Journal des débats de la Commission de l'économie et du travail
Version préliminaire
43e législature, 1re session
(début : 29 novembre 2022)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
jeudi 23 novembre 2023
-
Vol. 47 N° 32
Étude détaillée du projet de loi n° 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives
Aller directement au contenu du Journal des débats
11 h 30 (version non révisée)
(Onze heures quarante-deux minutes)
La Présidente (Mme D'Amours) : Bonjour,
tout le monde! Ayant constaté le quorum, je déclare de la séance la Commission
de l'économie et du travail ouverte. La commission est réunie afin d'entreprendre
l'étude détaillée du projet de loi n° 38, Loi modifiant la
Loi sur la gouvernance et la gestion des ressources informationnelles des
organismes publics et des entreprises du gouvernement et d'autres dispositions
législatives.
Mme la secrétaire, y a-t-il des
remplacements?
La Secrétaire : Oui, Mme la
Présidente. Mme Boivin Roy (Anjou-Louis-Riel) est remplacée par Mme Gendron (Châteauguay);
M. Tremblay (Dubuc) est remplacé par Mme Abou-Khalil (Fabre); Mme Cadet (Bourassa
Sauvé) est remplacée par Mme Setlakwe Mont-Royal—Outremont); et M. Leduc (Hochelaga-Maisonneuve)
est remplacé par M. Bouazzi (Maurice-Richard).
La Présidente (Mme D'Amours) : Merci.
Avant de débuter les remarques préliminaires, je dépose le mémoire reçu depuis
la fin des auditions, soit celui de la Ligue des droits et libertés du Québec.
Nous débutons avec les remarques
préliminaires, M. le ministre. La parole est à vous. Vous disposez de 20 minutes.
M. Caire : Ah! Mme la
Présidente, je n'ai pas l'intention de prendre tout ce temps-là. En fait, je
vais simplement saluer mes collègues de la partie ministérielle qui m'accompagnent,
évidemment, les juristes qui vont m'accompagner, mais aussi peut être une
salutation particulière pour mon adjointe parlementaire, la députée de Fabre,
et pour ma collègue de l'opposition officielle, pour vous, Mme la Présidente,
la secrétaire, les membres de la commission. Mais sinon, Mme la Présidente, je
suis impatient d'avoir d'excellentes discussions avec mes collègues, et ce sera
tout pour moi pour l'instant.
La Présidente (Mme D'Amours) : Merci.
J'invite maintenant la porte-parole de l'opposition officielle et députée de
Mont-Royal—Outremont à faire ces remarques préliminaires. Vous disposez d'un
temps de 20 minutes maximum.
Mme Setlakwe : Merci, Mme la
Présidente. Permettez-moi aussi, à mon tour de faire les salutations d'usage à
vous, Mme la Présidente, à tout le personnel de la commission, M. le ministre, et
collègues du gouvernement, les légistes, etc.
Donc, c'est avec ouverture, là, qu'on va avoir...
qu'on va faire une étude approfondie du projet de loi que vous avez déposé. On
va avoir des discussions intéressantes, je n'en doute pas, de façon
constructive pour... pour avancer. On a des grands défis devant nous en termes
de haut niveau de la transformation numérique et au niveau de rehaussement de
la cybersécurité, et il y a plusieurs des mesures qui sont mises de l'avant que...
qui ont un bien-fondé.
Hier, durant l'adoption du principe, j'ai
mentionné qu'on votait contre, on a voté contre le principe, et c'est vraiment
dans l'optique que ce projet de loi là ne peut pas être étudié dans un dans un
vacuum, là, dans l'abstrait sans faire... ou en faisant abstraction de la
réalité, là, sur le terrain et de toutes les difficultés qui ont été vécues
avec le fiasco à la SAAQ et d'autres défis qui nous... qu'on a devant nous,
surtout en sachant qu'on est en train d'amorcer un virage important au niveau
de deux portefeuilles gouvernementaux fondamentaux, là, la santé et l'éducation.
Et puis je vais me permettre de faire... de faire un lien tout à l'heure avec
le dépôt du rapport de la Vérificatrice générale ce matin, dont un des
chapitres concerne franchement ce que je considère une situation
catastrophique, épeurante au niveau de la protection de nos renseignements de
santé. J'y reviendrai.
Mais premièrement, je vais juste revenir
sur certaines de vos remarques, M. le ministre, hier, durant votre allocution
que j'écoutais attentivement et que j'ai...
Mme Setlakwe : ...vous avez
mentionné hier, textuellement, là : «Je n'ai aucun problème à regarder les
Québécois puis leur dire aujourd'hui : Le gouvernement est meilleur qu'il
ne l'a jamais été à protéger les systèmes d'information, à protéger nos
renseignements personnels, je dirais, à protéger aussi le fonctionnement de
l'État.» Vous conviendrez avec moi qu'il y a beaucoup, beaucoup de travail à
faire. Vous n'avez pas... évidemment, vous n'êtes pas arrêté là, vous avez dit
qu'il y avait encore du travail à faire, mais vous avez quand même fait cet
énoncé-là que «le gouvernement est meilleur qu'il ne l'a jamais été à protéger
les renseignements personnels».
Moi, j'ai de la misère à donner des
exemples de données plus sensibles que le contenu de nos dossiers médicaux. Et
puis là, ce matin, la Vérificatrice générale nous dit qu'elle a fait un audit,
elle et son équipe, de janvier 2021 à mars 2023. Et l'objet de l'audit, c'est
que ça ne visait pas les dossiers papier, ça visait les renseignements
personnels numériques qu'ils ont étudié deux CISSS. Et puis, franchement, leurs
constats sont accablants, là, c'est un désastre. Il y a des manquements, un
manque de rigueur au niveau de toutes les étapes, là, l'accès, des accès non
autorisés, des gens qui ont accès à des informations même après qu'ils aient
quitté leur poste, des communications, des utilisations, franchement, c'est
épeurant pour les Québécois. Il y avait des situations qui avaient fait l'objet
des médias au printemps et, suite à ça, nous, à l'opposition officielle, on
avait demandé, on avait envoyé une demande de mandat d'initiative pour que la
commission... pas celle-ci, mais une autre, mais, quand même, c'est le sujet
qui nous occupe ce matin.
Que la commission se saisisse de cette
situation-là pour en prendre la pleine mesure, pour vraiment savoir quel est
l'état de la situation, quelle est la gravité, on fait face à quoi, prendre l'inventaire,
vraiment, avoir une idée, suite à ces reportages-là, d'une idée de l'ampleur du
problème, et se questionner : Est-ce qu'on met les bonnes mesures en place
pour protéger les renseignements? On attend toujours la convocation. Encore une
fois, ce n'est pas comme les commissions où on siège ce matin, mais, tout de
même, le gouvernement n'a pas répondu à cette demande-là. Et puis là on a ce
rapport accablant de la Vérificatrice générale. Il y a plus de 10 000 systèmes
d'information, plus de 400 000 utilisateurs dans le réseau.
Et ses recommandations, probablement, le
constat, je vais y aller rapidement, puis je sais que ça vise le ministère de
la Santé, mais on en viendra aussi à la question : Mais qu'est-ce que le
MCN fait dans ce contexte-là? Quel est son rôle? Au niveau du ministère de la
Santé, les établissements audités ne contrôlent pas suffisamment les accès à
des renseignements personnels numériques d'usagers. Il y a des accès sans
autorisation du gestionnaire responsable. On nous dit même que, parfois, la
personne qui reçoit la demande d'autorisation, c'est elle qui y répond. Ce
n'est pas impressionnant. Mots de passe pas suffisamment robustes, mesures
d'authentification insuffisantes, mots de passe partagés, des documents qui
sont imprimés, il n'y a pas de contrôle d'accès, des postes où s'ouvrent
automatiquement des dossiers. C'est sérieux, là, ce sont nos dossiers médicaux.
Au niveau des mesures de cybersécurité reconnues comme nécessaires en matière
de protection de renseignements personnels numériques, elles sont à améliorer.
Au niveau de la journalisation, ce n'est pas assez, là, ce qui est fait, je
pense qu'il n'y en a pas, de journalisation, et alerte pour détecter des
activités suspectes dans les systèmes audités. C'est complètement défaillant.
Je fais une pause ici pour rappeler qu'on
a travaillé ensemble, M. le ministre, sur le projet de loi n° 3, qui va viser
une meilleure fluidité de la donnée, c'est ce qu'on veut, c'est ce qu'on souhaite.
Puis je ne regrette pas du tout qu'on ait appuyé l'adoption de ce projet de loi
là. Mais le Dossier santé numérique, ce n'est pas pour demain, c'est pour... Il
y a des projets pilotes en place. Le ministre de la Santé nous disait, cet été,
en commission parlementaire, au mois d'août, que ça pouvait prendre des années
encore.
• (11 h 50) •
Donc là, le système actuel, on est pris
avec les systèmes actuels. Ce matin, la Vérificatrice générale disait «pour
encore trois à cinq ans». Donc, je m'inscris dans le contexte de la loi qu'on
étudie ce matin, parce qu'il va falloir qu'on comprenne, là, comment on
s'inscrit dans tout ça. Vous voulez plus de pouvoirs, vous voulez avoir une
meilleure mainmise, une meilleure poigne, s'assurer d'une meilleure coordination,
harmonisation, etc. Tout ça, c'est bien beau ça, ce sont des principes
auxquels, évidemment, on ne peut pas...
Mme Setlakwe : ...on ne
peut pas s'opposer. Mais dans les faits, sachant qu'on va prioriser la santé,
il va falloir qu'on tire au clair qu'est-ce que votre ministère, qu'est ce que,
vous, vous allez jouer comme rôle dans le dossier du... dossier santé
numérique? Sachant qu'il n'y est pas prêt, il va falloir qu'on ait quelque
chose de robuste, mais en attendant, on a des problèmes sérieux avec ce qu'on
a. Et vous avez dit hier que le gouvernement excelle à protéger les
renseignements personnels des Québécois.
La Présidente (Mme D'Amours) : S'il
n'y a pas d'intervention... préliminaires.
Mme Setlakwe : On pourra
y revenir. Non, non, on va échanger, là. Je voulais absolument amener ces
points-là ce matin, parce que ça... Je trouve ça inquiétant. Et on ne parle pas
d'éducation. L'éducation aussi, il va y avoir un système qui va être mis en
place, qui va permettre au ministre de l'Éducation de recevoir les données.
Continuons sur les constats qui ont été émis ce matin par la Vérificatrice
générale. Le ministère de la Santé, les établissements audités manquent de
rigueur dans la gestion des risques et des incidents en lien avec la
confidentialité des renseignements personnels numériques. Il n'y a aucun
véritable portrait des renseignements personnels détenus. Dans quel système
avons-nous des renseignements personnels? Il y a aucun inventaire. Ils n'ont
pas été capables d'avoir un inventaire. Encore une fois, je ramène notre
demande de mandat d'initiative qui souhaitait justement... qui visait vraiment
à faire le point, un état de situation. Le gouvernement n'y a pas donné suite.
Et vous êtes et vous allez être encore plus avec le projet de loi qu'on va
étudier, le grand leader au niveau de la transformation numérique au Québec.
No 4 La sensibilisation et la
formation ainsi que l'encadrément... que l'encadrement sont insuffisants, ce
qui accroît les risques reliés à la protection des renseignements personnels
numériques. Les recommandations qui ont été émises, je l'ai mentionné, sont...
sont toutes visées vers le ministère de la Santé et des Services sociaux. Mais
ça, ça concerne des champs d'activité qui tombent, je crois, sous votre
responsabilité, M. le ministre, responsabilité qui sera accrue et pour laquelle
vous aurez plus de pouvoir, plus d'outils à votre disposition. Donc, on pourra
y revenir, là, à savoir où est ce que va s'inscrire le ministère de la
Cybersécurité et du Numérique dans tout ça?
Parce que la Vérificatrice générale l'a
dit ce matin, elle souhaite que toutes ces recommandations-là, qui visent
certains... certains sites, certains établissements dans le réseau,
s'appliquent à la grandeur du réseau dans tous les établissements. Alors,
j'aurais pensé que c'était quelque chose que, vous, vous auriez... Ça
s'inscrirait dans votre mandat de faire une surveillance de tout ça. Et je
termine mon point sur le rapport de la vérificatrice en disant qu'elle a
mentionné qu'elle a été prudente en ce qu'elle a été conservatrice dans la
rédaction de son rapport. On comprend pourquoi. Elle ne veut pas dire
exactement où, là, il y a des enjeux, et pour des raisons évidentes de
cybersécurité, pour s'assurer que ces faiblesses-là ne soient pas connues de
tous, incluant des personnes malveillantes. Mais on a... Au fil des questions,
on a découvert que, vraiment, il y avait un échantillonnage assez important,
là. Elle a ciblé des centres où il y avait un haut volume de données. Donc, son
rapport, il est assez révélateur et percutant.
Hier aussi, dans votre allocution, vous
avez mentionné que la cybersécurité devient une mission régalienne de l'État,
comme l'est la santé, l'éducation, la sécurité publique. C'est dire toute
l'importance que votre gouvernement, que vous accordez au numérique et à la
cybersécurité. Vous dites que c'est très innovateur. Il n'y a pas d'équivalent
ailleurs au Canada ou en Amérique du Nord où, vous avez dit, même en Europe.
Donc, encore une fois, le mandat, il est colossal. Et donc j'ai hâte qu'on
discute de ce mandat renouvelé et avec plus de pouvoirs que, vous, vous
souhaitez obtenir via le projet de loi no 38.
Au niveau des projets pilotes, on aura
l'occasion d'avoir des discussions, pour une durée de trois ans, renouvelables
maximum un an, qui vont vous permettre de tester différents cadres normatifs,
différents... vérifier différentes hypothèses. Tout ça semble bien intéressant.
On pourra voir si tout ça est assez bien... assez bien encadré. Vous avez mentionné
que pour ces aspects-là on n'a pas le droit de manquer notre coup. Et donc ça
va être pour vous un outil extrêmement, extrêmement important. Donc, c'est dire
toute l'importance qu'il faut octroyer, là, à...
Mme Setlakwe : ...l'étude
détaillée de ce projet de loi là.
Au niveau de... On a eu... On a reçu peu
de mémoire puis on a eu peu de gens durant les consultations, mais on a eu la
CAI qui a déposé un mémoire, et la Ligue des droits et libertés abondait dans
le même sens. Et vous êtes revenu sur le point que faisait la CAI, à savoir...
Eux, ils voudraient maintenir l'obligation de faire approuver les règles de
gouvernance en amont, suite à un dialogue constructif, quand il y a un mandat
ou une désignation qui est faite à une source officielle de données comme le
ministère de la Cybersécurité et du Numérique. Vous, vous dites : Non,
non, ça serait préférable... C'est une bureaucratie additionnelle, des
formalités qui n'ajoutent rien, qui n'ont pas de plus-value. Changeons la règle
et prévoyons simplement que ces règles-là doivent tout simplement être
transmises à la CAI. La CAI s'oppose à ça. On pourra en discuter quand on sera
rendu là. Mais si je suis votre raisonnement, parce qu'hier vous êtes revenu
là-dessus, durant votre allocution dans le cadre de l'adoption du principe,
puis ça, on le comprend, là, il y a plusieurs centres de traitement de données,
des centaines. Ça peut être un problème, je comprends très bien la logique.
Parce que là nos données, plus elles se ramassent, plus elles sont multipliées
dans différentes bases de données, bien, on augmente le risque qu'il y ait des
fuites, qu'il y ait des enjeux, des incidents de confidentialité. Donc, l'idée,
c'est de confier à des sources officielles le mandat d'en assurer la détention
et de contrôler, j'imagine, la communication à d'autres organismes. Tout ça,
là, honnêtement, c'est un principe que je suis. D'ailleurs, vous avez mentionné
que ça avait été fait avec la collaboration de l'opposition officielle. On n'a
rien contre. Vous expliquez le principe, et puis je pense que, sur le principe,
il n'y a pas d'enjeu. C'était le commentaire de la CAI, qu'on va pouvoir
discuter. C'était plutôt... Le mandat est tellement important, et ça sort
régulièrement, bien, ça sort toujours en fait du cadre des fonctions courantes
de l'organisme, alors ça vaut la peine, vraiment, qu'on s'assure que les règles
de gouvernance soient optimales. Mais vous, vous dites qu'on a surmultiplié les
bases de données parce que la réglementation... Donc, en ayant la source
officielle, on corrige le problème d'avoir une surmultiplication des bases de
données, mais vous dites qu'on a surmultiplié les bases de données, parce que
la réglementation, le cadre législatif dans lequel les organismes, les
ministères et organismes travaillent est tellement complexe, tellement
contraignant, tellement contre-productif, que les ministères et organismes qui
avaient le droit d'avoir accès à ces informations-là, les collectaient.
Honnêtement, il y a un lien que je ne fais pas, on pourra en discuter. Mais, si
effectivement le cadre est trop restrictif, bien là, après ça, il ne faut pas
se... il ne faut pas aboutir dans une situation où les données ne circulent
pas, mais je ne pense pas que c'était ça le point de la CAI. Le point de Me Poitras
c'était de dire : Il y a des règles de gouvernance qui doivent être mises
de l'avant et je les révise avec mon équipe. On a un dialogue constructif. On
est à la fin du processus. Je vois le ministre qui dit : Non, non, non,
pas du tout, ce n'est pas ça la situation.
Alors, on va échanger parce que moi, je ne
suis pas la logique puis je ne comprends pas l'objection du ministre par
rapport à cette obligation-là de revoir les règles en amont, sachant que ces
règles-là pourraient servir de précédent, de modèle pour d'autres sources
officielles de données. Rappelons que le ministère de la Cybersécurité et du
Numérique détient... est nommé source officielle de données en lien avec le
SAG, le service d'authentification gouvernementale, par lequel il y a un registre
qui est créé avec des informations extrêmement sensibles sur les Québécois,
incluant le numéro d'assurance maladie, numéro d'assurance sociale, etc.
• (12 heures) •
Alors, il va falloir qu'on m'explique
pourquoi on veut alléger le processus en amont pour s'assurer qu'on a des
règles de gouvernance optimales, sachant que le SAG n'a pas été à la hauteur de
la situation dans le cadre du déploiement de SAAQclic. Je vois encore une fois
le ministre qui n'est pas d'accord avec mon énoncé, mais on a aussi l'auditeur
externe, PricewaterhouseCoopers, qui a clairement énoncé qu'il y avait des
lacunes au niveau du SAG, et qu'elles étaient connues. Ce n'est pas vrai que...
Le ministère semble dire que ce n'est pas vrai que le rapport dit ça. Le
rapport dit qu'il y avait des lacunes au niveau du SAG et qu'elles étaient
connues plusieurs mois avant le déploiement de SAAQclic. On pourra y revenir.
Donc, voilà...
12 h (version non révisée)
Mme Setlakwe : ...donc, voilà,
honnêtement, ça s'adresse à un portrait de situation. Je pense que ça met la
table à nos discussions. Encore une fois, hier, dans mes remarques, j'ai hésité
et je me disais : On vote pour, on vote contre? Si je regarde le projet de
loi de façon isolée, là, en faisant abstraction du fiasco SAAQclic, en faisant
abstraction de tous les défis, tous les enjeux, et aussi du fait qu'on n'a pas
les ressources humaines et financières nécessaires pour mener à bien ce mandat
colossal, je me dis : Est-ce qu'il est opportun de donner tous ces
pouvoirs, de donner tous ces outils à un ministère tout jeune et à un ministre
qui... dont les premières initiatives ont fait l'objet de grandes, grandes
critiques.
Donc, voilà. Est-ce qu'on avait autre
chose en préliminaire? Non, je ne pense pas, je pense que ça met la table. Je
ne veux revenir sur tout le fiasco SAAQclic, je pense que ça a été dit et
redit, mais c'était quand même le premier grand dossier de transformation
numérique, un des très grands dossiers de transformation... Non! Le ministre n'est
pas d'accord. C'était... les attentes étaient élevées. Les Québécois ont droit
d'avoir des transactions, de faire des transactions avec l'État dans un
contexte convivial, simple, dans les délais. Et, franchement, un gouvernement
ne devrait pas surestimer la littératie numérique de sa population et penser
naïvement que, parce qu'on déploie un système, là, SAAQclic en l'occurrence,
que, je ne sais pas moi, 90 % de la population va instantanément adhérer,
il va avoir les capacités, il va avoir le soutien informatique, il va être à l'aise
avec le nouveau système. C'était surestimer l'adhésion de la population et sous-estimer
du même coup le besoin de continuer d'aller en personne en succursale, parler à
un être humain. Ce qui m'amène en fait à un dernier point que j'aimerais faire.
La Vérificatrice générale, ce matin, a
aussi critiqué ou émis des constats relativement à Services Québec. On pourra
discuter aussi de Services Québec puis où s'inscrit le ministre de la
Cybersécurité et du Numérique dans ce dossier-là. On s'entend que Services
Québec, bon, ce n'est pas juste le téléphone, c'est aussi.... Trois façons d'offrir
les services : au téléphone, au comptoir ou en ligne, et que le recours à
Services Québec n'est pas obligatoire. Il y a une entente qui doit être
convenue avec chacun des ministères et organismes. Mais, honnêtement, à lire le
rapport puis...
La Présidente (Mme D'Amours) : Merci,
Mme la députée, c'est tout le temps que vous aviez pour vos remarques
préliminaires. Est-ce que j'ai d'autres collègues qui ont des remarques
préliminaires? Sinon, nous en sommes aux motions préliminaires. S'il n'y a pas
de motion préliminaire, nous allons immédiatement commencer l'étude article par
article. Je prends en considération l'article 1 du projet de loi. M. le
ministre, la parole est à vous.
M. Caire : Oui. Merci, Mme la
Présidente. Donc, beaucoup de belles discussions à venir, Mme la Présidente.
Commençons donc par celle concernant l'article 1, qui se lit comme suit :
L'article 5 de la Loi sur la
gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement (chapitre G-1.03) est modifié
par l'ajout, à la fin de l'alinéa suivant :
Il peut également, sur recommandation
conjointe du ministre de la Cybersécurité et du Numérique et du ministre chargé
de l'application de la loi qui régit une entreprise du gouvernement visé à l'article 4,
prévoir que les dispositions du chapitre 2.2, les dispositions de tout
règlement pris en vertu de l'article 22.1.1 ou les orientations, les
stratégies, les politiques, les standards, les directives, les règlements et
les indications d'application relatives à la sécurité de l'information pris en
vertu de la présente loi s'appliquent en tout ou en partie aux conditions qu'il
détermine à une telle entreprise.
Donc, Mme la Présidente, c'est un petit
peu l'échange que j'avais hier... bien, en fait, dans le débat qu'on a fait sur
le principe, quand je disais que, dans un premier temps... Et, oui, je disais
que le gouvernement, je pense aujourd'hui, est meilleur qu'il ne l'était, à
cyberprotéger ses systèmes d'information, etc. J'ai aussi dit qu'il y avait
encore du travail à faire avant d'en arriver au niveau où on devrait être.
Parce que je considère que nous devons continuer d'évoluer pour aller plus loin
encore dans notre capacité opérationnelle. Cette disposition-là vise à
assujettir au réseau gouvernemental de cyberdéfense les entreprises du
gouvernement. Donc, c'est l'idée, c'est d'étendre la portée du réseau
gouvernemental...
M. Caire : ...de cyberdéfense.
La Présidente (Mme D'Amours) : Merci.
Commentaire sur l'article 1? Mme la députée.
Mme Setlakwe : Merci, Mme la
Présidente. Donc là, ce que vous souhaitez faire ici... J'aimerais ça que vous
élaboriez un petit peu, là, parce qu'on avait déjà l'article 5 dans la loi
actuelle, là, la LGGRI, telle qu'elle se lit aujourd'hui, là, que je vais
sortir, mais en fait on là ici, là, dans le cahier. Le principe était que le
gouvernement pouvait ou peut... bien, va toujours pouvoir, sur recommandation
du ministre, soustraire un organisme public ou une catégorie d'organismes
publics visés à l'article 2 ou une entreprise à l'application, en tout ou
en partie, de la loi. Vous voulez ajouter que, sur recommandation conjointe de
votre part et du ministre chargé de l'application de la loi qui régit une
entreprise du gouvernement visé à l'article 4, prévoir que les
dispositions du chapitre 2.2, les dispositions de tout règlement pris en
vertu de l'article 22.1.1 ou les orientations stratégiques, politiques,
standards, etc., etc., relatifs à la sécurité pris en vertu de la présente loi
s'appliquent à une telle entreprise.
Bon. Pouvez-vous nous dire, là, dans les
faits, qu'est-ce que vous avez en tête exactement, là? Ce serait quoi, là, avec
cette nouvelle disposition-là, ce serait quoi le plan de match dans les
prochains mois, dans les prochaines années, là, c'est... Puis donnez-nous des
exemples précis, s'il vous plaît, là, de...
M. Caire : Je vais... En
fait, Mme la Présidente, je vais répondre à la demande de ma collègue. Je vais
commencer par un exemple. Actuellement, Hydro-Québec, notre société d'État,
dont le gouvernement est l'actionnaire unique, qui est une entreprise de
l'État, donc qui agit en toute indépendance, et c'est souhaitable que ça
continue en plusieurs matières, on va être d'accord là-dessus, je pense, vous
et moi, mais on pense... Puis dans un contexte où, de façon, je dirais,
globale, les états sont à identifier quels sont leurs secteurs stratégiques,
quels sont, en matière de cybersécurité, quels sont les secteurs les plus à
risque en matière de cybersécurité, on pense immédiatement aux secteurs qui
touchent l'énergie, le transport, les secteurs qui touchent à l'économie d'un
État sont des secteurs névralgiques, les transports. Donc, il y a ce constat-là
qui se fait et pour lequel les États ont le réflexe de dire : Bon, bien,
on va prendre des dispositions particulières en matière de cybersécurité pour
s'assurer de la protection de ces secteurs stratégiques et/ou entreprises
stratégiques.
Évidemment, le gouvernement du Québec
n'échappe pas à cette logique-là. On comprend qu'Hydro-Québec est un actif
stratégique en matière de cybersécurité pour toutes sortes de raisons. Et donc,
ce qu'on souhaite, c'est pouvoir intégrer une entreprise de l'État comme
Hydro-Québec, là, je prends l'exemple d'Hydro-Québec, mais je pourrais en
prendre d'autres, comme Hydro-Québec, les intégrer au réseau gouvernemental de
cyberdéfense parce que c'est un actif stratégique, autant sur le plan
économique, évidemment. Sur le plan de la sécurité publique, on comprend que
notre sécurité à Hydro-Québec pourrait avoir des conséquences catastrophiques.
Et donc on souhaite, par cette loi-là, on souhaite être capable d'intégrer les
entreprises de l'État au périmètre du réseau gouvernemental de cyberdéfense.
C'est une question de cohérence, c'est une question de procédure, c'est une
question d'interopérabilité. C'est une question aussi de hiérarchie puis de
rapidité d'intervention au niveau de cet actif-là.
La Présidente (Mme D'Amours) : Merci.
Mme la députée.
Mme Setlakwe : Oui. Merci, M.
le ministre. Est-ce que... Donc, actuellement, dans... avec... sans cet
ajout-là, sans cette nouvelle disposition ou ce nouveau... nouvel alinéa, vous
n'aviez pas d'échanges du tout avec Hydro-Québec? C'est ça, j'aimerais
comprendre, parce qu'il y en a eu, des incidents à Hydro-Québec. D'ailleurs,
dans les derniers mois, il est arrivé quelque chose d'assez sérieux, peut-être
que vous pourriez nous en parler, puis à savoir qu'est-ce que... qu'est ce qui
aurait été... bien, ça a fait l'objet des... non, non, mais c'est public puis,
heureusement, ça n'a pas été trop grave, je pense que ce sont les sites ou le
site qui étaient inopérants. Mais avec... dans le régime actuel, donc, ça vous
empêchait de faire... de poser certains gestes?
• (12 h 10) •
M. Caire : En fait, ça fait
en sorte qu'on n'a pas droit d'obtenir d'informations autres que celles
qu'Hydro-Québec voudrait bien nous transmettre.
Au niveau des procédures d'intervention,
les procédures d'intervention du ministère de la Cybersécurité et du Numérique
ne s'appliquent pas à Hydro-Québec.
Au niveau de nos standards, de nos
procédures standards, nos...
M. Caire : ...opération, ça
ne s'applique pas à Hydro-Québec. Au niveau de la chaîne de commandement, si
vous me permettez, je n'aime pas le mot, là, mais c'est la première image qui
me vient en tête, elle est interne à Hydro-Québec et à Hydro-Québec seulement.
Non, effectivement, Hydro-Québec, le ministère de Cybersécurité et du
Numérique, législativement, n'a aucun pouvoir sur ce qui se passe en matière de
cybersécurité à Hydro-Québec.
La Présidente (Mme D'Amours) : Mme
la députée.
Mme Setlakwe : Oui. Est-ce
qu'il y a des... est-ce que vous avez eu des échanges avec Hydro-Québec?
M. Caire : Oui, on a. On a de
très bons échanges. C'est très cordial. C'est très, très amical. Mais là, on
parle de cybersécurité. Là, on parle d'être opérationnel, on parle d'avoir des
réactions en cyberdéfense, on parle de travailler selon des protocoles, selon
des normes qui sont standardisés, qui doivent être édictés par une autorité
centrale. On n'est pas dans la bonhomie et les discussions cordiales, là. En
tout cas, moi, ce n'est pas ma vision d'un réseau gouvernemental de
cyberdéfense. Je pense qu'il doit y avoir une autorité. Puis, Mme la députée,
je pense que vous et moi avons eu suffisamment d'échanges pour que je puisse
croire que vous n'êtes pas hostile à cette idée-là, il doit y avoir une
autorité, une autorité assumée. Mais cette autorité-là, pour qu'elle soit une
autorité, encore faut-il qu'elle ait le pouvoir et les outils pour assumer
cette autorité-là, ce qui n'est pas mon cas présentement.
Et ça me rappelle un autre dossier pour
lequel on me fait reproche, mais pour lequel je n'avais pas l'autorité d'agir.
Donc moi, je veux bien, là... moi je veux bien assumer cette responsabilité-là,
mais une responsabilité ne s'assume pas par un titre. Une responsabilité, ça
s'assume par des pouvoirs que la loi nous donne. Et aujourd'hui, ce que je
demande à l'Assemblée nationale, c'est de me donner le pouvoir d'agir sur
l'ensemble des entités gouvernementales, incluant les entreprises de l'État.
Mme Setlakwe : Quand vous
dites que vous faites des reproches dans certains dossiers, là vous faites
référence à quel dossier, celui de la santé ou celui de la SAAQ?
M. Caire : La SAAQ. À la
SAAQ. Ce qui permet d'intervenir, c'est ce que la loi nous permet de faire. Je
veux dire, le fait de porter le titre de ministre de la Sécurité et du
Numérique ne fait pas en sorte que j'ai autorité sur Hydro-Québec en matière de
cybersécurité. Je n'ai pas autorité sur Hydro-Québec, nonobstant le titre.
Alors, moi, je pense que, dans le réseau gouvernemental de cyberdéfense, je
pense que c'est une lacune. Puis il ne s'agit pas de mettre à mal
l'indépendance d'Hydro-Québec dans ses opérations. Pas du tout. On ne veut pas
aller là, on veut... puis c'est ce que l'article prévoit. Puis là, je dis
Hydro-Québec, mais je trouve qu'on surpersonnalise le débat parce que ce sont
les entreprises de l'État. Il y en a d'autres qui, pour d'autres raisons,
pourront être intégrées... qui pourront être intégrées au réseau gouvernemental
de cyberdéfense parce que qui, dans un secteur qui touche notre économie,
qui... bon, Hydro-Québec, c'est l'énergie, qui va dans le secteur des
transports. Mais si on veut un réseau gouvernemental robuste, fiable, cohérent
dans ses actions, bien, il faut... il faut qu'il y ait une entité qui ait une
autorité à le faire, à coordonner tout ça, à orchestrer tout ça. Et moi, ce que
je demande à l'Assemblée nationale, c'est de donner le pouvoir au ministère de
faire ça.
Mme Setlakwe : Il n'y avait
aucune façon pour vous, avec l'ancien régime, de coordonner des actions,
d'avoir des redditions de comptes, de savoir ce qui se passait chez
Hydro-Québec. Au niveau des transports, on pourrait en reparler. Est-ce qu'ils
ont une bonne expertise à l'interne, chez Hydro-Québec?
M. Caire : Oui.
Mme Setlakwe : Oui?
M. Caire : Vraiment, oui.
Mme Setlakwe : Quand vous
parlez...
M.
Caire
: Oui.
Je veux rassurer la population, là, puis je vous dirais même que ce serait un
avantage pour le gouvernement du Québec de pouvoir bénéficier des
investissements qui sont faits chez Hydro-Québec en matière de sécurité, qui
sont importants, de bénéficier du laboratoire de recherche en cybersécurité
d'Hydro-Québec qui pourrait être une plus-value pour l'ensemble du réseau.
Donc, cette interaction-là, elle est bénéfique pour l'ensemble des Québécois
parce qu'elle bénéficie à l'ensemble du périmètre de l'État québécois.
Mme Setlakwe : O.K. Donc,
c'est sûr que, là, ici, on parle des entreprises, mais est-ce que vous avez...
Si on pense à SAAQ-CLIC, là, qui était sous la responsabilité du ministère des
Transports ou si on pense...
M. Caire : C'est... Mme la
Présidente, avec...
Mme Setlakwe : Non, ce
n'était pas sous la responsabilité de...
M. Caire : ...avec respect,
la Société d'assurance automobile du Québec est une société d'État. Le principe
de la...
M. Caire : ...société d'État,
c'est d'être indépendant des pouvoirs politiques. C'est pour ça qu'on crée
des... bon, les agences du revenu, les sociétés d'État. Le pouvoir du
gouvernement, c'est, sur recommandation, de nommer le P.D.G.. Mais, si on prend
SAAQclic, c'est le conseil d'administration qui, en 2014, autorise le projet
d'acquisition avec SAP. C'est le conseil d'administration qui, en 2017,
autorise les budgets pour aller de l'avant avec SAP. C'est le conseil
d'administration qui va autoriser le déploiement de la phase un, par exemple,
en 2019. Parce qu'on parle de la phase deux, qui a été hautement problématique,
là, j'en conviens, mais la phase un, ça a été autorisé. La phase deux, le plan
de match, le déploiement de la phase deux, c'est le conseil d'administration
qui l'autorise. Puis là où il faut faire attention...
Puis l'idée n'est pas de se dédouaner, là.
Ce n'est pas que... pas que je veux me dédouaner de ma responsabilité ou
pitcher le singe sur l'épaule, mais est-ce qu'on veut vraiment que le
gouvernement brise ça? Est-ce qu'on veut que le gouvernement, par exemple, dans
le cas de... bon, de la... oui, de la SAAQ, ou d'Hydro-Québec, ou de
Loto-Québec, ou toutes ces sociétés-là qui sont gérées par un conseil
d'administration... est-ce qu'on veut, par exemple, que le ministre ait le
pouvoir d'annuler une décision d'un conseil d'administration d'une de nos
sociétés d'État, d'imposer une décision? Je pense que non. Je pense qu'on ne
veut pas aller là. Je pense qu'on ne veut pas aller là.
C'est pour ça... Puis, Mme la députée, en
tout respect... parce qu'on a des bons échanges, vous et moi, puis je vous sais
de bonne foi quand vous dites que vous voulez collaborer, mais, quand vous
dites que l'audit dit : Le gouvernement a sous-estimé les ressources à
mettre au comptoir ou le gouvernement a surestimé... Non, non. Ce qui est écrit
dans l'audit, c'est que c'est la Société d'assurance automobile qui a
sous-estimé les efforts à faire au comptoir. La Société d'assurance automobile
du Québec a surestimé l'utilisation. La Société d'assurance automobile, dans le
déploiement, a déployé des portions de l'application qui étaient peu ou pas
testées, pas suffisamment testées ou pas testées du tout, ce qui a engendré un
certain nombre de problèmes postdéploiement. Ce n'est pas le gouvernement,
parce que le gouvernement ne se met pas les mains dans les opérations.
Maintenant, pour revenir, pour revenir
à... aux entreprises de l'État, je pense qu'au nom de la cybersécurité... je
pense qu'on peut aller là, je pense qu'on peut aller... ou on peut donner la
capacité au ministère de la Cybersécurité et du Numérique de dire : Bon,
bien, compte tenu de l'aspect névralgique de la société en question, compte
tenu de la menace grandissante qu'on connaît tous, compte tenu des conséquences
d'une attaque réussie et compte tenu des avantages de travailler à l'intérieur
du réseau gouvernemental de cyberdéfense, je suis très à l'aise de dire à
l'Assemblée nationale : Je vous demande de me donner l'autorité de faire
ça.
La Présidente (Mme D'Amours) : Mme
la députée.
Mme Setlakwe : Oui... Non...
Mais merci. Puis je comprends, là, ce que vous dites au niveau des opérations
internes d'une société d'État comme la SAAQ, là, je comprends, mais ce n'est
pas vrai qu'il n'y avait aucune interaction avec le ministère des Transports.
Tu sais, je veux dire, c'est... ça demeure quand même... À un moment donné, il
y a quelqu'un qui est ultimement responsable puis il y a quelqu'un qui a donné
le O.K. pour déployer le système, a dit : O.K., on donne le feu vert. Non?
Le feu vert s'est donné...
M. Caire : Pas au ministère
des Transports, le conseil d'administration. Ceci étant dit, là, Mme la
députée, où je vous suis, c'est qu'effectivement mon ministère pourrait
éventuellement avoir cette capacité... on en rediscutera dans les articles plus
loin, là, puis je sais que vous avez des questions là-dessus... pourrait avoir
la capacité de faire une certaine surveillance, mais il faut, je pense, en tout
cas, il faut... Puis là c'est un peu en contradiction avec ce que je demande à
l'Assemblée nationale, parce qu'il faut éviter l'ingérence.
• (12 h 20) •
Donc, c'est pour ça que, dans
l'article 1, en modifiant l'article 5, je dis : Bon, bien, en
collaboration avec le ministre responsable de la loi qui est lien avec
l'entreprise de l'État, ce qui veut dire, dans les faits, qu'on va s'asseoir...
par exemple, si on parle d'Hydro-Québec, puisque c'est... bien, on va s'asseoir
avec le ministre responsable puis avec... on va se le dire, avec les autorités
d'Hydro-Québec, on va dire : Bon, bien, voici pourquoi on veut le faire,
voici comment on veut travailler ça, puis... et après ça, par décret, on pourra
intégrer en tout ou en partie l'entreprise aux dispositions mentionnées dans
l'article.
Mme Setlakwe : Avez-vous
quelque chose à ajouter...
M. Caire : ...Non, c'est de ne
pas oublier de ramener du lait.
La Présidente (Mme D'Amours) : Mme
la députée.
Mme Setlakwe : Oui. Donc,
quel sera votre votre lien avec la nouvelle société d'État qui sera créée, fort
probablement, là, en 2024, Santé Québec?
M. Caire : Bien, on va avoir
les discussions avec le ministre, mais, personnellement, je pense qu'elle doit
être assujettie à la LGGRI au niveau de la cybersécurité, minimalement. Au
niveau des opérations, bien, moi, là-dessus, je dirais que le statut sera à
discuter, là, il faut regarder ce que ça implique au niveau du ministère, au
niveau de cette agence-là, de sa capacité d'agir, parce que l'objectif, c'est
toujours de s'assurer que le pouvoir est exercé au bon endroit, et donc de...
Mais au niveau de la cybersécurité, pour moi, effectivement, là, qu'il faut que
ce soit intégré au réseau puis à la philosophie du ministère de la
Cybersécurité. Au niveau des autres fonctionnalités, là, ça fera certainement
l'objet de discussions avec mon collègue de la Santé et des Services sociaux.
Mme Setlakwe : Je veux juste
revenir aussi... merci... au premier énoncé que vous avez fait. Donc, vous avez
identifié des zones névralgiques, puis je comprends, vous dites : On ne
doit pas trop personnaliser ou spécifier...
M. Caire : ...je ne voudrais
pas qu'ils se sentent à l'abri.
Mme Setlakwe : Il y en a
d'autres, là, oui, mais vous avez quand même mentionné l'énergie, les
transports, l'économie. Donc, outre Hydro-Québec, qu'est-ce que vous avez en
tête, comme priorités, ou... Tu sais, vous avez quand même des exemples en tête
qui vous ont poussés à mettre en oeuvre ce nouvel article là.
M. Caire : Oui, bien, je
pense, peut-être, mettons, à Investissement Québec, qui, au niveau de
l'économie, est un acteur névralgique, très, très certainement. Bon, la société
des parcs de Bécancour, là, compte tenu du déploiement de la filière batterie
et du volet économique névralgique. Bon, puis, pour les autres, là, Loto-Québec
et la SAQ. On aura des discussions, mais peut-être pas les premières
entreprises de l'État auxquelles je pense, évidemment, là.
Mais, très certainement, là, si on est
capables, par une cyberattaque, d'avoir un impact négatif soit sur l'économie,
nos institutions démocratiques... Bon, évidemment, là on pense plus à
l'Assemblée nationale et son indépendance, donc là, ça pourrait... Puis ça, ce
n'est pas l'objet de la loi, mais on discute, là. On a déjà, d'ailleurs, une
très bonne collaboration avec l'Assemblée nationale, qui s'est intégrée
d'elle-même. C'est la décision de l'Assemblée de s'intégrer au réseau
gouvernemental de cyberdéfense, là. Mais, tu sais, il faut protéger nos
institutions démocratiques. Mme la députée, vous avez probablement autant
d'exemples que moi en tête, là où, par différents moyens numériques, on essaie
d'interférer, qui dans les élections, qui dans les décisions qui peuvent être
prises par un gouvernement. Donc, c'est un... La cybermenace est une menace qui
touche plusieurs sphères de la société.
Mme Setlakwe : Exactement.
Donc, si on revient au libellé, c'est le gouvernement qui peut, sur
recommandation conjointe du ministre de la Cybersécurité et du Numérique et du
ministre chargé de l'application de la loi qui régit l'entreprise en
question... Donc, vous allez identifier des entreprises, puis là vous allez
suivre le processus, mais ça va émaner de... Comment ça va se faire, dans les
faits, là?
M. Caire : Bien, dans les
faits, je vais m'asseoir avec le ministre responsable de l'entreprise, dans un
premier temps, énoncer l'intention. Après ça, je pense qu'il serait nécessaire
de s'asseoir avec l'entreprise visée aussi, d'expliquer l'intention, puis, une
fois que l'intention est claire, et que tout le monde se rallie à l'intention,
bien, c'est un décret du gouvernement, et donc le décret est adopté par le
gouvernement, et, après ça, l'entreprise... la ou les entreprises visées par le
décret seront assujetties à la loi, selon ce qui est édicté dans l'article.
Mme Setlakwe : Donc, vous
allez, si je vous entends bien, commencer par Hydro-Québec.
M. Caire : Oui. Oui, oui, je
n'en ai pas fait de cachette, ni auprès de mon collègue, qu'Hydro-Québec était
très certainement, la première entreprise à laquelle je...
M. Caire : ...compte tenu de
son caractère hautement névralgique. Ce n'est pas la seule, mais c'est
certainement celle qui m'apparait le plus prioritaire.
Mme Setlakwe : Puis là si on
en nomme deux, trois autres, ce serait?
M. Caire : Bien, comme j'ai
dit, là, je pense à Investissement Québec, mais c'est sûr que, tu sais, en
termes de cybermenaces, c'est moins urgent. Puis je pense que, là... puis il
faut faire aussi de la pédagogie. On peut peut-être penser à la Caisse de dépôt
et de placement, donc. Mais, encore là, tu sais, c'est sûr que le caractère...
la menace est peut-être moins imminente, moins... a moins d'impact, mais ça
reste quand même des entreprises de l'État qui sont ciblées dans les
cybermenaces actuelles. Les organisations qui ont un impact économique sont
aussi la cible de cybermenaces. Quand on regarde le tableau à l'international,
là, de qu'est-ce qui est ciblé, soit par les cybercriminels, mais aussi,
j'oserais peut-être même dire « surtout », par les États délinquants
qui utilisent de plus en plus les cybermenaces pour arriver à leurs fins.
Mme Setlakwe : O.K., quand
vous dites : Ce sont les dispositions... là, on... je suis plus dans le
détail, les dispositions du chapitre 2.2, les dispositions de tout
règlement pris en vertu de... bon là, il y a un article spécifique, là, on est
dans la LGGRI, évidemment, le chapitre 2.2, c'est... je ne suis pas sûre
de...
M. Caire : Oui, si on va dans
le... Bon, bon, vous avez section deux, on est dans le dirigeant de
l'information... non.
Mme Setlakwe : Oui, cest ça,
hier, j'essayais de faire l'exercice de me référer le chapitre...
M. Caire : 12 ici, le
chapitre 2.2, Sécurité de l'information, c'est 12.2. « Tout organisme public doit
s'assurer de la sécurité des ressources informationnelles », ta-ta-ta, là, c'est donc,
ça, ces dispositions-là vont... s'appliqueraient. 12.3, aussi, 12.4, 12.5,
12.6, 12.7. On va jusqu'à 12.7, Mme la députée.
Mme Setlakwe : O.K., donc
c'est vraiment le chapitre qui concerne la sécurité de l'information.
M. Caire : C'est ça, c'est
ça.
Mme Setlakwe : Puis fort
probablement que vous allez avoir des discussions avec Santé Québec ou le
ministre qui est responsable... qui sera responsable de Santé Québec.
M. Caire : Oui.
Mme Setlakwe : Le cas
échéant, mais je pense qu'on... Vous vous en alliez vers ça, je pense, là. O.K.
M. Caire : Oui, parce que,
comme vous l'avez mentionné, le secteur de la santé est aussi un secteur qui
est visé, je dirais, plus par les cybercriminels cette fois, que par les États
délinquants. Quand on parle de l'Énergie, Transports, Économie, là on constate
que c'est plus des menaces étatiques, si vous me permettez l'expression, mais,
quand on parle de la santé, la menace, elle est présente, mais c'est plus au
niveau de la cybercriminalité.
Mme Setlakwe : Vous réagissez
comment quand vous entendez les constats de la Vérificatrice générale, au
niveau de la protection de nos renseignements de santé?
• (12 h 30) •
M. Caire : Bien, je... Hé!
mon Dieu! c'est des choses que je dis depuis longtemps, Mme la députée, quand,
hier, je parlais des sources de données, pourquoi les sources de données,
pourquoi il faut arrêter de surmultiplier les banques de données. Pourquoi
cette pratique-là, elle est nuisible? Parce qu'administrer autant de bases de données,
trouver l'expertise pour être capable d'administrer ces bases de données,
protéger ces bases de données, entretenir les technologies qui soutiennent ça
et logiciels, matériels pour autant de bases de données, c'est titanesque.
Alors, quand on a mis en place... Puis, oui, je soulignais la collaboration de
l'ancien député de Le Pinière, puis les discussions qu'on avait. Puis je veux
aussi parler du député de Rosemont, parce que ça a été un travail de comprendre
l'importance de faire ça, d'aller vers les sources de données. La source de
données, elle n'a pas un mandat spécifique. Puis là dessus, je suis en
désaccord avec la CAI. Son mandat, c'est de fournir de l'information, puis
c'est le mandat de n'importe quelle base de données que de fournir de l'information.
Son mandat, c'est de faire en sorte qu'il y ait...
12 h 30 (version non révisée)
M. Caire : ...moins
besoin d'avoir accès à moins de bases de données pour avoir la même
information. Donc, c'est d'empêcher la surmultiplication d'une même
information, c'est d'empêcher la surmultiplication de la nécessité d'expertise.
C'est... C'est de permettre de mieux gérer ça. Puis quand on parle de gérer,
dans le fond, ce que la Vérificatrice générale nous dit, c'est quoi? C'est tous
les accès. Ce n'est pas la première fois que la VG parle de ça, la gestion des
accès. Elle a raison. Elle a raison. Et il y en a trop partout. Il y a trop de
monde partout qui font ça. Donc, quand on a adopté la loi no 95, c'était
un constat de ça.
Et je vous ramène à l'audit de
PricewaterhouseCoopers. Quand PricewaterhouseCoopers dit : Vous le saviez.
Comme je le disais hier, bien oui, on le savait que nos bases de données
étaient désynchronisées. Bien oui, on le savait que le citoyen X avait une
identité dans tellement trop de bases de données partout que d'en assurer l'intégrité
et puis la cohérence, c'était impossible. Et donc, quand on en arrive à mettre
en place les sources officielles de données, ce qu'on a fait avec l'identité
numérique, bien, c'est sûr qu'il y a des clashs, c'est sûr qu'il y a des... Il
y a des bases de données qui nous disent : Tel citoyen, son nom, on l'écrit
comme ça. Puis là on a un citoyen que le nom, c'est pas mal le même, mais il n'est
pas écrit de la même façon.
Une voix : ...
M. Caire : Vous avez
vécu ça, Mme la députée? Bon. Bien, c'est ça.
Mme Setlakwe : ...plein
de monde qui m'a téléphoné ou qui m'ont écrit pour dire...
M. Caire : Bien oui, mais moi
aussi. Moi aussi. Mais c'est sûr, parce qu'à la RAMQ le nom est écrit d'une
façon, puis à l'agence du revenu, le nom est écrit de l'autre façon. Ça fait
que tant que ces bases-là ne se parlent pas, ce dont on était des experts,
hein, on était des experts à ne pas se parler entre organismes du
gouvernement... Ça va bien parce que le citoyen dit : Bien, mon nom est
mal orthographié, mais ce n'est pas grave, tu sais, j'ai reçu mon chèque, puis
ma déclaration d'impôt est rentrée, puis tout est beau. Puis quand je vais me
faire soigner à l'hôpital, bien, mon nom n'est pas écrit comme il faut, mais ce
n'est pas grave, tu sais, ma carte d'assurance maladie, elle passe et je reçois
mes soins.
Ça fait qu'il n'y a pas de corrections qui
sont faites, mais quand est venu le temps de dire : O.K. Ce citoyen-là, je
dois lui donner une identité unique, hors de tout doute raisonnable, parce qu'après
ça, avec cette identité numérique là, c'est tous les services gouvernementaux
qui vont être accédés. C'est l'ensemble de ces informations que je vais avoir
accès. Je peux-tu vous dire que le niveau d'authentification doit être élevé?
Puis c'est là-dessus, Mme la députée, où je vous dis : Le service d'authentification
gouvernamentale, il fonctionne bien. Puis là je touche du bois parce que rien n'est
parfait, mais des incidents de confidentialité, il n'y en a pas. Des vols d'identité,
il n'y en a pas. Et des bris de confidentialité, il n'y en a pas. Puis des
accès non autorisés, à date, il n'y en a pas.
Est-ce que ça... Est-ce qu'on est à l'abri
de ça? Non. Vous le savez. Vous l'avez dit, le risque zéro n'existe pas. Mais
pour l'instant, le système, il est robuste, il fonctionne bien. Pourquoi? Parce
que quand on fait la vérification d'identité puis qu'on se rend compte que,
woups, c'est pas mal le même nom, mais il n'est pas écrit pareil. Alors, qu'est-ce
qui se passe? Est-ce que c'est une erreur de saisie? Est-ce que ce sont deux
citoyens différents, auquel cas, je ne peux pas en effacer un des deux en
disant je vais choisir celui-là, puis l'autre, bien, il se débrouillera? Bien
non, je ne peux pas faire ça. Est-ce que c'est une... est-ce que c'est un
fraudeur qui s'est créé des identités? Et ça, ça touche 7 % de la
population. Ça, c'est le...
Et d'ailleurs, vous regardez dans le
rapport d'audit ces commentaires-là qui sont faits. C'est vrai qu'ils sont
faits, mais ils sont faits dans la section des problèmes inévitables. Parce qu'on
savait qu'il y avait de la désynchronisation. Mais qui? Quel citoyen est
victime de ça? Pour quel citoyen l'identité n'est pas correcte sur une base
de... on ne pouvait pas le savoir avant que les gens créent leur compte d'identité
numérique.
Mme Setlakwe : Bien, je
vous suis. Je comprends très bien, mais il demeure que...
M. Caire : Mais c'est pour ça
que...
Mme Setlakwe : Oui,
allez-y.
M. Caire : Non, mais c'est
pour ça quand on dit : Le SAG ne fonctionne pas bien, je veux qu'on fasse
attention parce qu'il y a quand même des femmes et puis des hommes qui ont
travaillé là-dessus, qui à partir d'un système qui, lui, s'en allait dans le
mur, Accès UniQc, là, ça s'en allait dans le mur, ce projet-là, pas à peu près.
Mme Setlakwe : ...
M. Caire : Accès UniQc.
Ça, c'était le projet qui était là avant que, nous, on arrive pour remplacer
clicSEQUR. Puis je ne veux pas faire de politique avec ça, là. Je vous énonce
un fait, là, c'était... Ça, ça n'allait pas dans la bonne direction. On l'a
arrêté, puis on a fait l'analyse, puis on a rapatrié ça chez nous, chez nous
étant à ce moment-là au Conseil du trésor, au sous-secrétariat, celui du
dirigeant principal de l'information, on a reparti ce projet-là avec le Service
québécois d'identité numérique. Et là on vient de faire la première livraison
de ce grand ensemble, parce qu'on y va par étape, qui est le Service d'authentification
gouvernementale, qui est la première pierre, la pierre d'assise sur laquelle on
va mettre tout le Service québécois d'identité numérique, là, à terme. Et ça
fonctionne bien. Ça fait que, oui, on a eu des enjeux de communication, puis je
ne m'en cache pas. On n'a pas... On n'a pas de félicitations...
M. Caire : ...à recevoir
là-dessus, là, tout à fait d'accord. Mais sur le fonctionnement, les Québécois
peuvent avoir confiance au SAG parce qu'il fonctionne bien. Mais ça, c'est ça.
C'est quand on fait ce ménage-là dans nos banques de données puis qu'on s'en va
vers une source officielle, bien oui, il va y avoir nécessairement des accrocs
comme ça, de la désynchronisation, des données qui ne concordent pas pour une
même personne, ça... et là, bien, ça veut dire qu'il faut faire des
vérifications, il faut faire des enquêtes, il faut s'assurer avant d'intégrer
ça à la source officielle de données, il faut s'assurer qu'on intègre la bonne
information, et c'est ce qu'on fait.
Mme Setlakwe : Je vous suis.
C'est superintéressant. Puis vous dites que ces accrocs-là ou ces situations
problématiques causées par une multiplicité de notre identité dans différentes
bases, ça touche 7 % de la population.
M. Caire : Exact.
Mme Setlakwe : Donc, vous, ce
que vous dites, M. le ministre, c'est que vous saviez qu'en lançant SAG, qui
était la première étape, la porte d'entrée pour arriver à SAAQ-CLIC, vous
saviez que SAG dès qu'il devient opérationnel et qu'une personne entre ses
informations, il allait y avoir 7 % qui n'allait pas réussir pour
différentes raisons.
M. Caire : Non.
Mme Setlakwe : Non.
M.
Caire
: On ne
savait pas. On ne savait pas qu'il y avait 7 %.
Mme Setlakwe : 7 % de la
population, des disparités aussi dans l'identification, dans les noms.
M. Caire : Dans ceux qui ont
créé un compte de niveau 2, parce que là, pour expliquer le compte de
niveau, c'est une authentification très simple pour lesquels il y a peu de
vérifications qui se font, donc, mais ça ne donne pas accès à des prestations
électroniques de services où il y a de la donnée sensible. C'est vraiment une
petite navigation confortable, si je peux me permettre l'expression.
Le compte de niveau 2, lui, son
niveau de vérification, là, on a une authentification à multifacteurs pour
s'assurer vraiment de l'identité de la personne, parce que là on va donner
accès à des informations plus sensibles, puis éventuellement on va pousser pour
aller vers des niveaux de sécurité plus élevés, dépendamment de quelle sorte de
prestation électronique on aura traité. Mais pour l'instant, le niveau 2,
c'est le niveau qui est tout à fait correct pour ce qu'on a à faire, et c'est
là où la vérification est plus importante. On a l'avis de cotisation, le...
bon, vous les savez.
Et c'est au moment de cet
enregistrement-là que nous, avec les différents partenaires, l'Agence du
revenu, la Régie de l'assurance maladie, même au niveau du gouvernement
fédéral, avec le numéro d'assurance sociale. Ça fait que, là, on va faire des
vérifications d'identité, puis on va s'assurer de la concordance de tout ça.
Puis une fois qu'on est convaincu de l'authenticité de la personne, on crée son
compte dans le registre d'identité, puis c'est sur ce registre d'identité là
que le SAG s'appuie pour être capable.
Mais avant de vous faire entrer dans le
registre d'identité, il faut s'assurer hors de tout doute, donc... Et c'est là
où, à un moment donné, si on a une information pour laquelle un partenaire nous
dit : Non, moi je ne peux pas corroborer cette information-là, woup! puis
on arrête, puis on rentre dans un processus d'enquête. On dit : O.K. Mais
qu'est-ce qui ne va pas? Qu'est-ce qui ne marche pas? Puis c'est là où on va
accompagner le citoyen.
Donc, non, on ne savait pas qu'il y aurait
7 %. On savait que c'était une possibilité, là, sur l'ensemble, puis ce
n'était pas surprenant qu'il y ait cette possibilité-là.
Mme Setlakwe : Ça allait
tourner autour de 7 %.
M. Caire : Oui, ce n'était
pas... ça aurait été assez difficile de prévoir ça, là.
Mme Setlakwe : Mais tu sais,
donc, là, le SAGdevient la porte d'entrée. On commence avec ça, on rentre nos
pièces d'identité, on remplit ce que le système nous demande. Je pense qu'il y
avait quatre...
M. Caire : Oui.
Mme Setlakwe : ...qui est
devenu peut-être trois.
M. Caire : Pour le compte que
niveau 2 c'est quatre.
Mme Setlakwe : Le
niveau 2, dont on avait besoin pour accéder à SAAQ-CLIC.
M. Caire : Oui, c'est ça.
Mme Setlakwe : Donc, on fait
ça et on sait qu'il va y avoir des gens qui ne vont pas pouvoir passer cette
étape-là, qui vont aller en succursale, puis d'autres vont pouvoir aller sur
SAAC-CLIC et compléter, leur quoi...
• (12 h 40) •
M. Caire : Oui. Si je peux me
permettre?
Mme Setlakwe : Oui.
M. Caire : Mais le processus
d'accompagnement ne nécessitait pas d'aller...
Mme Setlakwe : Non, mais pour
le SAAQ-CLIC...
M. Caire : Ça aurait pu. Il y
avait des services en ligne qui permettaient, par des agents, par exemple de
l'Agence du revenu ou par des agents de Services Québec, d'accompagner le
citoyen, puis de permettre de faire les vérifications d'usage.
Mme Setlakwe : ...d'histoires
où les gens avaient été envoyés d'une place à l'autre pour essayer de
solutionner.
M. Caire : Oui.
Mme Setlakwe : Puis c'était
bon que les gens se ramassent en.. Là, là où je veux en venir, ça va se
rattacher à notre projet de loi. C'est donc SAG, on savait que ça n'allait pas
fonctionner pour 100 % de la population, puis c'est normal, là, de...
M. Caire : Est-ce que je
peux? Est ce que je peux me permettre?
Mme Setlakwe : Oui.
M. Caire : Le registre
d'identité, parce que le SAG, c'est l'application. Le registre...
M. Caire : ...d'identité,
c'est la source d'information qui nourrit le SAG.
Mme Setlakwe : ...on en
parlait dans le mémoire de la CAI...
M. Caire : C'est ça.
Mme Setlakwe : ...de ce
registre.
M. Caire : C'est ça.
Mme Setlakwe : O.K., le
registre.
M. Caire : Alors, c'est le...
Oui, on savait qu'au moment de constituer le registre d'identité, c'est des cas
comme ceux-là... pouvaient potentiellement se produire.
Mme Setlakwe : Survenir.
M. Caire : Absolument.
Mme Setlakwe : Donc, on sait
ça, puis là, on sait qu'on déploie une plateforme SAAQclic, qui... on espère
qu'il y a le plus haut pourcentage possible de la population qui va y adhérer.
On a fermé les succursales pendant trois semaines avant, ce que le premier
ministre a admis, qui était une erreur d'avoir fait ça, bon.
M. Caire : ...absolument.
Mme Setlakwe : Mais tout ça
mis ensemble, tu sais... Puis je comprends, vous parlez de l'indépendance de la
SAAQ dans tout ça, tu sais, c'est leur bébé, là, c'était leur... bon. Mais il
faut bien qu'il y ait quelqu'un qui prenne la décision, puis qui prenne la
responsabilité, et qui dise : Je regarde tout ça, là, le plan de match, le
plan de déploiement et je lève un drapeau, puis il me semble que le drapeau a
été levé. Donc, j'essaie de voir qui était responsable, qui était la personne
qui avait cette vue d'ensemble, ou aurait dû avoir cette vue d'ensemble.
Alerte, là, on ferme les succursales. Alerte, on a un SAG qui va être la
première étape ou le registre, puis on sait que ça ne fonctionnera pas à
100 %. Après avoir fermé pendant trois semaines, on lance la plateforme,
mais personne n'a dit : C'est une recette pour un échec. Et c'est sûr que
la population se dit : Bien, il y a un ministère de la Cybersécurité et du
Numérique. C'est un volet de la transformation numérique.
M. Caire : Absolument. Bien,
Mme la députée...
Mme Setlakwe : Donc,
qu'est-ce que le projet de loi va changer? Êtes-vous encore aujourd'hui à
dire : Ce n'était pas à vous à faire cet exercice-là de vous prononcer...
M. Caire : Bien là, on
devance les articles.
Mme Setlakwe : Oui, on
devance probablement.
M. Caire : Non, non mais...
Non, mais je veux quand même répondre à votre question parce que c'est une
bonne question puis je pense que c'est important d'avoir cette discussion-là
maintenant, puis après on ira plus rondement dans les articles. Mais je vous
connais, Mme la députée, je sais qu'éventuellement...
Mme Setlakwe : ...le projet
de loi n° 3...
M. Caire : Tout à fait. Non,
non, mais tout à fait. Puis la question que vous vous posez, là, il y a plein
de monde qui se la pose, puis vous me donnez l'opportunité d'y répondre. Je
vais y répondre. Alors, qui? C'est les dirigeants de la SAAQ, donc le P.D.G. et
le conseil d'administration. C'est eux qui prennent les décisions.
Mme Setlakwe : ...qui
touchent au SAG/registre.
M. Caire : Ah... O.K., mais
le SAG... Non, non, le SAG, c'est ma responsabilité, c'est ma responsabilité.
Le service d'authentification gouvernementale, c'est ma responsabilité. J'ai
cru comprendre que votre question portait sur SAAQclic.
Mme Setlakwe : Bien... ça va
ensemble. C'est dans ce sens-là.
M. Caire : Non. Non. Non, Mme
la députée. C'est ça... Puis l'erreur que j'ai commise puis qui est soulignée
dans l'audit de PricewaterhouseCoopers, c'est d'avoir laissé les communications
entourant le déploiement de ces deux services-là se faire par une seule et même
entité en même temps, ce qui a créé la confusion que vous évoquez. Et ça, c'est
dans l'audit. Et ça, c'est un blâme que je prends sans problème, parce
qu'effectivement, effectivement, ce sont deux systèmes complètement différents.
SAAQclic, c'est le système de la SAAQ, c'est la transformation numérique de la
SAAQ. C'est la SAAQ qui est responsable de son projet. Le service
d'authentification gouvernementale se veut l'interface qui va permettre aux
Québécois d'accéder aux prestations électroniques du gouvernement et de ses
sociétés d'État.
Mme Setlakwe : ...dans le
fond, dans l'avenir, vous dites : Là, on a fait l'erreur une première
fois, ça n'arrivera pas, là.
M. Caire : Non seulement ça
n'arrivera pas, mais c'est corrigé, parce que maintenant... Autre erreur, pour
créer un compte SAG, on accédait à SAAQclic. Alors, un Québécois qui voulait se
créer un compte du service d'authentification gouvernementale devait passer par
SAAQclic. Aujourd'hui, il y a une plateforme autoportante. Donc, tous les
Québécois qui, en prévision de se connecter sur des prestations électroniques
du gouvernement, auxquelles on pourra ajouter des services au fur et à
mesure... Puis on aura cette discussion-là plus tard, parce qu'il y a des
dispositions de la loi qui visent à nous permettre de faire ça, ce qu'on ne
peut pas faire présentement. Puis ça, je veux en discuter avec vous. Bien, les
Québécois maintenant peuvent aller se créer leur compte en se disant :
Bien, à un moment donné, c'est le carnet santé. À un moment donné, ça va être
l'agence du revenu. À un moment donné, ça va être les autres ministères et
organismes, parce que ce service là, à terme, va devenir l'interface unique.
Donc, au lieu d'avoir un clicSÉQUR quelque part, puis un autre système
ailleurs, puis un mot de passe ici, puis un autre mot de passe là, puis un mot
de passe qu'on ne se souvient plus, parce que je me connecte une fois...
M. Caire : ...par année à
l'Agence du revenu, ça fait que je n'ai pas retenu mon mot de passe, l'année
passée, puis l'autre affaire non plus, puis... On va avoir un service
d'identification gouvernementale.
Et je suis très fier de dire aux Québécois
que nous sommes en discussion pour que d'autres gouvernements utilisent ce
service-là pour les prestations électroniques de service, est-ce que ça va se
faire, je ne le sais pas, je l'espère, de façon à ce qu'au Québec, de la même
façon qu'on s'identifie avec des pièces d'identité fournies par le
gouvernement, on puisse le faire dans un univers numérique, ce qui va grandement
simplifier l'utilisation des Québécois.
Donc, ce sont deux systèmes complètement
différents, qui n'ont pas le même objet du tout. Parce que le SAG, son objet,
c'est de vérifier l'identité de quelqu'un avant de lui permettre d'utiliser des
services... des prestations électroniques de service, puis SAAQclic, bien, ça
fait les services de la SAAQ, mais ça va être le même service
d'authentification gouvernementale. Quand vous allez vouloir interagir avec
l'Agence du revenu pour vos impôts, ça va être le même service
d'authentification. Quand vous allez vouloir interagir avec le système de santé
pour des services numériques en santé, ou en éducation, ou avec la famille, ou
avec... Alors, ce sont deux systèmes complètement différents.
La Présidente (Mme D'Amours) : Ceci
étant dit, vous avez une très belle discussion, tous les deux, mais je vous
ramène à l'article un. Je sais que votre discussion est en rapport avec le
projet de loi, mais je vous ramène mon... à l'article un, s'il vous plaît.
Mme Setlakwe : Oui, Mme la
Présidente.
La Présidente (Mme D'Amours) : Merci.
Merci Beaucoup.
Mme Setlakwe : On parle des
entreprises, donc la SAAQ est une entreprise. Là, j'ai entendu que... Mais, de
toute façon, le libellé, on l'a regardé, je comprends, là. Donc... Mais le SAAQ
est une entreprise. Et vous avez dit que c'était dans votre intention
d'assujettir éventuellement la SAAQ aux règles de sécurité.
M. Caire : Mais la SAAQ n'est
pas une entreprise du gouvernement.
Mme Setlakwe : Non. O.K.
C'est une entité, c'est une...
M. Caire : C'est une société
d'État.
Mme Setlakwe : C'est une
société d'État. Ce n'est pas une entreprise au... C'est bien ça?
M. Caire : Un organisme autre
que budgétaire...
Mme Setlakwe : Oui, O.K.,
mais un organisme autre que budgétaire, mais il est déjà assujetti à la LGGRI?
M. Caire : Oui.
Mme Setlakwe : O.K.
Des voix : ...
Mme Setlakwe : C'est ça. La
LGGRI, elle vise... il y a une définition, là. Ah, je comprends. Donc, elles ne
rentrent pas, les entreprises ne sont pas visées, là, à l'article, à la
définition d'organismes publics, donc il fallait prévoir cet amendement pour
pouvoir les assujettir. O.K. Donc, en tout cas, je comprends l'explication.
Puis vous dites : ultimement, votre
plus grand regret, c'est que les communications autour du déploiement de
SAAQclic aient aussi visé SAG, mais vous maintenez ces deux applications, deux
sujets, deux plateformes complètement distinctes. O.K.
Moi, je n'ai pas vraiment autre chose sur
le 5, là. Je pense que c'est... le libellé est correct. On a clarifié quel
chapitre s'appliquait. Donc, vous allez pouvoir, sur recommandation conjointe.
Puis ça, c'est un libellé qu'on retrouve, une recommandation conjointe de deux
ministres, ça se retrouve dans le corpus législatif. Ça, c'est assez clair, la
façon de fonctionner. Moi, je n'ai pas d'autre chose sur cet amendement-là.
• (12 h 50) •
La Présidente (Mme D'Amours) : Merci,
Mme la députée. D'autres commentaires sur l'article un? Est-ce que l'article un
est adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Adopté.
L'article deux. M. le ministre, s'il vous plaît.
M. Caire : Alors, Mme la
Présidente, l'article deux. Cette loi est modifiée par l'insertion, après
l'article cinq, du suivant :
«Un organisme public doit appliquer les
orientations, les stratégies, les politiques, les standards, les directives,
les règles ou les indications d'application prises en vertu de la présente loi.
Le... la responsabilité du respect de cette obligation incombe aux dirigeants
de l'organisme public qui doit prendre les moyens pour faire connaître et
respecter par les membres du personnel de celui-ci. Pour l'application de la présente
loi, le dirigeant de l'organisme public correspond à la personne ayant la plus
haute autorité administrative, tel le sous-ministre, le président-directeur
général ou toute autre personne responsable de gestion courante de l'organisme.
Toutefois, lorsqu'il s'agit d'un organisme public visé au paragraphe quatre...
M. Caire : ...4.1° du premier
alinéa de l'article 2, le conseil d'administration ou, dans le cas d'une
commission scolaire visée par la Loi sur l'instruction publique pour les
autochtones cris, inuit et naskapis (Chapitre I-154), le conseil des
commissaires et le dirigeant de l'organisme.»
Donc, ça vient... En fait, on fait deux
choses, d'une part, réaffirmer le caractère obligatoire dans le fait
d'appliquer les orientations et les stratégies des politiques qui sont prises
par le ministère et, en lien avec la discussion que nous venons d'avoir,
indiquer clairement qui a la responsabilité d'en assurer l'application. Donc,
je ne veux pas qu'on refasse... bien, je ne veux pas, je ne souhaite pas
refaire toute la discussion qu'on vient d'avoir, mais elle a fait œuvre utile
en ce que ça répond, je pense, à une question que vous m'avez posée
précédemment. On vient affirmer qui est responsable d'appliquer les directives,
les stratégies, les orientations qui seront prises par le ministère de la
Sécurité du numérique.
La Présidente (Mme D'Amours) : Merci.
Commentaires sur l'article 2?
Mme Setlakwe : Oui, Mme la
Présidente. Donc, est-ce que vous êtes étonné qu'il n'y ait pas eu plus de...
c'est général, ma question, là, qu'il n'y ait pas eu plus d'intervenants lors
des consultations? Comment vous interprétez ça?
M. Caire : Je ne sais pas,
honnêtement. Bien, mon hypothèse, c'est que c'est beaucoup de la régie interne.
Donc, le processus législatif fait qu'à l'interne les gens ont eu l'occasion de
se prononcer sur le projet de loi. Puis l'externe, bien, c'est beaucoup de la
régie interne. C'est ce que je pense. Mais je ne pourrai jamais répondre au nom
de ceux qui ne se sont pas présentés.
Mme Setlakwe : Non,
effectivement. Mais on a eu un... Je ne sais pas si eux, ils avaient un enjeu
ici, là... Bien, j'ai deux questions. Premièrement, ici, là, on répond à une
problématique comme quel problème exactement est-ce que vous avez pu constater
depuis que votre ministère existe, depuis que vous êtes ministre de
Cybersécurité et du Numérique, qui vient vous inciter à adopter cette nouvelle
clause de 5.1.
M. Caire : Bien, le
ministère...
Mme Setlakwe : ...finalement,
ou il ne le savait pas, ou il y avait... c'était quoi, la raison?
M. Caire : Bien, le
ministère, c'est le résultat essentiellement de la fusion de deux
organisations, donc le sous-secrétariat du dirigeant principal de l'information
et de la transformation numérique, qui était au Conseil du trésor, donc qui
bénéficiait de l'autorité du Conseil du trésor, et une certaine partie du CSPQ
qui est devenu l'ITQ, qui a été intégré au ministère.
Mme Setlakwe : Ça fait partie
du...
M. Caire : Le CSPQ, qu'on a
aboli, donc ça a donné le centre d'acquisitions gouvernemental et
Infrastructures technologiques Québec, et Infrastructures technologiques Québec
a été intégré au ministère de la Cybersécurité et du Numérique. Donc, je dirais
qu'au niveau de l'autorité, les gens étaient habitués de se rapporter au
Conseil du trésor. Puis, bon, bien, changer une culture, bien, ce n'est n'est
pas toujours simple. Donc, on a voulu réaffirmer le caractère obligatoire dans
la mise en place des orientations stratégies et politiques, et là on vient dire
qui est responsable de ça, nommément, quelque chose qu'on a fait, soit dit en
passant, dans le p.l. no 64 qu'est devenu la loi 25, là, où on a
dit : Bien là, c'est bien beau de faire une loi, mais qui est responsable
de la faire appliquer? Vers qui on se retourne si ça ne fonctionne pas?
Mme Setlakwe : Donc, dans le
régime actuel, il n'y avait pas une obligation d'appliquer les orientations.
M. Caire : Bien, c'est une
obligation implicite. Donc, par interprétation de la loi, quand on prend ces
politiques-là, oui, on part du principe que les ministères et organismes vont
l'appliquer. Maintenant, ce qu'on fait, c'est une affirmation claire de
dire : Bien là, je les prends puis vous avez l'obligation de les
appliquer, puis voici qui a l'obligation de le faire.
Mme Setlakwe : J'aimerais ça,
peut-être... Est-ce que Mme... c'est Me Bacon?
M. Caire : ...Non, mais c'est
ça, c'est clairement...
Mme Setlakwe : Est-ce qu'elle
a un complément...
M. Caire : ...c'est que ce
n'est plus une interprétation de, c'est clairement indiqué dans la loi. C'est
une affirmation qui est claire, nette et précise, vous devez le faire. Donc, il
y a plus de place à interprétation.
Mme Setlakwe : Puis le mot
«doit», on sait exactement ce que ça veut dire...
Mme Setlakwe : ...mais
c'est... Dans les faits, est-ce qu'il y avait un problème de... d'exécution?
M. Caire : Oui, un problème
d'interprétation, mais disons que ça a donné lieu à des discussions, ça pouvait
donner lieu à des discussions, ça pouvait donner lieu à des : Oui, mais on
ne savait pas que, on n'était pas sûr que... Alors là, bien là, vous êtes sûr
que puis vous le savez que, c'est écrit dans la loi.
Mme Setlakwe : Puis pourquoi
il y avait une résistance, M. le ministre?
M. Caire : Je vous dirais que
c'est un changement de culture, Mme la députée, c'est un changement de façon de
faire. On crée un ministère qui s'occupe de la cybersécurité et du numérique.
Les gens avaient l'habitude de faire affaire avec le Conseil du trésor, qui est
plus un organisme de contrôle, qui est... qui est... qui est plus général. Là,
on a un ministère qui est investi d'une autorité, mais dans un secteur... le
secteur de la cybersécurité et du numérique. Donc, ça amène un changement de
culture, ça amène un changement dans la... je n'ose pas dire la voie
hiérarchique parce que ce n'est pas ça, ce n'est pas une voie hiérarchique, pas
au sens propre du terme, mais dans qui assume l'autorité. Puis, dans
l'interprétation, quelquefois, bon, bien, le Trésor, c'est le contrôle
budgétaire, c'est les sous. Le ministère, c'est les politiques. Avant ça,
c'était à un seul et même endroit. Maintenant... Donc, pour être sûr qu'il n'y
avait pas de mésinterprétation, on le met dans la loi.
Mais... Puis... Mais l'élément clé
aussi... bien, je dis l'élément clé... un élément important, c'est de désigner
qui est responsable de faire appliquer les différentes politiques, stratégies,
etc. Ça aussi, c'est un élément qui est... qui est important. Donc, ce n'est
pas juste de dire : Vous devez le faire, c'est : Vous, en pointant
quelqu'un du doigt, vous devez le faire.
Des voix : ...
Mme Setlakwe : Pardon?
M. Caire : Non, non, c'est
correct. C'est... Là, c'est le beurre qui manque.
La Présidente (Mme Tremblay) : Est-ce
qu'il y a d'autres questions concernant l'article 2?
Mme Setlakwe : Oui, j'aurais
une autre question. Donc, je comprends très bien l'obligation de... pas... oui,
l'obligation de le faire et de prévoir qui... à qui la responsabilité ou
l'obligation incombe. On dit que c'est le dirigeant de l'organisme. Après ça,
on vient définir qui est le dirigeant. Est-ce que, cette définition-là, on la
retrouve ailleurs?
Des voix : ...
M. Caire : Elle était... En
fait, on va la retirer de l'article 8, parce qu'elle était dans
l'article 8. On la retire de l'article 8 puis on vient... Mais, de
toute façon, elle est dans la loi 25 aussi.
Mme Setlakwe : ...on n'a pas
inventé un libellé ici.
M. Caire : Non, non, non.
Mme Setlakwe : On a repris
exactement... O.K. Mais moi, je veux quand même mieux comprendre la
problématique, là, dans les faits, depuis les... Combien... Ça fait combien de
temps que votre ministère est... a été constitué?
M. Caire : Un peu moins de
deux ans.
Mme Setlakwe : Un peu moins
de deux ans. C'était en janvier...
M. Caire : 2022.
Mme Setlakwe : O.K. Si vous
sentez le besoin de prévoir l'obligation, c'est quoi, c'est qu'il y avait des
orientations? Comment ça se faisait? Donc, il y avait des orientations, des
stratégies, des politiques, standards, directives, règles ou indications
d'application, je pense, c'est un terme défini aussi, qui existaient, mais qui
est... quoi, qui étaient tablettés ou qui n'étaient pas mis à exécution?
M. Caire : Non, pas
nécessairement, mais...
Mme Setlakwe : Je voudrais
comprendre : C'est dans quels domaines qu'il y a une problématique pour
sentir le besoin de prévoir ça?
M. Caire : ...il faut
comprendre qu'on passe d'une culture du silo, où chacun faisait ça pour
lui-même, par lui-même, vers une culture où il y a un ministère qui fait ça
maintenant de façon transversale.
Mme Setlakwe : De façon
transversale?
M. Caire : Bien, c'est-à-dire
que, quand le ministère va prendre une politique, bien, la politique, elle
s'adresse à tous les organismes assujettis à la LGGRI.
Mme Setlakwe : Je comprends.
M. Caire : Donc, dans ce
sens-là, elle est transversale.
Mme Setlakwe : O.K.
La Présidente (Mme Tremblay) : Alors,
je vous remercie pour votre précieuse collaboration.
Donc, compte tenu de l'heure, parce qu'il
est maintenant 13 h, nous allons suspendre les travaux de la commission jusqu'à
14 h. Merci.
(Suspension de la séance à 13 heures)
14 h (version non révisée)
(Reprise à 14 h 02)
La Présidente (Mme D'Amours) : Bonjour,
tout le monde. Nous reprenons nos travaux. Nous étions à l'article 2. Est-ce qu'il
y a des commentaires à l'article 2? Mme la députée.
Mme Setlakwe : Merci, Mme la
Présidente. On était bien avancé dans l'article 2, mais, quand on s'est laissé,
on discutait... À 13 heures, nous avons... quand on a pris une pause pour le
dîner, on était rendu à... Bien, on se demandait, s'il y avait eu de la
résistance sur le terrain et pourquoi ce changement-là était mis de l'avant.
Puis là M. le ministre expliquait que c'était un changement de culture.
Auparavant, c'était le trésor qui en était responsable, c'était un contrôle
budgétaire. Il y avait peut-être une culture de travailler en silo, ce que vous
souhaitez évidemment changer, mais je ne suis pas sûre que vous aviez terminé.
Moi, je me demandais, est-ce qu'il y avait
quand même... Est-ce que vous avez vécu des frustrations? Est-ce qu'il y a eu
des situations où vous sentiez que les organismes soit n'avaient pas le temps,
pas les ressources ou, pour différentes raisons, on ne mettait pas de l'avant
les orientations, stratégies, etc.?
M. Caire : Non, je pense,
comme je vous dis, c'est plus au niveau de la compréhension de qui fait quoi, c'est
quoi, ce ministère-là, qu'est-ce que ça fait, c'est quoi, son autorité. On est
vraiment dans la gestion du changement.
Mme Setlakwe : Est-ce qu'il y
a des circonstances où les orientations, stratégies, peuvent être... Donc, ce n'est
jamais à l'initiative d'un organisme, mais ça va toujours être celle du
ministère.
M. Caire : Oui.
Mme Setlakwe : O.K. Et, quand
on dit, donc... Là, Je comprends que le troisième alinéa, c'est du texte, un
libellé standard. Mais, au deuxième, on dit que «la responsabilité du respect
de cette obligation incombe au dirigeant qui doit prendre des moyens pour la
faire connaître et respecter par les membres du personnel de celui-ci». Ça veut
dire quoi, «va prendre les moyens», est-ce que ça, c'est du libellé nouveau,
là, la deuxième partie? Non, non plus.
M. Caire : Non. Vous allez
retrouver le pendant dans la loi 25 notamment.
La Présidente (Mme D'Amours) : D'autres
interventions?
Mme Setlakwe : Non, pas
sur...
La Présidente (Mme D'Amours) : Non.
Donc l'article 2 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Adopté.
M. le ministre, l'article 3, s'il vous plaît.
M. Caire : Oui, Mme la
Présidente, il se lit comme suit : «L'article 8 de cette loi est modifié
par la suppression du troisième alinéa.» C'est un lien avec l'article qu'on
vient d'adopter, Mme la Présidente, compte tenu que c'est un déplacement de
texte d'un article à l'autre.
La Présidente (Mme D'Amours) : Commentaires
sur l'article 3? Commentaires?
Mme Setlakwe : Désolée. Vous
supprimez donc... Non, vous l'avez simplement déplacé.
M. Caire : On vient de l'adopter
dans l'autre article.
Mme Setlakwe : Oui,
exactement.
La Présidente (Mme D'Amours) : Parfait.
Donc, l'article 3 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article
4. M. le ministre.
M. Caire : Mme la
Présidente : Cette loi est modifiée par l'insertion, après l'article 12.5,
des suivants :
«12.5.1. Le ministre peut, par arrêté,
prévoir l'obligation pour un organisme public qu'il désigne de recourir à ses
services pour réaliser des activités de cybersécurité selon les conditions et
les modalités qu'il détermine.
«12.5.2. Le ministre peut, par tout moyen
et dans l'objectif de soutenir un organisme public en cas d'atteinte ou de
risque d'atteinte visé au deuxième alinéa de l'article 12.2, lui ordonner de
retirer de ses infrastructures, de ses systèmes, tout logiciel, toute application
ou tout autre actif informationnel qu'il détermine.
«Le pouvoir prévu au premier alinéa peut
être exercé uniquement dans l'un ou l'autre des cas suivants :
«1° le ministre estime qu'il y a urgence d'agir
sans délai en matière de cybersécurité ou qu'il y a un danger que soit causé un
préjudice...
M. Caire : ...comparable à une
ressource informationnelle ou de l'information sous la responsabilité de
l'organisme public visé;
«2° le... le ministre - pardon - estime
qu'il y a urgence d'agir dans un court délai en matière de cybersécurité.
«Dans le cas prévu au paragraphe 2° du
deuxième alinéa, le ministre ne peut exercer le pouvoir prévu au premier alinéa
qu'à la suite de vérifications sérieuses et documentées. Il ne peut en outre
l'exercer sans qu'une consultation entre le chef gouvernemental de la sécurité
de l'information et le chef délégué de la sécurité de l'information rattaché à
cet organisme ait eu lieu et sans avoir préalablement avisé le dirigeant de
l'organisme public concerné de son intention de le faire.»
Donc, Mme la Présidente, deux
nouvelles possibilités. La première, c'est de faire en sorte que les organismes
du gouvernement, le cas échéant, soient obligés d'utiliser les services, par
exemple, du Centre gouvernemental de cyberdéfense pour des activités de
cybersécurité.
Le deuxième article, bien, c'est
qu'actuellement, le ministre de la Cybersécurité n'a pas l'autorité, lorsqu'il
y a un danger, une menace, je pourrai vous donner des exemples, là, d'obliger
les organismes à prendre des mesures immédiates qui sont effectivement, de ce
qu'on appelle en bon français, là, fermer les systèmes, donc de les retirer des
actifs, que la menace soit immédiate ou que la menace soit dans un court délai.
Donc, ça, c'est un nouveau pouvoir, là, que je demande à l'Assemblée nationale
pour être capable, un petit peu dans la discussion qu'on a eue, Mme la députée,
pour être capable d'agir très rapidement, parce qu'on a eu des cas où il y
avait des menaces imminentes puis où ce n'est pas le temps de faire des comités
puis avoir de longues discussions, là, il faut agir rapidement. Il y a d'autres
cas où la menace, on la connaît, elle est moins imminente, donc là, on peut
peut-être prendre plus le temps d'analyser les situations et les impacts
potentiels. Donc, c'est ce que ces deux articles-là visent.
La Présidente (Mme D'Amours) : Commentaires
sur l'article 4?
Mme Setlakwe : Oui, Mme la
Présidente. Celui-là, il est un peu plus, comment dirais-je, c'est un
amendement plus matériel, là, et, de façon générale, j'aimerais savoir
qu'est-ce que vous avez pensé des commentaires qui ont été mis de l'avant par
la Fédération des cégeps dans son mémoire quand même assez étoffée. Ils
expriment énormément d'inquiétudes. On pourra y revenir, là, au fur et à mesure
des articles, mais ici, là, dans l'article qu'on est en train d'étudier, ils
ont des préoccupations. Tu sais, je dirais que, généralement, eux, c'est... ils
ont l'impression que les pouvoirs, les nouveaux pouvoirs qui vont vous être
octroyés pourraient ne pas convenir à un organisme, pourraient ne pas leur
convenir, ou pourraient faire en sorte qu'ils ne puissent pas... qu'ils n'aient
pas les moyens de l'exécuter, que ça leur impose un fardeau financier ou un
fardeau en termes de ressources matérielles et humaines. En tout cas,
j'aimerais savoir généralement, qu'est-ce que vous avez pensé de leur...
M. Caire : Bien, je trouve ça
super intéressant, parce qu'on est exactement dans la discussion qu'on avait
entre l'indépendance d'un organisme et où est-ce qu'on donne une autorité au
gouvernement sur l'exécution, et ici on parle évidemment de cybersécurité, et
c'est la raison pour laquelle moi, j'implore l'Assemblée nationale d'adopter
cet article-là. Pensons, Mme la députée, à, par exemple, une campagne de
sensibilisation, ce que nous, on fait à l'intérieur du gouvernement pour
s'assurer comment nos employés réagissent quand on reçoit une tentative
d'hameçonnage ou... Bon, alors, nous, on a... le Centre gouvernemental de cyberdéfense
va orchestrer ça, on va envoyer des courriels, on va regarder qui répond, qui
ne répond pas, quelle est la réaction, puis après ça, on fait de la... on peut
faire de la pédagogie.
• (14 h 10) •
Ça peut être aussi, par exemple, un
service de test d'intrusion. Donc, nous, on... au ministère, le Centre
gouvernemental de cyberdéfense va balayer les systèmes qui sont du
gouvernement, qui sont visibles depuis Internet pour valider est-ce qu'il y a
des vulnérabilités? Est-ce qu'il y a des portes d'accès? Est-ce qu'on peut
essayer de faire... de s'introduire dans un système?
Donc, on va avoir un certain nombre de
services, de protocoles. Puis ce qu'on souhaite, c'est dire : Bien,
c'est... vous devez utiliser ces services-là.
Je vous ramène à SAAQclic. Je vous ramène
à SAAQclic, discussion très intéressante qu'on a eue...
M. Caire : ...qu'est-ce qu'il
y a dans... puis je ne veux pas en faire un cas d'espèce. C'est un exemple que
je veux donner. Les tests, est-ce que ça a été suffisamment testé? Alors, en
ayant cette capacité là de tester les applications, les actifs qui sont
visibles depuis Internet, bien, on s'assure d'un certain niveau de fiabilité.
Ça, c'est le premier élément.
Sur les deux autres articles... Bien, je
ne sais pas, Mme la députée, aviez-vous des... sur les pouvoirs, de dire :
Bon, retirez ces systèmes-là ou...
Mme Setlakwe : Non, non,
allez-y, c'est intéressant.
M. Caire : Bien, en fait,
c'est... Je vais vous donner l'exemple. Est-ce que vous vous souvenez? Je pense
que c'est au Noël 2021, oui, lorsque la faille... a été découverte,
c'était une faille. C'est probablement la pire vulnérabilité de l'histoire de
l'informatique. Je veux dire, quelqu'un qui exploitait cette faille-là prenait
le contrôle total du système. Il faisait ce qu'il voulait avec. Et tous les
systèmes qui utilisaient cette librairie-là, donc, était porteuse de cette
vulnérabilité-là. Alors, on ne pouvait pas commencer à se faire un comité pour
dire : Bon, bien, qu'est-ce qu'on fait? Puis on arrête-tu le système? Oui,
je ne sais pas... Non, non, c'est-à-dire, là, il fallait agir dans l'urgence.
Donc, je vous dirais que le premier
paragraphe vise à dire : Bon, bien, si on est dans une situation d'urgence
de cette hypothèse-là, là, il n'y a pas de questionnement, il n'y a pas de
consultation. Vous faites ça, vous devez faire ça. C'est une question de
sécurité. Dans le deuxième cas, peut-être avez-vous suivi l'actualité, le
gouvernement fédéral dit : Bon, bien, l'antivirus Kaspersky, nous, on va
en proscrire l'utilisation. Il y a peut-être un danger d'une vulnérabilité
parce que c'est un produit qui a été... qui a été créé, conçu par une société
russe. Vous connaissez le contexte actuel. Bon, alors, dans notre cas à nous,
bien là, oui, il y a un risque potentiel, mais, avant d'agir, bien, je pense
que ce serait le temps de regarder nos différents ministères et organismes. Qui
utilise ça? Quelle est la véritable vulnérabilité de ça? Qu'est-ce que ça a
comme... là, oui, il faut agir. Oui, il faut que les ministères et organismes
répondent à la question : Est-ce qu'on doit retirer ça de nos systèmes
disponibles? Mais compte tenu qu'on n'est pas au même niveau que dans le
premier cas, bien là, je vais demander à la cheffe gouvernementale de la sécurité
et de l'information, les chefs délégués : Faites-moi des analyses,
faites-moi des recommandations, puis on dira si on suit cette recommandation-là
ou non. Mais il y a un danger potentiel, et vous devez répondre à cette
question-là, puis vous ne devez pas à répondre à cette question-là dans 6 à 8
mois, là, je veux des réponses rapidement. C'est un peu l'objectif des trois
paragraphes, alinéas... alinéas, c'est ça.
Mme Setlakwe : Oui, là, vous
étiez peut-être plus dans 12.5.2. Je peux comprendre...
M. Caire : ...si vous vouliez
les explications de tout ça en même temps.
Mme Setlakwe : Mais eux, là,
la Fédération des cégeps, pensez-vous que... premièrement, pensez-vous que les
préoccupations qu'ils mettent de l'avant sont répandues au sein des organismes
ou...
M. Caire : Non, bien, parce
que... ce que... la préoccupation des cégeps, c'est de dire : Si vous nous
forcez à utiliser les services du centre gouvernemental de cyberdéfense, est-ce
que ça va être très lourd? Est-ce que ça va être très coûteux? Bon, alors, il y
a une tarification puis, dans certains cas, les services sont gratuits, dans
d'autres cas, il y a une tarification, puis la tarification, elle est la même
pour tout le monde. Puis, généralement, l'objectif du ministère de la
Cybersécurité et du numérique, ce n'est pas de générer des profits, mais c'est
d'assurer la pérennité de ses services. Donc, d'un côté... et, de l'autre côté,
bien, si les économies qu'on fait, c'est parce qu'on ne fait pas... on ne pose
pas les bons gestes en matière de sécurité...
Vous savez, Mme la députée, on estime
qu'une attaque réussie, le coût est un en dizaines de milliers de dollars,
dépendamment de la taille de l'entreprise, ça va de 25 000 $ à quelques
millions de dollars. Alors, dans le fond, ce qu'on dit ici, c'est qu'il faut
s'assurer que les bons gestes sont posés pour assurer la sécurité puis la
cybersécurité de nos systèmes. Nous avons chez nous des services qui
contribuent à ça. Et, oui, on pourrait effectivement dire : Bien, ces
services là, compte tenu des circonstances, ces services-là sont obligatoires
d'utilisation. Parce qu'ultimement, au-delà du coût financier, il y a le coût
financier plus le coût matériel...
M. Caire : ...plus le coût
humain de se faire voler des informations. Vous avez l'exemple... mon Dieu! je
ne me souviens plus le cégep, qui a été victime d'une cyberattaque, puis ses
systèmes d'information ont été paralysés. Moi, je serais curieux d'avoir le
bilan financier de cette attaque-là réussie. D'après moi, ça va coûter plus
cher que d'avoir recours aux services du gouvernement.
Mme Setlakwe : ...
M. Caire : Non, puis...
Exact, je suis d'accord avec vous, pas juste financiers. Donc, je comprends la
préoccupation de la Fédération des cégeps. Puis, je veux dire, on n'est pas
dans une dynamique de faire des sous. On est dans une dynamique d'empêcher des
dépenses plates.
Mme Setlakwe : Puis des
incidents, oui.
M. Caire : Et des incidents,
et des cours reportés, et des examens reportés, et de l'identité volée de notre
monde. Puis là on peut continuer comme ça.
Mme Setlakwe : ...qui est,
surtout, très grave. Non, mais, écoutez, j'essaie de voir... Je comprends votre
explication, là. Je pense qu'il y a un bien-fondé, quand même, à ce que les
organismes adhèrent aux services du ministère pour réaliser les activités de
cybersécurité. Ça fait que là, ça m'amène à juste... J'ai quelques questions.
Activités de cybersécurité, c'est très vaste.
M. Caire : ...exemple, on
peut faire...
Mme Setlakwe : Oui, mais ça,
ce n'est pas un terme défini, là, mais c'est nouveau, c'est une expression...
bien...
M. Caire : Oui, bien, en
fait, défini dans le sens où ça circonscrit les activités à ce qui est
relatif...
Mme Setlakwe : Non, mais
défini dans le corpus, là.
M. Caire : Oui, oui... Ah!
non, je ne pense pas.
Mme Setlakwe : Non?
M. Caire : Bon, bien,
regardez, voyez-vous, je pense que oui, moi. Me Bacon, voulez-vous me sortir...
Je vais laisser Me Bacon... sur ce bout-là.
La Présidente (Mme D'Amours) : Ça
me prend consentement pour que maître... Donc, Mme, veuillez vous identifier, pour...
M. Caire : Vous avez présumé
de mon consentement, Mme la Présidente?
La Présidente (Mme D'Amours) : Bien,
vous n'avez pas répondu. Qui ne dit mot consent.
M. Caire : D'accord. Je
consens.
La Présidente (Mme D'Amours) : Merci.
Mme Bacon (Nathalie) : Oui,
bonjour.
La Présidente (Mme D'Amours) : Donc,
veuillez vous identifier, s'il vous plaît, votre titre, et puis...
Mme Bacon (Nathalie) : Oui.
Nathalie Bacon, légiste pour le ministère de la Cybersécurité du Numérique. Les
mots «activités de cybersécurité» n'ont pas, en soi, besoin d'être définis. Par
contre, ils sont présents dans le corpus législatif, c'est-à-dire dans les
textes d'application pris en vertu de la LGGRI. Vous l'avez présent, si ma
mémoire est bonne... et c'est ça que je cherche, l'article... au règlement qui
est pris en vertu de l'article 22.1.1 de la loi sur... la LGGRI. Vous avez un
règlement sur les modalités et conditions d'application des articles 12.2 à
12.4, et... je me tourne vers ma collègue, merci... l'article 5, où nous
retrouvons le concept d'activités de cybersécurité, et on donne un exemple, qui
sont des tests d'intrusion. Si vous allez sur Légis Québec, c'est le
règlement... Il est codifié, là, sur Légis Québec.
Mme Setlakwe : ...sont
inquiets, mais ce n'est pas... O.K., je pense que...
Mme Bacon (Nathalie) : Pas
besoin de définir davantage, autrement dit. Puis vous avez aussi, sur...
voyons... le Grand dictionnaire terminologique, un onglet particulier sur la
qualité de l'information, le vocabulaire à utiliser en sécurité de
l'information. Et vous avez une série d'expressions et, si vous cliquez sur
«tests d'intrusion», vous allez voir «activités de cybersécurité» ou des
gestes, là... C'est vraiment... c'est très technique, c'est de nature
opérationnelle.
Mme Setlakwe : Merci. Donc,
l'autre élément de leur préoccupation, c'est qu'on leur impose cette
obligation-là d'utiliser les services spécifiques que le ministre
déterminerait, sans consultation préalable sur les modalités et conditions
associées. Mais, dans les faits, j'imagine qu'il y a une discussion, qu'il y a
une... tu sais?
• (14 h 20) •
M. Caire : C'est clair que
oui, puis, là-dessus, je pense qu'il n'y a pas... Je veux dire, ça va... l'obligation
va découler non seulement d'une consultation, mais d'un constat. Je veux dire,
on n'imposera pas des services si ce n'est pas absolument nécessaire. Parce
qu'il faut comprendre qu'en le faisant, nous, on s'impose aussi le fardeau de
le rendre, le service, là. Ce n'est pas... C'est bien beau dire : le
service est obligatoire, mais ça veut dire que, de notre côté, il faut que le
service soit livré, là.
Mme Setlakwe : ...avez-vous
les ressources?
M. Caire : Oui. Bien, ça,
là-dessus, d'ailleurs, Mme la députée, j'ouvre et je ferme une parenthèse,
parce que je vous ai entendu dire qu'il restait 1 000 postes à combler...
M. Caire : ...de postes à
combler dans l'organigramme, tel que défini par le sous-ministre, mais il faut comprendre
que le ministère de la Cybersécurité et du Numérique a dépassé ses cibles
d'heures rémunérées. Je veux dire, moi, j'ai embauché plus de gens que ce que
le Conseil du trésor m'autorisait. Et là, on est en discussion avec le Conseil
du trésor pour régulariser cette situation-là, mais je n'ai pas je n'ai pas la
capacité, je n'ai pas l'autorisation d'embaucher plus de monde, présentement,
là.
Mme Setlakwe : Donc, les
postes vacants, il y en a combien?
M. Caire : Bien, c'est-à-dire
qu'il y a des postes vacants. Dans la conception de l'organigramme du nouveau
ministère, tel... parce que c'est un nouveau ministère, donc le sous-ministre a
dit : Bon, bien, je vais réfléchir à un organigramme, à des divisions
administratives, comment j'organise les travaux, puis ça, ça veut dire... parce
que j'ai besoin de ça, ça, ça, de T.C. Après ça, bien, vous connaissez un peu
la mécanique, on établit nos besoins, on va rencontrer le ministère responsable
de répondre à ces besoins-là. Le ministère nous dit : Bien, voici ce que
je suis capable de t'accorder. Puis, des fois, entre ce que nous, on voudrait
avoir puis ce qu'on reçoit, il y a un écart. Donc, c'est des postes,
idéalement, dans des discussions futures avec le Conseil du trésor, pour lesquels
on prendra des ressources. Mais actuellement, le ministère de la Cybersécurité
et du Numérique est au top de ce qu'on peut avoir en termes de ressources.
Et je vous dirais qu'on a quand même
beaucoup d'expertise de différents niveaux, là. Comme je vous disais, on est à
1 900 employés, il y en a à peu près 800 qui sont dévolus au service
de traitement de la paie, de gestion, etc., donc ça nous laisse à peu près
1 200 employés qui sont dans le domaine de la technologie, là, c'est
quand même pas mal, là.
Mme Setlakwe : O.K. je
comprends. Donc, je comprends la nuance, mais vous semblez avoir besoin d'un
budget additionnel, j'imagine?
M. Caire : Écoutez, on va
avoir des bonnes discussions avec le ministre des Finances.
Mme Setlakwe : On va avoir
des bonnes discussions. Parce que tout ça...
M. Caire : Mais comme tous
les ministères. Je veux dire, on est en demande, puis après ça, bien, il y a
des arbitrages qui se font, puis après ça, bien, les ressources qui nous sont
attribuées, bien, on doit... Mais je vous dirais que pour remplir cette
mission-là, il n'y a pas d'inquiétude, le volet Cybersécurité a été bien pourvu
dans les dernières années par le ministère des Finances, là. Ça, là-dessus, il
n'y a pas d'inquiétude, on est capables. Disons qu'on n'a pas lésiné sur les
moyens pour s'assurer qu'on allait dans la bonne direction.
Mme Setlakwe : ...l'obligation...
pour un organisme public. Excusez-moi si on en a parlé déjà, mais ça ne vise
pas, donc, les entreprises dont on parlait ce matin?
M. Caire : Oui, compte tenu
de l'article un. Donc, les organismes, les entreprises de l'État, qui, par
décret, seront assujettis à la LGGRI, bien, à ce moment...
Mme Setlakwe : ...de façon...
M. Caire : C'est ça, c'est
ça.
Une voix : ...
M. Caire : Oui, c'est ça.
Donc, par décret, on va le faire, mais on va... Dans ce cas-là, on va le faire
par décret.
La Présidente (Mme D'Amours) : D'autres
commentaires sur l'article quatre?
Mme Setlakwe : Oui. Donc,
juste pour poursuivre, donc quand vous allez, dans le futur, charger une
entreprise de... ou prévoir qu'une entreprise va devoir se... adhérer aux
dispositions de la loi qui porte sur la sécurité, ça va inclure la disposition
qu'on est en train d'étudier?
M. Caire : C'est ça.
Mme Setlakwe : Parce qu'elle
va être dans le chapitre en question, oui?
M. Caire : Ça va être dans le
décret.
Mme Setlakwe : O.K. Mais
pourquoi qu'on s'est limité, donc, aux dispositions du chapitre 2.2?
Des voix : ...
La Présidente (Mme D'Amours) : Allez-y,
Mme.
Mme Bacon (Nathalie) : Mme la
Présidente, les articles 12.5.1, 12.5.2 vont être inclus dans le
chapitre 2.2.
Mme Setlakwe : Puis, s'il y
avait un organisme qui vous disait : moi, je n'arriverai pas, vous ne
pouvez pas me faire ça, je n'ai pas les ressources?
M. Caire : Bien, c'est-à-dire
que dans le cas qui nous préoccupe, on rend un service du gouvernement
obligatoire, donc c'est nous qui avons le fardeau de donner le service. Donc,
ça n'a pas d'impact sur les ressources de l'organisme parce qu'on les oblige à
consommer nos services. Donc, si...
Mme Setlakwe : ...ça prend
des ressources quand même pour...
M. Caire : Oui, oui, oui, ça
prend des ressources, mais ce n'est pas des ressources qui devront être
fournies par l'organisme qui utilise nos services. C'est des ressources que
nous, on devra avoir pour être en mesure... C'est pour ça, je vous disais, tout
à l'heure, c'est sûr qu'on ne rendra pas obligatoires des services, si on se
met dans une situation de rupture de service...
Mme Setlakwe : ...non, parce
qu'encore une fois je... tu sais, je... ayant lu leur mémoire, je me dis :
Mon Dieu! Ils sont vraiment inquiets, puis là c'est peut-être un cri du cœur
pour avoir plus de soutien, peut-être. Ils disent même qu'ils ont... que c'est
documenté, ce n'est plus à démontrer, qu'ils ont des enjeux de main-d'oeuvre au
niveau des ressources informationnelles.
M. Caire : Et ce que je
comprends, et donc, de ce fait, ils devraient être heureux de cette
disposition-là parce que, Mme la Présidente, vous me permettrez de le redire,
le ministre peut, par arrêté, prévoir l'obligation pour un organisme public
qu'il désigne de recourir à ses services pour réaliser des activités. Donc,
«ses services», c'est les services du ministère.
Mme Setlakwe : Ça implique
des ressources aussi du côté de l'organisme, ici, en l'occurrence, des cégeps.
M. Caire : Bien, bien... Bien
non. Je vous donne un exemple. Si on décide que les tests d'intrusion ou les
balayages pour détecter les vulnérabilités, c'est un service obligatoire, bien,
c'est chez nous que le service va être donné.
Mme Setlakwe : ...oui, je
comprends. Ça n'impliquera pas des ressources?
M. Caire : Ça n'impliquera
pas les ressources de l'organisme.
Mme Setlakwe : O.K.
M. Caire : Parce que c'est
nos services à nous qui deviennent obligatoires. Ce serait assez mal venu de
dire : Bien, le service est obligatoire chez nous, mais... bien,
envoyez-nous donc vos ressources. Ce n'est pas du tout ça, l'idée, là. Si on
décide de... comme je vous dis, de faire des tests d'intrusion, bien, c'est nos
équipes qui vont faire des tests d'intrusion sur les systèmes des entités
concernées, donc. Mais ça, c'est nos ressources à nous qui vont faire ça.
Mme Setlakwe : Puis leurs
inquiétudes au niveau de 12... Pardon?
M. Caire : ...eux ne seront
pas obligés de le faire parce que nous, on va faire le service. Donc, si ça se
trouve, ils vont peut-être même économiser des ressources.
Mme Setlakwe : Je comprends.
Donc, ça, c'est 12.5.1. Ça me semble... Ça me semble tout à fait correct.
12.5.2. Eux semblaient dire, tu sais, que ce n'était pas très balisé, mais j'en
vois quand même un mécanisme... ça demeure un mécanisme exceptionnel ou une
mesure exceptionnelle, c'est-à-dire.
M. Caire : Je pense que je
vous ai donné le meilleur exemple dans lequel ce pouvoir-là va être utilisé. On
est vraiment dans une situation d'extrême urgence. Dans le cas de 12.5.2, là,
le premier paragraphe, là, on est dans l'extrême urgence. Dans le paragraphe
deux, on est dans une urgence qui est quand même... qui a qu'un horizon de
temps plus étiré, là. Puis je vous ai donné, je pense, deux exemples assez
précis qui ont inspiré la rédaction de l'article en question.
Mme Setlakwe : Et vous ne
pouvez pas exercer le pouvoir ou vous ne pouvez l'exercer qu'à la suite de vérifications
sérieuses et documentées.
M. Caire : C'est lorsque le
danger... Il y a un danger, mais il n'est pas imminent, d'un préjudice
irréparable. Comme, je vous donnais l'exemple de Log4Shell. Alors, ça, c'est
une... Log4Shell, c'est une librairie Java qui est utilisée dans plusieurs
applications et qui permettait à l'attaquant d'injecter du code source et donc
de prendre le contrôle total et absolu du système qui était victime de la
faille. Ça fait qu'imaginez-vous ça dans un hôpital ou... Ça, c'est fou, là.
Mme Setlakwe : ...
M. Caire : Alors là, c'est
dans ce cas-là où on dit : Non, non, là, vous fermez, tout le monde, vous
fermez vos systèmes parce que... Et cette faille-là, elle avait été beaucoup
médiatisée, publicité... publicisée, pardon, donc il y a un paquet de monde qui
savait que ça existait. Ça fait qu'à partir de là le risque qui était imminent.
Alors que, Kaspersky, on a une évaluation qui a un risque potentiel, mais là on
n'est pas dans l'urgence de dire... on l'utilise depuis des années, on n'est
pas...
Mme Setlakwe : ...
M. Caire : Kaspersky, c'est
un... j'allais dire...
Une voix : ...
M. Caire : Oui, un antivirus,
j'allais utiliser le mot anglais. C'est un antivirus qu'on utilise, justement,
pour la protection des systèmes puis c'est de conception russe.
Mme Setlakwe : ...
• (14 h 30) •
M. Caire : Le fédéral, lui,
dit : On veut le bannir. Au Québec, bien, on dit : O.K., on comprend
qu'il y a un danger, mais, dans la disposition du deuxième paragraphe, je
demanderais la... puis ce que j'ai fait de toute façon, là, mais je demanderais
à la cheffe gouvernementale de sécurité de l'information de faire quand même
une analyse. Parce que vous comprendrez que ça a des impacts extrêmement
importants si on décide de retirer ça de nos systèmes d'information. Donc là,
il faut documenter ça, là, il faut... Ça ne peut pas être basé juste sur le
fait : Ah! bien, c'est des Russes, on ne les aime pas, donc on l'enlève,
là, ça prend un petit peu plus de recherche.
Mme Setlakwe : Ça va. Eux,
ils demandaient...
14 h 30 (version non révisée)
Mme Setlakwe : ...de mettre
en place un mécanisme de consultation formel.
M. Caire : Et ça ne peut pas
être plus formel que ça, j'ai l'obligation de consulter la cheffe de la
sécurité de... la cheffe gouvernementale et le chef délégué. Dans ce cas-ci, on
peut penser que ce serait le ministère de l'Enseignement supérieur. Donc, il y
a un mécanisme formel. Puis il faut savoir aussi que les chefs délégués, ils
ont tout un réseau en dessous d'eux, là : le responsable de la sécurité,
le responsable opérationnel de la cyberdéfense. Là, il y a tout un réseau qui
est installé sous eux. Ce n'est pas...
La Présidente (Mme D'Amours) : D'autres
commentaires?
Mme Setlakwe : Est-ce que
vous voyez dans les faits qu'il y aurait une participation qui pourrait
participer au processus?
M. Caire : Absolument. Parce
que le chef délégué, comme je vous dis, est connecté sur son... le réseau de
ses responsables opérationnels dans les différentes entités.
Mme Setlakwe : Moi, ça va.
La Présidente (Mme D'Amours) : Parfait.
L'article 4 est-il adopté?
M. Caire : Adopté.
La Présidente (Mme D'Amours) : Merci.
L'article 5, M. le ministre, s'il vous plaît.
M. Caire : Mme la Présidente,
l'article 5 se lit comme suit : L'article 12.6 de cette loi est
modifié par l'insertion, après le paragraphe 4e, du suivant : 4.1. Mettre
à la disposition des organismes publics des outils et des pratiques exemplaires
en telle matière et informer le ministre des résultats observés.»
Donc, Mme la Présidente, ça crée une
obligation, puis ça répond peut-être un peu aussi à ce que la députée de
Mont-Royal--Outremont disait, ça crée une obligation pour mon ministère de
mettre en place un certain nombre d'outils en matière de cybersécurité, là, qui
seront à la disposition des organismes soumis à la LGGRI. Donc, que nous, on se
crée cette obligation-à de mettre à disposition des outils.
La Présidente (Mme D'Amours) : Des
commentaires sur l'article 5?
Mme Setlakwe : Oui, s'il vous
plaît. Oui, ça ne sera pas bien long. Donnez-moi un instant. Est-ce que vous
pensez que c'est assez? Je comprends où vous voulez en venir, là, mais...
M. Caire : Bien oui, parce
que l'idée, comme je vous le dis, c'est se créer une responsabilité à la
cheffe, ou bien, à la actuellement, mais au chef gouvernemental de la sécurité
de l'information, puis ça va nous permettre aussi d'uniformiser les bonnes
pratiques en mettant à disposition des outils. Ça permet d'uniformiser parce
que, comme ils sont disponibles, bien, les gens les utilisent, puis on s'assure
qu'on a des outils uniformisés, on a des pratiques uniformisées.
Mme Setlakwe : Alors, ça, ça
va. Je pense que c'est clair. Mettre à la disposition des outils, des pratiques
exemplaires. «Pratiques exemplaires», c'est un terme qui est utilisé ailleurs,
j'imagine? Oui.
M. Caire : Je sens un petit
doute.
Mme Setlakwe : Non, non, pas
du tout.
M. Caire : Collègue...
Mme Setlakwe : En telle
matière.
M. Caire : ...je vois vos
yeux dévier vers ma droite...
Mme Setlakwe : Oui, vers
votre voisine.
M. Caire : ...à l'occasion.
Mme Setlakwe : Bien, c'est
parce que je sens qu'il y a des réponses au niveau légal qui sont toutes prêtes,
là, à côté, à côté de vous.
M. Caire : Mme la députée...
Mme Setlakwe : Tu sais, puis
même honnêtement...
M. Caire : ...je vous
taquine.
Mme Setlakwe : Je le sais
bien.
M. Caire : Non, mais je sais
qu'entre avocats vous avez ce code de crédibilité que nous, les informaticiens,
n'avons pas.
Mme Setlakwe : Donc,
dites-nous, s'il vous plaît, Me Bacon, que ce serait... que cette expression-là
serait reprise à d'autres endroits dans le corpus.
Mme Bacon (Nathalie) : Oui, Mme
la Présidente. C'est repris à l'article 5, paragraphe 8e, de la directive
gouvernementale sur la sécurité de l'information qui est disponible, là, qui a
été pris par le décret 1514-2021 du 8 décembre 2021.
M. Caire : Bon, doutez-vous
que j'aurais pu vous le dire? Ssi vous en doutez, vous auriez une raison de le
faire.
Mme Setlakwe : Merci. Et
puis, à la fin, quand vous dites, donc, que le chef gouvernemental, après avoir
mis à la disposition des organismes des outils et des pratiques exemplaires, il
doit informer le ministre des résultats observés.
M. Caire : Oui.
Mme Setlakwe : Ça, c'est un
petit peu flou par contre. Est-ce que ça va se faire une fois par année? Ça va
se faire à quelle périodicité de... sous quelle forme?
M. Caire : Il n'y a pas...
Bien, en fait, on ne prévoit pas de périodicité, parce que, bon, compte tenu
que le chef gouvernemental et le ministre travaillent en collégialité, ça va se
faire au besoin...
M. Caire : ...comme je vous
dis, l'idée, c'est d'avoir aussi une uniformisation dans les pratiques. Donc,
en rendant des services, des outils disponibles, vous comprendrez qu'on
espère... «Disponibles» veut dire : Vous pouvez les utiliser, normalement,
veut dire qu'il y a une uniformisation des pratiques, des standards, des
normes. Puis après ça, bien, est-ce que ça a eu l'impact escompté, notamment
sur l'uniformisation des pratiques? Bien là, le chef gouvernemental fait son
rapport au ministre.
Il n'y a pas besoin d'une périodicité
parce que, dans les faits, ce n'est pas comme un projet de recherche, par
exemple, où il y a un protocole particulier ou, vous savez, la mise en place de
quelque chose de particulier qui va nécessiter de dire : Bien, on va se
donner un délai de six mois ou on va se donner un délai d'un an. C'est une
disposition qui est quand même de nature assez générale. C'est tout simplement
de dire que, bien, on met ça pour... on se crée une obligation à nous de mettre
en place ces pratiques-là... ces outils-là, c'est-à-dire, bien, les pratiques
aussi, puis il y a un objectif d'uniformisation. Est-ce que l'objectif est
rencontré? Est-ce qu'il y a lieu de prendre d'autres mesures? Bien, c'est tout
simplement d'affirmer cette nécessité-là d'uniformisation. Je vais finir par le
dire comme il faut.
Mme Setlakwe : Mais ce n'est
pas juste de l'uniformisation. J'essaie de voir... Mais les organismes publics,
eux, il faut qu'ils... il faut qu'ils transmettent de l'information aussi, il
faut qu'ils rendent des comptes ou ça, c'est prévu ailleurs?
M. Caire : Ce qu'on fait,
c'est qu'on met en place des outils et on met en place des pratiques
exemplaires, et après ça, par rapport à... aux outils qui sont utilisés par les
organismes et les pratiques exemplaires qui sont mis en place, bien, le chef
gouvernemental et les chefs délégués, je veux dire, sont capables de voir
l'état d'avancement des choses, sont capables de voir l'impact qui... que ça
peut avoir sur, justement, l'uniformisation puis... Mais oui, je vous dirais
que l'objectif ultime, c'est l'uniformisation.
Mme Setlakwe : Est-ce qu'il y
a une façon... Est-ce qu'il y a une façon pour le public de suivre ça? Est-ce
qu'il y a...
M. Caire : Bien, le ministère
fait son rapport annuel. Nous, on a le rapport annuel de gestion qu'on dépose à
l'Assemblée nationale. Donc, à partir de là...
Mme Setlakwe : Je n'ai pas
d'autre chose.
La Présidente (Mme D'Amours) : Merci.
L'article 5 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Adopté.
L'article 6, M. le ministre, s'il vous plaît.
M. Caire : Oui, Mme la
Présidente. L'article 12.8 de cette loi est modifié par l'insertion, dans
le premier alinéa et après «doit», de «en conformité avec les orientations
définies par le ministre concernant les initiatives de transformation
numérique».
Donc, Mme la Présidente, ça vient, dans
les faits, réitérer la possibilité du ministre de définir des orientations
particulières avec des... en lien avec des initiatives de transformation
numérique. C'est notamment dans le cadre du portefeuille de projets
prioritaires.
La Présidente (Mme D'Amours) : ...de
concordance.
M. Caire : Bien, un petit peu
plus que de la concordance, là, je vous dirais que ça vient... ça vient... ça
vient préciser l'article.
La Présidente (Mme D'Amours) : Commentaires
sur...
Mme Setlakwe : Oui.
La Présidente (Mme D'Amours) : Oui,
allez-y, Mme la députée.
Mme Setlakwe : Oui, merci,
Mme la Présidente. Non, non, je ne pense pas que c'est de la concordance. Non,
je revois... je revois la... je relis la modification mais à l'intérieur du
texte, parce qu'on est en train d'ajouter une phrase.
M. Caire : C'est parce que le
principe...
• (14 h 40) •
Mme Setlakwe : Oui, bien...
En fait, oui, il y a un petit peu de concordance dans le sens qu'il y a un...
Mais ça s'inscrit comment dans votre vision, là, de mettre en place des
priorités?
M. Caire : C'est une
obligation qui existe déjà, pour les ministères et organismes, de transmettre
les plans de transformation numérique au ministère de la Cybersécurité et du
Numérique. On va le voir plus loin, Mme la députée, là, avec le... C'est pour
ça, je vous dis : C'est en lien avec le portefeuille de projets
prioritaires. Le portefeuille de projets prioritaires va être constitué, doit
être constitué...
(Interruption)
M. Caire : C'est les Kings.
Doit être constitué de projets... de projets qui sont dans les... les plans de transformation
numérique. Donc, ça vient, dans les faits... bien, réitérer... s'assurer que
ces plans-là qui sont faits...
M. Caire : ...qui déterminent
comment les ministères et organismes entendent assurer leur transformation
numérique... Bien, on ne vous dérange pas, j'espère? O.K., d'accord.
...entendent assurer leur transformation numérique, doivent quand même,
lorsqu'ils élaborent le plan, doivent s'assurer qu'ils sont en conformité avec
les orientations qui sont prises par le ministère. Donc, de la concordance, oui
et non, là. C'est juste de venir renforcer le fait que, un, vous avez
l'obligation de constituer un plan de transformation numérique; deux, ce plan
de transformation numérique là doit se faire en conformité avec les
orientations qui sont définies par le ministère avec un amendement proposé par
Me Bacon.
Mme Setlakwe : Je comprends,
mais je ne suis pas sûr que c'est assez précis, là. Donc, peut-être que ça
prend la discussion ultérieure, là, pour bien saisir, mais vous allez donc
élaborer... puis c'est le gouvernement qui va se prononcer. Le Conseil des
ministres va établir les priorités, le portefeuille de priorités.
M. Caire : Oui.
Mme Setlakwe : Parce qu'on ne
peut pas, là.... Vous avez dit... On l'a entendu durant le briefing, vous
l'avez dit durant vos interventions, il y a plus de 5 000 projets en
cours...
M. Caire : 2 538.
Mme Setlakwe : Non, pas
5 000; 2 538. Je suis désolée. Vous avez raison.
M. Caire : On va essayer que
ça ne se rende pas à 5 000 justement.
Mme Setlakwe : Non, quand
même. Non, non, c'est mon erreur. 2 538 projets en ressources
informationnelles...
M. Caire : Oui.
Mme Setlakwe : ...en cours ou
dans les différents plans de transformation numérique.
M. Caire : Oui, oui c'est ça.
Oui.
Mme Setlakwe : Ils sont là.
Ils sont à des différents stades d'avancement.
M. Caire : Mais les
2 538, ce sont des projets en cours.
Mme Setlakwe : Oui.
M. Caire : Ça ne tient pas
compte de ce que les ministères et organismes ont mis dans leur plan de
transformation numérique.
Mme Setlakwe : O.K. Donc, ça,
c'est vraiment beaucoup plus large, oui.
M. Caire : Ça... Bien, d'où
l'idée du portefeuille de projets prioritaires, dont on discutera plus loin,
d'où l'idée du leadership assumé par le ministre de la Cybersécurité et du
numérique. Donc, c'est de s'assurer que lorsqu'il y a une rédaction d'un plan
de transformation numérique, ce plan de transformation numérique là doit se conformer
aux orientations qui sont prises par le ministère de la Cybersécurité et du
Numérique.
Mme Setlakwe : Je comprends,
ça va de soi, là. Si vous établissez des priorités, bien, il faut que le plan
soit aligné.
M. Caire : C'est ça.
Mme Setlakwe : Mais est-ce
que vous pouvez nous permettre juste une minute pour... Je voudrais juste
consulter ma collègue. Merci.
La Présidente (Mme D'Amours) : Je
vais suspendre les travaux quelques minutes.
(Suspension de la séance à 14 h 44)
(Reprise à 14 h 45)
La Présidente (Mme D'Amours) : Nous
reprenons nos travaux. Mme la députée de Mont-Royal-Outremont.
Mme Setlakwe : Oui. Merci,
Mme la Présidente. Merci pour la brève suspension. Donc, à l'article 13,
j'essaie juste de faire le lien. À l'article 13, là, dans le
chapitre III de la LGGRI...
M. Caire : ...
Mme Setlakwe : Oui, je suis
un petit peu plus loin, parce qu'on parle à l'article 13 dans la
planification...
Mme Setlakwe : ...mais il y a
une obligation pour un organisme public de, au deuxième paragraphe, d'établir
une programmation des investissements et des dépenses en ressources
informationnelles. Puis nous, on a obtenu... c'est toute une liste, là, par
ministère, c'est toute la programmation. On a eu ça dans nos cahiers de crédit.
Et donc ma question est la suivante : Est-ce que, dans la séquence, là,
vous recevez ça, ils ont l'obligation d'établir une programmation de leurs
investissements et de leurs dépenses? Il y en a, là, mais j'imagine que
c'étaient des pages et des pages par ministère. Et là vous recevez ça. Quand
vous, vous allez établir vos priorités, bien là, vous partez de ça, ça, c'est
le point de départ où vous pouvez...
M. Caire : On va, avant ça...
Parce que, là, on parle du plan de transformation numérique. Le plan de
transformation numérique, moi, je vais donner des orientations. Le plan de
transformation numérique doit s'y conformer. Si nous adoptons cet article,
évidemment, là, bien, on va rajouter l'obligation de s'y conformer. Comme vous
pouvez voir, moi, j'ai la possibilité de demander des modifications au plan.
Donc, la non-conformité aux orientations prises pourrait... devient un motif
pour moi de dire : Le plan doit être modifié parce qu'il n'est pas conforme
aux orientations. Donc, on est en amont de ce que vous dites, parce que quand
on a la planification et les dépenses, ça, ça s'en va vers les projets qui ont
été autorisés. Donc, avant d'autoriser un projet, il faut qu'il soit dans le
plan de transformation numérique, un.
Deux, avec la modification que je propose,
ce plan-là va devoir se conformer aux orientations qui sont prises, sans quoi
je pourrais, puis je dis au «je», mais le ministre pourrait ordonner ou
apporter des modifications au plan. Donc, ça, Mme la députée, ça nous amène à
l'idée que le plan doit respecter les orientations du ministre du gouvernement,
à être amené dans le portefeuille de projets prioritaires, éventuellement. Et
là, après ça, dans la planification, on va suivre la séquence.
Mme Setlakwe : O.K. Donc,
dans le fond, ici, ce qu'on regarde, c'est...
M. Caire : C'est avant, c'est
avant, oui.
Mme Setlakwe : Mais
c'est-à-dire qu'à 13, c'est après, là.
M. Caire : C'est ça. Oui,
oui, excusez-moi. 13 vient après le plan de transformation numérique.
Mme Setlakwe : Oui. Une fois
que le plan, on détermine qu'il est en conformité avec les...
M. Caire : Les orientations.
Mme Setlakwe : ...les
orientations...
M. Caire : C'est ça.
Mme Setlakwe : ...bien là,
plus tard, il y a une obligation d'établir une programmation des
investissements pour mettre en œuvre...
M. Caire : Le plan.
Mme Setlakwe : ...le plan.
O.K. Donc, l'organisme public doit, en conformité avec les orientations
définies par le ministre, concernant les initiatives de transformation
numérique... définies pas le ministre concernant les initiatives de
transformation... On essaie de voir si c'est assez précis, là. Est-ce que vous
allez mettre ça par écrit? Vous allez les diffuser de quelle façon?
M. Caire : Bien oui, les
orientations, effectivement, sont diffusées à l'ensemble des organismes qui
sont soumis à la LGGRI, à ces dispositions là avec la LGGRI.
Mme Setlakwe : Est-ce qu'il y
a un délai pour s'exécuter?
M. Caire : Pour pour le plan?
Mme Setlakwe : Oui.
M. Caire : Il est-u séquencé,
le plan? C'est-u quinquennal? Je ne me souviens plus.
Mme Bacon (Nathalie) : C'est
dans les règles.
M. Caire : Oui, c'est ça. Je
vais vous trouver votre réponse, Mme la députée. Ce n'est pas un plan annuel,
là.
(Consultation)
La Présidente (Mme D'Amours) : En
attendant la réponse, est-ce qu'il y a une autre question, Mme la députée?
• (14 h 50) •
Mme Setlakwe : Non, non,
c'est en lien avec le... juste comprendre le processus, là. Puis je comprends
qu'on aura peut-être la discussion plus tard, là, quand on va discuter de
l'établissement de ce portefeuille de...
M. Caire : Alors, c'est
quadriannuel.
Mme Bacon (Nathalie) : C'est
le 15 juin 2023, le premier, puis, après ça, aux quatre ans.
M. Caire : Aux quatre ans,
c'est ça.
Mme Bacon (Nathalie) : Une
révision chaque année, la stratégie aux quatre ans...
M. Caire : Le plan est aux quatre
ans, mais la révision est annuelle.
Mme Setlakwe : O.K., mais ça,
vous tirez ces détails-là d'un règlement?
Mme Bacon (Nathalie) : Oui,
les règles sur... c'est les règles sur la planification...
Mme Bacon (Nathalie) : ...et
la gestion des ressources informationnelles qui... qui sont prises en vertu de
l'article 16.2 de la LGGRI. C'est l'arrêté ministériel n° 2022-03 et c'est
l'article 3 et 4 de ces règles-là, précisément l'article 4.
Mme Setlakwe : Et pourquoi,
ici, vous ne référez pas spécifiquement au portefeuille de projets
prioritaires? Vous parlez de... d'initiatives de transformation numérique.
M. Caire : O.K. Oui, parce
que... parce que, des plans de transformation numérique, certains projets
seront... feront partie du portefeuille de projets prioritaires. Tous les
projets présentés par les ministères et organismes ne seront pas du
portefeuille de projets prioritaires, ce qui ne veut pas dire que les
ministères et organismes ne pourront pas les réaliser, mais simplement qu'ils
ne seront pas soumis aux mêmes obligations de priorité par rapport aux... aux
ressources financières, matérielles et humaines dont dispose le ministère pour
réaliser le projet.
L'idée, c'est... c'est de dire : Ces
projets-là devront être réalisés prioritairement, mais pas uniquement ces
projets-là. Il est possible, donc, s'il y a de la disponibilité pour faire
d'autres projets qui ne seraient pas du portefeuille de projets prioritaires,
mais qui pourraient quand même être réalisés par le ministère et l'organisme
qui en aura la capacité, puis c'est de s'assurer qu'on ait vraiment à réaliser
les projets qui sont des priorités gouvernementales.
Donc, là, on travaille à deux niveaux. Le
premier niveau, c'est s'assurer de la conformité avec les orientations dès le
départ, à la genèse, donc soit dans les plans de transformation numérique.
Après ça, à travers ces... ces... ces plans-là, on extrait les projets qui
sont... qui répondent à des priorités gouvernementales, donc on en fait un
portefeuille de projets prioritaires. On va le voir à l'article suivant, Mme la
Présidente, qu'il y a une obligation de prioriser ces projets-là par les
ministres... les ministères concernés, mais ça ne veut pas dire que d'autres
projets prévus au plan de transformation numérique ne pourront pas être
réalisés si les ressources dont dispose le ministère le permettent.
Mme Setlakwe : Donc... Non,
non. Mais ce... cet ajout-là, je pense que ça... ça va.
Dernier commentaire. Je regardais le
mémoire de la Fédération des cégeps, eux constatent qu'on vient opérer un
resserrement en matière de planification organisationnelle : «Le projet de
loi vient retirer la possibilité pour un organisme de déterminer ses propres
orientations.»
M. Caire : Non.
Mme Setlakwe : Non. C'est...
c'est ce que vous... qu'on vient de discuter, là.
M. Caire : Non.
Mme Setlakwe : Non, parce
qu'il va y avoir les projets prioritaires, mais ça ne ferme pas la porte à
d'autres initiatives.
M. Caire : Ça ne ferme pas la
porte, c'est... c'est de simplement s'assurer que les capacités ne sont pas
dispersées au détriment des projets prioritaires. Ça ne veut pas dire qu'on ne
peut pas réaliser d'autres projets que les seuls projets prioritaires.
Mme Setlakwe : Est-ce que le
texte de loi est assez clair, dans ce cas-là?
M. Caire : Je pense que oui.
Bon, c'est correct, j'ai compris.
Mme Setlakwe : Oui, vous
jugez, Me Bacon, que c'est assez clair?
Mme Bacon (Nathalie) : Oui.
Oui. Vous avez... Vous... vous êtes allée tantôt à l'article 13. Vous allez un
petit peu plus loin, à l'article 16 de la LGGRI, vous avez tout... 16.1, qui
est la planification des investissements en ressources informationnelles. Ça
fait que vous avez... vous participez à cet exercice-là à chaque année avec
l'étude des crédits, le PQI-RI, le Plan des... des dépenses et des
investissements en ressources informationnelles, le PIDRI. Alors, tous les
projets apparaissent au tableau de bord gouvernemental, et c'est une... une
partie de ces projets-là qui vont constituer le portefeuille de projets
prioritaires qui vont être consacrés à la transformation numérique de façon
accélérée et prioritaire.
Mme Setlakwe : Non, mais je
pense qu'on a peut-être... on a répondu à leurs craintes, là, que... On ne
ferme pas la porte à des initiatives. On craint que les orientations qui
seraient définies par le ministre dans sa volonté d'uniformiser les... les
initiatives en transformation numérique ne tiennent pas compte de la réalité
particulière de chaque catégorie d'organismes publics.
M. Caire : ...ça, parce que
le plan demeure... la rédaction du plan demeure la prérogative de l'organisme,
c'est l'organisme qui fait son plan. On ne... on... on ne va pas dire à
l'organisme quelles sont les bonnes réponses aux... aux... aux enjeux de
l'organisme. C'est justement pour ça que le plan, il émane de l'organisme.
Donc, c'est à eux de nous dire c'est quoi, les solutions à leurs problèmes. À
l'intérieur de ça, nous, évidemment... Mais c'est pour ça qu'on rajoute «en
conformité avec les orientations», c'est parce qu'il ne faut quand même pas que
ça soit complètement déconnecté de ce que l'ensemble du gouvernement veut
faire. Donc, il faut qu'il y ait quand même...
M.
Caire : ...harmonisation,
mais l'harmonisation ne veut pas dire éteindre totalement l'initiative de
l'organisme en question.
Mme Setlakwe : Très
bien. Est-ce qu'eux ils avaient autre chose? Permettez-moi juste quelques
instants. Autonomie décisionnelle. Parce que dans le fond, ce qu'eux mettent de
l'avant, c'est probablement ce qui préoccupe les autres organismes.
M. Caire : Tout à fait.
C'est une question légitime.
Mme Setlakwe : Je pense
que c'est tout à fait légitime. Mettre spécifiquement de l'avant le fait qu'un
organisme public dans le milieu de l'éducation ne peut pas se comporter comme
un organisme public faisant partie de l'éventail de l'administration
gouvernementale. Impossible de substituer une réalité par une autre. Vous êtes
sensible à ça.
M. Caire : Tout à fait, puis
c'est vrai pour les cégeps, c'est vrai pour d'autres organismes du
gouvernement. C'est pour ça que l'initiative doit émaner de l'organisme et non
pas de l'entité centrale qu'est le ministère. Le ministère prend acte de ce qui
lui est proposé par les différents organismes. Maintenant, dans une vision
d'ensemble, le ministère va dire : Bien, O.K. Voici ce qui répond aux
priorités gouvernementales. Voici ce qu'on va prioriser. Vous devez le
prioriser, mais ce n'est pas totalement exclusif sur d'autres initiatives qui
répondent... Puis ce que le gouvernement va prioriser, généralement, c'est ce
qui sert le plus grand ensemble, le plus grand nombre. Donc, même là, dans les
priorités gouvernementales, ça ne veut pas dire que l'organisme va être exclu
de ça, puis que l'idée de la priorisation, c'est qu'est ce qui sert, qu'est ce
qui sert le mieux l'ensemble.
Mme Setlakwe : Mais
qu'est-ce qui sert le mieux l'ensemble? Il y a parfois, j'imagine, des... des
projets particuliers qui sont tout aussi importants, peut-être pour
l'organisme. Il faudrait... Il ne faut pas leur fermer la porte.
M. Caire : Tout à fait.
Et ce n'est pas... Et ce n'est pas exclu parce qu'ils les mettront dans leur
plan de transformation numérique. Donc, si c'est vraiment une solution locale à
un problème local, bien, la solution sera locale. Donc, ça ne deviendra jamais
un projet prioritaire du gouvernement parce que c'est très localisé. Ça ne veut
pas dire que l'organisme ne pourra pas le réaliser.
La Présidente (Mme D'Amours) : D'autres
commentaires?
Mme Setlakwe : Non, ça
va, ça va vraiment pour cet article-là.
La Présidente (Mme D'Amours) : Merci.
L'article 6 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article 7,
M. le ministre, s'il vous plaît.
M. Caire : Oui, Mme la
Présidente. Article 7 : Cette loi est modifiée par l'insertion, après
l'article 12.8...
«12.8.1. Le ministre propose annuellement
au gouvernement, dans les 60 jours suivant le dépôt à l'Assemblée nationale du
plan des investissements et des dépenses en matière de ressources
informationnelles et des organismes publics visés à l'article 16.1, un
portefeuille de projets prioritaires en ressources informationnelles afin que
soit établies les priorités gouvernementales au regard des initiatives de
transformation numérique des organismes publics. Sous réserve de l'obtention
des autorisations requises conformément à la présente loi, un organisme public
doit prioriser la réalisation de tout projet visé par les priorités
gouvernementales dont il est responsable. Le ministre peut prendre une
directive pour préciser les orientations quant aux critères de priorisation des
projets en ressources informationnelles des organismes publics et établir les
règles visant à assurer une gouvernance centralisée de la gestion des
portefeuilles... de la gestion de portefeuille, pardon, des projets
prioritaires, entre autres en ce qui concerne le suivi des projets.
«Une directive prise en vertu du présent
article doit être approuvée par le gouvernement et est applicable à la date qui
y est fixée. Une fois approuvée, elle lie les organismes publics concernés, et
les règles qu'elle établit s'ajoutent à celles qui leur sont déjà applicables
en vertu de la présente loi, notamment en matière de reddition de comptes et de
vérification.»
«12.8.2. Le ministre présente au
gouvernement, au moment qu'il juge opportun, la consolidation des états
d'avancement des projets en ressources informationnelles des organismes publics
visés par le portefeuille de projets prioritaires.»
• (15 heures) •
Donc, Mme la Présidente, bien, pour faire
court, c'est... La notion de portefeuille de projets prioritaires existait
déjà. Ce qu'on vient ajouter à cette notion-là, d'une part, c'est que moi, j'ai
le mandat de présenter... Bien, je l'ai encore. Le ministre de la Cybersécurité
et du Numérique a le mandat de présenter au gouvernement le portefeuille de
projets prioritaires, qui va l'accepter ou non. Mais s'il est accepté, bien,
les projets qui sont priorisés font en sorte que les organismes visés doivent
prioriser ces projets-là. Donc, ça veut dire que les ressources matérielles,
les ressources humaines et les ressources financières qui doivent être
consenties pour la réalisation seront consenties. On dit «sous réserve des
autorisations» parce qu'évidemment, si ça implique, par exemple...
15 h (version non révisée)
M. Caire : ...une augmentation
des ETC, bien, ça demeure une... une prérogative du Conseil du trésor, par
exemple, d'autoriser ou non un nombre d'ETC supplémentaire. Donc, c'est
toujours sous réserve des pouvoirs qui sont ceux... Par exemple, là, ici, c'est
le Conseil du trésor puis ça pourrait être au niveau du PQIRI en matière de
financement des ressources informationnelles, et ça permet, après ça, bien, de
prendre certaines directives pour s'assurer au niveau de la centralisation de
la... et des suivis des projets. Donc, il n'en demeure pas moins que le
ministre de la Cybersécurité, même si le projet est réalisé par un autre
ministère, le ministre de la Cybersécurité et du Numérique a quand même
certains pouvoirs pour s'assurer du suivi des projets, s'assurer de la
reddition de comptes, s'assurer que le projet, il est... il suit les
orientations du gouvernement, etc. Donc, ça donne un pouvoir de contrôle et de
surveillance supplémentaire au ministre de la Cybersécurité et du Numérique.
Maintenant, ces règles-là doivent être
approuvées par le règlement, parce qu'elles vont assujettir le ministère
concerné. Donc, évidemment, ça prend l'autorité, la plus haute autorité étant
au Conseil des ministres, pour assujettir un ministère à différentes règles. Et
ça ajoute l'obligation pour le ministre de la Cybersécurité et du Numérique de
présenter l'avancement des projets au Conseil des ministres pour s'assurer que
le portefeuille de projets prioritaires, bien, les priorités sont respectées.
Mme Setlakwe : Ça, c'est un
des articles les plus importants, là.
M. Caire : Je trouve aussi,
je ne vous obstinerai pas beaucoup là-dessus.
Mme Setlakwe : Annuellement,
dans les 60 jours suivants le dépôt à l'Assemblée nationale du plan, les
investissements et dépenses, vous proposez un portefeuille de projets
prioritaires. Sur la base de quels critères? Sur la base de quels critères?
Comment vous allez déterminer, là, tu sais, qu'est-ce qui est pour le bien
commun?
M. Caire : O.K., Bien, premièrement...
Mme Setlakwe : Qu'est-ce que
vous avez en tête dans...
M. Caire : Oui, tout à fait.
Premièrement, évidemment, c'est en fonction du fait que c'est dans les plans de
transformation numérique des ministères et organismes. Ensuite, lorsqu'on fait
l'analyse, bien, d'abord, quelles sont les priorités du gouvernement? Ça, c'est
le discours d'ouverture du premier ministre qui fixe les orientations de son
gouvernement. Donc, ça, c'est le premier critère. Le deuxième critère, c'est la
valeur technologique. Est-ce qu'il y a une plus-value dans le projet? Je vous
donne un exemple. On a un besoin, par exemple, totalement au hasard, là,
évidemment, on a un besoin de gestion d'immeuble au niveau du réseau de l'éducation.
Bien, on se dit : Il n'y a pas juste le réseau de l'éducation qui fait de
la gestion d'immeuble. Est-ce qu'il y aurait moyen de mutualiser avec quelque
chose d'autre qui... d'existant, avant de se lancer dans un projet? Donc,
est-ce qu'il y a une valeur technologique à ce que vous faites? Est-ce que l'acquisition
qui est proposée, on parle du... Mme la députée, on parle du DSM? Bon, bien,
est-ce que l'acquisition qui est proposée... est-ce que la valeur technologique
est vérifiable? Dans le sens où est-ce qu'on achète une solution qui est
périmée ou qui est en voie d'être périmée? Est-ce qu'on achète quelque chose
qui va évoluer dans le temps? Alors, on va évaluer la valeur technologique.
Et finalement, on a adopté au ministère un
cadre de gestion des bénéfices. On a travaillé en collaboration avec l'ENAP,
développer des formules qui vont nous permettre de dire : Bon, bien, quels
sont les bénéfices puis quels peuvent être les bénéfices? Bien, est-ce qu'il y
a une augmentation de l'efficacité? Est-ce qu'on diminue le temps de traitement
de la prestation de services? Est-ce qu'on diminue le nombre d'erreurs? Est-ce
qu'on diminue le nombre de ressources humaines nécessaires pour la prestation
de services? Est-ce qu'on augmente la capacité à fournir le service? Donc, il y
a une série de mesures, de calculs comme ça, pour lesquels on est capable de
mesurer quels sont les bénéfices attendus du projet. Chacun de ces éléments-là
va donner une espèce de pointage. Puis, au final, ceux qui auront le plus de
bénéfice global vont dire : Bien, ça, c'est un projet à prioriser par
rapport à d'autres projets qui ont moins de bénéfices.
Mme Setlakwe : Merci. Vous
avez touché au DSM puis à la valeur technologique. Est-ce que vous êtes capable
de vous prononcer aujourd'hui sur... Je comprends qu'il y a eu un appel d'offres,
puis il y a même eu, je pense... il a été repris, là, à deux reprises, en tout
cas, plus d'une fois, parce que je pense qu'il n'y avait pas de soumissionnaire
la première fois. Finalement, c'est connu, là, c'est epic.
M. Caire : Oui...
Mme Setlakwe : ...qui a gagné
le contrat qu'il y a eu. Et quelle est votre appréciation de la valeur... de ce
produit-là, sachant qu'il y a eu des difficultés dans d'autres juridictions?
M. Caire : C'est-à-dire, puis
je vais digresser un peu avec votre permission, Mme la Présidente, parce que
vous avez raison, qu'ils ont eu des difficultés à la genèse du produit.
Aujourd'hui, pour avoir eu des discussions avec mon homologue de l'Alberta sur
l'implantation de ce système-là, ils en sont extrêmement satisfaits. Ils ont
augmenté la performance de leur réseau de la santé de façon extrêmement
significative. J'ai eu l'occasion, parce qu'on a eu une rencontre des ministres
responsables de la transformation numérique... du Canada. Donc, on était à
Niagara Falls, il n'y a pas longtemps, pour discuter, normalement, de
cybersécurité, mais moi, j'ai eu cette discussion-là avec le ministre
responsable pour l'Alberta. Ils sont très, très, très satisfaits. Et d'ailleurs
on a établi des liens avec eux, là, pour voir comment ils avaient fait
l'implantation puis le déploiement du système, la gestion et la maintenance,
donc bénéficier de leur expérience.
Donc, dans un contexte d'un système de
santé similaire au nôtre, ce système-là donne entière satisfaction au
gouvernement albertain.
Mme Setlakwe : O.K. Je
n'avais pas réalisé qu'ils étaient des utilisateurs d'un système. Donc, ils ont
leur Dossier santé numérique, eux.
M. Caire : Ils ont déployé le
système Epic, comme nous souhaitons le faire, eux, c'est fait, puis les gains
d'efficacité sont significatifs.
Mme Setlakwe : Ça fait
combien de temps qu'ils ont fait ça?
M. Caire : C'est une bonne
question. Ça fait un certain temps déjà... bien, un certain temps. J'irai vous
chercher la réponse pour ne pas dire de niaiserie, là. Mais, chez eux, c'est
entièrement déployé.
Mme Setlakwe : O.K.. Donc là,
vous avez élaboré les critères. Bien, vous en avez parlé, je pense que ça a été
bien expliqué. Donc, vous proposez un portefeuille afin que soient établies les
priorités gouvernementales, au regard des initiatives de transformation
numérique des organismes publics. Ça, ça va. Donc, vous allez en parler avec
vos collègues puis vous allez élaborer ce portefeuille.
M. Caire : C'est ça. En
fait...
Mme Setlakwe : On a parlé de
la suite, là, de la séquence.
M. Caire : C'est ça. Je fais
une proposition. Le Conseil des ministres est libre évidemment de l'accepter
tel quel, de ne pas l'accepter, de me demander des modifications. Donc, ça
reste la prérogative du Conseil des ministres, mais une fois que c'est adopté,
ça devient le portefeuille des projets à prioriser pour le gouvernement.
Mme Setlakwe : Et puis là,
dans les faits, là, ce serait quand, au plus tard?
M. Caire : Bien, en fait,
évidemment, il faut... Je ne peux pas présumer de l'adoption de la loi. Mais...
Mme Setlakwe : Grosso modo,
là?
M. Caire : Non, mais vous
comprendrez que j'ai une réserve élémentaire. Mais la loi est adoptée,
admettons, là, théoriquement, on adopte la loi dans les prochains jours, on met
ça en application, normalement, on... le dépôt, à l'Assemblée nationale, des
investissements, des dépenses, se fait au printemps, donc, 60 jours après,
je vais présenter un portefeuille de projets prioritaires. C'est parce que
l'idée, évidemment, c'est de recevoir les enveloppes aussi au PQI RI. Donc,
moi, je ne peux pas présumer de ce que, par exemple, mon collègue des
infrastructures va faire au niveau du PQI, qu'est-ce qui sera attribué comme
enveloppe, donc je ne peux pas le présumer, donc je dois attendre de savoir
quelle est l'enveloppe qui est réservée aux ressources informationnelles. Puis
après ça, en fonction de l'enveloppe, là je peux établir le portefeuille des
projets prioritaires.
Mme Setlakwe : Mais là, vous
devez avoir une idée?
M. Caire : Oui, oui. Bien, en
fait, je sais...
Mme Setlakwe : Je suis
certaine que vous avez une ébauche en quelque part.
• (15 h 10) •
M. Caire : Non, absolument.
Mais on a... c'est sûr qu'on... au moment où on se parle, le ministère a déjà
commencé à regarder les projets, puis a déjà commencé à faire des évaluations,
puis a déjà commencé à constituer une ébauche. Sauf que, ne sachant pas quels
seront les montants au PQI RI, en ressources informationnelles, qui seront
alloués par le ministre responsable des infrastructures, je ne peux pas établir
un portefeuille formel. Parce que dépendamment des montants qui seront
octroyés, bien, je peux faire tel, tel, tel projets, puis, si j'en ai moins,
bien, celui-là, je ne peux pas le faire, ou celui-là, je l'aurais fait, mais
il est trop coûteux, ça fait que je vais peut-être en faire un peu plus puis...
Vous comprenez? Là, on va jouer avec les projets en fonction des montants qu'on
va avoir.
Mme Setlakwe : Je comprends.
Mais le thème numéro un, est-ce que ce serait santé?
M. Caire : Bien oui.
Mme Setlakwe : Évidemment.
M. Caire : Clairement. Puis
je vous dirais : santé...
M. Caire : ...vous ne vous
trompez pas.
Mme Setlakwe : Et puis ce
sera quoi, votre rôle, au niveau, là, du déploiement de DSM? Puis on le sait
que c'est commencé, il y a des projets pilotes. Puis, tout à l'heure... bien,
en fait, plus tôt aujourd'hui, quand j'ai mis de l'avant le délai de trois à
cinq ans, vous sembliez trouver que c'était beaucoup trop long. Comment est-ce
que... Est-ce que vous avez une mise à jour? Moi, en fait, la dernière fois que
j'en ai parlé, c'était avec le ministre de la Santé il y a quelque temps.
M. Caire : Avec respect, Mme
la députée, je vais laisser mon collègue de la Santé faire les annonces sur ses
projets. Je vais répondre à votre question, qui est tout à fait légitime :
Quel est mon rôle? Alors, mon rôle, d'une part, c'est d'évaluer la valeur
technologique. Mon rôle, c'est... Là, la précision que je vais apporter, c'est
que mon collègue responsable des Infrastructures donne une enveloppe globale.
Donc, il me dit : Cette année, en ressources informationnelles, je mets...
dans le PQI-RI, je vais mettre 700 millions, mettons. Alors, à partir de
là, c'est la prérogative du ministère de la Cybersécurité et du Numérique de
dire comment, ce 700 millions là, je vais le ventiler, à quels projets je
vais attribuer des sommes au PQI-RI. Ça, c'est nous qui le décidons. Mon
collègue dit : Voici, toi, tu as... ça, c'est ton enveloppe, puis
arrange-toi avec. Mais c'est lui qui décide c'est quoi, le montant de
l'enveloppe. Après ça, c'est au ministère qu'on décide : O.K., comment on
en fait la répartition?
Donc, dans le cas du DSM, bien, vous
comprendrez qu'il fallait répondre aux demandes financières au PQI-RI. Donc,
ça, c'est un rôle qu'on a joué. On a évalué la valeur technologique. Vous
m'avez posé une question tout à l'heure : Est-ce que vous pensez que ce
produit-là est un bon produit? Bien, c'est évident que le ministère de la Cybersécurité
s'est prononcé en support à nos collègues. Parce que ce que je vous ai dit
tantôt demeure. Je veux dire, ce n'est pas au ministère de la Cybersécurité et
du Numérique de dire au ministère de la Santé et des Services sociaux comment
répondre à ses besoins. Ce sont eux, les experts, ce sont eux qui savent de
quoi ils ont besoin.
Nous, on peut évaluer la valeur
technologique. Nous, on peut évaluer la pérennité du système. Est-ce que, dans
le temps, c'est un système qui peut évoluer? Si oui, de quelle façon... Bon,
ça, on peut évaluer ça. Est-ce que, financièrement, le projet est viable? On va
faire les... On a, chez nous, Mme Munger, qui est sous-ministre adjointe à la
gouvernance et au financement. Donc, eux vont faire l'évaluation de la
viabilité du projet. Donc, ça, c'est une évaluation qu'on fait. On donne
notre... bien, notre autorisation... on donne notre recommandation ou non,
donc. Et on est... évidemment, on a un représentant sur le comité de
gouvernance du ministère, là, parce qu'on collabore avec le MCN... le MSSS.
Mais le MSSS demeure le maître d'oeuvre de son projet.
Mme Setlakwe : O.K. Donc,
vous êtes déjà impliqués à certaines étapes, que vous venez d'énoncer?
M. Caire : Absolument. On va
être impliqués à toutes les étapes, mais on est toujours dans un rôle de
support. Moi, je vous dirais... Puis l'expérience aussi, c'est que vous voulez
que les lignes d'affaires continuent d'être maîtres d'œuvre de leur projet.
Parce que le jour où c'est les technologies qui prennent le contrôle, bien,
ça... le risque qu'on ne réponde pas efficacement aux besoins des lignes
d'affaires est grand, là.
Mme Setlakwe : Oui. Et donc
vous êtes en support?
M. Caire : Oui.
Mme Setlakwe : Mais, tu sais,
j'essaie toujours de situer ça.
M. Caire : Ah! bien, on est
en support...
Mme Setlakwe : Support,
exercer le leadership... C'est quand même de la transformation numérique.
M. Caire : Oui, bien, on est
en support dans certains... Sur certains aspects, on assume une autorité. Comme
je vous dis, sur la valeur technologique, on s'est prononcés, il y a une
recommandation. Est-ce que la valeur technologique, elle est là, est-ce qu'elle
est au rendez-vous? Est-ce que les bénéfices attendus sont suffisants? Donc,
ça, le ministère va se prononcer là-dessus. Est-ce qu'on alloue, oui ou non,
les sommes au PQI-RI à ce projet-là? Alors, ça, c'est nous qui avons cette
décision-là à prendre.
Mais sur, bon, les appels d'offres, c'est
le ministère qui s'en occupe. Le ministère va trouver un intégrateur. Je veux
dire, nous, on ne fait pas de l'intégration. C'est correct, il va se trouver un
intégrateur. Vous disiez que le ministre s'est adjoint un spécialiste en
technologie. Ils vont trouver un intégrateur. On va même peut-être bénéficier,
puis je l'espère, en tout cas, de l'expertise de l'Alberta. Donc, on veut se
donner quand même tous les moyens pour s'assurer que ce projet-là est un projet
qui va être un succès, là. Vous comprendrez qu'on aime mieux quand ça marche
que quand ça ne marche pas, là.
Mais le ministère... Il y a certains
aspects où le ministère est décisionnel, mais, de façon globale, le ministère,
il est en soutien à ce que les autres ministères vont faire, parce que les...
M. Caire : ...puis moi, je
crois fortement à ça, les ministères doivent demeurer responsables et en
contrôle de leurs projets, parce que c'est eux qui connaissent leurs besoins,
c'est eux qui savent. Tu sais, ce n'est pas à moi à dire à un médecin
comment... Qu'est-ce qui répond à ses besoins. Je peux lui faire des
suggestions, je peux lui offrir des produits, je peux l'aider à intégrer ces
produits-là, je peux lui... Peut-être lui montrer des choses qui existent qu'il
ne savait pas, je peux faire tout ça, mais au final, c'est lui, l'utilisateur,
là, c'est lui qu'il faut qu'il soit confortable avec le produit puis qu'il
dise : O.K., ça, ça répond à mes besoins puis ça m'aide à être plus
efficace.
Puis il a été un temps où les technologies
avaient un contrôle plus grand, puis ça n'a pas donné des bons résultats, là.
Moi, j'ai vu ça, des supersystèmes qui sont morts au cimetière, des systèmes
pas utilisés, parce que, justement, oui, c'était super, tu sais, pour nous
autres, les technologies, c'était superintéressant, mais pour
l'utilisateur : qu'est-ce que tu veux que je fasse avec ça.
Mme Setlakwe : Mais, le
besoin... Non, je comprends ce que vous dites, là, il faut qu'ils soient
impliqués. Je ne suis pas en train de dire qu'il faut les sortir, ils sont les maîtres
d'œuvre, mais il faut qu'il y ait cette... je ne sais pas si c'est un support
ou un soutien, mais il faut qu'il y ait, au fur et à mesure des étapes
d'avancement, une révision puis une approbation.
M. Caire : Mais on est
d'accord. C'est pour ça qu'on veut s'assurer que, quand il y a un plan de
transformation, il est en conformité avec les orientations, c'est pour ça qu'on
veut s'assurer qu'au niveau de la cybersécurité il y a des choses qui vont être
faites. Parce qu'il faut répondre aux bonnes pratiques en cybersécurité, ça,
c'est notre responsabilité, ça, c'est le rôle qu'on doit assumer. C'est pour ça
qu'on veut s'assurer que, quand on fait un déploiement, bien, il y a quand même
des standards à respecter, il y a des... il y a les règles de l'art qui doivent
être respectées. Et ça, on est là. On est là, on est là. Quand on parle
d'utilisation des services pour s'assurer d'une uniformisation, on est là.
Je suis d'accord avec vous, là, le
ministère a un rôle à jouer, puis c'est de s'assurer que les bonnes pratiques
sont mises en place, et ça, ça doit se faire en collaboration avec le ministère
concerné, pour s'assurer qu'ultimement le système doit répondre à ces besoins.
Mais je suis à la même place que vous. Puis je vous dirais que les modifications
que je demande à l'Assemblée nationale visent à mieux encadrer, mieux définir
puis donner plus d'outils pour être capables de faire ça.
Mme Setlakwe : Tu sais, c'est
sûr que c'est des... c'est les utilisateurs, vous avez parlé des médecins, des
professionnels qui oeuvrent dans le réseau, qui savent ce qu'ils vont avoir
besoin, tu sais, ce qu'ils veulent voir se retrouver dans le fameux...
M. Caire : DSN.
Mme Setlakwe : Oui, du DSN,
mais c'était le système de dépôt, là, mais bon, c'est le DSN?
M. Caire : Oui, oui.
Mme Setlakwe : Mais après ça,
une fois qu'eux disent : Bien, voici le contenu, voici ce que j'ai besoin,
mais là, ça prend... On n'est plus dans l'expertise médicale, là, on est
dans...
M. Caire : Non, on est dans
les standards. Puis c'est pour ça, par exemple, on va prendre... on prend une
directive pour dire : Bien, quand vous achetez un système comme ça, il ne
devrait pas y avoir de personnalisation, parce que ça déstabilise le système, parce
que ça empêche l'évolution du système, ça empêche les mises à jour, alors, si
vous voulez avoir une personnalisation, parce que le système ne répond pas
entièrement à vos besoins, trouvez-vous une autre application, puis, à travers
des API, connectez le système plus personnalisé au système général. Mais on ne
personnalise pas un système général. C'étaient des pratiques qui existaient qui
n'existeront plus. Parce qu'on prend ce genre de directive là pour établir ça
comme des normes, ça ne se fait pas, voici la bonne pratique, la bonne
pratique, c'est. O.K., ça se peut, là, que le système, il ne réponde aux
besoins de tout le monde, je veux dire, c'est possible, surtout en santé, il y
a quand même plusieurs complexités, là, puis c'est difficile de faire un
système qui réponde à tout ça, mais il y a une façon de répondre à cette
situation-là sans toucher au système général, qui est une mauvaise pratique.
Donc, ça, c'est là où le ministère, il a un rôle de dire : On ne fait pas
ça, c'est interdit de faire ça, vous ne pouvez pas faire ça, voici la bonne
pratique.
• (15 h 20) •
Mme Setlakwe : est-ce qu'il
est déjà au dossier, l'intégrateur...
M. Caire : Là-dessus, je ne
pourrais pas vous... Puis, c'est pour ça, je vous dis : je vais laisser
mon collègue répondre à ces questions-là. Honnêtement, là-dessus, je ne
pourrais pas vous dire.
Mme Setlakwe : Mais
généralement, là, tu sais, on prend un pas de recul. On en est... Puis je sais,
là, que le maître d'œuvre, c'est le MSSS. Mais on avait déjà parlé, vous et
moi, du fait qu'il y avait deux projets pilotes. Puis, quand on étudiait le PL
trois...
Mme Setlakwe : ...projets
pilotes n'avaient pas encore... Je pense que les appels d'offres étaient en
cours, mais il n'y avait pas eu de...
M. Caire : ...appels
d'offres...
Mme Setlakwe : Les projets
n'étaient pas... ils n'avaient pas démarré encore. Là...
M. Caire : Non, parce qu'ils
venaient de choisir le système. Honnêtement, je pourrai vous faire une mise à
jour, Mme la députée, ça me fera plaisir, mais je ne voudrais pas vous induire
en erreur, là, je ne sais pas exactement où on en est rendu dans le
déploiement, là, mais je sais que, si ce n'est pas commencé, ça ne sera pas
très long avant que les projets pilotes commencent.
Mme Setlakwe : O.K. Donc...
Parfait. Donc, vous allez établir votre portefeuille de projets prioritaires.
On a compris que tout ça dépend des enveloppes disponibles. Et puis donc, tu
sais, là, il y a beaucoup d'énergie, beaucoup de ressources, beaucoup de fonds
qui vont être alloués vers ces priorités-là, mais on s'entend que, s'il y a un
changement de gouvernement, bien, on peut revenir à la case départ.
M. Caire : Ça peut être un
changement de priorité. C'est la prérogative du nouveau gouvernement...
Mme Setlakwe : C'est toujours
comme ça, oui.
M. Caire : ...d'établir son
portefeuille de projets prioritaires.
Mme Setlakwe : Puis, en
éducation, vous avez été impliqué de la même façon qu'en santé?
M. Caire : Oui. Tout à fait.
Toujours dans le respect, là, de la discussion qu'on vient d'avoir... Éducation
nous fait valoir ses... quelles sont les bonnes solutions à ses problèmes.
Mais, pour nous, c'est de s'assurer que la solution, elle est technologiquement
viable.
Mme Setlakwe : O.K. Donc,
ensuite : «Sous réserve de l'obtention des autorisations requises
conformément à la présente loi, un organisme doit prioriser, il a obligation,
la réalisation de tout projet visé par les priorités...», ça va de soi, une
fois qu'on a établi qu'il y avait des projets prioritaires. Et le troisième
alinéa, vous pouvez prendre «une directive pour préciser les orientations quant
aux critères de priorisation des projets en ressources informationnelles,
établir les règles visant à assurer une gouvernance centralisée de la gestion,
entre autres en ce qui concerne le suivi...». Ça, on est dans du droit nouveau,
là, ça, ce n'est pas un libellé...
Mme Bacon (Nathalie) : ...
Mme Setlakwe : Oui.
Mme Bacon (Nathalie) : Oui.
La Loi sur les infrastructures publiques pour tout ce qui concerne le PQI, je
peux vous dire l'article. L'article 11, je pense.
Des voix : ...
M. Caire : J'entends des
voix, Mme la Présidente.
Des voix : ...
Mme Bacon (Nathalie) : 18.
18, paragraphe... deuxième alinéa, paragraphe 2°.
M. Caire : Article 18 de
la Loi sur les infrastructures publiques.
Mme Bacon (Nathalie) : ...les
projets en ressources informationnelles ne sont pas assujettis à la Loi sur les
infrastructures publiques, sauf dans une certaine mesure, le temps de dresser
l'ensemble du PQI. Puis, dans cette section-là, ce sont les pouvoirs du Conseil
du trésor, l'article 18, ça fait qu'on a fait un miroir pour le ministre
de la Cybersécurité, oui.
Mme Setlakwe : Merci. «Directive...»...
Là, je suis à la fin : «la directive prise en vertu du présent article
doit être approuvée par le gouvernement et est applicable à la date qui est
fixée. Une fois approuvée, elle lie les organismes publics concernés et les
règles qu'elle établit s'ajoutent à celles qui leur sont déjà applicables».
O.K., ça me semble...
Une voix : ...
Mme Setlakwe : Oui, on a
repris ça, ce texte-là aussi est repris. Merci.
La Présidente (Mme D'Amours) : Merci,
Mme la députée. L'article 7 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article 8,
M. le ministre, s'il vous plaît.
M. Caire : Oui, Mme la
Présidente. Donc, l'article 19... pardon. L'article 12.9 de cette loi
est modifié :
1° par l'insertion, après le paragraphe
3°, du suivant :
«3.1° maintenir à jour une consolidation
des états d'avancement des projets en ressources informationnelles des
organismes publics visés par le portefeuille de projets prioritaires;»;
2° par la suppression du paragraphe 5°.
Donc, Mme la Présidente, l'article 8
du projet de loi prévoit que le chef gouvernemental de la transformation
numérique assume la responsabilité de maintenir à jour une consolidation des
était d'avancement du projet en ressources informationnelles visées par le
portefeuille de projets prioritaires.
Et le paragraphe 2° :
l'article 8 du projet de loi est une modification de concordance en lien
avec l'article 9 du projet de loi qui suit.
La Présidente (Mme D'Amours) : Y
a-t-il des commentaires sur l'article 8?
Mme Setlakwe : Oui. Bien là,
je venais juste de relire tout ça à ma collègue...
Mme Setlakwe : ...pas vraiment
poser de questions sur le changement qui a été fait à 12.8.2, puis c'est mon
erreur, mais là, ici, on revient sur l'état d'avancement. Est-ce que vous me
permettez de poser une question qui était en lien avec les deux, là?
Donc, vous présenter au moment qu'il juge
opportun... que vous jugez opportun la consolidation des états d'avancement.
Comment vous allez faire le tri? Est-ce que vous êtes vraiment bien placé pour
les évaluer? C'est un petit peu «lousse», là. Comment vous faites pour assurer
qu'il y ait une prévisibilité, là? Comment ça va fonctionner tout ça, là, ce
nouveau régime-là de...
M. Caire : ...vous parlez par
rapport au portefeuille de projets prioritaires?
Mme Setlakwe : Oui. Oui, oui,
parce qu'on continue de parler de l'état d'avancement, là, puisque vous devez
maintenir à jour. Donc, dans la séquence comment ça va fonctionner la mécanique
pour...
M. Caire : Bien, en fait, on
a déjà, nous, un système de suivi des projets qui existe à l'interne, le SIGRI,
le système intégré de gestion en ressources informationnelles, qui nous donne
un tableau de bord de l'état d'avancement des ressources informationnelles.
Là, ce qu'on vient faire... Puis je vais
faire... Avec votre permission, je vais faire 12.8, 12.9 en même temps. Donc
là, on vient donner cette responsabilité-là de la mise à jour de l'état
d'avancement au chef gouvernemental de la transformation numérique.
Donc, à partir de cet état d'avancement
là, moi, je vais regarder les projets qui sont du portefeuille de projets
prioritaires et je vais faire une reddition de comptes au Conseil des
ministres. Je vous dirais que l'objectif de ça et... Bon, l'article 12.9,
c'est un état général, un état général des lieux que... pour lequel on donne la
responsabilité nommément au chef gouvernemental de la transformation numérique.
Dans le cas du portefeuille de projets prioritaires, c'est de donner au Conseil
des ministres les outils pour s'assurer du suivi des projets qu'il aura
déterminés comme étant des priorités du gouvernement. Et donc, à partir de là,
c'est le Conseil des ministres qui va être capable de dire : Bon, bien, ce
projet-là, il avance bien, ce projet-là n'avance pas. Pourquoi? Puis le
ministre concerné par le projet, le ministre X : Qu'est-ce qui se passe?
Pourquoi ce projet-là n'avance pas comme... Puis toi, le ministre de la
Cybersécurité, qu'est-ce que tu fais? Puis là cette discussion-là, elle se fait
au Conseil des ministres, mais seulement pour les....
Donc, 12.8, c'est... on dit : Ça, ça
se fait au Conseil des ministres. 12.9, on dit : Bien, ça reste que
l'outil du suivi des projets gouvernementaux, il a la responsabilité de faire
cette consolidation-là, cette mise à jour là, puis de s'assurer d'avoir
l'information consolidée. On donne la responsabilité, nommément, au chef
gouvernemental de la transformation numérique. Mais ici, 12.9, on parle de tous
les projets. 12.8, on parle des projets qui sont du portefeuille de projets
prioritaires. Puis le niveau de reddition de comptes n'est pas le même, parce
que 12.9, c'est une reddition de comptes qui se fait au ministre de la
Cybersécurité et du Numérique. 12.8, c'est une reddition de comptes qui se fait
au Conseil des ministres.
Mme Setlakwe : Puis vous le
faites, à 12.8, au moment que vous jugez opportun?
M. Caire : Oui, bien, c'est
parce qu'il faut qu'il y ait quand même un état d'avancement, d'une part.
D'autre part, je vous dirais que je vais faire le suivi... moi, je fais le
suivi des projets prioritaires. Admettons qu'il y a un projet pour lequel la
priorité n'est peut-être pas suffisante. Ça me donne l'opportunité d'aller au
Conseil des ministres, d'apporter l'état d'avancement puis dire : Bien,
ça, ça n'avance pas au rythme où ça devrait avancer. Donc, je rapporte à
l'autorité en la matière le fait qu'il y a peut-être un projet qui ne va pas au
rythme où il devrait aller, par rapport au fait qu'il est une priorité du
gouvernement.
• (15 h 30) •
La Présidente (Mme D'Amours) : J'ai
quelque chose à vous dire. C'est que, bon, vous avez consenti à une question
pour le 12.8, mais, s'il y a un débat là-dessus, moi, je suis obligée de
rouvrir l'article 7. Donc, est-ce qu'il va y avoir un débat additionnel?
Non?
Mme Setlakwe : Non, c'était
juste pour comprendre.
La Présidente (Mme D'Amours) : Pour
comprendre. Ça fait que donc, je vous ramène à l'article 8, s'il vous
plaît. Merci.
Mme Setlakwe : O.K., comment
vous faites... Dans la séquence... Ensuite, comment est-ce que... Comment vous
faites le lien avec le tableau de bord des projets en ressources
informationnelles?
M. Caire : Le tableau de
bord... la mise à jour du tableau de bord se fait par les organismes qui ont la
responsabilité de réaliser le projet. C'est eux qui doivent...
15 h 30 (version non révisée)
M. Caire : ...le tableau de
bord à jour. Ils doivent le mettre à jour minimalement annuellement et ils
doivent le mettre à jour lorsqu'il y a un changement par rapport à la
situation. Donc, si par exemple le projet, oups, on se rend compte que le projet,
avec les données qu'on a, a pris du retard, il faut mettre à jour le projet et
après ça, nous, on voit le résultat de ça. Maintenant, ce que le chef
gouvernemental va faire, c'est une consolidation de tout ça. Et là, c'est...
lui, ça lui donne, compte tenu qu'il est le responsable de la transformation
numérique, ça lui donne l'autorité pour agir auprès des organismes pour
lesquels des projets pourraient présenter des difficultés.
Mme Setlakwe : O.K. Et
pourquoi on supprime déjà le paragraphe 5° sur les stratégies?
Une voix : ...
M. Caire : Ouais, c'est parce
qu'on le met à l'article 9. C'est une réécriture, ça, Mme la députée. On
va, le... On va l'amener au niveau de l'article 9. Là, on est dans la
légistique.
Mme Setlakwe : Ah! On fait
juste le déplacer.
M. Caire : C'est ça.
Mme Setlakwe : Merci.
La Présidente (Mme D'Amours) : Merci.
Et que l'article 8 est adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article 9,
M. le ministre, s'il vous plaît.
M. Caire : Mme la Présidente,
l'article 9 se lit comme suit : L'article 12.12 de cette loi est
modifié par l'insertion, après le paragraphe 8°, du premier alinéa, du
paragraphe suivant :
«8.1°. Proposer au ministre des stratégies
pour favoriser l'approche de gouvernement ouvert et voir à la mise en œuvre de
celle-ci.»
Donc, on vient changer, la responsable...
de qui assume la responsabilité du gouvernement ouvert parce qu'on a évidemment
le... la gestionnaire, parce que c'est une gestionnaire de la donnée numérique
gouvernementale. Et compte tenu du fait que la donnée ouverte, ça reste de la
gestion de données, on transfère cette responsabilité-là, qui était au chef
gouvernemental de la transformation numérique, à la gestionnaire de la donnée
numérique gouvernementale. Donc, c'est plus dans son créneau à elle de gérer et
de gérer la donnée.
La Présidente (Mme D'Amours) : Commentaires
sur l'article 9?
Mme Setlakwe : Oui. Écoutez,
je m'excuse, c'est juste le libellé : Approche de gouvernement ouvert?
M. Caire : Oui. Bien, parce
que, bon, le gouvernement du Québec, depuis 2020, on est membre du Partenariat
pour le gouvernement ouvert, ce qui nous amène un certain nombre d'obligations
en matière de transparence et en matière de gestion de la donnée ouverte. On a
adopté récemment la stratégie du gouvernement ouvert. Donc, on veut aller vers
une augmentation de la disponibilité de la donnée ouverte. Donc, la donnée qui
est rendue disponible à l'ensemble de la population de la planète, libre de
droits, libre d'accès.
Mais ça, évidemment, ça nous amène quand
même, je dirais, à un processus de classification de la donnée, bon, qu'est-ce
qui est de la donnée, qui peut être de la donnée ouverte, puis qu'est-ce qui
est de la donnée qui ne peut pas être de la donnée ouverte, est-ce qu'on va en
diffusion proactive, est-ce qu'on est en... est-ce qu'on continue à être en
accès à l'information, tu sais, toute une réflexion qui se fait autour de ça.
Et donc, la gestionnaire de la donnée numérique gouvernementale a le mandat de
nous proposer des stratégies, quelles sont les bonnes orientations par rapport
à ce qui se fait dans le monde, par rapport à ce qu'on fait nous-mêmes, par
rapport à ce qui nous amène vers une plus grande transparence, quelles sont les
stratégies et les approches qu'on peut prendre pour améliorer nos prérogatives
de gouvernement ouvert.
Mme Setlakwe : Merci, M. le
ministre.
La Présidente (Mme D'Amours) : Est-ce
que l'article neuf est adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Merci.
L'article 10. M. le ministre.
M. Caire : Mme la Présidente,
l'article 12.16 de cette loi est modifié :
1 par le remplacement, dans le paragraphe
deux du premier alinéa, de «faire approuver par» par «transmettre»;
2 par la suppression de la première phrase
du deuxième alinéa.
La Présidente (Mme D'Amours) : ...M.
le Ministre?
M. Caire : Pardon, Mme la
Présidente?
La Présidente (Mme D'Amours) : «De
la dernière phrase». Vous avez dit «de la première»?
M. Caire : «De la dernière»,
oui. Je m'excuse, vous avez raison, Mme la Présidente, «de la dernière phrase»,
effectivement. Bon, bien, ça, c'est le... C'est l'article qui enlève l'obligation
de faire approuver les règles de gouvernance...
M. Caire : ...par la
Commission d'accès à l'information — non... oui, c'est ça — procéder
à l'évaluation des facteurs relatifs à la vie privée. Voilà.
La Présidente (Mme D'Amours) : Merci.
Commentaires sur l'article 10?
Mme Setlakwe : Oui. Merci,
Mme la Présidente. Donc, bien, c'est l'article dont on avait commencé à
discuter, mais pas de façon fluide, là. Je ne comprends toujours pas votre
réticence. Puis Me Poitras est venu dire à quel point... elle est venue faire
un plaidoyer puis elle a produit un mémoire, avec son équipe, expliquant
qu'elle ne saisissait pas les motifs pour lesquels vous souhaiteriez
court-circuiter un processus qui était en cours, parce que, dans les faits, il
y a une source officielle de données qui est en échange avec... en processus
d'échange qu'elle nous dit constructif avec la CAI, c'est le MCN, c'est votre
ministère. Et qu'est-ce qui accroche? Y a-tu quelque chose qui accroche avec la
CAI?
M. Caire : Ah! il y a plein
de choses qui accrochent.
Mme Setlakwe : Il y a plein
de choses qui accrochent?
M. Caire : Oui, oui, mais...
puis ça va me faire plaisir de vous l'expliquer, Mme la députée. En fait, la
genèse de ça, c'est l'adoption de la loi n° 95. À
l'origine, la Commission d'accès à l'information était contre l'adoption de
tout ce qui touche la source officielle de données, le gestionnaire de la
donnée numérique gouvernementale, parce qu'on part d'un modèle dont on s'est
parlé, vous et moi, d'entrée de jeu. Donc, on part d'un modèle où chacun est
responsable de la collecte de ses informations. L'état des choses avant 95
était que deux organismes...
Mme Setlakwe : Parlez-moi de
95 pour le bénéfice de quelqu'un qui nous écouterait, là.
M. Caire : Oui. Bien non,
vous avez raison, Mme la députée. La loi n° 95,
c'est la loi qui a institué le gestionnaire de la donnée numérique
gouvernementale, qui a institué le principe des sources officielles de données,
et donc tout ce qui va... tout ce qui va avec en matière de communication
d'information, qui a déterminé la donnée comme un actif gouvernemental, et ça,
c'est très important parce qu'on passe d'une propriété de chaque ministère et
organisme avec tout ce que ça implique légalement, à la donnée, qui est un
actif gouvernemental qu'on doit valoriser.
La Commission d'accès à l'information
était contre ça parce qu'elle a dit : Vous faites un régime particulier,
et au niveau de la protection des renseignements personnels, on a peur que
cette utilisation-là soit effrénée puis soit... que n'importe qui fasse
n'importe quoi avec des renseignements personnels. Alors, je le place parce
que, d'entrée de jeu, la commission n'était pas très favorable à cette idée-là.
Mme Setlakwe : Mais l'idée
d'avoir une source officielle...
M. Caire : L'idée d'avoir des
sources de données, la Commission d'accès à l'information n'était pas à l'aise
avec cette idée-là parce qu'elle trouvait que ça créait un régime particulier
qui faisait en sorte qu'on allait centraliser la donnée, on allait collecter
trop de données puis, éventuellement, on mettait des renseignements personnels
à risque d'être mal utilisés et/ou à risque d'une fuite de données.
Mme Setlakwe : ...vous me
permettez, elle a été adoptée...
M. Caire : Elle a été... en
juin 2021. C'est votre collègue de La Pinière, l'ancien député de La Pinière
qui était là.
Mme Setlakwe : Oui, merci,
là, de m'aider avec l'historique de ça. Donc, elle a été adoptée à l'unanimité.
M. Caire : À l'unanimité.
Autant les... Tous les partis représentés à l'Assemblée nationale ont voté en
faveur, autant au principe qu'à l'adoption finale, parce que le principe, Mme
la députée, c'est ce dont vous et moi, on discute depuis qu'on a la chance de
collaborer ensemble. Et c'est là où moi, j'ai des divergences avec la
Commission d'accès à l'information, puis je le dis sans malice parce que je
pense que la commission joue un rôle qui est fondamental, qui est essentiel, un
rôle de chien de garde, mais aussi un rôle de nous challenger dans nos idées,
dans nos positions. Et d'ailleurs, dans les échanges qu'on a eus,
souvenez-vous, sur le fait que la loi n° 95 amenait
un régime... les sources de données étaient un régime particulier, nous, on
n'est pas d'accord avec ça. Ce n'est pas une l'interprétation du MCM parce que
la loi n° 25, qui est le régime général qui
s'applique à tout le monde au Québec, s'applique entièrement à la LGGRI. Donc,
en aucun cas la LGGRI ne se soustrait à aucun article de la loi n° 25,
contrairement au p.l. n° 3 qui s'extrait de la loi n° 25 et qui crée un régime particulier. Ça, c'est le
premier élément.
• (15 h 40) •
Donc, la règle générale, dont la CAI
parle... parce qu'elle dit : Le p.l. n° 3, c'est
une règle générale qui s'applique à tous, mais LGGRI, c'est une règle encore
plus générale, parce que c'est la règle générale de tout le monde qui
s'applique entièrement...
M. Caire : ...oui, allez-y,
allez-y... je pense que... avec votre permission, Mme la Présidente, c'est un
échange qui est superimportant, avec votre autorisation.
La Présidente (Mme D'Amours) : Oui,
puis ça va très bien. Vous vous écoutez, vous ne vous interpellez pas. Moi, je
vous laisse aller.
Mme Setlakwe : Merci.
M. Caire : Merci, Mme la
Présidente.
La Présidente (Mme D'Amours) : Au
moment où ça sera moins harmonieux, j'interviendrai, mais allez-y, tout va
bien.
M. Caire : Mais ma collègue
et moi, on est dans l'harmonie totale. Sauf depuis que j'ai appris qu'elle m'a
laissé, là, ça, c'est...
Mme Setlakwe : Pour la
période du dîner.
M. Caire : Je garde espoir.
Mme Setlakwe : Donc, la loi n° 25, c'est la Loi sur l'accès à l'information, protection
des renseignements.
M. Caire : Non, c'est la Loi
sur la protection des renseignements personnels. La loi d'accès n'a pas été...
Mme Setlakwe : Oui, oui... la
protection, je m'excuse, vous avez raison, protection des renseignements
personnels. Et puis, quand on a fait le trois, sur... quatre on a travaillé
ensemble sur le projet de loi trois, on a répliqué plusieurs de ces
articles=là, on a créé un régime distinct.
M. Caire : Mais c'est ça.
Mme Setlakwe : Exhaustif, là.
M. Caire : C'est ça,
exclusivement pour le domaine de la santé et des services sociaux. Donc, c'est
pour ça qu'on dit : Ça, c'est un régime particulier, parce que la loi n° 25 ne s'applique plus.
Mme Setlakwe : Ah! elle ne
s'applique plus. La loi n° 5... le projet de loi n° 3 est devenu la loi n° 5...
M. Caire : C'est ça.
Mme Setlakwe : C'est un
régime de...
M. Caire : ...de protection
des renseignements personnels spécifiques à la santé.
Mme Setlakwe : ...de
protection des renseignements personnels en santé, oui, parfait.
M. Caire : C'est ça.
Mme Setlakwe : Et juste pour
comprendre le corpus puis quand... La LGGRI, elle chapeaute tout ça, dans un
sens.
M. Caire : Non.
Mme Setlakwe : Non, pas ça,
pas...
M. Caire : Non. La loi n° 5, vous avez raison de l'appeler la loi n° 5,
elle est autoportante, c'est un régime particulier.
Mme Setlakwe : Oui, oui, elle
est autoportante.
M. Caire : La LGGRI, elle est
soumise... Parce que la loi n° 25, elle est quasi
constitutionnelle. Donc, sauf régime d'exception, elle s'applique à toutes les
lois. Donc, la LGGRI est soumise à la règle générale qui est la loi n° 25.
Mme Setlakwe : O.K., merci.
M. Caire : Bon. Et donc, en
plus, on a pris des dispositions, puis je vous invite à aller regarder, là, qui
est l'article 12.10, la donnée numérique... bien, qui va dans le sens de
ce que je vous dis, là, la donnée numérique gouvernementale constitue un actif
informationnel stratégique du patrimoine numérique gouvernemental, leur
mobilité et leur valorisation au sein de l'administration publique à des fins
administratives ou de services publics... Comprenez-vous? C'est important, là.
On dit que la valorisation et la mobilité, c'est à des fins de services publics
ou à des fins administratives, en tenant compte de leur nature, de leurs
caractéristiques et des règles d'accès et de protection qui, autrement les
registres, sont d'intérêt gouvernemental. Alors là, on vient rajouter des
éléments à travers lesquels les données, oui, on veut les valoriser, oui, on
veut la mobilité, oui, on veut qu'à des fins administratives... Puis c'est ce
que je disais dans mon intervention, Mme la députée. Tu sais, là, quand je dis
qu'un parent va inscrire son enfant à l'école, puis que le ministère de
l'Éducation lui dit : Peux-tu aller me chercher un document produit par le
ministère de l'Éducation que tu vas redonner au ministère de l'Éducation? Tu
sais, c'est comme, il faut que ça arrête ça, là, là. Alors, l'idée, elle est
ça.
Bon, dans le régime préloi n° 95,
les ministères et organismes, pour avoir le droit de s'échanger des
informations, les règles et les ententes à être signées, à être négociées et à
être approuvées entente pas entente, information par information, ça devenait
tellement contraignant que ce que les ministères et organismes ont dit,
c'est : Bien, écoute, la loi nous autorise à avoir ces informations-là
dans une perspective d'administration ou de prestation de services. Donc, on a
le droit de les collecter, ces informations-là. Donc, ça va être beaucoup plus
simple pour nous de collecter l'information que de demander à un autre
organisme qui est déjà détenteur de cette information-là de nous le partager,
parce que, là, ça veut dire qu'il faut négocier les ententes, s'assurer... puis
ça, c'est pour chaque étape, chaque information, donc négocier des ententes,
faire approuver par la Commission d'accès à l'information pour l'ensemble des
organismes, pour l'ensemble des informations. Impossible. Donc, ça se ne
faisait pas.
Puis qu'est-ce qui arrive? On le voit avec
la Vérificatrice générale ce matin, on a surmultiplié des banques complètes
d'informations. Ça, c'est l'autre chose. Quand la Commission d'accès à
l'information dit : Vous allez centraliser l'information. Non, c'est la
situation actuelle qui fait qu'on centralise, mais on centralise dans des
centaines de banques d'informations différentes. Alors, moi, je suis un
attaquant, je m'essaie avec eux, ça ne marche pas. Pas grave, j'en ai x
centaines d'autres à essayer, puis ça va finir par marcher à un moment donné,
là, c'est sûr.
Alors, qu'est ce qu'on voit dans le
rapport de la Vérificatrice générale? Bien, c'est qu'à un moment donné, ça va
marcher parce que c'est impossible d'administrer tout ça. Donc, l'idée, c'est
de dire...
M. Caire : ...bon, bien, nous,
on va faire... on va désigner un organisme.
Prenons l'exemple du MCN pour l'identité.
Le MCN a été désigné par le gouvernement comme le détenteur des informations
sur l'identité. À terme, ça veut dire que quelqu'un qui a besoin de
renseignements sur l'identité d'un citoyen va poser la question au MCN. L'avantage,
il est multiple. Premièrement, on ne vivra pas la situation que j'ai... j'ai...
j'ai expliquée ce matin puis qui se retrouve dans l'audit de
PricewaterhouseCoopers, à savoir deux banques d'information qui parlent d'un
même citoyen, mais dont le nom n'est pas orthographié de la même façon, qui
crée de la confusion et des problèmes, parce qu'en ayant une source officielle
de données, bien, on sait qu'on s'adresse au bon citoyen et qu'on a les bonnes
informations. Je mets ces informations-là à jour, ce qui veut dire que je ne
suis pas désynchronisé. Pourquoi? Parce que, si vous faites affaire avec
l'Agence du revenu, comme tout le monde, une fois par année, mais que vous
faites affaire avec un autre ministère une fois aux trois ans, quatre ans, cinq
ans, les informations que ce ministère-là a ne... datent d'il y a plusieurs
années, ça se peut que les informations soient périmées, ne soient plus bonnes,
alors que si, à chaque fois qu'on fait affaire avec le gouvernement, la source
de données se met à jour, bien, c'est sûr que j'aurai toujours la dernière
information à jour. Alors, ça, ça nous permet d'avoir l'intégrité de
l'information. Après ça, bien, les règles de gouvernance, c'est comment on gère
l'accessibilité.
Mme Setlakwe : ...
M.
Caire
: Oui.
Oui, je vous en prie.
Mme Setlakwe : ...donc, et
jusqu'à... jusqu'ici, il me semble que...
M. Caire : J'y arrivais.
Mme Setlakwe : ...on
s'entend, là, que c'est... c'est la façon de faire optimale. Il n'y a pas
d'enjeu.
M. Caire : Oui. Mais...
mais... mais vous comprenez que la Commission d'accès à l'information ne
partage pas ce point de vue là. Je veux dire, elle partage le principe, mais
elle dit...
Mme Setlakwe : Mais là,
vous... vous m'en informez, là. O.K.
M. Caire : Mais... mais la
commission d'accès à la... Puis... puis... puis, je veux dire, je ne veux pas
faire dire à la Commission d'accès à l'information ce qu'elle n'a pas dit, ce
qu'elle n'a pas dit, oui...
Mme Setlakwe : Ce n'est pas
ça qu'elle dit dans le mémoire. Mais, vous, vous me donnez l'historique.
M. Caire : Non, mais je
vous... c'est pour ça que je vous invite à relire les... les... les mémoires
qui ont été déposés dans le cadre de 95. C'est pour ça que, quand on... on...
on a ce prisme-là, on se dit : Oups. Ah bon!
Alors, ensuite, c'est une... comme c'est
une déconcentration de l'information, ce n'est pas... on ne multiplie pas, on
déconcentre l'information...
Mme Setlakwe : Mais on déconcentre,
on la...
M. Caire : Bien, dans le sens
où, moi, je... je n'ai que les renseignements qui concernent l'identité, je
n'ai pas les renseignements qui concernent la santé, je n'ai pas les
renseignements qui concernent l'éducation, je n'ai pas les... les... les
renseignements qui concernent la famille. Donc, je... au lieu... dans une
banque x où je vais avoir tout ça, donc non seulement l'identité, mais
peut-être quelques informations sur la santé, quelques informations sur
l'éducation, quelques informations sur les revenus... Parce qu'il y a des
ministères qui ont besoin de tout ça pour être capables de donner le service,
donc eux autres, ils collectent ces informations-là, ils y ont droit, ils y ont
droit. Alors, ça, ça fait des banques qui sont... où il y a trop d'information.
Donc, si on déconcentre l'information et
qu'on s'échange l'information selon des principes de bonnes pratiques en
technologies de l'information, bien, la... la... la banque, la source de
données qui est attaquée est moins... moins hypothéquante. Je veux dire, si
j'attaque une banque d'information en santé, mais que je n'ai pas de
renseignements d'identité, j'ai un bilan de santé, mais je ne sais pas à qui il
est. Ça paraît... Tu sais, il a... il a... il a moins de... moins d'attrait.
Donc, quand on me dit : Ça va être très attractif, c'est moins attractif,
parce que j'ai moins d'information dans une même banque.
Mme Setlakwe : Donc, vous,
le... le... le MCN, vous n'avez que les renseignements qui concernent l'identité...
• (15 h 50) •
M. Caire : C'est ça.
Mme Setlakwe : ...c'est ça
qui...c'est dans votre...
M. Caire : C'est dans le
décret.
Mme Setlakwe : ...pas dans
votre... votre... mais dans le registre....
M. Caire : Oui.
Mme Setlakwe : C'est ça, les
renseignements d'identité. Puis ça, c'est quelque chose qui est en train de se
construire, là?
M. Caire : Oui. Oui.
Mme Setlakwe : Évidemment.
Nom, prénom, nom du mari, dans certains cas...
M. Caire : Oui. Mais...
mais... Et c'est là, Mme la... la députée, où j'arrive à votre question. On a
ajouté les règles de gouvernance, je vous dirais, par compromis, pour
rassurer... - l'approbation des règles de gouvernance - pour rassurer la
Commission d'accès à l'information, parce qu'à la base on... on n'en voyait pas
l'utilité. Donc, depuis, plusieurs éléments... D'une part, le p.l. n° 3 n'a
pas... la loi n° 25 n'a pas cette disposition-là, le p.l. n° 3 n'a pas cette
disposition-là, puis vous êtes aux premières loges pour savoir que le p.l. n°
23 n'a pas été dans cette direction-là non plus par amendement. Donc, le seul
régime qui est soumis à ça, c'est la...
M. Caire : ...d'une part.
D'autre part, nous, on a commencé le processus d'approbation des règles de
gouvernance en juin 2022. Donc, depuis un an et demi, Il y a des discussions
avec la Commission d'accès à l'information, ce que l'on constate... Et quand je
parlais de bureaucratie, c'est que ça fait beaucoup, beaucoup, beaucoup de
documents qui sont demandés. Quand on dit : On est en attente de
documents, oui, c'est parce qu'à chaque fois qu'on répond, il y a d'autres
documents à fournir, puis d'autres documents à fournir, puis d'autres documents
à fournir. Puis, en plus, puis je ne blâme en rien la Commission d'accès à
l'information, mais c'est quand ils ont le temps. Alors, pour nous, c'est une
priorité. Je veux dire, on est en train de parler du déploiement d'un système
névralgique du gouvernement du Québec qu'on ne peut pas déployer présentement
parce que les règles de gouvernance ne sont pas approuvées.
Donc, moi, même si je voulais étendre le
service d'authentification gouvernementale à la santé, je ne peux pas. Si je
veux l'étendre à d'autres prestations électroniques de services, je ne peux
pas. Pour des discussions qui durent depuis un an et demi, alors imaginez-vous.
Puis, quand la commission dit : Oui, mais on est en train d'ouvrir un
sentier, chaque source officielle de données va avoir une réalité. Je veux
dire, ce n'est pas vrai parce que, sinon, on ferait des règles générales pour
toutes les sources officielles de données. Si c'était... si on pouvait
appliquer de façon générale les règles de gouvernance, on le ferait une fois.
Puis oui, là on serait d'accord,
dire : Chaque nouvelle source officielle de données est soumise aux règles
de gouvernance puis... Non, chaque source officielle... Pourquoi? Parce qu'on
parle... Quand on parle de règles de gouvernance, on ne parle pas de sécurité
de l'information, on parle de qui a accès. Alors, légalement, à qui je dois
donner accès à ces informations qui, de par sa loi, ont accès à ces
informations. Puis ça répond en partie à ce que la Vérificatrice générale dit
ce matin : Je donne accès à qui? Je lui donne accès comment? Est-ce que je
lui donne accès en lecture? Est-ce que je lui donne accès en modification?
Est-ce que je lui donne accès en ajout? Est-ce que je lui donne accès en
suppression? Puis c'est important, c'est important.
Alors, ça, ces règles-là, les règles de
gouvernance vont déterminer ça. Mais ça, ça prend une analyse de chacune des
données, de chacun des organismes qui doit y avoir accès. Et qu'est-ce que la
loi dit? Et, après ça, c'est toute la notion du consentement. Comment je gère
le consentement? Parce qu'il va falloir gérer le consentement, parce que nous
sommes soumis à la loi 25, et la loi 25, il y a tout un chapitre qui parle du
consentement. Et, après ça, dans nos règles de gouvernance, il va falloir qu'on
parle des systèmes automatisés. Parce que, si on veut implanter de
l'intelligence artificielle, un instant, là, l'intelligence artificielle, oui,
mais la décision, qui prend la décision, qui est imputable de la décision,
qui... Alors, il n'y a pas une règle générale qui va s'appliquer à tout le
monde. Alors, on est-tu dans un... Puis il n'y a pas de plus-value. Puis
pourquoi je le dis, puis je le dis en tout respect, parce que tous les pouvoirs
de la CAI...
Puis, dans la loi 25, Mme la Présidente,
c'est votre humble serviteur qui a augmenté les pouvoirs de la CAI. On
travaillait avec celui qui est maintenant chef de l'opposition officielle, puis
on s'est assuré... On voulait que la CAI puisse avoir une meilleure prise sur
l'utilisation... Alors, on a augmenté ses pouvoirs. Donc, son pouvoir de
recommandation, son pouvoir d'ordonnance, son pouvoir de surveillance, la CAI
les a, elle a tout ça. Et elle peut les exercer au moment où la CAI le juge
nécessaire. Et c'est pour ça que la logique de dire : Bien, tous les
autres organismes m'ont dit : Bien, on va transférer... on va transmettre
à la CAI. Donc, il faut que la CAI soit avisée que, oui, on a établi des règles
de gouvernance, puis ça, c'est correct, il faut que la CAI en soit avisée, puis
il faut formellement dire à la CAI : Nous avons fait ça.
Maintenant, si la CAI décide qu'il y a un
travail à faire, bien, c'est sa prérogative de le faire, puis elle a tous les
pouvoirs. Puis on lui en a même donné des supplémentaires pour être sûr qu'elle
jouait pleinement son rôle. Donc là, actuellement... Puis, comme je dis, ce
n'est absolument pas un reproche à la CAI, je suis convaincu que la CAI fait ce
qu'elle peut dans...
M. Caire : ...dans le
contexte actuel. Mais il n'en demeure pas moins qu'on est dans une... de mon
avis, on est dans une couche bureaucratique qui n'a pas de plus-value parce la
CAI peut exercer tous ses pouvoirs, peut jouer son rôle pleinement, ce qui fait
en sorte que, nous, on n'est pas capable de faire la même chose.
Mme Setlakwe : Je vous
entends, mais j'aurais deux commentaires. Quand vous dites : Il n'y a pas
de plus-value, il n'en demeure pas moins que dans ces règles de gouvernance là,
qui sont négociées ou discutées en amont et qui doivent être approuvées en
vertu du régime actuel, mais il y a toutes sortes de mesures de contrôle,
n'est-ce pas? Puis...
M. Caire : Pas... Bien oui,
oui, oui. vous avez raison
Mme Setlakwe : Bien, vous
avez référé vous-même, là, au rapport de la Vérificatrice.
M. Caire : Oui. Mesures de
contrôle dans le sens où il faut s'assurer que les données ont... les bonnes
personnes accèdent aux données de la bonne façon.
Mme Setlakwe : C'est ça?
M. Caire : Oui, tout à fait.
Mais...
Mme Setlakwe : Mettons de
côté le fait que la commission était en désaccord avec le concept même, là,
d'établir cette base de données puis d'avoir une source officielle, tout ça,
moi, je... Mais là, à partir du moment où ça existe puis que ça prend des
règles de gouvernance, vous dites : Mais il y a un pouvoir, il n'a pas de
plus-value parce qu'ultimement la CAI peut intervenir.
M. Caire : Oui.
Mme Setlakwe : Oui, mais il
est trop tard quand elle intervient, il est arrivé un incident. Non?
M. Caire : Non, mais elle
peut... Premièrement, elle peut intervenir à tout moment puis si je peux me
permettre, Mme la députée, cette logique-là est vraie pour le dépôt national de
données de santé et de services sociaux. C'est cette logique-là est la même
logique en éducation. Puis, dans un cas et dans l'autre, cette approbation-là
n'est pas jugée nécessaire. Puis la CAI nous dit : Oui, mais c'est parce
qu'en santé c'est un régime général, mais la LGGRI aussi est soumise à un
régime général qui est la loi n° 25.
Mme Setlakwe : Mais je ne
voudrais pas qu'ils en échappent un bout, là. Mais je vois... je ne vois pas
que c'est tout à fait le même rôle et la même fonction, là, en vertu du p.
l. 3 qui est devenu la loi n° 5.
M. Caire : Souvenez-vous des
échanges qu'on a eus, Mme la députée. L'idée était justement la capacité, à
l'intérieur du réseau de la santé des services sociaux, de s'échanger ces
informations-là dans une perspective d'efficacité.
Mme Setlakwe : Oui.
M. Caire : C'est la même
logique, sauf qu'au lieu de le faire intra réseau santé, on le fait pour
l'administration, à l'exclusion des réseaux.
Mme Setlakwe : Oui. Et elle
est là, la distinction, ça reste dans le réseau.
M. Caire : Mais je vous
dirais que...
Mme Setlakwe : Alors
qu'ici... Oui, allez-y.
M. Caire : Mais, si je peux
me permettre, de notre côté, c'est exclusivement des organismes publics qui
vont accéder aux données, alors que, et dans le réseau de l'éducation et dans
le réseau de la santé, c'est le public et le privé, bien oui.
Mme Setlakwe : ...un
organisme tel que défini dans la loi.
M. Caire : Oui, oui, mais,
mais, mais, mais dans le p.l. 5, on inclut... on inclut les cliniques qui
travaillent, les GMF, etc. Ce sont des organismes privés. Ils ne sont pas
des... ce n'est pas des organismes publics.
Mme Setlakwe : Non, non, le
circuit est différent, c'est vrai.
M. Caire : Alors...
Mme Setlakwe : Oui.
M. Caire : Alors que... Puis
je vous dirais que la LGGRI, on est plus restrictif dans le sens où nous ne
traitons qu'avec des organismes publics, pas des organismes privés qui sont
impliqués dans la LGGRI.
Mme Setlakwe : Non. Mais vous
avez une concentration de données qui permet d'identifier un Québécois, une
Québécoise, des données sensibles.
M. Caire : C'est vrai.
Mme Setlakwe : Des données
personnelles.
M. Caire : Oui, oui, c'est
vrai.
Mme Setlakwe : Les numéros
d'assurance sociale.
M. Caire : C'est vrai. C'est
vrai.
• (16 heures) •
Mme Setlakwe : Puis ça
ressemble à quoi vos règles de gouvernance? Vous dites que vous en parlez
depuis juin 2022. Là, c'est-tu un document de 200 pages ou si c'est un...
M. Caire : Non. Mais j'aimerais
vous le dire. Mais le jour où la CAI les aura approuvés, je vous le dirai. Mais
pour l'instant, je ne peux... tant que ce n'est pas approuvé...
Mme Setlakwe : Parce que
c'est sûrement... Ils avaient prévu, dans ça, donc différentes mesures de
contrôle, la journalisation, les accès.
M. Caire : Tout à fait.
Mme Setlakwe : Qui? Quand?
Comment? Pourquoi? Pour combien de temps?
M. Caire : En vertu de
quelles lois, en vertu de quelles missions? De quelle façon? Oui, oui.
Mme Setlakwe : J'ai comme
l'impression, là, corrigez-moi, que si ça avait pris un délai... peut être que
si ça n'avait pas pris autant de temps, vous ne seriez pas en train de vouloir
modifier la loi pour dire qu'on enlève cette obligation de les faire approuver
au préalable. Je pense que votre grande frustration, c'est plus par rapport au
temps que ça a pris.
M. Caire : Bien non. De toute
façon, je ne parlerai pas de frustration, mais je dirais que c'est un constat.
C'est un constat que, la procédure, elle est lourde, elle est bureaucratique.
Mais je vous arrête sur un point, moi, j'ai toujours pensé que ce n'était pas
une mesure qui était nécessaire...
16 h (version non révisée)
M. Caire : ...mais bon, la
politique, c'est l'art du compromis. Bon, c'est un compromis. Sauf qu'aujourd'hui,
on se rend compte que c'est un compromis qui n'a pas de plus-value, mais qui a
des impacts négatifs qui sont assez puissants merci, là, parce que là on parle
de paralyser un système complètement, là. Ah! est-ce qu'on veut ça?
Mme Setlakwe : Il est
paralysé...
M. Caire : Bien, il n'est
pas... Non, il n'est pas paralysé parce qu'avec la loi 14, on réussit à
maintenir le système dans un état de... un système en expérimentation. Bon, il
est en expérimentation. Mais en expérimentation, il n'est pas en déploiement.
Mme Setlakwe : Il n'est pas
en déploiement...
M. Caire : Il n'est pas en
déploiement, donc... Il ne peut pas passer à en déploiement parce que la loi 14
ne s'applique plus à un système qui serait en déploiement. Il ne s'applique qu'aux
systèmes qui sont en réalisation. Donc, oui, je peux le maintenir dans un état
en expérimentation jusqu'à expiration de la loi 14, mais ce n'est pas ça
qu'on veut, là. Tu sais, le système... Moi, je le sais, qu'il fonctionne, là.
Je n'arrête pas de vous dire qu'il fonctionne bien, qu'il est robuste, qu'il
fait le travail puis qu'on voudrait développer les autres aspects du Service
québécois d'identité numérique. Mais je réitère l'harmonisation, pour moi, c'est
l'objectif parce qu'ultimement, j'ai toujours pensé qu'il n'y avait pas de
plus-value à le faire comme ça.
Mme Setlakwe : Je pense que s'il
y avait eu des règles de gouvernance détaillées, là, pour les différents
établissements ou les CISSS qui ont été visés par la sortie... le rapport de la
Vérificatrice générale... Vous ne pensez pas que ça aurait aidé?
M. Caire : Je pense que le
problème est plus profond que ça, Mme la députée.
Mme Setlakwe : Il est plus
profond que ça?
M. Caire : Oui. Je pense que
oui. Le problème est plus vaste que des simples règles dans le... de ce qu'on
voit.
Mme Setlakwe : Bien, c'est
parce que ça semblait être complètement... prêtez-moi l'expression, un «free
for all» complet.
M. Caire : Parce qu'on parle
d'accès non autorisés, on parle d'accès qui n'ont pas été révoqués. Tu sais, je
pense que, dans ce cas-là, le problème est plus profond. La réponse va se
trouver dans l'application de la LGGRI en matière de gestion de la donnée
numérique gouvernementale, là, oui, parce que ça va répondre à différents...
puis c'est un problème qui est multidimensionnel. Mais sur l'approbation des
règles de gouvernance puis des obligations qui sont faites aussi par la loi 25,
par la LGGRI elle-même, je persiste et je signe. Je pense qu'on est dans un
mécanisme... Puis si le mécanisme avait été si bon, je veux dire, on l'aurait
répliqué dans le p.l. 5. S'il avait été si bon, on n'aurait pas amendé le
p.l. 23 pour ne pas le répliquer. S'il avait été si bon, on l'aurait
inclus à la loi 25. Je pense que... Mais ces concepts-là étaient peut-être
plus clairs, je ne sais pas. Je ne veux pas présumer. Alors que, quand on est
arrivé avec 95, oui, on était dans du droit nouveau. Mais aujourd'hui, par l'expérience
qu'on en a, j'en arrive à la conclusion que ce compromis-là n'est pas utile,
puis ça n'hypothèque en rien... parce que je crois à la mission de la
Commission d'accès à l'information, absolument. Comme je vous dis, on a rajouté
des pouvoirs à la commission quand on a révisé la Loi sur la protection des
renseignements personnels. Non seulement on a ajouté des pouvoirs, mais on a
remodelé aussi la composition de la CAI. Ça, c'est le pain qui manque? Il
manque du pain?
Mme Setlakwe : Oui.
M. Caire : Oui, c'est ça.
Mais on est... Bien, c'est ça. Moi, je pense qu'aujourd'hui je suis tout à fait
capable de vous dire que je ne pense pas qu'on soit... qu'on mette à risque les
sources officielles de données en le faisant comme ça. Je ne pense pas qu'on
hypothèque la capacité de la CAI à faire son travail, au contraire, parce qu'il
y a aussi l'aspect que j'ai mentionné, je veux dire, la CAI pourrait se
retrouver dans une situation où elle va désapprouver des règles qu'elle aurait
approuvées au niveau de la surveillance. Parce qu'un incident de sécurité n'inclut
pas nécessairement que les règles n'ont pas été suivies. Vous êtes d'accord
avec moi...
Mme Setlakwe : ...des règles
robustes, un processus détaillé, des règles claires pour tous les intervenants,
on réduit notre risque.
M. Caire : On réduit le
risque, mais on ne l'élimine pas. Donc, si on est dans un cas où les règles ont
été suivies, mais il y a quand même un incident de confidentialité majeur,
bien, la CAI est face...
M. Caire : ...des règles
qu'elle a approuvées, donc elle s'est commise envers ces règles-là. Puis je ne
vous ferai pas accroire que c'est exclusivement pour ça que je le fais, là, je
n'insulterai pas votre intelligence, là, mais ça reste quand même un élément à
rajouter dans la réflexion. Mais, pour moi, on est dans une étape qui est
administrative, qui est bureaucratique, puis qui n'est pas efficace, et qui
n'ajoute pas, qui n'a pas de plus-value au niveau de la... Puis, en plus, bien,
ne présumons pas que les ministères, que les sources officielles de données ne
sont pas en mesure d'établir des règles de gouvernance qui sont robustes et
solides, je veux dire, c'est...
Mme Setlakwe : Dans certains
cas... vous parlez des autres régimes, là, dans certains cas, dans plusieurs
cas, je comprends que la donnée va beaucoup circuler dans le réseau de la santé
quand le p.l.... quand la loi no 5 va être pleinement en application, mais, souvent,
on avait prévu que ça peut être... ça doit être, lorsque possible, anonymisé.
M. Caire : Absolument.
Mme Setlakwe : Ce qui n'est
clairement pas le cas ici, là, avec votre registre.
M. Caire : Bien, c'est... par
définition, non, un registre d'identité, on ne peut pas anonymiser.
Mme Setlakwe : Par
définition, non, donc, tu sais, j'établis quand même une distinction, ici, là.
M. Caire : Non, mais, par
contre, ce que la loi prévoit... la loi no 25, ce qu'elle prévoit, c'est qu'une
information doit être transmise dans la forme minimale. Je n'ai pas le libellé
exact, là, mais, par exemple, quand vous êtes en vérification d'identité, ce
que vous allez me soumettre, c'est : cette personne-là prétend être ça.
Et, moi, la réponse que je vais vous retourner, c'est : Bien, c'est vrai
ou c'est faux, mais il n'y a pas d'échange d'information. Donc, ça aussi, ça
fait partie des éléments de la loi no 25, c'est qu'on doit transmettre le
minimum d'informations possible.
Donc, il y a déjà un cadre, puis moi, je
le dis à qui veut l'entendre puis j'en suis convaincu, la loi no 25 demeure un
régime de protection des renseignements personnels qui est le plus sévère en
Amérique, là. On a déjà, sous le coup d'une loi générale qui est extrêmement
sévère, à laquelle on a rajouté 12.10, 12.11, ce qui amène encore d'autres
prérogatives, auxquelles on rajoute les règles de gouvernance, auxquelles on
rajoute l'approbation de la CAI... dont, je pense, on a un exemple que cette
étape-là n'est pas nécessaire, elle n'amène pas de plus-value à l'exercice.
Mme Setlakwe : ...que vous
trouvez que c'est long et ardu, puis, oui, les renseignements sont protégés
autrement, mais c'est un registre qui est constitué de données hypersensibles.
Vous dites : La seule chose que j'ai à confirmer à un organisme qui veut
les utiliser... tu sais, je confirme, si, oui ou non, on a bien affaire à
Michelle Setlakwe, là, ou on a bien affaire à... mais c'est plus que ça, ces
informations-là vont circuler et être utilisées par d'autres organismes.
M. Caire : Bien non. C'est ça
que je vous dis, c'est que, si vous faites une vérification d'identité...
Mme Setlakwe : D'autres vont
pouvoir y accéder, c'est ça, là, je... mais il va y avoir des accès, là, puis
des...
M. Caire : Pourquoi? En
vérification d'identité? Non, non.
Mme Setlakwe : Bien, alors
vos règles de gouvernance que vous êtes en train de discuter avec la CAI, ça
porte sur quoi?
M. Caire : Bien comme je vous
dis, là, ça va porter sur un certain nombre d'éléments, à qui je vais
transmettre ma réponse, je veux dire, est-ce que moi, là, je veux dire...
Mme Setlakwe : Mais parce que
la personne va accéder aux informations personnelles, elle va les voir.
M. Caire : Bien non.
Pourquoi?
Mme Setlakwe : Oui ou non,
c'est juste ça? Alors, pourquoi que c'est si long à faire approuver les règles
de gouvernance?
M. Caire : Bien, ça, c'est
une excellente question à laquelle je ne peux pas apporter de réponse. C'est
une bonne question, mais vous ne la posez pas à la bonne personne.
Mme Setlakwe : Je peux vous
demander juste une petite suspension?
M. Caire : Oui, oui, oui.
La Présidente (Mme D'Amours) : Je
suspends les travaux quelques minutes.
(Suspension de la séance à 16 h 10)
(Reprise à 16 h 22)
La Présidente (Mme D'Amours) : Nous
reprenons nos travaux. Nous étions à l'article 10. Mme la députée.
Mme Setlakwe : Merci, bien,
juste pour, oui, poursuivre nos échanges. Vous avez fait un plaidoyer détaillé,
là, ou une explication détaillée, à savoir pourquoi vous ne voyez pas de
plus-value. Moi, je demeure quand même sceptique. Mais j'ai peut-être une
dernière question. En quoi vous faites une distinction avec l'Institut de la
statistique, qui a passé à travers le processus, qui a ses règles, les règles
sont... ont reçu la bénédiction de la CAI...
M. Caire : Oui, en fait...
Mme Setlakwe : Puis ici...
puis là, ça, c'est ma première question, puis la deuxième, c'est plus
honnêtement vis-à-vis le public, vis-à-vis, tu sais, la confiance du public,
elle est ébranlée, là, elle est effritée, veut, veut pas. Avec ce qu'on a
connu, avec ce qui a été dit aujourd'hui, c'est... je veux bien l'explication technique,
là, mais vous êtes à la... quand même à la fin du processus. Et je... Moi, en
tout cas, personnellement, je ne suis pas à l'aise à ce qu'on change la règle,
mais c'est vous, à la fin de la journée, qui allez prendre la décision. Mais
j'aimerais donc voir en quoi vous voyez une distinction avec l'Institut de la
statistique puis...
M. Caire : Sur l'Institut de
la statistique, ce qu'il faut comprendre, c'est que l'Institut collecte
énormément d'informations différentes, donc toutes les informations qui peuvent
concerner l'identité, anonymisées ou non. Parce qu'il y a des projets de
recherche où il n'y a pas... où l'anonymisation des données n'est pas
souhaitable. Ça, c'est ce qu'on s'est fait dire aussi quand on a adopté la
loi 25... va pouvoir agglomérer des informations financières sur un
individu de santé, d'éducation. Donc, il y a vraiment une agglomération très
importante de données de toute catégorie sur un même individu qui ne sont pas
nécessairement anonymisées.
Ces données-là peuvent être rendues
disponibles autant pour des organismes du secteur public que du secteur privé.
Donc là, on est dans un cadre qui est vraiment différent, où là il y a une
concentration de données qui est très importante, qui est très diversifiée et
qui est accessible à toutes sortes d'organisations de la société civile. Donc,
pour cette raison-là, l'Institut de la statistique a effectivement cru bon
d'avoir des règles de gouvernance à être approuvées par la Commission d'accès à
l'information, alors que nous sommes dans un régime qui est exclusivement
public. Donc, il n'y a pas d'entreprise privée. La donnée que nous collectons,
que les sources d'information va collecter, c'est une donnée éclatée. Donc,
c'est justement, on ne veut pas agglomérer la donnée à un même endroit, on veut
l'éclater à différents endroits, mais pas multiplier les sources de données. On
veut les restreindre. Donc au niveau de la sécurité, cette façon là de faire,
elle est beaucoup plus efficace, elle est beaucoup plus efficace.
Et la donnée qui est gérée par une source
officielle, c'est une donnée qui est très spécifique. Les regroupements sont
logiques. Donc, on parle seulement de l'identité, on va parler seulement de la
santé, on va parler seulement d'éducation, on va parler seulement des finances,
du revenu. Donc, on peut éclater ça en autant de sources de données que
possible...
M. Caire : ...pour avoir le
moins d'informations possible. Donc, on est à un niveau très élevé, ou plus
élevé, je devrais dire, très élevé, je retire, Mme la Présidente, plus élevé de
sécurité de l'information à la base. Donc, ça, c'est très différent de ce que
l'Institut de la statistique fait parce que les besoins sont différents. Pour
l'Institut de la statistique, elle doit avoir accès à ça.
Au niveau de la sécurité du public, bien,
je vous dirais que, puis je peux renvoyer la question en quoi le p.l. 3
mais le p.l... la loi n° 5 et le p.l. 23 vont assurer la sécurité du
public, puisque ces règles-là ne s'appliquent pas à ces deux régimes-là.
Nonobstant le fait que là aussi on va avoir une concentration beaucoup moins
grande d'information, j'en conviens, mais accessible autant aux organismes
publics qu'aux organismes privés, et donc il y a une diversité que nous n'avons
pas. Et au final la santé va donner des accès à l'information pour des fins de
services, pour des fins administratives, mais pour des fins de recherche, ce
que nous ne ferons pas, parce que nos sources de données vont donner accès aux
informations dans la seule finalité administrative ou de service. Donc, il n'y
a pas des fins de recherche. Donc, quand on va donner accès, c'est à un
organisme qui, de par sa loi ou de par sa mission, doit avoir accès à ces
informations-là. Donc, au niveau de la gestion de la règle de gouvernance, on
n'est pas dans le même bain parce que, pour un projet de recherche, bon, il y a
différents protocoles à respecter, il y a différentes prérogatives à respecter,
alors que nous on dit : Bien, est-ce que pour les fins de ton service, de
prestation de services, est-ce que tu as accès... est-ce que tu dois avoir
accès à cette donnée-là, oui ou non? Alors, déjà là, il y a comme un entonnoir
dans notre cas à nous qui n'est pas ailleurs.
Et dernier point, la LGGRI prévoit déjà,
12.10, 12.11, des règles particulières aux sources officielles de données qui
ne sont pas répliquées dans les autres régimes. Donc, on a déjà un niveau de
contraintes qui est important, on a déjà une restriction de la donnée, un
éclatement de la donnée, on a déjà... tu sais, déjà ce qu'on met en place, de
par la nature même d'une source officielle de données, fait en sorte que le
niveau de protection va être plus important.
Pour ce qui est de la confiance du public,
Mme la députée, je pense que la meilleure façon d'obtenir la confiance du
public à terme où ce système-là sera mis en place, c'est d'en démontrer la
sécurité, comme on le fait par exemple avec le Service d'authentification
gouvernementale. Puis, encore là, je me mets à risque parce qu'il s'agit que je
dise ça pour qu'il arrive un incident, là, mais... Pour lesquels, à date, on a
au-dessus de 1 300 000 comptes de créés, on a... la SAAQ nous
disait qu'il y avait je ne sais pas combien de millions de transactions qui ont
été faites, puis il n'y en a pas d'incidents de sécurité. Il y a des problèmes
avec le système, mais il n'y a pas de faux comptes, il n'y a pas de vol
d'identité, il n'y a pas de fuites de données, il n'y a pas d'accès non
autorisé à la donnée. Donc, c'est ça qui bâtit la confiance avec le public.
La Présidente (Mme D'Amours) : Merci.
Est-ce que vous avez d'autres commentaires?
Mme Setlakwe : Non, je pense
que je... Non, au fil des discussions, moi, je vois quand même des distinctions
avec la loi n° 5 puis je pense que ça demeure une bonne idée de garder le
régime tel qu'il est, mais on... je pense qu'on a fait le tour de la question.
La Présidente (Mme D'Amours) : Parfait.
Est-ce que l'article 10 est adopté?
M. Caire : Adopté.
Mme Setlakwe : Sur division.
La Présidente (Mme D'Amours) : Sur
division. Je vous remercie infiniment de votre collaboration. Compte tenu de
l'heure, la commission ajourne ses travaux sine die. Merci, tout le monde.
(Fin de la séance à 16 h 30)