, puis je ne veux pas m'opposer d'aucune manière, là, ça ne peut pas se résumer au consentement, c'est bien évident. Maintenant, il y a des ramifications à l'étude du consentement, là, qui sont infinies.

Juste par curiosité, là, juste pour... Là, je fais vraiment exprès, là...

Une voix : ...

M. Barrette : Oui. Est-ce que le ministre sait exactement à quoi il consent quand il utilise Alexa?

M. Caire : Oui.

M. Barrette : Oui? À quoi?

M. Caire : En fait, dépendamment de dans quel mode je vais opérer l'appareil, si je laisse pleine et entière liberté, on va enregistrer tout ce que je dis. Et, à partir de là, l'entreprise Amazon est capable d'avoir les banques d'informations de ce que je dis. On va aussi analyser qu'est-ce que j'ai fait avec ça, pourquoi je l'ai utilisé, donc quels sont les moments où j'ai dit à Alexa : Fais ci, fais ça. Donc, on peut profiler l'utilisation que j'en fais. On va aussi regarder si, par exemple, j'ai des abonnements aux différents services de musique, etc., donc, qu'est-ce que je consomme comme produits à travers Alexa. Donc, on va faire tout le profilage et l'utilisation de ça. On peut analyser le ton de ma voix. On peut analyser la façon dont je m'adresse... Et il y a des applications d'intelligence artificielle, on va analyser et progresser dans la façon dont on interagit aussi avec moi, essentiellement.

M. Barrette : Mais encore? C'est parce qu'il y a plus. Et, le plus, il y en a une partie qui est connue et que l'utilisateur ne sait pas et il y a la partie qui n'est pas connue parce que pas développée.

M. Caire : Parce que pas développée.

M. Barrette : Non, mais il y a la partie connue que l'utilisateur ne sait pas, là.

M. Caire : Bien, quelle partie l'utilisateur ne connaît pas?

M. Barrette : Bien, c'est facile, là, c'est très facile. Je ne reprendrai pas tous les exemples que le député de Gouin a donnés, là, mais c'est sûr que, quand on croise les données, les données d'intonation de voix, de situations, de musique, ta, ta, ta, puis si en plus il a une montre puis qu'il y a les facteurs biométriques, bien là, à un moment donné, là, c'est très facile pour... avec un algorithme, de faire une connexion entre... puis là je vais prendre quelque chose de trivial, là, de style de musique, commande de pizza avec une accélération cardiaque le soir, qu'il y a une game de hockey, là.

M. Caire : Non, mais ça, je comprends tout ça, là.

M. Barrette : Non, non, je sais, mais je veux dire... Mon point ici, là, c'est que les possibilités sont infinies.

M. Caire : On est d'accord, on est d'accord.

M. Barrette : Infinies. Et mon point est que c'est impossible de concevoir aujourd'hui... puis ce n'est pas lié aux données biométriques seulement, mais je pense que c'est impossible de concevoir aujourd'hui, pour certaines technologies, ce à quoi on consent.

Le Président (M. Bachand) : Merci beaucoup.

Sur ce, compte tenu de l'heure, la commission ajourne ses travaux sine die. Merci beaucoup. Bonne soirée.

(Fin de la séance à 18 h 30)