Journal des débats de la Commission des finances publiques

(Neuf heures trois minutes)

Le Président (M. Simard) : Alors, bonjour à tous. Bon matin. Je constate que nous avons quorum. Je déclare donc notre séance de travail ouverte.

Comme vous le savez, la commission est réunie afin de poursuivre les consultations particulières et auditions publiques sur le projet de loi n° 53, Loi sur les agents d'évaluation du crédit.

Bonjour, Mme la secrétaire, vous allez bien?

La Secrétaire : Bonjour, oui.

Le Président (M. Simard) : Dites-moi, y a-t-il... Tout le monde est suspendu à vos lèvres. Y a-t-il des remplacements ce matin?

La Secrétaire : Oui, M. le Président. Alors, M. Barrette (La Pinière) est remplacé par M. Fortin (Pontiac) et M. Derraji (Nelligan) est remplacé par Mme Rizqy (Saint-Laurent).

Audtions (suite)

Le Président (M. Simard) : Bien, bienvenue à nos nouveaux collègues. Alors, le programme pour cet avant-midi, nous entendrons la Commission d'accès à l'information du Québec, dont les représentantes sont déjà parmi nous, et que je salue, la Commission des droits de la personne et des droits de la jeunesse, M. Michel Carlos, spécialiste en lutte contre la fraude, et le Mouvement Desjardins.

Mesdames, bonjour. Auriez-vous l'amabilité, pour les fins de nos travaux, de vous présenter, s'il vous plaît?

Commission d'accès à l'information (CAI)

Mme Poitras (Diane) : Merci, M. le Président. Diane Poitras, présidente de la Commission d'accès à l'information. Je suis accompagnée de Sophie Giroux-Blanchet, Me Sophie Giroux-Blanchet, qui est secrétaire générale adjointe.

Le Président (M. Simard) : Mme Poitras, Mme Blanchet, bienvenue. Vous savez que vous disposez de 10 minutes.

Mme Poitras (Diane) : Merci. Alors, d'abord, merci pour cette invitation.

Premier commentaire, la commission accueille favorablement l'objectif du projet de loi n° 53 visant à mieux encadrer les pratiques commerciales et de gestion des agents d'évaluation de crédit et à conférer aux citoyens de nouveaux droits et recours concernant les renseignements personnels qui sont détenus par ces entreprises.

Toutefois, elle est d'avis que certaines dispositions pourraient être améliorées. C'est pourquoi elle formule dans son mémoire 13 recommandations qui portent sur trois aspects : la portée du projet de loi, la simplification des recours, et elle formule quelques propositions visant à bonifier certains droits et à assurer la cohérence avec d'autres lois, notamment la législation prépondérante en matière de protection des renseignements personnels. Je vais insister sur certaines de ces recommandations et je vous réfère à notre mémoire pour l'ensemble de nos commentaires.

Avant d'aborder ces éléments, c'est important de rappeler que la législation actuelle en matière de protection des renseignements personnels confère déjà certains droits au citoyen. Par exemple, il bénéficie d'un droit d'accès à ses renseignements personnels et de rectification de ceux-ci. Il peut s'adresser à la commission en cas de mésentente sur ses questions ou en l'absence de réponse de l'entreprise. L'exercice de ses droits est gratuit.

Pour leur part, les entreprises doivent déjà respecter plusieurs obligations visant à assurer la protection des renseignements personnels qu'elles détiennent. Vu la nature de leurs activités liées au commerce de renseignements personnels, la Loi sur la protection des renseignements personnels dans le secteur privé impose aussi des obligations supplémentaires aux agents de renseignements personnels, dont font partie les agents d'évaluation du crédit.

Entre autres, ils doivent s'inscrire auprès de la commission, qui tient un registre public de ces entreprises. Ils doivent aussi établir et appliquer des modalités d'opération pour garantir l'exactitude des renseignements qu'ils communiquent et ils doivent informer le public pour faciliter l'exercice de leurs droits d'accès et de rectification. La commission surveille depuis plusieurs années le respect de ces obligations. Il importe donc de tenir compte de ce régime général dans l'analyse du projet de loi.

Voyons maintenant quelques-unes des propositions de la commission, qui visent justement à le bonifier. Afin de garantir au citoyen la possibilité d'exercer ses droits auprès de tout agent d'évaluation de crédit, la commission recommande d'étendre la portée du projet de loi à tous ces agents, peu importe le volume de leurs activités avec les institutions financières. Bien que celles-ci soient des clients importants des agents d'évaluation du crédit, ces derniers fournissent aussi des rapports de crédit à d'autres entreprises, comme des fournisseurs de téléphonie mobile ou divers commerçants. Les citoyens devraient pouvoir exercer leurs droits et bénéficier des protections prévues au projet de loi auprès de tous les agents d'évaluation de crédit et dans tous les contextes d'utilisation des renseignements qu'ils détiennent ou produisent.

Dans cette optique, nous recommandons également d'étendre la portée de certaines dispositions du projet de loi qui prévoient ne s'appliquer qu'à des institutions financières ou à des activités qui y sont liées. Par exemple, le gel de crédit devrait s'appliquer à toute communication de renseignements liée au crédit, peu importe l'utilisation envisagée des renseignements. Puisque son objectif est d'ajouter une protection pour le citoyen, notamment en cas de vol ou de fraude à l'identité, il devrait avoir une application la plus large possible.

Toujours sur la portée de la loi, la commission suggère de remplacer la notion de dossier, qui est utilisée dans le projet de loi, par celle de renseignements personnels liés au crédit. Ce changement permettrait d'éviter que des agents prétendent que certaines obligations ou certains droits prévus par le projet de loi ne s'appliquent pas parce qu'un renseignement ne fait pas partie du dossier.

En effet, nous avons constaté, par exemple, que les agents soutiennent que le pointage de crédit ne fait pas partie du dossier, et donc n'est pas soumis au droit d'accès gratuit prévu par la loi actuelle. Cette approche serait cohérente aussi avec celle retenue dans le projet de loi n° 64, qui propose de retirer la notion du dossier de la loi sur le privé. Cette proposition donne suite à une recommandation du dernier rapport quinquennal de la commission, qui a constaté justement que la notion de dossier n'était pas adaptée au contexte numérique et pouvait être utilisée pour tenter d'échapper à certaines obligations de la loi.

Aussi, bien que la commission salue la volonté de confirmer le droit d'accès à la cote de crédit, cette expression et la définition prévue au projet de loi risquent peut-être de ne pas atteindre cet objectif. En effet, telles que définies à l'article 14 du projet de loi, elles pourraient ne pas viser le pointage de crédit, ce score de trois chiffres qui nous semble être davantage le renseignement auquel on souhaite affirmer l'accès.

Le second thème que la commission souhaite aborder est la simplification des recours au projet de loi. Nous saluons la volonté de garantir des moyens d'action aux citoyens qui doivent faire respecter leurs droits. Cependant, l'approche retenue nous semble complexe et susceptible de créer la confusion quant à la computation des délais et à l'application de sa loi, sans compter les possibles problèmes de cohérence.

En effet, le projet de loi prévoit des recours auprès de l'agent d'évaluation du crédit, de la commission et de l'Autorité des marchés financiers. Dans certains cas, un citoyen pourrait exercer simultanément, selon notre compréhension, un même recours auprès de plusieurs organismes. Le texte laisse aussi entrevoir une ambiguïté quant à l'organisme auquel un citoyen doit s'adresser dans certaines situations, comme par exemple en cas d'absence de réponse de la part d'un agent ou d'un litige relatif aux frais.

Il nous semble plus simple de prévoir qu'en cas d'échec du mécanisme de plainte auprès de l'agent d'évaluation du crédit la suite des démarches s'effectue uniquement auprès de la commission, quel que soit le motif de contestation. La commission examine déjà, depuis plusieurs années, des dossiers de mésentente impliquant des citoyens et des agents d'évaluation de crédit. Elle offre un service de médiation dans tous les dossiers qui lui sont soumis, lequel a un très bon taux de succès. La procédure et les délais pour exercer ces recours sont déjà prévus dans la loi qu'elle est chargée d'appliquer.

• (9 h 10) •

Je vais aborder maintenant quelques éléments de notre troisième catégorie de recommandations.

Alors, le projet de loi pourrait être bonifié à d'autres égards, notamment au chapitre des explications relatives à la cote et au pointage de crédit. En effet, ces renseignements influencent des décisions importantes qui affectent le quotidien des citoyens. Afin de favoriser la compréhension de ces renseignements, la commission recommande de préciser l'obligation d'explication qui est prévue au projet de loi. Celle-ci devrait inclure les principaux facteurs, paramètres et les renseignements personnels pris en compte pour le calcul de ces renseignements. Nous considérons qu'il est possible de fournir ces éléments sans révéler de secret commercial. Il importe de trouver un équilibre entre la compétitivité d'une entreprise et le droit d'une personne d'avoir accès à un renseignement qui la concerne et est utilisé pour prendre d'importantes décisions à son sujet.

Autre sujet de préoccupation de la commission, la gratuité des droits. Actuellement, la loi sur le privé prévoit que l'accès aux renseignements détenus par un agent peut se faire gratuitement, en personne ou par téléphone. Une transcription ou une copie du dossier peut aussi être transmise par la poste ou par messagerie, moyennant des frais raisonnables pour la transcription, reproduction ou communication de... transmission par la poste des renseignements. La loi ne prévoit rien quant à d'autres moyens d'accès à distance, par exemple par voie électronique.

Les agents d'évaluation de crédit demandent donc généralement des frais pour un accès à distance, notamment en l'intégrant à un forfait de services. Selon nous, il faut prévoir la gratuité de cette autre forme d'accès à distance. Le gel et l'alerte de sécurité devraient aussi être gratuits. Un citoyen ne devrait pas avoir à assumer des frais associés à une situation résultant d'un vol d'identité dont il subit déjà des conséquences importantes. La loi américaine prévoit d'ailleurs que le gel de crédit peut être mis en place gratuitement.

Quelques mots maintenant au sujet de la note explicative introduite par le projet de loi, c'est le droit de demander à un agent d'évaluation de crédit d'intégrer une note à son dossier. Bien que l'intention soit louable, ce droit, tel que libellé au projet de loi, nous apparaît plus limitatif que celui qui est déjà prévu par le Code civil, qui permet à tout citoyen de faire inclure un commentaire à son dossier.

En effet, la note explicative est sujette au paiement de frais raisonnables. Elle est limitée quant à sa longueur et à d'autres paramètres. Elle ne peut aussi concerner que l'existence d'une mésentente entre un citoyen et l'agent d'évaluation de crédit, alors que le litige quant à l'exactitude d'une information implique souvent un tiers, comme une institution financière ou un commerçant.

En comparaison, l'ajout d'un commentaire, tel que prévu actuellement par le Code civil, est gratuit, n'est pas limité dans sa longueur ni dans sa nature. Il peut déjà faire l'objet d'un recours à la commission. La commission s'interroge donc sur la pertinence de l'ajout du droit à la note explicative au projet de loi. Elle craint que cet ajout diminue, dans les faits, les droits actuels des citoyens en cette matière.

Concernant l'exactitude des renseignements, la législation actuelle prévoit que tout agent de renseignement personnel doit établir et appliquer des modalités d'opération propres à garantir que les renseignements qu'il communique sont à jour et exacts. De même, un citoyen peut demander que son dossier soit rectifié. La commission recommande qu'une sanction spécifique soit prévue en cas de non-respect de cette obligation. Celle-ci devrait tenir compte des conséquences importantes pour le citoyen lorsque des informations inexactes servent à prendre des décisions à son sujet.

Finalement, la commission propose que la durée de conservation de ces renseignements par les agents d'évaluation de crédit soit mieux encadrée par la loi.

Je vous remercie de votre attention et il me fera plaisir de répondre à vos questions et d'échanger avec vous au cours des prochaines minutes.

Le Président (M. Simard) : Merci à vous, chère madame. Alors, avant d'entreprendre nos échanges, simplement demander votre consentement, puisque nous avons commencé deux minutes en retard, il se pourrait que nous puissions finir deux minutes plus tard si on ne rattrape pas d'ici là notre retard. Consentement.

Maintenant, le ministre, hier, a proposé de retrancher trois minutes du temps imparti à la partie gouvernementale afin de le partager à parts égales entre Québec solidaire et le Parti québécois dans nos échanges, je comprends, avec l'approbation, bien sûr, de l'opposition officielle, et je comprends qu'il y a toujours consentement pour que nous puissions procéder de cette manière. Alors, voilà, merci beaucoup pour ces précisions. M. le ministre.

M. Girard (Groulx) : Lors de l'épisode qui nous a amenés ici, plusieurs millions de personnes ont eu leurs données compromises. Combien avez-vous eu de plaintes? Et comment, d'une façon qualitative... comment évaluez-vous le service qui a été offert par les agents d'évaluation de crédit?

Mme Poitras (Diane) : En fait, je ne pourrais pas vous dire le nombre de plaintes qu'on a reçues. Je sais qu'on en a reçu énormément. Comme vous le savez, il y a une enquête qui est en cours. Donc, pour nous, à partir du moment qu'il y a une enquête en cours, on fait simplement répondre : Oui, l'enquête est déjà en cours. Alors, malheureusement, je n'ai pas cette information. Je pourrais vérifier si on a cette information et vous revenir. Et effectivement notre rôle n'est pas d'évaluer la qualité du service qui a été offert par les agences d'évaluation de crédit ou Desjardins par la suite, si ce n'est de voir... Il faudra voir si... Je ne veux pas entrer dans l'enquête, là, mais évidemment l'enquête pourrait aborder certains éléments notamment quant à comment Desjardins a traité... quelles mesures Desjardins a prises pour minimiser l'impact de l'incident.

M. Girard (Groulx) : Excusez-moi, mais moi, je ne suis pas dans l'enquête, là. Il y a eu vol de données, O.K., et il y a enquête. Après ça, Desjardins paie Equifax pour offrir un service aux citoyens victimes de vol de données. Je vous demande si, qualitativement, vous pouvez me donner votre appréciation du service qui a été offert aux citoyens.

Mme Poitras (Diane) : En fait, non, je ne suis pas... Sur la... En ce moment, non. Et est-ce que l'enquête abordera cette question? Je ne peux pas vous... Vous comprendrez que je ne veux pas rentrer dans les détails.

M. Girard (Groulx) : O.K. Vous suggérez que toutes les plaintes soient canalisées vers la CAI. Par contre, c'est l'AMF qui sera responsable d'émettre des lignes directrices au niveau des pratiques commerciales et des pratiques de gestion de ces agences. Alors, pourquoi l'AMF ne serait pas en mesure de répondre aux plaintes qui concerneraient les pratiques de gestion et commerciales?

Mme Poitras (Diane) : En fait, on ne remet pas en question l'expertise ou la compétence de l'AMF. Ce n'est pas du tout l'objectif de notre propos. Ce qu'on vise, c'est à simplifier les recours pour le citoyen. Et ce que je comprends du projet de loi, c'est que l'AMF pourrait justement enquêter et mettre des lignes directrices sur, par exemple, le processus de plainte qui serait mis en place au sein de chaque agent d'évaluation de crédit, pourrait s'assurer de saines pratiques de gestion commerciale quant à la qualité des services offerts, par exemple.

Mais, quand un citoyen a un litige avec un agent d'évaluation de crédit et veut exercer un recours, nous soumettons respectueusement que, comme la commission a déjà en place tout ce qu'il faut et qu'ultimement elle pourrait avoir à trancher le litige... nous soumettons qu'il serait plus simple de tout de suite permettre à la commission... envoyer le citoyen à la commission, et nous offrons le service de médiation, qui est proposé aussi.

Je vous donne un exemple simple. Le citoyen qui s'adresse chez nous, quand il fait une demande d'accès, il va dire : Je veux une demande... je veux accès à mon dossier de crédit, pardon, je veux accès à mon dossier de crédit. Pour lui, dans sa tête, il ne fait pas la distinction : est-ce que c'est vrai que la cote, elle fait partie du dossier ou non? Lui, il veut savoir tout ce qu'il y a dans son dossier, à qui il a été communiqué, qu'est-ce qui a été communiqué, qui a eu accès à son dossier. Quand il dit : Je veux avoir accès à mon dossier, dans la tête du citoyen, c'est ce qu'il veut. Or, il aurait un droit d'accès en vertu de la législation actuelle, et il a un recours chez nous, et, si on dit, dans la loi sur... dans le projet de loi n° 53, qu'il y a... on fait un droit spécifique pour la cote de crédit, avec d'autres recours, il pourrait se retrouver, pour une même demande, à faire un recours à deux endroits différents. C'est ce qu'on veut essayer d'éviter.

Le Président (M. Simard) : M. le ministre.

M. Girard (Groulx) : Je vais passer la parole à mon collègue de Saint-Jérôme.

Le Président (M. Simard) : Oui, M. le député.

M. Chassin : Peut-être pour poursuivre... Bienvenue, mesdames, d'abord. Merci d'être là. Pour poursuivre dans la même lignée, à défaut d'avoir... parce que, dans le fond, je comprends, là, il y aurait comme une espèce de guichet unique, qui serait la Commission d'accès à l'information, pour les individus. À défaut de le préciser dans la loi, est-ce que l'éventualité, par exemple, de conclure une entente avec l'AMF pourrait être une option pour vous? Eux nous ont déjà exprimé hier qu'ils étaient intéressés par ça.

Mme Poitras (Diane) : Bien, en fait, pour nous, ce qui nous semble important, c'est que ce soit clair pour le citoyen. Si la loi prévoit qu'il peut s'adresser à deux endroits ou même d'abord à l'agent d'évaluation de crédit, ensuite deux endroits, et on ne sait pas... Si la loi dit : Pour un recours en particulier, c'est l'AMF, je ne pense pas qu'on pourrait conclure une entente qui dit que, non, vous vous adresserez à la commission, là. La commission est évidemment ouverte à essayer de...

Je pense que, de toute façon, on va avoir à coordonner nos efforts avec l'AMF, puisqu'ils seraient responsables de faire enquête et d'émettre des lignes directrices, peut-être, sur des situations concernant les pratiques commerciales et les pratiques de gestion. Ça, on ne remet pas ça en question. C'est simplement, pour le recours au citoyen, on se dit : Il existe déjà un recours gratuit. On a déjà plusieurs dossiers avec les agents d'évaluation de crédit. On a tout ce qu'il faut en place. Il me semble que ce serait... Puis, si, ultimement, c'est nous qui pouvons rendre les décisions là-dessus, aussi bien, dès le départ, offrir un seul recours au citoyen.

• (9 h 20) •

M. Chassin : Je comprends. Évidemment, c'est ça, il peut y avoir des dossiers plus complexes. Peu importe où le dossier arrive, effectivement, je pense qu'il faut que ce soit traité sans qu'on ait à référer le citoyen ou l'entreprise ou l'organisme.

Je voudrais peut-être quand même soulever un point, puis je ne suis pas expert, peut-être que la députée de Saint-Laurent, là, pourra préciser des choses, mais ce que j'ai cru comprendre, c'est qu'en matière de recyclage des produits de la criminalité puis de financement des activités terroristes il y avait effectivement un besoin de vérifier l'identité de certaines personnes et que l'accès aux dossiers de crédit faisait partie de ces procédures de vérification d'identité parfois. Et donc j'imagine que voilà un cas, là, extrême où on peut tous s'entendre que, même avec un gel sur le dossier de crédit, on ne souhaiterait pas, par exemple, qu'une institution financière ne puisse pas vérifier l'identité d'une personne dans ce cadre particulier. Donc, quand vous parliez, là, par exemple, de ne pas communiquer dans aucun cas le dossier s'il y a un gel, est-ce qu'on peut s'entendre qu'à tout le moins il y a un cas sur lequel peut-être qu'il faudrait laisser la possibilité de vérifier l'identité?

Mme Poitras (Diane) : Oui, en fait, puis on peut peut-être penser à deux ou trois situations. Je pense qu'à ce moment-là ce serait plus de le poser en principe et de prévoir spécifiquement dans la loi les situations, les exceptions à cette communication, plutôt que l'inverse, de restreindre la communication. Comme on a dit, l'objectif, c'est d'avoir la portée la plus large possible à cette protection.

M. Chassin : O.K. Encore une fois, en termes de précisions dans la loi, parce que vous comprendrez que ça ne fait pas tout à fait deux ans que je suis député, donc j'apprends encore les différents outils, les différents véhicules pour légiférer, mettre dans la loi des précisions, c'est parfois assez rigide. Dans ce cas-ci, on donne à, justement, l'Autorité des marchés financiers la possibilité d'exprimer ses attentes, d'avoir des directives sur un certain nombre de pratiques pour les agents d'évaluation de crédit, notamment en termes, par exemple, d'explications fournies. Au lieu de préciser quelles explications devraient être fournies par les agents d'évaluation dans la loi, est-ce qu'on ne peut pas compter sur l'Autorité des marchés financiers pour définir de bonnes pratiques en la matière quand on veut communiquer une information pertinente, utile, pédagogique, à des individus, des consommateurs?

Mme Poitras (Diane) : Sur cet aspect-là, c'est le résultat qui compte, je vous dirais, effectivement. Je pense que ce qu'il faut retenir de notre commentaire, c'est qu'il ne faut toutefois pas laisser aux agents le soin de déterminer quelles informations ils vont communiquer. On sait, par expérience, qu'ils sont très jaloux, qu'ils considèrent que c'est un secret commercial. Or, juste dans les audiences chez nous, quand les témoins d'Equifax ou TransUnion expliquent ce qu'est le pointage ou cote de crédit, on sait qu'il y a une certaine confusion quant à la nomenclature. Ils vont quand même assez loin dans les explications. Et, pour nous, ce serait donner ces explications-là, mais sans qu'on ait à chercher ou sans qu'on ait à demander, ça suffirait, là. Alors, comme on dit, je pense qu'on peut trouver l'équilibre, puis l'important, c'est le résultat.

M. Chassin : C'est ça. On n'a pas besoin d'une explication complète de l'algorithme, mais, c'est ça, les...

Mme Poitras (Diane) : Non, non, on ne veut pas...

M. Chassin : Juste pour être certain, combien me reste-t-il de temps?

Le Président (M. Simard) : Trois minutes.

M. Chassin : O.K. Alors, à ce moment-là, j'ai quand même le temps d'aborder... parce que, quand vous parlez du score de crédit versus la définition de la cote dans le projet de loi, bien, il y a un enjeu. Il y a différentes cotes que chaque agence calcule selon différents paramètres et différentes pondérations. Puis là je voudrais être certain de voir si, de votre côté, vous avez une idée précise de ce qui est le plus pertinent pour... en termes de transmission. On a tenté une définition, dans le projet de loi, qui me semble compréhensible. Est-ce que, de votre côté... Compte tenu peut-être de la complexité de l'enjeu, est-ce que vous avez une idée plus précise? Et, dans ce cas-là, la définition prendrait quelle forme?

Mme Poitras (Diane) : En fait, je pense qu'on a même une définition dans l'Office de la langue française, parce que, dans le...

M. Chassin : Dans le mémoire?

Mme Poitras (Diane) : Non, dans notre mémoire, on n'a pas de définition, là, mais la difficulté qu'on voit avec l'article 14 du projet de loi, c'est qu'on dit que la cote de crédit en est une qui est généralement communiquée aux prêteurs d'une somme d'argent qui en font la demande. On ne qualifie pas c'est quoi. Il existe, tu sais, les cotes R1, 2, 3, 9, I, etc., qui peuvent qualifier chacune des créances, mais il y a aussi l'espèce de score de trois chiffres qui est plus global, calculé... Comme vous l'avez mentionné, je pense que c'est ça qu'on veut rendre... qu'on vise ici quand on parle de cote de crédit. Moi, je pense qu'il faut définir ce que c'est, genre, référer au fait que c'est un calcul ou que c'est un renseignement produit qui vise à... Je ne sais pas, là, mais ça, ça peut être n'importe quoi. Il y a plusieurs renseignements qui sont fournis à des institutions financières. On trouvait que c'était un peu large. On croit qu'on peut être plus précis, puis on pourrait notamment se référer, par exemple, à la définition de l'Office de la langue française. C'est une option, mais ça peut être d'autres.

Le Président (M. Simard) : Merci. M. le député de Saint-Jérôme.

M. Chassin : Est-ce que... Puis c'est une question par rapport au commentaire versus la note explicative. Je comprends que le commentaire est gratuit, n'est pas limité ni en termes de pourquoi il est là ni de sa longueur, mais justement est-ce que... Puis là, déjà, la note explicative... On comprend qu'il y ait présence de note explicative et que, par exemple, un prêteur lise la note explicative. Ce n'est pas automatique, là. Il faut qu'il en fasse la demande. Ça fait qu'est-ce qu'on veut s'assurer, dans le fond, que la note explicative soit particulièrement pertinente au prêteur pour qu'il en fasse la demande.

Dans ce cas-là, on le restreint justement à une mésentente, et puis, évidemment, s'il y a mésentente avec l'agent d'évaluation de crédit, c'est souvent, j'imagine, parce que l'agent d'évaluation de crédit dit : Bien, nous, on a, par exemple, un créancier qui nous dit x. Le client, dans le fond, lui, il a une autre version. S'il y a mésentente, c'est parce que l'agent d'évaluation de crédit n'a pas changé son dossier tel qu'il le voulait. Ça fait que, peu importe, là, qu'il y ait une tierce partie avec laquelle, finalement, par exemple, le client a une mésentente, sa note explicative va quand même être justifiée, je pense, par rapport à une mésentente avec l'agent d'évaluation. Moi, ça, ça ne me trouble pas, mais, à tout le moins, parce qu'on le restreint, puis c'est ça, mon point, c'est que ça le rend pertinent.

Le Président (M. Simard) : Merci, M. le député.

M. Chassin : Ah oui, ça y est, c'est fini?

Le Président (M. Simard) : Bien oui.

M. Chassin : Bon, désolé, je déborde.

Le Président (M. Simard) : Ce fut fort agréable, mais c'est terminé. M. le député de Pontiac.

M. Fortin : Oui, merci. Bonjour, mesdames. Merci d'être avec nous. Si vous avez une réponse au député de Saint-Jérôme, ça va, là, vous pouvez y aller.

Mme Poitras (Diane) : En fait, je pense, c'est que... Premièrement, c'est que ça requiert qu'il y ait mésentente, donc, qu'il y ait un recours déjà intenté. Peut-être qu'on peut avoir... on veut préciser aussi certaines informations. Il y a des commentaires qui sont mis, qui ne sont pas juste pour souligner une mésentente mais pour expliquer un contexte. Le citoyen veut parfois expliquer pourquoi il a payé en retard, pendant une certaine période, ses dettes. Donc, dans ce contexte-là, on la trouve limitative. Mais, moi, ce que je vous dirais comme commentaire général, pour ne pas prendre trop de votre temps, si on pense qu'il y a quelque chose à ajouter, j'inviterais le législateur à le faire dans la loi, avec la Loi sur la protection des renseignements personnels, qui prévoit déjà ce droit-là, pour le bonifier plutôt que d'en faire un autre. Je craindrais que les agents d'évaluation de crédit en profitent pour dire : Ce n'est que ça qui s'applique.

M. Fortin : Merci. Merci, M. le Président. Je ne sais pas si vous avez eu la chance de suivre nos travaux hier, mais un peu en partie, peut-être, là, mais le ministre y a fait référence, l'AMF avait certaines recommandations également qui vous concernaient. Si je résume très rapidement ce qu'ils ont dit, là, c'est : On aimerait être capables de s'entendre avec la commission pour départager qui revient... quoi revient à qui, parce qu'essentiellement on a peur qu'il y ait des plaintes hybrides qui tombent un peu d'un côté et de l'autre, là. Est-ce que vous avez entamé ces pourparlers-là? Parce que ce n'était pas clair dans notre tête, hier, comment ils voulaient le départager. Vous, vous semblez avoir une vision un peu plus claire des choses. Donc, est-ce que vous avez parlé à l'AMF de tout ça?

Mme Poitras (Diane) : Oui, oui, on a déjà commencé à... On a eu une ou deux rencontres, ou une discussion téléphonique et une rencontre, là, déjà, puis, tu sais, l'objectif de tous est de simplifier ça pour le citoyen.

M. Fortin : Exact.

Mme Poitras (Diane) : C'est sûr que ça serait mieux que ce soit dans la loi, par contre.

M. Fortin : Bien, je suis d'accord avec vous, et c'est pour ça qu'on aimerait, nous, avoir des recommandations claires tout de suite, pour qu'on soit capables de le mettre dans la loi au cours des prochains jours, prochaines semaines. On espère que l'étude détaillée va se faire rapidement. Mais donc, si vous nous dites, ce qui est devant nous aujourd'hui, que vous... qui est un peu plus précis que ce que l'AMF avait hier, est-ce que ça convient à tout le monde, ça, ce partage-là, un peu, que vous proposez?

Mme Poitras (Diane) : Je ne pourrais pas parler au nom de l'AMF.

• (9 h 30) •

M. Fortin : Non? O.K., ça va. Votre première recommandation, je reviens au tout début, là, vous nous dites... vous nous demandez d'étendre la portée du projet de loi pour qu'on vise tous les agents d'évaluation du crédit. Hier, on a parlé un peu de la définition des agents du crédit, puis essentiellement je pense qu'il y a des gens autour de la table qui ont mentionné qu'il y en avait deux, qu'on a connus beaucoup à travers Desjardins. Mais qui vous avez en tête? Puis à quelle fréquence ça vous revient, par exemple, des plaintes par rapport aux autres qui pourraient être impliqués et qui ne sont pas nécessairement Equifax et TransUnion?

Mme Poitras (Diane) : Bien, en fait, c'est les deux principaux, on s'entend, et notre... Il y a d'autres agents... dans notre registre, selon notre registre, il y en a d'autres qui produisent des rapports de crédit. Notre compréhension, c'est qu'ils s'alimentent essentiellement, quand même, auprès d'Equifax et TransUnion. Mais, pour nous, dans un objectif de simplification de la loi, pourquoi ne pas définir quels sont ces agents plutôt que... la nature de leurs activités plutôt que l'importance de leurs relations ou de leurs chiffres d'affaires avec les institutions financières? Ce n'est pas exclu qu'il y ait un autre joueur qui arrive. Puis, en tout cas, c'est une question de simplification. Puis on veut s'assurer vraiment que les droits et obligations qui sont prévus s'appliquent à tout agent d'évaluation de crédit.

M. Fortin : O.K. Vous avez parlé des... Au-delà de certaines institutions bancaires qu'on connaît, vous avez parlé, entre autres, des assurances et d'autres enjeux. Je suis d'accord avec vous sur le fond, mais est-ce que des fuites de données, par exemple, qui viennent de ces autres entreprises là... est-ce qu'on en voit beaucoup? Est-ce que c'est fréquent? Je comprends, sur le fond, c'est... je peux comprendre votre préoccupation que c'est nécessaire de le faire, peu importe le volume, mais est-ce que vous en voyez beaucoup?

Mme Poitras (Diane) : Il y a des fuites de données dans tous les secteurs, je vous dirais. Évidemment, la commission n'a pas un portrait général de la situation... et global de la situation, parce que les déclarations d'incident ne sont pas obligatoires, comme vous le savez peut-être. Pour le portrait partiel qu'on a, c'est assez répandu... pas répandu, mais c'est assez varié comme...

M. Fortin : O.K. En fait, je vais peut-être passer la parole à la collègue de Saint-Laurent puis je reviendrai au besoin, M. le Président.

Le Président (M. Simard) : Avec plaisir. Mme la députée.

Mme Rizqy : Merci beaucoup. Vous venez de dire une chose très importante : Les déclarations d'incident ne sont pas obligatoires. L'an dernier, on avait une consultation où est-ce qu'on entendait certains experts qui disaient que, justement, pour avoir les ressources appropriées, il faudrait savoir quelle est l'ampleur du problème. Pensez-vous qu'il serait à propos, à ce stade-ci, de faire les déclarations obligatoires des incidents dans les institutions financières?

Mme Poitras (Diane) : Oui, bien sûr, c'est une recommandation qu'on a faite dans nos je ne sais combientièmes rapports quinquennaux, on fait une...

Mme Rizqy : Donc, ça serait à propos, dans le p.l. n° 53, que ça soit ajouté?

Mme Poitras (Diane) : Bien, je le sais, que c'est déjà prévu au projet de loi n° 64. Peu importe dans quel projet de loi, je...

Mme Rizqy : Par cohérence...

Mme Poitras (Diane) : J'aimerais bien que ce soit... je pense que ce serait important que ce le soit.

Mme Rizqy : Par cohérence, on pourrait tout simplement l'ajouter. Je regarde le ministre qui, on dirait, semble dire qu'effectivement ça pourrait être une bonne idée.

Dites-moi, en ce moment, les sinistres, dans le domaine de l'assurance, lorsque j'ai un accident ou un sinistre, il faut qu'immédiatement, sans délai, je notifie mon assureur. Pour... lorsqu'il y a des fuites de données, c'est quoi, le délai qui est prévu présentement, au p.l. n° 53, pour notifier un sinistre au consommateur?

Mme Poitras (Diane) : Je n'ai pas connaissance qu'il y a une obligation de notifier dans le projet de loi, là.

Mme Rizqy : Ah! bien, il n'y en a pas... Premièrement, il n'y en a pas dans le projet de loi n° 53. Puis on a vu l'an dernier, lorsqu'il y a eu la fuite de données chez Desjardins, il y a quand même eu des jours qui ont passé avant que les clients, les membres ont finalement reçu un avis. Pensez-vous que ça serait à propos que, vraiment, au même titre que, lorsqu'un citoyen a un sinistre à la maison, il doit notifier sans délai son assureur, à ce stade-ci les institutions financières, lorsqu'il y a une fuite de données chez eux... Là, ici, je vais distinguer deux affaires, un vrai incident où est-ce qu'il y a une fuite de données, et je ne parle pas d'un incident interne où est-ce qu'on... par exemple, à l'interne, on a trouvé un employé fautif, puis qu'il n'y a pas eu de fuite de données extérieures, là. Alors, pensez-vous qu'ici on devrait mettre un délai pour que les consommateurs, rapidement, soient notifiés?

Mme Poitras (Diane) : Oui, c'est une recommandation qu'on a faite dans le rapport quinquennal. Ça fait encore partie des recommandations qu'on a faites, de préciser aussi quels sont les incidents qui doivent être notifiés à la commission, pour ne pas qu'on soit inondé aussi. Il y a un ensemble de recommandations qui concernent ce sujet-là qui est dans notre dernier rapport quinquennal.

Mme Rizqy : Parfait. Puis, dites-moi, en ce moment, vous, dans vos enquêtes, le délai moyen pour obtenir un rapport se situe à combien de temps?

Mme Poitras (Diane) : Je n'ai pas le chiffre avec moi sur le délai moyen pour une enquête, malheureusement, mais je peux convenir avec vous qu'il est beaucoup trop élevé pour ce qu'on voudrait.

Mme Rizqy : Je sais que des fois ça peut se situer à, des fois, 18 à 24 mois. Vous hochez de la tête. Mon inquiétude, c'est la chose suivante, c'est que, si on a deux recours potentiels, à l'Autorité des marchés financiers et par chez vous, c'est qu'on va diviser des ressources, alors qu'on a déjà des délais qu'on pourrait améliorer. Êtes-vous d'accord qu'on pourrait, à ce stade-ci, envisager davantage d'ajouter des ressources aux canaux qui existent déjà, c'est-à-dire à la CAI, pour s'assurer que les délais soient plus convenables?

Mme Poitras (Diane) : Oui. Puis, pour donner un ordre de grandeur, l'AMF a 700 quelques employés, on en a 70. Et je...

Mme Rizqy : Merci de le préciser.

Mme Poitras (Diane) : Je souligne que le projet de loi prévoit une espèce d'autofinancement par les agents d'évaluation de crédit. Pourquoi ne pas faire la même chose pour la CAI?

Mme Rizqy : M. le ministre, j'imagine que, si vous faites aller votre crayon, c'est que vous prenez des notes?

M. Girard (Groulx) : ...parce qu'elle m'interpelle.

Le Président (M. Simard) : Non, non, ce n'est pas le... Oui, je comprends qu'elle vous interpelle, mais disons que c'est un peu limite. Je comprends que ça fait effectivement deux fois qu'elle vous interpelle en vous... Bon, mais...

Mme Rizqy : Avec un beau sourire.

Le Président (M. Simard) : On va continuer nos échanges, qui s'adressent normalement à nos invités.

Mme Rizqy : Parfait. Tantôt, Mme la présidente, vous avez fait mention des cotes de crédit. Alors, pour que ceux qui... Parce que vous avez parlé de R1, R2, R3 et R9, ça peut sembler un peu compliqué à comprendre. Mais vous avez aussi mentionné... Ça tombe bien parce que, par hasard, j'ai le tableau qui... gracieuseté Equifax. Vous avez parlé aussi des sept chiffres. Les sept chiffres, les gens, c'est vrai qu'ils connaissent davantage cela parce que c'est qu'est-ce qui leur est communiqué. Par contre, les R1, R2, R3 puis R9 contiennent de l'information que je considère importante, notamment lorsqu'un consommateur pense avoir payé une facture et que, là, par exemple, c'est un R9, puis on dit : Mauvaise créance, mise en recouvrement. Moi personnellement, je considère que c'est une information qui devrait être communiquée aussi au consommateur, et pas seulement son score de crédit. Êtes-vous d'accord?

Mme Poitras (Diane) : Oui, mais cette cote-là, selon notre expérience, est déjà communiquée, là, dans les demandes...

Mme Rizqy : Ah! mais gratuitement.

Mme Poitras (Diane) : Oui, oui, oui, mais elle l'est déjà.

Mme Rizqy : Non, parce qu'hier on avait TransUnion que, par exemple, pour obtenir les rapports, il faut payer environ, je crois... Je ne veux pas induire personne en erreur. Combien?

Une voix : ...

Mme Rizqy : 20 $ par mois, donc...

Mme Poitras (Diane) : O.K. Je m'excuse, j'ai peut-être manqué... On parle du calcul ou de la cote R. La RI, machin, ça, on voit ça dans les dossiers, mais le calcul qui est fait, ça, effectivement, leur prétention de... même devant nous...

Mme Rizqy : Le calcul, je pense qu'il pourrait être pertinent pour que les gens comprennent.

Mme Poitras (Diane) : Oui, oui, tout à fait.

Mme Rizqy : Puis, une autre affaire, c'est qu'on peut trouver dans un manuel des HEC Montréal des données vraiment assez importantes et impressionnantes. On sait qu'il y a vraiment deux grandes agences, TransUnion, Equifax. Les deux se partagent, juste pour le Canada, environ 30 millions de rapports chaque jour, pour un total de 2 milliards de rapports chaque mois. Le risque d'erreur est très élevé. Et on mentionne qu'il y a aussi 26 options, lorsqu'un consommateur appelle pour rapporter une erreur dans son dossier de crédit. Les 26 options, c'est aussi des codes A-3, A-1, A-8, et j'en passe. Dans 72 % des cas, ça se règle avec les options, mais il reste que, dans les 28 autres % des cas, ce n'est pas réglé.

Et c'est là que le livre est intéressant, ils disent qu'en ce moment ça peut être très difficile pour le consommateur de savoir pourquoi que son dossier n'est pas réglé, parce qu'on lui envoie des cotes. Alors, est-ce que vous pensez qu'on devrait avoir une communication beaucoup plus claire pour le consommateur, puis aussi en français, dans la mesure du possible — on est quand même au Québec — et ici, c'est que ces cotes-là expliquent... qu'il y ait plus d'explications autour des cotes pour régler un dossier lorsqu'il y a un litige?

Mme Poitras (Diane) : Bien, c'est sûr, pour nous, ça fait partie du droit d'accès. Le droit d'accès, c'est d'avoir accès à toute l'information, puis, si...

Le Président (M. Simard) : Merci. Malheureusement... Désolé, j'aurais peut-être dû vous prévenir un peu avant, j'étais captivé par ce que vous disiez. Le temps, donc, du Parti libéral est terminé. Je cède maintenant la parole au député de Rosemont.

M. Marissal : Merci, M. le Président.

Le Président (M. Simard) : Pour 4 min 10 s, hein, cher collègue.

M. Marissal : Pardon?

Le Président (M. Simard) : 4 min 10 s.

M. Marissal : Merci. Merci, encore une fois, au ministre des Finances de son partage. Me faire donner du temps par un ancien banquier, je me sens vraiment choyé.

Une voix : Gratuit.

M. Marissal : Gratuit, en plus. Sans intérêt, je présume? Quoique nous n'avons pas discuté de ça. Mesdames, bonjour. Merci d'être là. Toujours un plaisir de vous entendre. Je veux revenir sur — rapidement, parce qu'évidemment j'ai, malgré tout, peu de temps — la recommandation n° 6 : «La commission recommande de prévoir une disposition établissant la liste des usages autorisés des renseignements personnels liés au crédit, en tenant compte dans l'établissement de cette liste...» Là, je ne vous la lierai pas parce que c'est long. Effectivement, on a un peu l'impression, puis c'est ce qui a été dit, puis c'est le cas sur le terrain, là, que nos données colligées par les agences de crédit circulent largement, là. Je pense que mon dossier de crédit circule plus qu'une Communauto et entre plus de mains chaque jour, là. Vous, vous êtes en train de dire, et je suis totalement d'accord avec vous si c'est ce que vous dites, mais j'aimerais vous l'entendre dire, qu'il faut limiter l'accès à ce genre de données pour ce à quoi ça devrait servir. C'est ce que vous dites?

Mme Poitras (Diane) : Oui, puis la commission reçoit des plaintes, là, sur le... certaines situations, le dossier de crédit est communiqué, et pour lesquelles le citoyen s'interroge sur la nécessité pour l'entreprise qui le recueille.

• (9 h 40) •

M. Marissal : Vous dites, vous recevez des plaintes de gens qui s'étonnent... En fait, dites-moi donc, je ne veux pas vous mettre des mots dans la bouche, là...

Mme Poitras (Diane) : On reçoit des plaintes de citoyens qui disent : Je ne comprends pas pourquoi... je ne crois pas que telle entreprise pouvait recueillir un dossier de crédit à mon sujet ou me demander mon consentement. Je ne crois pas que c'est nécessaire qu'il collige cette information pour atteinte de l'objectif, par exemple un emploi, un logement. C'est le genre de plainte qu'on reçoit.

M. Marissal : Avez-vous pris des mesures, des recours? Avez-vous des outils pour prendre des mesures et des recours quand il y a usage abusif des renseignements personnels?

Mme Poitras (Diane) : On a... la commission a des pouvoirs d'enquête d'ordonnance, que nous avons faits, on a rendu des décisions, dans certaines situations, à la lumière des faits de ces dossiers-là, effectivement.

M. Marissal : Mais est-ce que je me trompe en disant... Et ce n'est pas de votre faute, là, ce n'est pas la faute de personne, c'est comme ça que ça a été fait, malheureusement, là. C'est parce que vous n'avez pas les moyens d'enfoncer le clou, en fait, les lois ne vous permettent pas d'avoir des mesures... Ce qu'on dit, malheureusement, souvent de la CAI, c'est que c'est un toutou pas de dents. Je m'excuse de vous dire ça comme ça, là, puis ce n'est certainement pas de votre faute, parce que je connais votre position là-dessus. Mais un chien de garde pas de dents, ça ne sert pas à grand-chose. Puis est-ce que vous avez des moyens ou vous voyez, dans ce projet de loi, des moyens supplémentaires de vraiment taper, là, quand il faut taper, parce qu'il y a eu abus?

Mme Poitras (Diane) : ...

Le Président (M. Simard) : Mme Poitras.

Mme Poitras (Diane) : Pardon?

Le Président (M. Simard) : Je vous en prie.

Mme Poitras (Diane) : Pas dans ce projet de loi là. Il y a certaines pistes, dans le projet de loi n° 64, mais effectivement ça prend des pouvoirs, des sanctions dissuasives et des budgets.

M. Marissal : Oui, j'y arrive, justement. Option Consommateurs nous disait hier, et je les cite : «En raison du sous-financement de la CAI, bien des justiciables ont fait objet à des délais inouïs avant d'obtenir une décision de ce tribunal administratif.» Vous avez un commentaire à faire là-dessus?

Mme Poitras (Diane) : Nous sommes les premiers à vouloir réduire les délais. Et déjà, dans la dernière année, grâce à une somme... un 25 % de plus, nous avons réduit de quatre mois en un an, et je pense qu'on peut faire... pour moi, c'est la preuve qu'avec des budgets supplémentaires on est capables de réduire des délais. Et c'est ce que souhaite l'ensemble du personnel de la commission, je peux vous l'affirmer.

M. Marissal : Vous avez dit tout à l'heure que vous aviez 70 employés.

Mme Poitras (Diane) : Oui. Environ.

M. Marissal : Est-ce que... Vous en aviez combien au cours des dernières années? Est-ce que ça descend ou ça monte, l'effectif, chez vous?

Le Président (M. Simard) : En conclusion.

Mme Poitras (Diane) : Ça monte. Depuis les deux dernières années, les budgets supplémentaires que nous avons eus, c'est... ça monte légèrement.

M. Marissal : Légèrement. Merci.

Le Président (M. Simard) : Merci. M. le député de René-Lévesque, pour une période également de 4 min 10 s.

M. Ouellet : Merci beaucoup, mesdames. Je vais y aller avec des questions en rafale pour permettre de faire le tour avec vous. Votre mémoire est très complet. Première question. Je comprends bien que, si on est en train de créer un nouveau droit et qu'on permet aux Québécois et Québécoises de pouvoir mettre un verrou sur leurs dossiers de crédit, il serait pensable que ce nouveau droit là doit être accessible et donc gratuit pour tous. Ça, je pense que vous êtes d'accord?

Mme Poitras (Diane) : Oui.

M. Ouellet : Parfait. Votre recommandation 4, si j'ai bien compris, «d'interdire toute communication de renseignements personnels liés au crédit lorsque le gel est activé», donc, on fait référence aux autres compagnies qui pourraient utiliser le dossier de crédit. On n'a qu'à penser les compagnies de téléphones cellulaires. Donc, pour vous, une fois que le gel de crédit est activé, toute demande, peu importe la catégorie, c'est gelé?

Mme Poitras (Diane) : Pour faire référence à la question qui m'a été posée tout à l'heure, oui, sous réserve de certaines situations qu'on devrait préciser dans la loi et où on pourrait justifier que, oui, ça peut même contribuer à limiter le vol d'identité, là. L'exemple qui a été donné en est un.

M. Ouellet : Oui, parce qu'on peut se faire voler sur l'achat de téléphone cellulaire et après ça procéder à des transactions en ligne avec le nouvel appareil qu'on a entre les mains.

Mme Poitras (Diane) : Tout à fait.

M. Ouellet : Votre recommandation 10 est fort intéressante : «La commission recommande de ne pas inclure la note explicative au projet de loi, considérant que la législation actuelle prévoit un droit à portée plus large.» Donc, vous êtes en train de nous dire que, dans 53, on est moins fort, donc on devrait plutôt laisser ça de côté, et la loi est déjà assez suffisante pour avoir une portée meilleure. C'est ce que je comprends.

Mme Poitras (Diane) : Oui. Peut-être qu'on avait l'intention avec le projet de loi de vouloir s'assurer que toute personne qui reçoit le dossier de crédit a cette note-là et qu'on voulait signaler qu'il y avait une demande d'examen de mésentente. Je pense que, si on veut ajouter quelque chose au droit actuel, on devrait le faire dans le droit actuel qui existe plutôt que d'en créer un autre. Comme je le disais, j'aurais peur que ce soit interprété comme limitatif.

M. Ouellet : Et ce droit-là existe dans quelle loi?

Mme Poitras (Diane) : Il est dans le Code civil et, par référence, dans la Loi sur la protection des renseignements personnels dans le secteur privé. On pourrait modifier la loi sur le privé pour l'ajouter.

M. Ouellet : Par souci de cohérence?

Mme Poitras (Diane) : Oui.

M. Ouellet : O.K. L'article 13 : «La commission recommande de retirer les exceptions à la loi sur l'accès prévues aux articles 42 et 43 du projet de loi.» J'attire votre attention à l'article 43, donc : Malgré les articles 9 et 83 de la loi sur l'accès à l'information... l'accès aux documents des organismes publics et sur la protection des renseignements personnels, «l'autorité ne peut communiquer un dossier de plainte sans autorisation de l'agent d'évaluation de crédit qui le lui a transmis». J'aimerais avoir des précisions. Pourquoi vous nous recommandez d'enlever carrément cette disposition-là?

Mme Poitras (Diane) : C'est une recommandation... À chaque fois qu'il y a une disposition qui veut déroger à la Loi sur l'accès... ou la loi sur le privé, il faut se rappeler que ce sont des lois prépondérantes, pour nous, il faut faire une démonstration que c'est nécessaire d'écarter. Dans ce cas-ci, c'est qu'en faisant ça on écarte aussi le droit de rectifier du citoyen, de rectifier quelque chose qui serait dans son dossier, en principe.

Je ne sais pas si Me Sophie Giroux-Blanchet veut compléter?

Le Président (M. Simard) : Me Blanchet.

Mme Giroux-Blanchet (Sophie) : Bonjour. Donc, finalement, c'est ça, donc, si une personne... mettons qu'il y aurait quelque chose de pas correct dans le dossier de plainte avec l'AMF, la personne ne pourrait pas demander la rectification à l'AMF ou voir à rectifier des... ou quelque chose qui serait incohérent ou équivoque dans le dossier. Donc, avec cet article-là, ça ne permet pas de le faire. Donc, on retire ce droit-là à la personne.

M. Ouellet : O.K. Et la même chose : «De modifier la loi sur l'accès à l'information pour y ajouter une disposition générale consacrant la confidentialité contenue dans le dossier de conciliation et de médiation», ça aussi, c'est pour mieux protéger le client ou donner des outils supplémentaires au client lorsqu'il y aurait effectivement litige et discussion sur le litige en question?

Mme Poitras (Diane) : Et en fait, là-dessus, on n'a pas d'objection sur le principe, mais il y a plusieurs organismes qui le demandent, puis je pense que ce serait plus simple de modifier la loi sur l'accès pour en faire une restriction, que de déroger à la loi sur l'accès dans un... toutes les lois qui veulent affirmer ce principe.

Le Président (M. Simard) : Très bien...

M. Ouellet : C'est quand même important, le... Puis la loi, elle est importante, on crée un nouveau droit, puis c'est l'Autorité des marchés financiers qui va être le régulateur. Mais ce que vous me dites aujourd'hui : On a le projet de loi n° 64 qui va changer diamétralement la façon de faire pour la protection...

Le Président (M. Simard) : En conclusion.

M. Ouellet : Mais ce que vous me dites : Ayez une attention particulière, vous êtes en train de rajouter des choses, dans le 53, qui devraient plutôt être colligées ou raffermies dans le 64. Donc, on aura cette attention particulière. Merci, mesdames, de nous avoir indiqué la zone d'ombre.

Le Président (M. Simard) : Merci à vous, M. le député de René-Lévesque. Alors, Me Giroux-Blanchet, Mme Poitras, de la Commission d'accès à l'information, merci pour votre contribution à nos travaux.

Sur ce, je suspends momentanément notre séance.

(Suspension de la séance à 9 h 47)

(Reprise à 9 h 57)

Le Président (M. Simard) : Bien. Alors, nous allons reprendre nos travaux. Nous sommes présentement en commission de... représentants de la Commission des droits de la personne et des droits de la jeunesse. Madame, monsieur, bonjour. Pour les fins de nos travaux, auriez-vous l'amabilité de vous présenter?

Commission des droits de la personne et des
droits de la jeunesse (CDPDJ)

M. Tessier (Philippe-André) : Je m'appelle Philippe-André Tessier. Je suis président de la Commission des droits de la personne et des droits de la jeunesse. Je suis accompagné de Me Marie Carpentier, avocate à la recherche, à la commission.

Le Président (M. Simard) : Soyez les bienvenues parmi nous. Vous disposez d'une période de 10 minutes.

M. Tessier (Philippe-André) : Merci, M. le Président. M. le ministre, Mmes et MM. députés. Alors, je tiens à rappeler que la commission, évidemment, a pour mission d'assurer le respect et la promotion des droits et des principes énoncés dans la Charte des droits et libertés de la personne. Nous veillons également à l'application de la Loi sur l'accès à l'égalité en emploi dans des organismes publics ainsi que... on veille au respect et à la promotion des enfants, prévus notamment à la Loi sur la protection de la jeunesse.

Évidemment, conformément à son mandat, la commission a examiné le projet de loi pour en vérifier la conformité à la charte et faire les recommandations appropriées. Retenons à cet égard que certaines dispositions à cette loi quasi constitutionnelle ont explicitement préséance sur les dispositions des autres lois du Québec, sous réserve d'une dérogation expresse.

À notre connaissance, les dispositions que prévoit le projet de loi n° 53 constitueraient un premier encadrement spécifique de l'activité d'évaluation de crédit au Québec. Or, au regard des risques d'atteinte aux droits garantis par la charte qu'elle emporte le projet nous semble présenter certaines lacunes.

Notons tout d'abord que l'article 4 de la charte énonce que «toute personne a droit à la sauvegarde de sa dignité, de son honneur et de sa réputation». Ces droits, notamment le droit à la réputation, sont étroitement liés au droit au respect de sa vie privée, qui, lui, est protégé à l'article 5 de la charte. La charte garantit également, dans la section Droits économiques et sociaux, le droit à l'information, à l'article 44.

Évidemment, le dépôt du projet de loi n° 53 est peut-être une avancée pour la protection de ces droits, il demeure néanmoins susceptible d'être affecté par la constitution de dossiers de crédit, par l'établissement d'une cote de crédit et par la gestion de ce dossier et de cette cote. Par exemple, la désignation des agents d'évaluation de crédit par l'Autorité des marchés financiers enclencherait la mise en oeuvre de mesures de protection aménagées dans le projet de loi. Or, les critères de désignation nous apparaissent flous.

Étant donné l'impact potentiel sur les droits de la personne d'une telle désignation, la commission recommande ainsi que l'expression «agent d'évaluation de crédit» fasse l'objet d'une définition plus précise de la part du législateur. D'autres juridictions canadiennes ont d'ailleurs légiféré en ce sens.

En outre, le projet de loi ne prévoit pas que l'activité d'évaluation de crédit soit réservée aux agents désignés comme tels. Or, d'un point de vue général, les droits de la personne seraient mieux sauvegardés si l'activité d'évaluation de crédit était réservée à des agents qui sont soumis aux obligations prévues par le projet de loi. Nous formulons donc une recommandation à cet effet.

• (10 heures) •

Par ailleurs, le concept de cote de crédit est utilisé à plusieurs reprises dans le projet de loi. Cette expression peut prêter confusion à l'expression «pointage de crédit». Par conséquent, nous recommandons que le projet de loi définisse l'expression «cote de crédit».

Le projet de loi n° 53 prévoit le droit d'obtenir la communication de cette cote de crédit accompagnée des explications nécessaires à sa compréhension. La cote de crédit transmise serait celle qui est généralement communiquée aux prêteurs d'argent qui en font la demande. Il n'y aurait pas d'obligation de transmettre les autres cotes de crédit qui peuvent être émises en fonction des différents motifs pour lesquels elles sont demandées ni de droit de rectification.

Or, la jurisprudence actuelle ne précise pas que ces différentes cotes de crédit constituent des renseignements personnels, ce qui en rendrait possible la communication et la rectification. Selon nous, ce droit d'accès par la personne concernée aux différentes cotes de crédit est essentiel à la mise en oeuvre de certains droits garantis à la charte, dont le droit à la sauvegarde de sa réputation, le droit au respect à la vie privée et au droit à l'information.

Nous recommandons, de ce fait, que l'ensemble des cotes de crédit produites par un agent d'évaluation de crédit soient considérées comme des renseignements personnels au sens de la Loi sur la protection des renseignements personnels dans le secteur privé.

Dans un autre ordre d'idées, plusieurs enjeux qui soulèvent notre inquiétude ne sont pas abordés dans le projet de loi. Certains ont pourtant été traités dans d'autres législations provinciales adoptées en matière d'évaluation de crédit. Étant donné leur lien étroit avec le droit à la sauvegarde de la réputation, le droit au respect à la vie privée et le droit à l'information, ces questions devraient faire l'objet d'obligations spécifiques.

C'est pourquoi nous recommandons que des règles concernant le type de données pouvant être recueillies, la durée pendant laquelle les informations peuvent être transmises et l'imputabilité pour la sécurité des données soient introduites au projet de loi.

Précisons que la commission se penche actuellement sur le projet de loi n° 64, lequel n'avait pas été déposé au moment de l'adoption de notre mémoire. Et ce projet de loi prévoit notamment le délai de conservation des documents détenus par un agent de renseignements personnels. Alors, j'apporte ce bémol à notre mémoire sur 53.

Plus généralement, l'étude du projet de loi est l'occasion pour la commission de mettre en lumière les enjeux aussi relatifs au droit à l'égalité que soulèvent certaines pratiques entourant l'accès au dossier de crédit détenu par les agents d'évaluation visés et l'usage qui en est fait dans le cadre d'activités étrangères au crédit.

Dans le cadre des différentes responsabilités que confie la charte, la commission a dû se pencher notamment sur les pratiques discriminatoires liées à l'accès au dossier de crédit dans les domaines tels que le logement ou l'emploi. Nous avons d'ailleurs reçu des plaintes et traité des demandes qui ont été faites à ce sujet. De plus, la doctrine abonde de questions semblables en matière d'assurance.

Dans le domaine du logement, par exemple, un recours systématique aux enquêtes de crédit qui aurait pour effet de disqualifier des aspirants locataires sans que ceux-ci puissent démontrer leur capacité réelle d'acquitter... leur capacité réelle de s'acquitter du loyer est susceptible de constituer de la discrimination indirecte au sens de l'article 10 de la charte au motif de la condition sociale.

Selon les circonstances, le recours systématique à une enquête de crédit peut en outre imposer un fardeau particulier à des aspirants locataires qui, par exemple, en raison de leur origine ethnique ou nationale ou leur âge, n'ont pu constituer un dossier de crédit.

La commission a eu également l'occasion de constater que les préjugés reliés à l'endettement, à la faillite ou au mauvais crédit perdurent dans le contexte de l'emploi.

Rappelons pourtant que le recours à une enquête de crédit en matière d'embauche ou d'emploi pourra s'avérer discriminatoire s'il n'est pas justifié par ce qu'on appelle une exigence professionnelle liée au poste en cause. Refuser d'embaucher une personne sur la base d'une vérification de crédit risque d'engendrer une discrimination fondée sur la condition sociale, ce qui est contraire aux articles 10 et 16 de la charte, et l'article 18.1 de la charte empêche, évidemment, et interdit les questions, en entrevue d'embauche, liées à la condition sociale.

Les travaux de la commission en ces matières illustrent la nécessité d'encadrer certaines pratiques relatives à un recours non justifié au dossier de crédit dans des sphères d'activité non liées au crédit, notamment dans les domaines de logement et de l'emploi. Comme je l'ai dit, le recours au dossier de crédit, ayant des effets discriminatoires, est interdit à la charte, et, de plus, nous visons à sensibiliser les employeurs et les locataires par le biais de différentes initiatives d'information et d'éducation aux droits protégés par la charte.

Il est vrai aussi que le locateur ou l'employeur en cause n'auront accès au dossier de crédit qu'après avoir obtenu le consentement du candidat locataire ou du candidat à l'emploi. Soulignons toutefois que ce consentement est généralement donné dans un contexte de déséquilibre entre les parties. Évidemment, on peut se faire refuser l'emploi ou le logement.

Ainsi, malgré les outils et recours déjà prévus à la charte en la matière, il nous semble que l'étude du projet de loi n° 53 doit être l'occasion pour le législateur d'encadrer plus précisément l'accès et le recours au dossier de crédit à des fins autres que l'autorisation de crédit, notamment afin d'agir en amont et prévenir les situations de discrimination avant qu'elles ne se produisent. La commission, donc, recommande que des règles soient prévues visant à encadrer plus précisément l'accès et le recours au dossier de crédit à des fins autres que l'autorisation de crédit, et cet encadrement devrait préciser les circonstances dans lesquelles il est permis de recourir au dossier de crédit, les usages autorisés conformément à la charte, de même que les sanctions encourues en cas d'infraction, notamment par les agents d'évaluation de crédit qui communiqueraient des informations à l'encontre de ces règles.

Finalement, la commission soulève des enjeux relatifs aux droits judiciaires garantis par la charte. Présentement, à titre d'agent de renseignements personnels, un agent d'évaluation de crédit a l'obligation d'établir et d'appliquer des modalités d'opération propres à garantir que les renseignements qu'il communique sont à jour et exacts. Il n'y a pas d'amende associée à une contravention de cette disposition. Ainsi, il existe une obligation d'établir une procédure visant à garantir l'exactitude des renseignements communiqués, mais aucune mesure ne sanctionne la transmission de renseignements erronés. D'autres provinces font pourtant de la transmission de fausses informations par un agent d'évaluation de crédit une infraction.

Le manque de vérification des informations de crédit est problématique en cas de créance litigieuse, c'est-à-dire quand le créancier et la personne concernée par le dossier de crédit ne s'entendent pas sur l'existence de la créance ou l'étendue de celle-ci. En effet, un commerçant peut inscrire une mauvaise créance au dossier de crédit sans avoir à le prouver. Une telle inscription a ensuite une influence sur la faculté du titulaire du dossier de crédit de conclure des transactions avec les autres intervenants qui consultent le dossier. Elle peut aussi être très lourde de conséquences. Le commerçant a, en quelque sorte, la capacité de sanctionner le débiteur qu'il estime en défaut sans que celui-ci ait pu avoir accès à une audition publique impartiale de sa cause conformément à l'article 23 de la charte.

La commission estime que la protection qui sera faite par projet de loi, soit l'obligation pour l'agent d'évaluer les... d'évaluation, de vérifier l'identité de la personne, est insuffisante. Nous recommandons donc que le fait pour quiconque de transmettre une information fausse ou qui n'a pas fait l'objet d'un effort suffisant de vérification soit considéré comme une infraction et susceptible de sanction.

Par ailleurs, étant donné les difficultés actuelles associées à la procédure pour faire rectifier un dossier de crédit, nous recommandons que le projet de loi soit modifié pour que les tribunaux de droit commun se voient attribuer le pouvoir d'ordonner la rectification d'un tel dossier et que la Commission d'accès à l'information ait le pouvoir d'accorder des dommages et des intérêts dans le cas d'inscription erronée découlant d'un comportement fautif.

Nous vous remercions de votre attention et nous sommes prêts à répondre à vos questions.

Le Président (M. Simard) : Merci à vous, cher monsieur. Je cède maintenant la parole au ministre des Finances.

M. Girard (Groulx) : Merci pour cette excellente présentation. Merci pour votre mémoire et également la précision, là, que votre mémoire a été écrit avant le projet de loi... le dépôt du projet de loi n° 64.

M. le Président, permettez-moi une simple précision pour l'ensemble des participants à la commission. Le gouvernement a augmenté le budget de la Commission à l'accès de l'information lors du dépôt du dernier budget pour les aider à assumer leur mission dans la protection des renseignements personnels. Alors, je pense que c'est un fait important qui concerne les visiteurs précédents, mais je pense que c'est une information qui est importante parce que... On a parlé, précédemment, du déséquilibre entre les ressources de l'AMF et la Commission de l'accès à l'information, et nous voulons permettre à la Commission de l'accès à l'information de remplir sa mission.

Vous avez... Excusez-moi pour cet éditorial, mais c'était le seul moment où je pouvais faire cette clarification. Et vous avez parlé d'un fait qui existe et qui est extrêmement sérieux, c'est-à-dire la discrimination au niveau du logement et de l'emploi, ou l'existence de discrimination, et le fait que la cote de crédit ou le dossier de crédit pourrait être utilisé pour perpétuer cette discrimination. Vous suggérez un encadrement. Peut-être que vous pourriez nous préciser exactement ce que vous cherchez, ce que vous suggérez pour que nous puissions en prendre connaissance, parce que je pense que c'est important.

M. Tessier (Philippe-André) : Oui, bien, c'est sûr. Puis je veux juste préciser que ma collègue aussi pourra... Évidemment, ce qu'il faut comprendre, c'est... puis avec respect pour le ministre, M. le Président, ce n'est pas «pourrait entraîner» des conséquences discriminatoires, mais «entraîne» des conséquences discriminatoires. C'est ce qui se produit, c'est ce qu'on reçoit aussi comme plaintes.

Dans le domaine de l'emploi, il faut comprendre que, lorsqu'un employeur exige ce type de renseignement là, s'il l'exige en amont de l'entrevue d'embauche ou au niveau du formulaire, c'est une infraction, c'est une interdiction qui est prévue déjà à 18.1 de la charte, qui interdit ce type de comportement là.

Ce qui se produit, c'est que, souvent... c'est que le test qui est prévu, qui est un test d'exigence professionnelle à justifier, c'est un test qui dit : Il faut que ça soit nécessaire à l'emploi. Et là, nous, ce qu'on dit, c'est qu'on a une occasion, le législateur a une occasion de venir rappeler ces principes-là parce que c'est important. Oui, c'est prévu dans la charte, mais, lorsqu'on crée une loi spécifique ici, avec des obligations spécifiques pour les agences, c'est essentiel de venir reprendre ces éléments-là pour vraiment venir renforcer cette protection-là, par exemple, pour les employés potentiels, les candidats et employés potentiels, mais aussi pour les locataires, les contrats d'assurance. Et les cotes de crédit, maintenant, sont utilisées à tellement d'escients qu'on se retrouve à avoir une multiplication.

Pour ce qui est des locataires, c'est un peu la même chose là-dessus. Et puis la commission... D'ailleurs, nous, dans nos activités de sensibilisation, on a publié, en collaboration avec la Commission d'accès à l'information, un fascicule, qu'on diffuse sur les... évidemment sur les médias sociaux. Ça a été fait au mois d'avril. Ça tombe bien, les médias sociaux sont très populaires de ce temps-ci, en pandémie. Mais on rappelle que la cote de crédit systématique, mur à mur par les propriétaires, ce n'est pas un bon outil pour détecter la capacité ou non de quelqu'un de payer. Il y a d'autres moyens beaucoup moins intrusifs puis... comme juste d'appeler les anciens locateurs ou de faire cette vérification-là, oui, des fois, qui entraînent... qui sont un peu plus lourds, un peu plus compliqués. Mais évidemment ce qu'on reçoit, nous, également, de la part de certaines associations de propriétaires, c'est de dire : Non, non, nous, on veut pouvoir faire du mur-à-mur, avoir accès, puis c'est notre droit.

Alors, c'est important, quand le législateur s'exprime à travers certains projets de loi comme 53, de rappeler ces limites-là à l'utilisation de ces cotes de crédit là pour, disons, éviter des excès dans l'autre côté. Puis je ne sais pas si ma collègue...

• (10 h 10) •

Mme Carpentier (Marie) : Juste un élément. En fait, le Tribunal... on le cite à la note 106 de notre mémoire, le Tribunal des droits de la personne est venu déterminer qu'en fait, en matière de logement, on devrait laisser au locataire la faculté de faire la preuve qu'il est capable de payer. Puis, en fait, le recours à une cote de crédit, à un dossier de crédit, ça devrait être un dernier recours, si le locataire n'a pas réussi à établir autrement sa faculté de payer. Donc, l'idée, c'est que le dossier de crédit ne soit pas le premier recours que les différentes instances utilisent, là, pour transiger avec quelqu'un, en fait, là.

M. Girard (Groulx) : Mais, écoutez, moi, je ne suis pas avocat, là. J'en côtoie quelques-uns, mais...

Des voix : ...

M. Girard (Groulx) : ...notamment mon père, qui écoute nos commissions, là, mais je veux juste comprendre, là. Ce rappel-là... Parce que, dans la situation que vous décrivez, là, qui est extrêmement sérieuse, ça ne me semble pas être l'agent d'évaluation de crédit qui est en faute, là. Ça fait que, là, on a un projet de loi qui va réglementer les pratiques commerciales, les pratiques de gestion, qui va donner des exigences aux agents d'évaluation de crédit, et vous, vous voulez qu'on fasse un rappel aux propriétaires de mieux se comporter?

M. Tessier (Philippe-André) : Ce qu'il faut comprendre, c'est que ce que... puis notre compréhension de 53, on le dit, c'est la première fois qu'on vient un peu régir ce territoire-là de l'agence d'évaluation de crédit. Et l'agent d'évaluation de crédit, ce n'est pas un être immatériel, désincarné qui flotte dans l'univers, c'est une compagnie qui a des opérations et qui fait, des fois, des guides ou des choses comme nous, on fait, qui dit à ses clients : Bien, voici ce qui peut être fait, ce qui ne peut pas être fait, qui met des règles d'utilisation, des conditions. Le législateur peut, dans un projet de loi qui vise à régir l'activité des évaluations de crédit, donner des indices des bonnes pratiques, des façons de faire pour que les agences d'évaluation de crédit participent, elles aussi, également à s'assurer que leur clientèle n'utilise pas à mauvais escient l'information mais bel et bien que cette information-là, qui est tout à fait légitime puis qu'on peut collecter, mais encadrée, puis... mais pour répondre véritablement à des réels besoins et non pas à du mur-à-mur, là, par exemple en matière de logement ou en matière d'emploi, quand il n'y a pas, évidemment, nécessité de le déterminer.

M. Girard (Groulx) : O.K. Parce que vous avez suggéré que, dans certains cas de location, ultimement, la cote de crédit pourrait être utilisée puis que vous ne recommandez pas l'élimination complète, là. Vous dites que ça ne doit pas être comme un prérequis à avoir un logement, que ça prend une cote de crédit, là.

M. Tessier (Philippe-André) : Effectivement, c'est un... En termes très simples, l'idée, c'est que ce n'est pas supposé être un prérequis. Ce n'est pas supposé être un...

M. Girard (Groulx) : Un rappel des responsabilités...

M. Tessier (Philippe-André) : Je ne sais pas si tu veux ajouter quelque chose.

Mme Carpentier (Marie) : Oui. Si je peux me permettre, dans d'autres...

Une voix : ...

Mme Carpentier (Marie) : Merci. Dans d'autres juridictions, on a... quand on est venu encadrer l'activité d'évaluation de crédit, on est venu dire... on est venu réglementer notamment l'information qu'une agence d'évaluation de crédit a le droit de récolter, notamment écarter les informations de santé, par exemple. On est venu dire que les agents d'évaluation de crédit n'avaient pas le droit de récolter des informations qui concernaient la santé des consommateurs et on est venu aussi réglementer l'usage qui pouvait être fait, donc, du dossier de crédit. Puis c'est comme dans le cadre général d'une législation sur l'évaluation de crédit, là. Donc, on pense que ça pourrait être un bon endroit pour intervenir sur ces questions-là.

Le Président (M. Simard) : Merci. M. le ministre.

M. Girard (Groulx) : Bien, moi, ça fait le tour. Est-ce que le député de Saint-Jérôme aurait des questions?

Le Président (M. Simard) : M. le député de Saint-Jérôme, il vous reste 4 min 40 s.

M. Chassin : D'accord. Merci, M. le Président. Merci à vous deux d'être ici. Moi, j'ai peut-être une petite question spécifiquement sur la transmission d'information fausse, parce que, dans le fond, vous parlez... bien, vous en avez parlé un petit peu dans votre présentation puis dans votre mémoire à la page 26. Puis là je veux juste essayer de comprendre peut-être un détail, là, mais... puisque vous avez l'expérience de dire que, dans d'autres provinces, c'est prévu.

Dans la partie de votre mémoire qui traite de cet enjeu-là, j'essaie de comprendre, là, si la vérification, comment dire... si la fausseté de l'information, c'est : Je me suis, par exemple, trompé dans mon calcul, comme agent d'évaluation de crédit, je ne transmets pas la bonne cote, le bon pointage, ce qui peut être fait d'ailleurs de bonne foi, mais c'est quand même de la fausse information, versus un travail d'il y a un créancier qui m'a dit quelque chose, il faut que j'ouvre une enquête pour être sûr, sûr, sûr que ce qu'il m'a dit, c'est vrai, pour être certain que ce n'est pas de la fausse information.

Ça fait que comment, dans les autres provinces, c'est défini, «fausse information»?

Mme Carpentier (Marie) : C'est qu'il fait l'objet d'une vérification suffisante. Donc, c'est un critère de si, par exemple, vous recevez de l'information d'un créancier puis que le consommateur conteste cette information-là. S'il n'y a pas de contestation, bien, il n'y a pas de vérification à faire, mais, s'il y a une contestation de la part du consommateur, bien là, ça déclenche une certaine obligation, pour l'agent d'évaluation de crédit, d'au moins vérifier, entendre les parties, puis prendre sa décision, mais au moins de procéder à un minimum de vérifications.

M. Chassin : Je comprends. Ça fait que... mais assez intéressant, parce qu'effectivement on ne veut pas que le consommateur soit lésé, là, le titulaire du dossier.

Là, le mécanisme que vous décrivez... Puis j'essaie de voir, là, les parallèles puis les différences. Mais donc, dans le projet de loi, on prévoit, par exemple, qu'avec le concours de l'AMF il y a un processus de recours pour les plaintes qui va être établi. Donc, justement, là, qu'on demande ce type de vérification diligente, je dirais, là, d'une information, en quoi ça ne va pas assez loin, selon vous? Parce qu'il y a quand même quelque chose.

Puis gardons en tête qu'il y a la possibilité de préciser des choses dans la loi, mais il y a aussi la possibilité que l'AMF, avec des directives et des attentes, dans le fond, pousse, finalement, dans ce secteur-là, des bonnes pratiques pour que les agents d'évaluation de crédit les adoptent.

Ça fait que comment... Je vous laisse répondre.

Mme Carpentier (Marie) : Dans notre compréhension du projet de loi, c'est... le recours qui est prévu à l'AMF, ça concerne seulement la mésentente entre le consommateur et l'agent d'évaluation de crédit, mais ça ne correspond pas à une mésentente avec les tiers. Et d'autres témoins vous l'ont dit en commission parlementaire, mais en fait, à l'heure actuelle, vous le savez, pour faire rectifier une information dans un dossier de crédit, c'est la croix et la bannière, là : il faut commencer par faire valider ou invalider la créance en cour, ensuite retourner à la Commission d'accès à l'information pour faire rectifier le dossier, puis ensuite retourner en cour s'il y a des dommages et intérêts qui peuvent être réclamés en cour de droit commun.

Donc, pour l'instant, le recours, dans notre compréhension du projet de loi, ça permet simplement de dire à l'AMF... aux consommateurs de dire à l'AMF : Je ne suis pas d'accord avec l'information qui est dans mon dossier. L'AMF a une obligation de vérifier avec le créancier, mais, à partir du moment où le créancier dit : Non, non, c'est vrai, il n'y a plus d'autre obligation de la part de l'AMF puis de la part de... en fait, de la part de l'agent d'évaluation de crédit. Nous, on pense...

M. Chassin : Oui, parce que c'est l'explication qu'on vous a donnée hier aussi, justement, sur les délais et la complexité. Puis, en même temps, il faut être bien clair, là, juste par rapport à s'il y a mésentente entre l'agent d'évaluation de crédit puis le consommateur, bien oui. Mais, si l'agent d'évaluation de crédit, finalement, conserve la note du créancier parce qu'il est d'accord, bien, alors, il y a mésentente. Donc, s'il y a mésentente, premièrement, entre, par exemple, moi puis mon fournisseur de téléphonie mobile puis que l'agent conserve la note, bien, il y a mésentente aussi avec l'agent d'évaluation.

Ça fait qu'autrement dit, moi, je ne vois pas ça comme un empêcheur de tourner en rond, là. Au contraire, ça va tomber dans la même catégorie.

M. Tessier (Philippe-André) : On comprend bien la logique, là, puis je pense que l'idée... puis c'est un peu le but de cette section-là de notre mémoire, là, c'est de sensibiliser le législateur à, aussi, surtout, l'importance de la simplification des recours et de s'assurer, effectivement, que ce mécanisme-là, il est le plus simple possible, parce qu'il est déjà complexe, et on a une petite crainte de le voir se complexifier.

Le Président (M. Simard) : Merci, cher maître. Merci beaucoup. Je cède maintenant la parole à la députée de Saint-Laurent.

• (10 h 20) •

Mme Rizqy : Merci beaucoup. Bonjour et rebienvenue. Je crois qu'on va se revoir aussi dans le p.l. n° 64, alors on est vraiment dus pour toujours se rencontrer. Je vais continuer sur ce que vous expliquez, parce qu'en fait, pour le citoyen, c'est vraiment David contre Goliath face à ces deux grosses multinationales qui se partagent, en fait, les... ce marché de cotes de crédit. La recommandation n° 4, vous mentionnez l'ensemble des cotes de crédit produites. Pour fins de précision, vous l'avez dit dans votre discours, cote de crédit, vous vous référez à R1, R2, R3, et est-ce que, pour vous, cote de crédit réfère aussi au pointage?

Mme Carpentier (Marie) : Nous, on réfère... dans le mémoire, puis on l'explique, il y a une confusion dans les termes, puis on demande qu'il y ait une meilleure définition des termes. Mais nous, on réfère, quand on parle de cote de crédit, au pointage de crédit. Parce que, dans ma compréhension, ces cotes-là, là, R1, sont déjà accessibles.

Mme Rizqy : Pas pour tous. TransUnion, hier, mentionnait que, pour avoir accès, il fallait payer 20 $ par mois de frais.

Mme Carpentier (Marie) : Mais je pense que ça, c'était pour le pointage.

Mme Rizqy : O.K. Donc, dans ce cas... Et puis...

M. Tessier (Philippe-André) : D'où le...

Mme Rizqy : D'où le... la conclusion.

M. Tessier (Philippe-André) : D'où notre désir de préciser le libellé, cote...

Mme Carpentier (Marie) : Dans ma compréhension, les cotes...

Mme Rizqy : Mais, dans tous les cas, que les deux...

Mme Carpentier (Marie) : ...les R sont accessibles. Donc, la cote qui est associée avec une créance en particulier est toujours accessible. C'est le pointeur.

Mme Rizqy : Pour éliminer toute confusion.

Mme Carpentier (Marie) : C'est ça.

Mme Rizqy : Pointage, le numéro à sept chiffres, là, codes, les cotes de crédit, dans les deux cas, ça devrait toujours être accessible.

Mme Carpentier (Marie) : Oui.

Mme Rizqy : Puis, dans la mesure du... et effectivement, aussi, gratuit.

Mme Carpentier (Marie) : Oui.

Mme Rizqy : Parfait, Il y a aussi ce qu'on appelle les codes d'erreur, les A1, A2, A3, lorsqu'un client appelle pour faire rectifier son dossier. Ça aussi, j'imagine que vous serez enclins à dire que ça devrait être public?

Mme Carpentier (Marie) : On ne s'est pas penchés sur cette question-là spécifique.

Mme Rizqy : D'accord. On s'en reparlera au p.l. n° 64, si vous permettez.

Vous avez aussi parlé de... brièvement, mais beaucoup plus dans votre mémoire, Saskatchewan, Ontario, je ne veux pas en oublier, il y a deux autres provinces, le Nouveau-Brunswick et la Nouvelle-Écosse qui, eux, encadrent davantage les agents d'évaluation. Il y a aussi des amendes, des pénalités et des sanctions. Quel est le montant des sanctions dissuasives? Est-ce que vous avez fait un tableau comparable?

Mme Carpentier (Marie) : Non. On ne sait pas.

Mme Rizqy : D'accord. Juste avant vous, il y avait la Commission d'accès à l'information qui disait : Il faut vraiment lutter contre ce fléau. Ça prenait vraiment un cadre juridique, mais aussi des sanctions dissuasives, puis évidemment le budget qui vient avec pour faire suivre. Est-ce que vous avez des recommandations au niveau des amendes?

M. Tessier (Philippe-André) : Bien, au niveau des montants, non, là, comme on n'a pas fait cette... Nous, dans notre exercice, notre regard, c'est les droits. Et donc ce qu'on dit, c'est que, par rapport à ça, ce qu'il faut, c'est s'assurer qu'il y ait une sanction. Après ça, le montant de la sanction, effectivement, il faut qu'il ait un impact. Mais nous ne sommes pas les spécialistes des mesures pénales ou d'établissement de c'est quoi, un...

Mme Rizqy : ...il y a quand même des dommages qui peuvent être rendus, là, des fois, là.

M. Tessier (Philippe-André) : Oui, mais il n'y a pas de montant spécifié, là. Je...

Mme Carpentier (Marie) : Si je peux me permettre, je pense que l'AMF... les représentations de l'AMF, hier, étaient à l'effet qu'on devrait essayer de rattraper ce qui est proposé dans le projet de loi n° 64. Puis c'est sûr que nous, on cherche effectivement... ou on estime que ce serait une bonne idée que les pénalités soient effectivement dissuasives.

Mme Rizqy : J'aimerais revenir... ce que vous avez mentionné dans votre rapport, vous parlez des assurances. Pouvez-vous en parler davantage, de ce nouveau phénomène?

Mme Carpentier (Marie) : Bien, ce qui est...

M. Tessier (Philippe-André) : Oui. C'est qu'on n'a pas vraiment beaucoup exploré cette question-là. On le mentionne parce que c'est mentionné en doctrine, c'est mentionné un petit peu dans les traités là-dessus, mais on n'a pas fait porter le coeur de notre mémoire là-dessus parce que notre... ce dont nous, on a une expérience dont on peut témoigner, c'est logement et emploi. Donc, quand on vient éclairer les commissions parlementaires, on essaie de quand même se limiter le plus possible à ce...

Mme Rizqy : ...dans la doctrine récente, c'est que, malheureusement, on a certaines compagnies d'assurance qui demandent maintenant le dossier de cote de crédit, et ça peut exposer davantage les communautés plus vulnérables. Est-ce que je me trompe?

M. Tessier (Philippe-André) : Non, non, vous avez raison. C'est ce que la doctrine affirme, effectivement.

Mme Rizqy : Parfait. Merci. L'autre affaire que vous mentionnez dans votre mémoire, qui est toujours pertinent, vous avez souvent un mémoire très étoffé, les nouvelles façons de faire du marketing, et plus précisément du marketing croisé, vous mentionnez l'article de Tristan Péloquin, qui date de décembre 2019. Pour remettre en situation, M. le Président, c'est un article qui fait suite à la fuite de données chez Desjardins. Desjardins a référé ses membres à la firme Equifax. On apprend par M. Hamel, qui est un spécialiste... au niveau de tout ce qui est des pisteurs, ce qu'on appelle en anglais des «trackers», des identifiants, ce qu'on appelle en anglais des «cookies», il se rend compte qu'il y a une brèche et que, par conséquent, Equifax est en mesure de suivre le client et d'étudier, entre guillemets, son comportement et pouvait faire ce qu'on appelle en anglais aussi des «bundles», c'est-à-dire de l'information agrégée, et revendre ça aux institutions financières. Donc, par exemple, une institution financière pourrait recouper de l'information avec les codes postaux puis dire : Ah! Ha! dans ce quartier, j'ai environ 20 % de gens qui peuvent être, dans les trois prochains mois, à échéance sur des marges de crédit. Alors, ça, c'est ce qu'on apprend dans l'article, un peu, de M. Péloquin.

Est-ce que ça, cette information... Premièrement... Je vais reformuler ma question. Premièrement, qu'est-ce que vous pensez de cette pratique marketing?

M. Tessier (Philippe-André) : Écoutez, c'est sûr et certain que... puis c'est ce qu'on mentionne dans notre mémoire, hein, donc... puis c'est un peu ce sur quoi on veut interpeler le législateur, c'est de rappeler à quel point... puis je pense que c'est rendu maintenant... il y a une tautologie... tout le monde sait ça, l'information, c'est le nouvel eldorado de la... c'est la monétisation de l'information. Et ça nous interpelle, là.

Il y a deux semaines... vous faites référence au fait qu'on s'est vus sur l'application... une potentielle application de surveillance de COVID-19. Donc, c'est sûr et certain que, dès qu'on collecte, qu'on commence à collecter de la donnée, on a beau vouloir mettre des protections et des garanties, il y a toujours une donnée qui est collectée, et cette donnée-là, elle est monnayable, elle a une valeur intrinsèque. Et c'est un peu l'inquiétude qui est manifestée par rapport à cette histoire-là. Et c'est pour ça que, d'ailleurs, ce qu'on rappelait, la notion du consentement, la notion de la durée de rétention, la notion de faire en sorte qu'il y ait des limites... Puis je comprends qu'on pourra reparler de ça également dans 64, là. Mais je ne sais pas si ma collègue veut ajouter...

Mme Carpentier (Marie) : Bien, c'est sûr qu'en termes de protection de la vie privée, du droit au respect de sa vie privée qui est inscrit à la charte, qui est un droit fondamental, le droit au respect de la vie privée implique que, quand on consent à la communication, il faut qu'on consente à toutes les fins prévues à la communication. Puis ces usages-là de marketing, ce ne sont pas, à notre connaissance, des fins qui avaient été prévues, qui avaient été soumises aux consommateurs. Donc, ça constituerait une violation du droit au respect de sa vie privée.

Mme Rizqy : Une autre question, toujours en lien avec cet article. Il y a, ici, un certain délai... parce qu'au fond M. Hamel a publié ça sur son blogue, mais c'est quand que c'est devenu davantage au niveau national par l'article de M. Péloquin dans La Presse en décembre, alors qu'à ce moment-là Desjardins était au courant en novembre, Equifax aussi était au courant en novembre. Il y a un délai quand même assez important avant que la population se rende compte de cette brèche, et donc une atteinte à la vie privée potentielle.

Dites-moi, dans le projet de loi n° 53, je ne vois nulle part une obligation de divulgation. Parce que, oui, on a un droit, mais encore faut-il savoir quand que notre droit est violé pour savoir qu'on a un recours. Est-ce que ça ne serait pas approprié d'avoir... un peu comme, par exemple, quand que j'ai un sinistre, je dois notifier rapidement sans délai mon assureur. Ici, comment qu'un citoyen peut savoir qu'il y a une brèche si personne ne l'informe?

Mme Carpentier (Marie) : Bien, je vous dirais que ça fait largement partie... ou indirectement partie de notre recommandation n° 5, où on a recommandé que... puis je vous rappelle que le mémoire a été adopté avant le dépôt du projet de loi n° 64, mais où on recommandait de prévoir que les règles, dans le contexte du projet de loi n° 53, prévoient l'imputabilité pour la sécurité des données. Donc, ça implique des obligations de déclaration, ça implique éventuellement des sanctions pour des failles dans la sécurité des données.

Mme Rizqy : Déclaration de brèche, c'est une chose. Et il y a souvent, dans les institutions financières, des sinistres internes qui sont gérés à l'interne mais qui ne sont pas communiqués. Puis on peut comprendre. Souvent, c'est parce que c'est... on ne veut pas attirer la mauvaise presse.

Par contre, si on veut outiller comme il faut nos corps policiers... L'an dernier, lorsqu'on a tenu nos consultations, il y en a qui ont dit : Oui, mais il faudrait quand même qu'il y ait un registre des sinistres internes pour savoir si, oui ou non, on a assez de ressources pour lutter contre les fraudes à l'interne.

M. Tessier (Philippe-André) : Écoutez, moi, je... juste pour revenir sur votre question aussi, évidemment, puis c'est ce que... la partie de notre mémoire sur notre recommandation 5, à laquelle faisait référence ma collègue, le projet de loi prévoit doter l'AMF d'énormément d'outils pour assurer les saines pratiques commerciales. Donc, ce à quoi vous faites référence, il y a des dispositions, là-dedans, qui finalement placent sur, un peu, les épaules de l'AMF la responsabilité de venir encadrer ces éléments-là.

Mme Rizqy : O.K. Juste avant vous, on avait la Commission d'accès à l'information. Mon collègue de René-Lévesque pointait justement les articles 42 et 43, qui est une recommandation de retirer ces articles parce que ça viendrait restreindre la portée de la loi qui est prépondérante, la loi sur l'accès aux renseignements privés. Êtes-vous du même avis?

• (10 h 30) •

M. Tessier (Philippe-André) : On n'a pas pris position sur cette question-là par rapport au retrait. Ce qu'on peut vous dire, c'est que c'est sûr et certain que... puis c'est une préoccupation que la commission a exprimée dans d'autres cadres, d'autres projets de loi, c'est sûr et certain, puis je le répète, lorsqu'il y a différentes lois ou différents recours mis en place, évidemment, là... Puis je vous... On écoutait ce qui se passait, là, on comprend qu'il y a aussi l'AMF qui est impliquée, la CAI, ça nécessite une collaboration. De notre côté, nous aussi, on l'a vécu dans le p.l. n° 176, où, rétroactivement, la commission, on a à travailler avec la CNESST dans les cas de harcèlement psychologique. Et, quand le législateur, dans sa grande sagesse, adopte différents recours et qu'il y a différentes portes accessibles, c'est sûr et certain que, pour le citoyen, bien, ça nécessite un choix, des fois, qui a des conséquences ou non, puis, d'un autre côté, ça nécessite, pour les organisations comme les nôtres, ou la CAI, ou l'AMF, de vraiment travailler ensemble pour trouver les façons d'arrimer ça. C'est sûr que ça ajoute de la complexité, oui.

Mme Rizqy : Et je me permets peut-être une...

Le Président (M. Simard) : ...

Mme Rizqy : Ah! Bien, je vais vous dire merci, je n'ai plus de temps. Merci beaucoup.

Le Président (M. Simard) : Merci à vous, Mme la députée de Saint-Laurent. M. le député de Rosemont.

M. Marissal : Merci, M. le Président. Soyez les bienvenus. Merci pour... merci pour le... le mémoire, je vais finir par le dire, c'est vraiment étoffé. Puis je ne dis pas ça juste parce que ça confirme beaucoup de choses que nous disions ici, dans l'opposition, ou qu'on pensait, mais parce que ça vient d'une autorité et c'est vraiment très bien expliqué, très bien explicité.

Je veux d'abord revenir sur quelque chose que vous avez dit tout à l'heure. Un commerçant, puis ça, c'est un problème connu, là, on le sait, un commerçant peut inscrire une fausse créance sans avoir à le prouver, puis évidemment avec tous les impacts télescopiques que ça peut avoir, puisqu'on le sait maintenant, la cote de crédit est utilisée à toutes sortes de choses et en particulier ce pour quoi ça ne devrait pas être utilisé. Pourquoi est-ce qu'on ne renverserait pas la preuve, tout simplement, de dire : C'est au commerçant ou à Bell Canada, parce que c'est un cas qui revient souvent, ou un câblo qui pense qu'il a été mal payé puis qui a une contestation... que ça soit à cette entreprise de faire la preuve puisque, de toute évidence, les répercussions de ça sont pas mal plus lourdes pour le petit que pour le gros?

M. Tessier (Philippe-André) : Oui, bien, c'est sûr... Je ne sais pas si ma collègue veut commencer.

Mme Carpentier (Marie) : Oui, bien, moi, je vous dirais que notre recommandation de créer une obligation, puis je dirais une obligation de moyens, pour les agents d'évaluation de crédit de vérifier minimalement la véracité de la dette, ça va un peu dans ce sens-là, dans le fond. C'est de prévoir que, si le consommateur conteste la dette, l'agent d'évaluation de crédit a une obligation minimale, puis là on n'est pas rentrés dans les détails de la façon dont s'opérationnalise cette obligation-là, mais que ça... d'une certaine façon, ça permettrait, jusqu'à un certain point, de renverser un peu le fardeau de la...

M. Marissal : O.K.

M. Tessier (Philippe-André) : L'idée, c'est de trouver une façon de rééquilibrer un peu la situation.

M. Marissal : Oui, parce que, par ailleurs, vous nous dites que les démarches pour faire rectifier tout ça sont extrêmement lourdes, encore une fois, sur les épaules du consommateur.

Mme Carpentier (Marie) : Exactement, puis, durant ce temps-là, bien, le dossier de crédit est entaché, donc la faculté de conclure des transactions est amoindrie.

M. Marissal : Exact. Avez-vous une idée, étant donné le volume de plaintes que vous pouvez recevoir, du degré d'exactitude ou du pourcentage d'exactitude... d'inexactitude, pardon, dans les dossiers de crédit?

M. Tessier (Philippe-André) : Non, on n'a pas cette information-là.

M. Marissal : Mais vous disiez recevoir quand même un certain volume de plaintes liées à ça, chaque année.

M. Tessier (Philippe-André) : Par rapport à l'inexactitude du dossier de crédit, non.

M. Marissal : ...ou aux effets.

M. Tessier (Philippe-André) : Ça serait plus les effets discriminatoires, pervers, oui.

M. Marissal : Les effets. Parfait. Je comprends bien.

M. Tessier (Philippe-André) : L'inexactitude du dossier de crédit, là, ça va être... je vous dirigerais plus du côté de ma collègue qui m'a précédé.

M. Marissal : Je vous ramène un peu en arrière, sur ce qu'on a beaucoup discuté hier, parce que je ne l'ai pas vu dans votre mémoire puis je viens de repasser à travers les recommandations, la gratuité du service pour les consommateurs.

M. Tessier (Philippe-André) : Bien, pour ce qui est de la gratuité, écoutez, nous, ce qu'on fait dans notre mémoire, on fait référence notamment, là, encore une fois, à un article de doctrine de Mme De Bellefeuille, et on mentionne le fait que le droit à l'information personnelle, il se matérialise par le droit d'être informé de l'existence d'un fichier, puis évidemment d'y accéder gratuitement, c'est un des éléments. Mais on parle d'information personnelle, donc, évidemment, c'est qu'est-ce qu'on veut venir inclure, et là il y a un questionnement, à savoir, puis c'est un peu un des éléments sur lequel on a soulevé, que le pointage de crédit, ça ne constitue pas un renseignement personnel au sens de la loi sur le privé présentement. Alors, c'est sûr et certain que nous, le sens de notre recommandation, quand vous regardez la recommandation 4 qui est en lien avec ça, bien, c'est sûr et certain que... c'est pour ça que, nous, ce qu'on recommande, c'est que l'ensemble, hein, des renseignements, l'ensemble des cotes de crédit produites soit considéré comme des renseignements personnels.

M. Marissal : Mais ça, ça se fait dans 53 et non dans 64, selon vous?

M. Tessier (Philippe-André) : Bien, ça, c'est une recommandation qu'on fait à la recommandation n° 4, là, dans le mémoire actuel, c'est ça, tout à fait, mais on ne prend pas l'angle de la gratuité, nous, ce n'est pas... c'est l'angle du droit à l'accès à l'information.

M. Marissal : Merci.

Le Président (M. Simard) : Merci à vous trois. M. le député de René-Lévesque.

M. Ouellet : On va creuser un petit peu. Droit à l'accès. Le droit de refuser l'accès ne devrait pas, lui, être, je vous dirais, accessible à tous? Parce que le verrou permet de verrouiller l'accès, et... Parce que je comprends votre raisonnement, puis le but, ce n'est pas pour vous piéger, mais vous nous dites : Si on changeait la loi et on mettait les scores de crédit comme étant des scores... comme étant des renseignements personnels, à ce moment-là, votre plaidoyer serait : Bien, si ce sont des renseignements personnels, on doit y avoir accès de façon gratuite. Mais moi, je veux fonctionner à l'inverse. Le fait de verrouiller ces accès-là, ça ne devrait pas être un droit qui devrait être offert à tous?

M. Tessier (Philippe-André) : C'est ça, on ne s'est pas prononcés sur cette question-là dans notre mémoire et on n'a pas creusé ce sujet-là, donc je ne voudrais pas vous... me prononcer sur quelque chose qui n'y est pas, mais...

Mme Carpentier (Marie) : Ce qui est sûr, c'est que le droit au respect de sa vie privée, ça commande d'obtenir l'autorisation du consommateur, en l'espèce, pour communiquer son information à des tiers. Donc, à chaque fois qu'on nous demande, dans ma compréhension, chaque fois qu'on nous demande de communiquer notre dossier de crédit, on nous demande l'autorisation. Ce qu'on soumet, c'est que, pardon, cette demande-là se fait souvent dans un rapport déséquilibré où le consommateur se ramasse à ne pas avoir le choix de dire : Oui, tu peux aller me chercher la cote de crédit. Donc, ça, c'est problématique au niveau, effectivement, de l'autorisation de communiquer à des tiers quand il s'agit d'un employeur ou quand il s'agit d'un locateur potentiel. Le consommateur est un peu, sous peine de se voir refuser l'emploi ou de se voir refuser le logement, coincé dans sa faculté de consentir ou non à la communication de ses dossiers de crédit.

Mais, théoriquement, en ce moment, à chaque fois qu'il y a communication du dossier de crédit, l'autorisation, sous réserve du marketing dont on a parlé tout à l'heure, où là l'autorisation n'est pas demandée, donc c'est clairement une violation du droit au respect de la vie privée. Dans les autres circonstances, normalement l'autorisation est demandée, mais on ne peut pas considérer ça nécessairement comme un consentement libre et éclairé dans la mesure où il y a une forme de pression, de pression, par ailleurs, économique, éventuellement.

M. Ouellet : O.K. M. et Mme Tout-le-monde va se poser la question, suite à nos auditions, la Commission des droits de la personne et des droits de la jeunesse est une commission extrêmement importante qui permet aux citoyens et citoyennes du Québec d'avoir des recours lorsque ses droits ont été brimés. Et donc, si je pousse le raisonnement un petit peu plus long, j'ai été victime de piratage, mes données ont été volées, j'aurai des préjudices potentiels, on pourrait cloner mon identité, demander du crédit. Bref, j'en aurai encore peut-être pour quelques années à me dépêtrer dans tout ça. Le verrou de crédit est un outil que le législateur met en place pour limiter les dommages. À ce moment-là, est-ce que la Commission des droits de la personne ne devrait pas dire : Bien, écoutez, si ce verrou-là est accessible et voulu par le législateur, il ne devrait pas être accessible pour tous et donc gratuit? Tu sais, j'essaie de pousser le raisonnement, là. M. et Mme Tout-le-monde, là, veut entendre la Commission des droits de la personne, on inclut un nouveau droit, est-ce que ce droit-là devrait être accessible à tous et donc gratuit?

M. Tessier (Philippe-André) : Écoutez, M. le député, je vous entends bien, là, j'entends bien... M. le Président, j'entends bien le député, le but de notre mémoire, et le propos de notre mémoire, n'est pas... et l'angle, ce n'est pas sur la question de la gratuité, ce n'est pas là le champ d'action de la commission. Ce que je vous répète, c'est ce qui est prévu à notre recommandation n° 4 et c'est ce que ma collègue vous a expliqué. Maintenant, si le corollaire de ça, si la résultante de ça, c'est, effectivement, plus de gratuité pour le consommateur, vous ne nous entendrez pas pousser des hauts cris.

M. Ouellet : O.K. C'est un pas par en avant, mais je veux juste que vous soyez bien conscient que, pour les gens, là, la commission, c'est important, la Commission des droits de la personne, c'est... Puis, vous l'avez dit tout à l'heure, vous avez eu à interférer dans différents dossiers où est-ce qu'il y a un usage, entre parenthèses, abusif.

Le Président (M. Simard) : Alors, en conclusion.

M. Tessier (Philippe-André) : Mais pas dans le cas dont on parle là, je veux juste dire... Puis le recours prévu à la commission, c'est un recours en discrimination. Donc là, ce dont on parle, c'est vraiment plus de la prérogative de l'AMF puis de la CAI, mais...

Le Président (M. Simard) : Merci.

M. Ouellet : Merci.

Le Président (M. Simard) : Merci. Merci à vous deux. Alors, Mme Carpentier, M. Tessier, de la Commission des droits de la personne et des droits de la jeunesse, merci pour votre précieuse contribution à nos travaux.

Sur ce, je suspends momentanément notre séance.

(Suspension de la séance à 10 h 40)

(Reprise à 10 h 49)

Le Président (M. Simard) : Merci à vous, chers collègues. Merci à nouveau pour votre ponctualité, et votre assiduité, et votre discipline. Je n'aurais pas assez de mots pour vous dire merci. Nous recevons maintenant M. Michel Carlos, spécialiste en lutte contre la fraude. M. Carlos bienvenue parmi nous.

M. Michel Carlos

M. Carlos (Michel) : Merci.

Le Président (M. Simard) : Vous disposez d'une période de 10 minutes.

M. Carlos (Michel) : Bon, bonjour, tout le monde. Merci de me recevoir à cette commission. Ça me fait plaisir d'être invité. Je vais faire un petit portrait de moi. Disons que j'ai été 20 ans aux enquêtes criminelles au niveau de la Sûreté du Québec, spécialisé en fraude au niveau des crimes économiques. Après ça, pendant 13 ans, j'ai été dans une grande institution financière comme enquêteur puis après ça comme directeur des enquêtes au niveau de l'institution financière. Par la suite, quatre années... depuis quatre années, je suis dans le secteur privé, et on s'occupe des enquêtes de fraude, aussi, et d'assistance de «due diligence».

• (10 h 50) •

Évidemment, le... comment je dirais, dans le... j'ai regardé le projet de loi. Très intéressant. C'est sûr, c'est des termes, je dirais, plus techniques, tandis que, dans le quotidien... moi, je travaille dans le quotidien, je suis quelqu'un de terrain. Donc, dans le quotidien, c'est un bureau de crédit, c'est un Beacon score, tu sais, c'est une fiche de crédit, on s'entend. C'est comme ça dans le jargon du monde financier, là, on parle de ces choses-là.

Par mes diverses fonctions, j'ai eu à analyser, je dirais, des milliers de dossiers de crédit, pas des centaines, des milliers de dossiers de crédit que j'ai eu à examiner au niveau des fiches techniques. C'est sûr que les fiches de crédit, c'est des... c'est une source importante d'information de renseignement dans le domaine des enquêtes. Vous comprendrez, c'est important dans le domaine des crédits, mais dans le domaine des enquêtes aussi. Rappelons que... Vous devez savoir que les organismes d'application de la loi... des consommateurs, excusez, à part les organismes d'application de la loi, des consommateurs doivent donner leur consentement pour que les gens consultent leur bureau de crédit. Ça, c'est bien important.

Mais c'est quoi, l'objectif d'un dossier de crédit? Auprès d'un agent d'évaluation de crédit, c'est de permettre au consommateur d'obtenir un prêt ou un autre type de crédit, tel des cartes de crédit, des hypothèques, des marges de crédit, un prêt auto, des ventes à tempérament, etc., auprès des institutions financières, évidemment, qui sont les principaux... ou les commerçants. Qui est-ce qui alimente les bureaux de crédit, principalement? C'est les banques, dont ils se nourrissent et alimentent aussi les bureaux de crédit et les agences.

Dans les faits, probablement que la majorité des citoyens, là, quand on parle, ils ne savent pas c'est quoi, un bureau de crédit. On leur demande, ils vont dire : Bien, ça touche mon crédit. J'ai... Depuis quelque temps, je réfléchis évidemment à... En venant à la commission, je me suis dit : Qu'est-ce qui est à la mode de ce temps-là? Le terme «empreinte numérique», c'est à la mode. On se demande : Est-ce qu'on va vers une empreinte numérique, identification numérique? Moi, j'ai dit : Le bureau de crédit, c'est comme une empreinte financière. Dans le fond, c'est le portrait de vos finances... d'un individu.

Aujourd'hui, il y a-tu quelqu'un qui n'a pas un cellulaire, une carte de crédit, un prêt personnel, hypothécaire, des biens achetés à crédit? Ça veut dire qu'aujourd'hui, en 2020, la majorité des citoyens ont une empreinte financière.

Dans ce bulletin, ce que j'appelle l'empreinte financière, vous retrouvez la majorité des informations qui vous concernent, et elles sont en possession des agences de crédit, évidemment, Equifax puis TransUnion, pour ne pas les nommer, les principaux au Québec.

Le bureau de crédit comprend plusieurs informations. Des noms, des dates de naissance, hein, des informations nominatives, les noms, date de naissance, emploi, adresse actuelle, adresse antérieure, téléphone et souvent le numéro d'assurance sociale, en plus de plusieurs informations financières. Quand un client d'une agence de crédit s'informe de votre dossier de crédit, il obtient l'ensemble de ces informations-là. Donc, c'est sensible.

Le client fait une demande de prêt hypothécaire, une marge de crédit, il donne son consentement. Un client achète une carte de crédit, achète un véhicule automobile, des meubles, un appareil électronique, il donne son consentement. Le consommateur, lui, il a un contrat cellulaire, il donne son consentement. Le citoyen désire louer un nouveau logement, il donne son consentement. Aujourd'hui... dans le monde d'aujourd'hui, les propriétaires vont demander le consentement des gens avant de louer puis ils vont faire l'enquête de crédit. Vous appliquez pour un emploi ou une promotion? Vous allez donner votre consentement aussi à ce qu'on consulte votre bureau de crédit. Donc, ce que j'appelle l'empreinte numérique... l'empreinte financière est très importante et est mise à la disposition de beaucoup de gens aujourd'hui.

Comme j'ai mentionné, par mon travail, par mes différents travaux au fil de ma carrière, j'ai eu à analyser des milliers de dossiers de crédit et j'en examine encore régulièrement. Fort de cette expérience, en examinant une fiche de crédit, je peux rapidement établir le niveau de risque financier qui lui est associé de façon à faire des recommandations en ce sens. Ça veut dire, quand je regarde un bureau de crédit, je regarde, je l'analyse, je ne fais pas juste regarder le Beacon score, je regarde l'ensemble, ça donne un portrait d'individu. Je vais pouvoir analyser, les clients nous le demandent, je vais dire le niveau de risque associé à ce client-là. Un emploi, une promotion, une location de logement peut vous être refusé, vous ne savez pas pourquoi? Votre dossier de crédit peut être en cause.

Au niveau bancaire, votre dossier de crédit déterminera si un prêt est accordé, si le taux d'intérêt qui vous sera attribué pour un prêt, une marge de crédit, une hypothèque... à quel taux, là? Il peut avoir une différence de 1 % à 3 % dépendamment de votre cote de crédit, mais le consommateur ne le sait pas. Il fait application, l'institution va donner son prêt, mais lui, il va avoir une marge qui va être de 1 %, 2 % plus élevée à cause d'un dossier de crédit qui est plus... disons, plus mauvais.

Même la SCHL tient compte du dossier... de la cote de crédit avant d'accorder des assurances au niveau des acheteurs de maison.

Donc, comme j'ai mentionné, la majorité des gens se fient à la cote Beacon score, mais il faut aller plus loin que ça quand on analyse un bureau de crédit. Selon moi, la société a évolué, puis aujourd'hui il faut aller plus loin dans la... regarder l'ensemble de la fiche de crédit d'un citoyen ou d'un consommateur.

On va venir un petit peu plus dans le cadre du... ce qui m'intéresse, on pourrait dire, davantage : le vol d'identité, bureau de crédit. Le dossier de crédit est très important. Pourquoi? Parce que l'objectif d'un criminel qui usurpe l'identité, c'est de faire de l'argent, c'est de commettre une fraude. Quand il y a une usurpation d'identité, qu'est-ce qu'on retrouve? Le fraudeur, il va faire une demande, une application de carte de crédit, une marge de crédit, il va faire une demande à une institution financière à votre nom. À ce moment-là, il y a un «hit» qui va arriver, qui va apparaître au bureau de crédit. Si le client bénéficie d'une l'alerte de fraude, évidemment, il va pouvoir contrecarrer le fraudeur.

On a des centaines sinon des milliers de vols d'identité, puis chaque vol d'identité, ça fait que les fraudeurs vont s'adresser pour avoir un prêt, il va y avoir des victimes en conséquence. Donc, c'est pour ça que l'alerte de crédit est très importante à ce niveau-là.

Vous savez au niveau du... Si le crime ne paie pas, bien, le criminel va arrêter de commettre les crimes. Si les fraudeurs... Parce que les réseaux criminels au niveau du vol d'identité, ce n'est pas juste un individu, c'est un groupe d'individus. S'ils n'ont plus accès, dans le fond, au bureau de crédit, dans le sens pour aller chercher des informations, la fraude va diminuer beaucoup. Donc, c'est très important de mettre des balises et, dans le fond, des verrous au niveau du dossier de crédit pour empêcher les fraudeurs de commettre ces fraudes-là.

Je me posais d'autres questions, des réflexions que je me suis faites avant de venir ici. Il y a beaucoup d'informations sensibles au niveau du bureau de crédit, et on laisse ça à des entreprises privées. Donc, c'est sûr, ce n'est pas pour demain, ce n'est peut-être pas pour rapidement, mais pourquoi qu'on laisse nos informations sensibles aux mains de compagnies privées? Alors, est-ce que ça pourrait être l'AMF ou le Bureau du Surintendant des institutions financières qui pourrait, dans le fond, c'est une idée que je lance comme ça, être responsable de gérer les dossiers de crédit? On aurait, à ce moment-là, moins de risques aussi au niveau des bris de sécurité au niveau des agences, puis ça serait contrôlé par une agence, je pourrais dire, plus centralisée.

Le Président (M. Simard) : En conclusion.

M. Carlos (Michel) : Donc, si vous avez des questions, gênez-vous pas, j'ai une vaste expérience dans le domaine. Aussi, qu'est-ce que je voulais dire pour finir, c'est que je rencontre encore régulièrement des victimes de vol d'identité, et le vol d'identité a des grandes répercussions au niveau des citoyens. Et c'est ça qui vient me toucher. Puis ces gens-là, ils ont beaucoup de difficultés...

Le Président (M. Simard) : Merci.

M. Carlos (Michel) : ...dans le fond, je prends l'exemple, pour ne pas le nommer...

Le Président (M. Simard) : Merci, M. Carlos.

M. Carlos (Michel) : O.K., c'est beau.

Le Président (M. Simard) : Vous pourrez poursuivre sans doute un peu plus tard à travers des questions qui vous seront adressées. M. le ministre.

M. Girard (Groulx) : Bien, vous pouvez prendre 30 secondes pour terminer votre idée. Allez-y.

• (11 heures) •

M. Carlos (Michel) : O.K. Ce que je disais, c'est que les vols d'identité, c'est des réseaux, des fraudeurs. Si on prend l'exemple de Capital One ou de Desjardins, ils ont volé des centaines, des millions, on le sait, d'informations nominatives sur des citoyens. Mais ces fraudeurs-là ne vont pas aller... S'ils ont pris votre identité, à vous ou la mienne, ils vont... puis chez Desjardins, qu'est-ce qu'ils vont faire? Ils ne vont pas aller ouvrir un compte chez Desjardins. Ils vont aller dans une autre institution financière. Donc, les fraudeurs font ça. Donc, Desjardins, ils sont... À ce moment-là, il arrive quoi? Le consommateur, il s'adresse à moi, il dit : J'ai été victime d'un vol d'identité, voici, moi, j'étais client de Desjardins, et je... une autre institution... je ne suis pas client de l'autre institution où ils ont ouvert un compte bancaire, et j'ai été victime d'une fraude. Là, il s'adresse à Desjardins, ils ont certains systèmes, il dit : Ah! la fraude n'est pas chez nous. Là, il s'adresse à l'autre institution, il dit : Oui, mais la fraude, elle est chez nous, mais on pense, ça peut venir du vol d'identité de Desjardins. Donc, le pauvre... Moi, je suis un expert là-dedans, là, mais, le pauvre citoyen qui arrive, qui s'adresse à moi pour avoir de l'aide, je peux dire qu'il est vraiment perdu.

L'autre point que je veux souligner, c'est au niveau du financement. J'ai entendu des gens qui en ont parlé. Je pense, c'est important, au niveau du financement, c'est que, si on réduit le vol d'identité, qui compte pour des millions de fraudes au niveau du Québec, entre autres, cet argent-là, c'est des banques qui vont les sauver, cet argent-là pourrait être mis au niveau des bureaux de crédit pour rendre la gratuité pour le consommateur. C'est ce que je voulais dire pour finir.

M. Girard (Groulx) : Merci. Puis c'est une nuance intéressante, parce qu'on a beaucoup parlé de gratuité, puis je pense que la gratuité pour le consommateur puis la gratuité totale, ce n'est pas la même chose. Si l'institution financière paie et que le client a un bon service gratuit mais payé par l'institution financière, c'est beaucoup mieux qu'un service minime gratuit. Ce n'est pas une question, c'est un éditorial. J'arrive avec ma question.

M. Carlos (Michel) : O.K. Excusez.

Des voix : ...

M. Girard (Groulx) : Ce n'est pas une question. Vous aviez l'air déstabilisé. C'est-à-dire il y avait un point. Pouvez-vous... Puisque vous êtes sur le terrain, pouvez-vous nous expliquer la différence entre l'alerte, qui est gratuite, et le service de surveillance, qui est payant? Desjardins, ils ont payé pour quoi au nom des citoyens?

M. Carlos (Michel) : Oui, c'est-à-dire, ils ont payé les citoyens, ça veut dire, s'il y a un changement...

M. Girard (Groulx) : Ils ont payé Equifax au nom de leurs clients.

M. Carlos (Michel) : Equifax pour les citoyens, excusez, oui, c'est ça, c'est-à-dire... Et ce qui est important, et c'est sûr, c'est que, si quelqu'un s'informe... Donc, c'est comme un verrou, dans le fond. Si quelqu'un s'informe, vous allez être informé qu'il y a quelqu'un qui a fait une demande de crédit, une demande de crédit, donc vous pouvez voir si c'est vraiment vous ou ce n'est pas vous. C'est ça, l'important, à ce moment-là, d'avoir l'alerte de sécurité.

M. Girard (Groulx) : Non, mais je veux juste être clair, là, l'alerte, c'est une note au dossier qui peut être demandée par le client ou qui peut être mise par l'institution financière au nom du client. On a vu que c'était assez chaotique, là, parce que, l'institution financière, en théorie, on aurait voulu qu'elle fasse des inscriptions en batch, qu'elle inscrive des millions de personnes au service d'alerte, mais, en pratique, chaque individu a dû s'inscrire à l'alerte. Mais l'alerte, c'est une note au dossier de crédit, que vous appelez le bureau de crédit, qui pourra être consulté par les institutions financières. Mais, le client, lui, l'alerte, c'est une protection, mais, le service de surveillance, c'est le client qui devra être informé qu'il y a eu une demande de crédit à son nom?

M. Carlos (Michel) : Oui, c'est ça.

M. Girard (Groulx) : O.K. Puis ça, ça coûte combien, en pratique?

M. Carlos (Michel) : Bien, c'est entre 7 $ puis 20 $ par mois.

M. Girard (Groulx) : O.K. Entre 7 $ et 20 $ par mois pour savoir, comme citoyen, ce qui se passe, l'activité dans votre dossier de crédit.

M. Carlos (Michel) : Oui, puis être informé... Parce que moi, là, je n'en fais plus, des demandes de crédit et des demandes de prêt, on s'entend, je n'en fais plus tellement, là. Mais, si tu t'inscris, là, pour faire un... Je me suis inscrit avant, aussitôt que la fraude est sortie, je me suis inscrit moi-même pour ne pas prendre de chance. Donc, si quelqu'un, si une banque ou n'importe quel commerce fait une demande à mon crédit, pour mon dossier, moi, je vais être alerté, je vais le savoir. Puis c'est sûr que ce n'est pas moi.

M. Girard (Groulx) : Est-ce que vous le savez avant que le crédit soit octroyé ou après?

M. Carlos (Michel) : Non, c'est ça qui est le problème actuellement, on ne le sait pas avant.

M. Girard (Groulx) : O.K. Ça fait que, là, je suis client de la banque X, on vole mes données, on va à la banque Y, petite banque, fait une demande de carte de crédit, là, je vais recevoir un avis, parce que j'ai payé mon 7 $ à 20 $ par mois, je vais recevoir un avis que petite banque y a octroyé du crédit à mon nom?

M. Carlos (Michel) : Oui, c'est ça, vous allez être informé.

M. Girard (Groulx) : Puis là je fais quoi?

M. Carlos (Michel) : Bien là, vous prenez des dispositions pour... dans le fond, vous prenez certaines dispositions pour informer le bureau de crédit que ce n'est pas vous, dans le fond.

M. Girard (Groulx) : O.K., mais après la transaction.

M. Carlos (Michel) : C'est ça qui est le problème, et j'en viens... c'est que, dans le fond, ce qui serait idéal, puis ce qui serait idéal pour prévenir la fraude et aussi empêcher, dans le fond, les fraudeurs...

M. Girard (Groulx) : C'est dans les lignes directrices...

M. Carlos (Michel) : ...d'usurper l'identité... oui.

M. Girard (Groulx) : ...demander à ce que quelqu'un qui a payé pour le service de surveillance soit avisé avant l'octroi de crédit.

M. Carlos (Michel) : C'est ce que ça prendrait et ça prendrait un genre... dans le fond, un genre de verrou. Avant même qu'ils autorisent...

M. Girard (Groulx) : Ça fait que ça, ce serait comme un verrou effectif avant développement informatique puis... On n'aurait même pas besoin de verrou si, dans les lignes directrices, on obligeait le client à donner son consentement pour octroi de crédit si... et a le service de surveillance.

M. Carlos (Michel) : C'est la clé. Ça, c'est la clé, parce que, pour... À ce moment-là, c'est sûr, vous l'avez dit, si vous êtes informé après coup, il y a une partie de la... vous allez limiter la balance de la fraude, mais vous allez déjà être fraudé, dans un certain sens. Mais, si vous devez donner votre autorisation avant tout nouveau crédit, c'est ça qui serait idéal. C'est sûr, c'est beaucoup de travail pour les agences.

M. Girard (Groulx) : O.K., mais normalement ça, c'est combiné, votre service de surveillance est combiné avec l'alerte. Alors, normalement, petite banque Y ne devrait pas octroyer du crédit à un dossier qui a une alerte.

M. Carlos (Michel) : Ça prend un verrou, ça prend un verrou, pas juste une alerte.

M. Girard (Groulx) : Mais l'alerte incite l'institution financière à faire des vérifications supplémentaires.

M. Carlos (Michel) : C'est ça.

M. Girard (Groulx) : O.K., bon, puis... O.K., puis notamment, là, normalement, une institution financière, sachant qu'il y a eu un vol de données chez une grande institution financière québécoise, quand tu vas voir un dossier de cette institution-là, tu n'auras pas besoin de l'alerte pour être alerté.

M. Carlos (Michel) : Non, parce qu'eux, ils vont prendre les dispositions. Mais moi, je parle... même si ce n'est pas un vol... vous n'avez pas été victime d'un vol d'identité. Idéalement, je parle idéalement, c'est que tout citoyen, s'il y a une demande qui est faite à votre nom pour un nouveau crédit, à ce moment-là, si vous devez donner votre autorisation, à ce moment-là, c'est là qu'on va prévenir les fraudes. Parce que, si vous ne savez pas que vous avez été victime d'un vol d'identité et que vous n'avez pas mis une alerte, à ce moment-là, il peut... vous avez été victime, puis les fraudeurs vont l'utiliser. C'est dans un monde idéal.

M. Girard (Groulx) : O.K. Là, vous, vous êtes maintenant consultant après une longue carrière, là, vous n'avez pas de lien avec les parties prenantes du dossier qui nous amène ici, là.

M. Carlos (Michel) : Aucunement.

M. Girard (Groulx) : Aucun, bon, c'est bon. Comment vous qualifieriez le service que les citoyens ont reçu? Il y a eu la fraude, c'est un événement déplorable, difficile, très difficile pour les citoyens, O.K.? Après ça, on se retrousse les manches, on demande à l'institution financière d'améliorer sa gouvernance, ses services informatiques, puis on offre aux citoyens des services pour se protéger, notamment l'alerte et la surveillance. Comment ça s'est passé pour les citoyens?

M. Carlos (Michel) : Je vous dirais, moi, ce que je vis, c'est que les citoyens sont... continuent d'être dépourvus, dans le fond, parce que, la fraude, ils la constatent après qu'elle est arrivée. Si vous avez une carte de crédit qui est ouverte à votre nom en Alberta, à Calgary, à ce moment-là, 30 jours... il va y avoir une alerte qui va être... il va y avoir une information, mais dans les 30 jours, ça ne sera pas immédiat. C'est ce qui arrive que... les citoyens sont pris avec des fraudes, puis là ils ne savent pas comment... à qui s'adresser, comment refaire leur bureau de crédit puis comment courir, dans le fond, après les institutions pour donner l'information. Ils sont vraiment dépourvus.

M. Girard (Groulx) : O.K. Mais vous, vous êtes après la fraude, O.K.?

M. Carlos (Michel) : Oui.

M. Girard (Groulx) : Oui, puis là l'institution financière, puis on aura l'occasion de leur demander qu'est-ce qu'ils ont fait, ils ont amené le service que j'appellerais après fraude, l'assistance, puis etc., et je vais les laisser expliquer. Mais, le service de bénéficier de l'alerte et de surveillance, là, on a des millions de personnes qui se sont inscrites à ce service, est-ce qu'ils ont eu un bon service payé par Desjardins?

• (11 h 10) •

M. Carlos (Michel) : Oui, oui, mais ça, je vous dirais, c'était, entre guillemets, le minimum à faire. Ça, c'est une prévention qui est réelle, quand même.

M. Girard (Groulx) : Le minimum?

M. Carlos (Michel) : Bien, il fallait mettre un avis au bureau de crédit. Quand quelqu'un est victime... quand une institution est victime d'un bris de sécurité, il faut que le bureau de crédit soit avisé pour que les... s'il y a une autre demande, s'il y a une enquête, bien, ils vont savoir qu'il y a une alerte de sécurité.

M. Girard (Groulx) : O.K. Ça fait que, là, ils ont eu... selon vous, ils ont eu un niveau de service minimum, ils ont eu la surveillance et l'alerte.

M. Carlos (Michel) : Oui, parce que le service que moi, idéalement... il n'existe pas, dans le fond.

M. Girard (Groulx) : Non, le verrou, on va y arriver, on va faire ça tous ensemble.

M. Carlos (Michel) : Il n'existe pas. Mais là ils ont eu quand même le service... un service, je pourrais dire, au niveau prévention de base.

M. Girard (Groulx) : O.K.

M. Carlos (Michel) : C'est ce que je qualifierais.

M. Girard (Groulx) : Mais ce n'est pas de base parce que le minimum, c'est l'alerte, c'est gratuit. Là, ils ont eu un service bonifié de surveillance payé par l'institution financière qui a été victime du vol.

M. Carlos (Michel) : Non, mais, quand je dis «minimum», c'est le minimum de prévention qu'une institution qui est victime d'un bris de sécurité devrait accorder à ses clients.

M. Girard (Groulx) : O.K., oui, devrait accorder. Mais, dans les faits, il y a du service moindre qui est accordé dans certaines situations.

M. Carlos (Michel) : C'est ça, dans certaines situations, oui.

M. Girard (Groulx) : O.K. Est-ce que vous avez des questions?

Le Président (M. Simard) : Il reste une minute, cher collègue. M. le député de Saint-Jérôme.

M. Chassin : Oui, moi, j'en ai une. Bonjour, d'abord. J'en ai une rapide, juste pour me confirmer un élément, je voudrais le valider avec vous. Ce que je comprends, c'est que, pour le règlement fédéral, je crois, du recyclage des produits de la criminalité puis du financement des activités terroristes, il y a un processus de vérification d'identité qui, pour des institutions financières, peut comporter, par exemple, la consultation du dossier de crédit. Puis, comme beaucoup de gens nous disaient : Bien, il ne faut pas du tout... quand il y a un gel, dans le projet de loi, on prévoit ce gel-là, il ne faut du tout que ça soit communiqué. Mais je voulais être certain que là on a un cas où on voudra sans doute continuer de pouvoir avoir accès quand même au dossier de crédit pour certaines circonstances. Est-ce que vous pouvez nous confirmer que ça existe puis que c'est bien le cas?

M. Carlos (Michel) : Non, mais, c'est parce que le dossier de crédit, ça prend un consentement du client. C'est indéniable, ça prend un consentement du client. Ce qui arrive, c'est que, dans une institution, le consentement est donné...

Le Président (M. Simard) : Merci beaucoup.

M. Carlos (Michel) : ...dans le fond, d'une manière générale, quand vous ouvrez un compte. C'est dans ce sens-là.

Le Président (M. Simard) : Très bien. Merci, M. Carlos.

M. Carlos (Michel) : Donc, c'est une extension. Je ne sais pas si ça répond à votre question.

M. Chassin : Oui.

Le Président (M. Simard) : Merci beaucoup, M. Carlos. Merci. Malheureusement, on a des enveloppes de temps très serrées, comme vous le savez. Mme la députée de Saint-Laurent... M. le député de Pontiac.

M. Fortin : Merci. Merci, M. le Président. Merci, M. Carlos, d'être avec nous. J'en arrive à vous dans deux petites secondes, mais le ministre s'est permis un éditorial, puis il n'y a pas grand avantage d'être dans l'opposition, ici, mais un des avantages, c'est qu'on peut éditorialiser l'éditorial du ministre. Le ministre s'est permis de revenir et d'ancrer un peu, là... de s'ancrer sur sa position qu'il a présentée hier par rapport aux méfaits potentiels de la gratuité ou aux risques potentiels de la gratuité.

Je trouve ça malheureux, M. le Président. Parce que, depuis hier, on entend, à cette table-ci, des groupes de consommateurs. On a entendu TransUnion, même, dire qu'il n'y avait pas d'enjeu avec la gratuité, qu'eux se conformeraient comme ils le devaient. On a entendu des experts en la matière dire qu'il n'y avait aucun risque à la gratuité, mais le ministre semble s'ancrer dans sa position. C'est comme s'il était à une table d'environnementalistes, M. le Président, puis il reprenait l'éditorial du Calgary Sun. Il y a quelque chose qui ne marche pas dans l'argumentaire du ministre. Puis j'espère qu'à la fin de la journée, aujourd'hui, il va avoir compris un peu plus que ce qu'il a entendu hier.

Une voix : ...

M. Fortin : Non, malheureusement, ce n'est pas comme ça que ça marche. M. Carlos, j'apprécie votre présentation, puis ce que j'aime de la façon que vous l'avez exposée, c'est que vous l'avez présentée à partir du point de vue citoyen, à partir du quotidien du monde qui ont vécu des fraudes ou qui ont eu des fuites par rapport à leurs données personnelles.

Est-ce que... Et nous, on part de ce moment-là, hein, cette commission-là est née un peu, là, de la... ou le projet de loi, et toute la discussion qu'on a, est né un peu de la fuite de données qu'il y a eu chez Desjardins. Est-ce que les institutions financières, de façon générale, en font assez pour protéger les données qu'ils ont sur les citoyens?

M. Carlos (Michel) : Bien, par expérience, je vais vous dire que les institutions dépensent des millions et des millions de dollars pour, dans le fond, protéger les données. Ça fait 10, 15 ans que les grandes institutions ont dépensé des millions, parce que c'est très sensible, puis ils sont conscients de ça, ils dépensent beaucoup d'argent. Mais il faut comprendre que ça va vite, et les fraudeurs aussi, la technologie avance. Mais je peux vous dire que c'est un des points où ils dépensent beaucoup d'argent, parce que le risque premier d'une institution, c'est le risque de réputation.

Si vous êtes victime, au-delà du risque monétaire, si vous êtes victime d'un bris de sécurité, votre réputation... c'est pour ça que les institutions n'hésitent pas à mettre beaucoup d'argent et de mettre beaucoup de technologies pour empêcher le vol... les bris de sécurité. Mais on regardera dans... En général, malheureusement, il y a beaucoup de vols de données qui viennent de l'intérieur. Donc, peu importe ce que vous mettez comme système pour empêcher les intrusions externes, il va y avoir... Parce que les réseaux criminels, ils ont soif de ces données-là aussi.

M. Fortin : Vous avez eu une discussion intéressante avec le ministre à propos de gel versus alerte, un peu plus tôt, des concepts, là, qui sont introduits dans le projet de loi n° 53. Quand vous parlez à des citoyens, qu'est-ce qu'ils veulent, eux, par rapport à leurs dossiers? Parce que vous avez parlé des avantages du gel ou du verrou, là, disons, versus une alerte, qui souvent... qui vient après un incident. Mais le citoyen, là, comment il veut se protéger, lui? Qu'est-ce qui lui est plus utile?

M. Carlos (Michel) : Malheureusement, le citoyen, souvent, ça va être de se faire rembourser, c'est d'ordre pécuniaire. Parce que ce n'est pas toujours évident, des fois le fardeau de la preuve est au citoyen, pour prouver qu'il n'a pas été négligent et il a vraiment été victime. Puis, s'il a été victime d'un vol d'identité, il va être remboursé, mais ce n'est pas toujours évident. Des fois, ça vient par des textos, des e-mails, des PayPal qui ont été compromis, puis le citoyen, il arrive là-dedans puis il est vraiment perdu, là. Il vient nous voir, puis on essaie de démystifier ça puis l'aider à monter le dossier pour dire : Écoutez, moi, je suis client, et j'ai été victime, quelque part, d'un vol d'identité, et j'ai perdu de l'argent. Il y a-tu quelqu'un... Qui va me rembourser?

M. Fortin : Ça, c'est un point intéressant. Est-ce que le support ou l'appui qu'on donne aux citoyens est assez? Parce que le point que vous faites, essentiellement, là, c'est qu'il y a un paquet d'outils différents que le citoyen peut utiliser, mais, lui, ce qu'il veut à la fin de la journée, c'est de se faire rembourser, puis probablement, en même temps, de s'assurer que ça n'arrivera plus. Alors, est-ce que... Quand vous dites : Ils viennent nous voir, puis nous, on les aide, bien, est-ce qu'on en fait assez? Est-ce que les institutions financières en font assez pour appuyer les gens dans cette démarche-là? Est-ce qu'Equifax, TransUnion, est-ce que l'AMF, la commission... est-ce qu'ils en font assez, eux, pour aider le citoyen dans cette démarche-là?

M. Carlos (Michel) : Je dirais, tout le monde est plein de bonne volonté, mais c'est ardu, c'est difficile. Ils se heurtent à, comment je dirais ça... à des machines anonymes, dans le fond, dans un certain sens. Puis, de toute manière, un vol d'identité, normalement, là, avec le temps perdu, des pertes, tout ça, c'est évalué à 10 000 $ et 20 000 $ par vol d'identité d'un citoyen. Multipliez ça par le nombre de fraudes de vol d'identité, on rentre dans les millions de dollars. Cet argent-là pourrait être mieux placé ailleurs.

Le Président (M. Simard) : Mme la députée de Saint-Laurent.

Mme Rizqy : Bonjour, M. Carlos.

M. Carlos (Michel) : Bonjour.

Mme Rizqy : L'an dernier, l'été dernier, il y avait cette dame, qui est une cliente de l'institution Desjardins, qui, malheureusement, a été fraudée. Lorsqu'elle est partie en vacances, à son retour de vacances, elle a appris qu'effectivement non seulement elle a été victime de la fuite de données, mais vraiment de fraude, puisqu'un prêt a été contracté mais en Ontario. Dans le projet de loi n° 53, qu'est-ce qui va faire en sorte qu'on va protéger ce type de fraude, lorsque le vol se fait au Québec, mais la fraude se fait dans une autre province ou aux États-Unis?

M. Carlos (Michel) : Bien, disons qu'au niveau du... le bureau de crédit, bien, c'est centralisé, ça fait que, si... l'alerte va rentrer quand même, s'il y a une alerte, peu importe...

Mme Rizqy : Mais ça n'a pas empêché que le prêt a été contracté.

M. Carlos (Michel) : Ça n'a pas empêché, mais, les fraudeurs, c'est ça qu'ils font, c'est qu'ils vont aller dans d'autres provinces, ils vont passer par une carte de crédit.

Mme Rizqy : Alors, si je comprends bien, tantôt, votre échange avec le ministre, pour que les gens qui suivent, là, puissent bien comprendre et imager votre propos, c'est que, vous, en fait, ce que vous essayiez d'expliquer au ministre, c'est que ça ne sert à rien d'être notifié après que la personne a réussi à contracter un prêt frauduleux. Il faut qu'elle soit notifiée avant que le prêt soit accordé.

• (11 h 20) •

M. Carlos (Michel) : Bien, c'est-à-dire que ça sert quand même, après, de limiter le nombre de fraudes, mais idéalement... idéalement, je ne rentre pas dans les coûts des agences, tout ça, là, ça ne me concerne pas, là, c'est leur problème, mais, ce que je veux dire, moi, comme consommateur, je regarde le crime organisé, des réseaux de fraudeurs, ils s'enrichissent de millions avec les vols d'identité. Si à... Quelque institution ou commerce fait une demande de crédit à votre nom, une nouvelle demande, il ne devrait pas être accordé sans que vous donniez votre autorisation. Si on fait ça, les fraudeurs, ils ne pourront plus usurper l'identité, et frauder, et avoir des millions pour s'enrichir, le crime organisé. Ces millions-là économisés pourraient être repris par les banques et servir à financer, dans le fond, la prévention. C'est comme ça que je le vois, globalement, là.

Mme Rizqy : Parfait. Merci. C'est beaucoup...

M. Carlos (Michel) : Je ne sais pas si c'est assez clair, là.

Mme Rizqy : Oui, moi... pour moi, oui, c'est très clair. Merci. J'aimerais souligner que vous avez dit que, pendant 20 ans, vous avez été à la Sûreté du Québec et, maintenant, que vous êtes aussi... institutions financières. Sans révéler quoi que ce soit auprès de votre employeur, avez-vous une idée de combien qu'il y a d'incidents non rapportés dans les institutions financières?

M. Carlos (Michel) : Non. Ce que je peux dire, c'est qu'il y a... le chiffre noir, en général, en matière de fraude, il est très élevé. Ça veut dire qu'on rapporte très peu. Si vous dites qu'il y a eu, je ne sais pas, moi, 2 000 vols d'identité rapportés au centre anticrime du Canada, multiplié par 10, c'est le nombre réel. Dans des institutions, il y a beaucoup de petites fraudes, et, celles-là, on ne peut pas... les institutions ne peuvent pas rapporter ça à la police, ils seraient inondés. Donc, on rapporte les réseaux ou les gros dossiers seulement.

Mme Rizqy : C'est quand même pertinent, ce que vous venez de dire : Les institutions, si elles devaient rapporter les incidents, elles... ce serait inondé d'incidents. Et pourquoi je tiens à le mentionner, c'est parce que les budgets qui sont accordés à la police, c'est en fonction des incidents. Alors, si on ne rapporte pas les incidents, on ne peut pas accorder les ressources nécessaires à la lumière des informations qu'on ne détient pas. Alors, est-ce que... Pensez-vous qu'on pourrait avoir un registre, à tout le moins, des incidents, pour être en mesure d'avoir une meilleure adéquation au niveau des vols de données, et surtout que, depuis les dernières années, ça s'est accéléré, le vol de données?

M. Carlos (Michel) : Bien, disons, c'est le nerf de la guerre. Puis il y a quelques années, il y avait un projet, là, pour avoir une nouvelle... un groupe mixte, là, au niveau de la fraude, au niveau des policiers et des banques. Et c'est sûr, vous avez raison, dans le sens que c'est la poule et l'oeuf, si les gens ne rapportent pas les fraudes, les corps policiers, quand ils font... ils regardent les budgets, puis le politique va dire : On vous donne de l'argent. Ah! les fraudes ont diminué, à ce moment-là, on va baisser votre budget. Si... Les citoyens, eux autres mêmes, ils ne rapportent pas la... ils sont remboursés par l'institution, souvent ils ne vont pas aller à la police. Donc, plus vous rapportez d'événements, on va avoir un portrait réel du chiffre puis de la fraude et des montants.

Mme Rizqy : Dites-moi, sur le «dark Web», une carte de crédit, ça vaut combien?

M. Carlos (Michel) : Ça ne vaut pas grand-chose, là.

Mme Rizqy : Non?

M. Carlos (Michel) : Non.

Mme Rizqy : Qu'est-ce qui vaut grand-chose sur le «dark Web»?

M. Carlos (Michel) : Bien, disons, au niveau... c'est parce que c'est dilué au niveau du «dark Web», à ce moment-là, c'est des... Il faut que ce soit... Il y a des milliers, des centaines de milliers de numéros de cartes puis de... sur le «dark Web», là. Ça veut dire, une carte, ça ne vaut pas grand-chose, là.

Mme Rizqy : Vous ne me rassurez pas, là.

M. Carlos (Michel) : Il faut... Ce qui vaut cher, c'est, exemple, malheureusement, un employé d'une institution qui a de l'information, qui est prêt à la voler... ou à la vendre plutôt, puis rapidement. Plus que c'est fait rapidement, plus ça vaut cher, dans le fond. Puis malheureusement il y en a régulièrement. Le crime organisé infiltre les institutions, c'est sûr.

Le Président (M. Simard) : En conclusion.

Mme Rizqy : Bien, merci beaucoup, M. Carlos.

Le Président (M. Simard) : Merci. M. le député de Rosemont.

M. Marissal : Merci, M. le Président. Alors, pour poursuivre dans notre série d'éditoriaux unidirectionnels, j'ai noté tout à l'heure que le ministre des Finances a dit qu'un service payé par les institutions, c'est mieux qu'un service minimum offert par les agences de crédit. J'espère que je le cite bien parce que j'aime beaucoup ce que je viens de lire, et ça va être utile pour la suite des choses.

Vous avez dit tout à l'heure, M. Carlos, qu'il faut toujours donner son consentement quand quelqu'un utilise... va fouiller dans notre dossier de crédit. Vous avez même dit : C'est vrai pour le logement, pour l'emploi. Mais vous êtes au courant que ce n'est pas toujours le cas, qu'il y a des gens qui se servent comme dans un buffet chinois là-dedans, puis on ne le sait pas, là.

M. Carlos (Michel) : Ça ne devrait pas exister.

M. Marissal : Mais ça existe.

M. Carlos (Michel) : Bien, c'est... Je vous... Selon moi, ça existe, mais c'est l'exception, c'est de l'infiltration, des choses comme ça. Ou c'est déjà arrivé, à un moment donné, que, si... par expérience, un commerce s'abonne pour avoir de l'information à un bureau de crédit, mais ce commerce-là est relié au crime organisé. Donc, il va demander de l'information, mais, à ce moment-là, sous des formes frauduleuses, pour avoir de l'information sur des citoyens, ou des policiers, ou des hommes politiques, pour avoir leurs adresses. Ça, on a déjà vu ça dans le passé.

M. Marissal : Là, vous me dites que quelqu'un qui va louer un logement ou qui veut un emploi, systématiquement, va se faire dire : Tu sais que je vais aller fouiller dans ta cote de crédit, donc est-ce que tu acceptes?

M. Carlos (Michel) : Ce n'est pas explicite comme ça, je veux dire, c'est... vous signez un consentement. Le consentement dit que vous autorisez à aller fouiller votre dossier de crédit, c'est écrit comme ça, et toute autre vérification, dépendamment des formulaires.

M. Marissal : Je vous soumets que, dans la vraie vie, c'est plus slaque que ça, qu'il y a pas mal de gens qui vont fouiller sans aller chercher l'autorisation.

M. Carlos (Michel) : Mais les agences de crédit ne devraient pas...

M. Marissal : Ah! bien oui, ça, c'est autre chose.

M. Carlos (Michel) : ...sans... il faut qu'il y ait un système de reddition de comptes. Quand je mentionnais l'AMF ou le BSIF pour avoir un contrôle de reddition de comptes rigoureux... Évidemment, si quelqu'un forge votre signature sur un formulaire de consentement puis il l'envoie à une agence de crédit, la personne qui a forgé votre signature, votre consentement, peut avoir toutes vos informations aux niveaux nominatif et financier.

M. Marissal : Bien, je suis heureux de vous l'entendre dire. Je n'ai malheureusement pas beaucoup de temps pour fouiller, là, votre idée, là, de confier à l'AMF ou au Bureau du Surintendant... mais on aura l'occasion d'y revenir dans l'étude plus approfondie du projet de loi. Mais il y a quelque chose là, effectivement, puisque pourquoi confier absolument au privé ce que l'État devrait protéger, c'est-à-dire l'identité et la sécurité, la probité de l'identité de ses citoyens? Je n'ai pas le temps malheureusement d'aller là-dedans.

Si on avisait systématiquement les consommateurs à chaque fois qu'il y a un mouvement dans leurs comptes, dans leurs dossiers... ça se fait, ça?

M. Carlos (Michel) : C'est ça. Ce que je dis, c'est que, s'il y a une demande de crédit, il faut qu'il y ait quelque chose de substantiel, là, une carte, une hypothèque, une marge de crédit, une auto. À ce moment-là, idéalement, il faudrait que le consommateur donne son autorisation, à ce moment-là, le bureau de crédit, avant de... C'est là qu'on prévient la fraude. Mais surtout c'est les fraudeurs... Le vol d'identité est payant parce que les fraudeurs peuvent ouvrir des comptes de banque, peuvent aller chercher des marges de crédit, peuvent aller chercher des cartes de crédit puis frauder. S'ils ne peuvent plus avoir... s'ils ne peuvent plus ouvrir de compte de banque, de marge, puis tout ça, parce qu'il y a un verrou qui est significatif au niveau de l'agence de crédit, ils vont... le vol d'identité va baisser parce que le crime ne sera plus payant.

M. Marissal : Je vous arrête là. Une dernière question. Vous avez dit tout à l'heure que les banques, les institutions financières mettent beaucoup d'argent dans la prévention. Mais, dans le fond, est-ce que les grandes banques n'acceptent pas qu'ils vont en échapper une partie, puis que c'est comme un prix à payer pour faire de la business, puis qu'ils vont en perdre un petit peu?

M. Carlos (Michel) : Bien, c'est une balance... j'appelle ça une balance des inconvénients. Vous savez, malgré les millions de fraudes... Moi, je suis un ancien enquêteur.

Le Président (M. Simard) : Merci.

M. Carlos (Michel) : Je suis un ancien enquêteur, ça fait qu'au niveau de la fraude...

Le Président (M. Simard) : Merci, M. Carlos.

M. Carlos (Michel) : ...c'est les montants qui est important, là.

Le Président (M. Simard) : Merci, M. Carlos. Je cède maintenant la parole au député de René-Lévesque.

M. Ouellet : Merci. On a parlé tout à l'heure que, l'alerte de sécurité ou la vigie qu'on peut avoir sur notre dossier de crédit, on arrive après coup, la fraude a eu lieu, puis là on est alerté d'activité suspecte sur notre identité. Si, à la base, le verrou avait été installé, on s'entend qu'on n'aurait pas eu besoin de l'avis de sécurité.

M. Carlos (Michel) : C'est sûr. Si le verrou est installé avant, à ce moment-là, ça va empêcher le fraudeur d'aller chercher un compte de banque, une carte de crédit à votre nom.

M. Ouellet : O.K. Donc, on fait un cas d'espèce, je suis un citoyen et j'apprends par mon institution financière ou par une relation d'affaires quelconque que j'ai été victime d'un vol d'identité. Il y a quelqu'un qui détient mon identité qui n'aurait pas dû la détenir. Rapidement, je m'en vais en ligne et j'applique le verrou sur mon crédit. Techniquement, je n'ai pas été fraudé encore, je viens d'apprendre, là, mais... puis vous dites que ça circule quand même assez vite, les informations, mais je viens d'apprendre, l'entreprise déclare : 40 000 personnes ont été victimes du vol d'identité, nous allons communiquer avec eux dans les 24, 48 prochaines heures. Je reçois un courriel me disant que mon identité circule, je vais mettre mon verrou. C'est quand même la chose à faire minimalement, je pense, au départ.

M. Carlos (Michel) : Effectivement, parce qu'à ce moment-là, si quelqu'un a usurpé votre identité, il s'en va en «B.C.» chercher une carte locale là-bas, à ce moment-là, ça va rentrer au bureau de crédit, ça va être verrouillé, ça prend votre autorisation pour déverrouiller, vous ne serez pas victime de la fraude.

M. Ouellet : Donc, si les institutions déclarent rapidement, tel qu'il est prévu de le déclarer dans les nouvelles lois qu'on va adopter, à savoir que j'ai été victime d'une attaque, on a volé l'identité, donc, si rapidement ils le déclarent, rapidement ils rentrent en communication avec leurs clients, rapidement je peux appliquer le verrou de sécurité pour la première partie, c'est-à-dire d'éviter qu'il y ait fraude, parce que là je suis au départ, là.

• (11 h 30) •

M. Carlos (Michel) : ...question de temps. Puis même il peut y avoir des ententes que l'institution va les... mettre le verrou au nom de ses clients qui sont victimes du vol d'identité. C'est encore plus rapide, ça se fait... parce que, là, au lieu que ça soit le client qui appelle, à ce moment-là, l'institution envoie ça en vrac au bureau de crédit, et toutes les victimes vont... ils vont avoir des alertes mises dans leurs dossiers. C'est encore plus rapide, parce que, vous avez raison, le temps est important, la réaction est importante.

M. Ouellet : Et donc, si le citoyen a ces outils-là mais ne les prend ou décide de ne pas appliquer le verrou, lui-même s'expose à des dangers, et là, par la suite, s'il se fait cloner ses informations puis se fait demander du crédit en son nom, bien là, l'alerte de sécurité, par la suite, pourrait l'informer d'une activité suspecte sur son compte, mais...

M. Carlos (Michel) : Va l'informer, mais elle ne sera pas en prévention.

M. Ouellet : Donc, il serait pertinent d'avoir ce verrou le plus rapidement possible, lorsqu'il est indiqué, et, je présume, accès gratuitement et en ligne en quelques clics. Ça serait un genre de choses qu'on devrait avoir.

M. Carlos (Michel) : Mais le plus rapidement possible, et, comme je le mentionnais, c'est une question de si vous prévenez la fraude et vous sauvez des millions... c'est les banques qui remboursent les clients, finalement. Donc, si les banques économisent des millions par des mesures de sécurité concrètes au niveau des bureaux de crédit, ces millions-là pourront servir pour compenser pour le... dans le fond, les coûts pour la gratuité du consommateur. Je le vois comme ça, là. Parce que la banque... une banque, ça calcule, hein?

M. Ouellet : Oui, oui.

M. Carlos (Michel) : J'ai été dans une institution, ça fait que je peux vous dire que, quand j'arrivais avec un projet, ce n'était pas comment ça coûte, c'est comment ça rapporte. Il fallait que j'arrive puis...

Le Président (M. Simard) : En conclusion.

M. Carlos (Michel) : ...que le rapport soit plus important que le coût. Ils vont faire ce calcul-là.

M. Ouellet : Est-ce que le p.l. n° 53 pose des obstacles au travail des policiers si on applique un verrou sur le dossier de crédit?

M. Carlos (Michel) : Non. Ils sont à part. Ils ont un privilège spécial, les corps policiers. Selon moi, ça ne pose pas de problème, pour les agences, l'application de la loi.

Le Président (M. Simard) : Très bien.

M. Ouellet : Merci.

Le Président (M. Simard) : Alors, M. Carlos, merci beaucoup pour votre précieuse contribution à nos travaux.

Sur ce, je suspends notre séance pour une période de 10 minutes.

Une voix : Merci.

Le Président (M. Simard) : Au plaisir.

(Suspension de la séance à 11 h 32)

(Reprise à 11 h 42)

Le Président (M. Simard) : À l'ordre, s'il vous plaît! Alors, chers collègues, il y a consentement afin de reprendre plus rapidement que prévu nos travaux. Merci à nouveau pour votre collaboration. Nous sommes en présence de représentants du Mouvement Desjardins. Bonjour, messieurs. Auriez-vous l'amabilité, s'il vous plaît, pour les fins de nos travaux, de vous présenter?

Mouvement Desjardins

M. Grimard (Yvan-Pierre) : Avec plaisir. Alors, je suis Yvan-Pierre Grimard, vice-président Relations gouvernementales et institutionnelles au Mouvement Desjardins.

M. Jodoin (Yann) : Bonjour, je suis Yann Jodoin. Je suis vice-président des solutions de paiement, de financement et de la gestion financière au quotidien pour le Mouvement.

Le Président (M. Simard) : Bienvenue à vous deux. Vous disposez d'une période de 10 minutes.

M. Grimard (Yvan-Pierre) : M. le Président, M. le ministre, mesdames et messieurs, membres de la commission, le Mouvement Desjardins apprécie avoir l'occasion de contribuer aux travaux de la commission sur un projet de loi qui, il faut le dire, devrait positionner le Québec comme chef de file en matière d'encadrement des agents d'évaluation du crédit et de protection des renseignements personnels qu'ils détiennent. Cependant, permettez-moi d'exprimer notre surprise par l'absence d'autres institutions financières aux travaux de la commission. Puisqu'elles font partie de l'écosystème, elles auraient certainement pu contribuer à vos réflexions.

Cela dit, revenons au projet de loi qui, à juste titre, propose un encadrement des agents de crédit inspiré de celui imposé aux institutions financières. Pensons, par exemple, aux obligations relatives aux saines pratiques commerciales, au traitement équitable des consommateurs et à l'obligation d'offrir un mécanisme de gestion des plaintes et de règlement des différends, le tout sous la supervision de l'Autorité des marchés financiers. Sauf erreur, je pense qu'il est inédit de confier l'encadrement des agents de crédit à un régulateur des marchés financiers, ce qui nous apparaît comme étant judicieux, et nous tenions à le souligner.

Le projet de loi introduit également des mesures qui permettront aux Québécoises et aux Québécois de contrôler l'accessibilité à leur dossier de crédit, d'exiger une vérification additionnelle de leur identité par un tiers s'apprêtant à consentir un crédit, d'en connaître le contenu et de le corriger le cas échéant. Dans les faits, les agents de crédit occupent un rôle central dans l'écosystème de crédit de plusieurs juridictions puisqu'elles détiennent le portrait global des emprunteurs à l'égard de leurs obligations financières et de leurs comportements de crédit, ce sont auprès d'elles que les institutions financières s'alimentent pour gérer leur risque. Il est donc pertinent d'imposer un cadre aux joueurs clés que représentent les agents d'évaluation du crédit.

Aussi, nous pensons qu'avec cet encadrement, il sera plus difficile pour les fraudeurs de déjouer les institutions financières et qu'il réduira le nombre de crédits consentis à des personnes qui ne sont pas celles qu'elles prétendent être. Il y a même lieu de croire à une réduction de l'appétit des fraudeurs pour les renseignements personnels des Québécois.

Maintenant, puisque vous nous avez invités à donner notre point de vue, nous vous proposerons deux types de recommandations. Certaines visent à simplifier la gestion des protections choisies par les consommateurs, alors que d'autres visent à atténuer les effets de la loi sur la fluidité des rapports qu'ils entretiennent avec les prêteurs mais aussi auprès des commerçants avec lesquels ils souhaitent transiger.

Ainsi, le Mouvement Desjardins, comme première recommandation, propose que le gel de sécurité ne s'applique pas à l'augmentation d'une limite de crédit. Nous sommes d'avis que le gel de sécurité ne devrait pas s'appliquer lorsque le dossier de crédit est requis, dans la mesure où il y a déjà une relation en cours, les vérifications ont été faites au moment d'offrir le crédit, et, ensuite de ça, il y a un suivi de fait à partir de nos systèmes sur le comportement. Alors, on voit peu de valeur ajoutée à inclure l'augmentation de limite de crédit dans ce contexte-là.

De plus, pour maintenir une certaine fluidité dans le système, nous recommandons d'obliger les agences de crédit à informer l'institution financière lorsqu'un gel de crédit est appliqué au dossier. Nous ne voyons pas d'avantage à ce que l'institution financière soit privée de cette information. Au contraire, cela risque de semer la confusion, d'occasionner des délais de traitement des demandes et de l'insatisfaction de la part des emprunteurs. En permettant à l'agence d'informer l'institution financière, celle-ci pourra expliquer à son client pourquoi sa demande n'a pu être traitée, et ce dernier pourra poser les gestes requis pour suspendre le gel et finaliser son dossier avec le prêteur.

Aussi, pour protéger les consommateurs contre les oublis et lui permettre une gestion plus simple de ses protections, le Mouvement Desjardins recommande que la durée du gel de crédit et de l'alerte de sécurité soit illimitée au lieu d'être fixée par règlement. Le but est d'éviter qu'un individu pense que le gel de crédit ou l'alerte de sécurité est toujours en vigueur alors que le délai imparti par règlement est dépassé. Pour nous, les consommateurs ne devraient pas avoir à se demander si leurs protections sont en vigueur ou à renouveler.

Le Mouvement Desjardins recommande également d'obliger les agences de crédit à fournir aux institutions financières les outils technologiques pour permettre à leurs membres ou clients de se prévaloir du gel de crédit et de l'alerte de sécurité par le biais de leurs applications bancaires, par exemple dans AccèsD pour les membres Desjardins. Selon nous, le moyen d'appliquer le gel de sécurité et de le suspendre doit être le plus simple possible pour les utilisateurs. Cela éviterait les désagréments liés à la gestion d'identifiants et de mots de passe et permettrait une gestion plus optimale de leurs dossiers, en plus de réduire les délais relatifs à l'ajout ou au retrait des protections.

Nous recommandons aussi d'obliger les agences de crédit à se communiquer les demandes visant un gel ou une alerte de sécurité. L'objectif est de permettre aux prêteurs d'éviter des erreurs et de simplifier la tâche aux consommateurs. Dans les faits, une personne qui formulera une demande de crédit ne saura pas nécessairement à quelle agence elle doit s'adresser pour autoriser à nouveau l'accès à son dossier, compliquant ainsi sa gestion et allongeant les délais pour l'obtention d'un crédit. Enfin, si les mesures de sécurité ne sont pas communiquées entre les agences, des personnes risquent d'être sous l'impression d'être pleinement protégées alors que, dans les faits, leur dossier serait accessible auprès d'un autre agent d'évaluation du crédit.

Le Mouvement Desjardins recommande aussi d'obliger les agents de crédit à se partager entre eux leurs données d'alerte afin qu'elles fournissent un service d'alerte consolidé aux consommateurs qui y consentent ou qui en formulent la demande. L'objectif est d'éviter que le consommateur reçoive plusieurs alertes pour les mêmes événements et à divers moments, créant ainsi de la confusion et un stress inutile.

• (11 h 50) •

Enfin, le Mouvement Desjardins recommande que les mesures de protection soient sans frais pour les consommateurs, et ce, tant pour un ajout que pour un retrait. Puisque les renseignements détenus permettent aux institutions financières et aux prêteurs d'en tirer des revenus et des profits, il nous semble être dans l'ordre des choses que les consommateurs n'aient pas à payer pour gérer leur protection. La gratuité est, selon nous, le meilleur gage d'accessibilité qui soit.

Pour conclure, le Mouvement Desjardins recommande de ne pas sous-estimer l'ampleur des changements qui... qui découleront, pardon, du nouvel encadrement, que ce soit en matière de développement informatique, de révision des processus ou de fluidité des interactions entre tous les prêteurs et leurs clients, mais aussi entre ses clients et les commerçants avec lesquels ils veulent transiger. Les attentes des consommateurs sont élevées lorsqu'il s'agit des crédits, et, même si l'objectif est de leur offrir une protection accrue, nous anticipons devoir gérer de l'insatisfaction en raison des probables délais additionnels avec lesquels nous devrons composer, du moins, pour un certain temps.

En conclusion, le Mouvement Desjardins estime qu'il s'agit d'un bon projet de loi et recommande son adoption, tout en soulignant que la destination finale, en matière de protection des renseignements personnels, devrait être l'offre d'une identité numérique à tous les Québécois. Voilà. Il s'agissait des mesures qui nous semblaient les plus pertinentes à mettre de l'avant avec vous aujourd'hui. Je vous remercie de votre attention. Nous sommes disponibles pour répondre à vos questions.

Le Président (M. Simard) : Merci, M. Grimard, pour votre présentation. M. le ministre.

M. Girard (Groulx) : Merci pour vos suggestions, elles seront considérées sérieusement. Dans les faits, combien de clients de Desjardins se sont inscrits chez Equifax suite au vol de données?

M. Grimard (Yvan-Pierre) : Si vous êtes d'accord, M. le Président, je demanderais à mon collègue de répondre à la question.

M. Girard (Groulx) : Je vais faire une déclaration, M. Jodoin et moi avons déjà travaillé pour une institution financière d'une couleur différente à une autre époque.

M. Jodoin (Yann) : À une autre époque. Merci. Alors...

M. Girard (Groulx) : On jouait pour une autre équipe. Voilà.

M. Jodoin (Yann) : Oui. M. le ministre, je n'ai pas les données à jour, les dernières données, mais il y a plus de 1 million de nos membres qui se sont inscrits à la protection de l'alertage notamment chez Equifax.

M. Girard (Groulx) : O.K. Ils se sont inscrits à quoi?

M. Jodoin (Yann) : Bien, ils se sont inscrits à la protection Desjardins, et notamment dans le package de protection Desjardins, il y a un service avec Equifax qui permet de faire l'alertage quand il y a une consultation sur le bureau de crédit ou des changements d'information sur leur bureau de crédit.

M. Girard (Groulx) : L'alertage à l'institution financière qui octroie le crédit.

M. Jodoin (Yann) : Non, aux consommateurs.

M. Girard (Groulx) : Aux consommateurs.

M. Jodoin (Yann) : Exactement. Donc, nous, on n'a pas la visibilité de cet alertage-là qu'Equifax, par exemple, va envoyer. Donc, s'il y a une demande de crédit faites, un «hit», si vous voulez, une inquisition sur votre dossier de crédit ou un changement d'information sur votre dossier de crédit, le consommateur va recevoir, généralement par courriel, une information que le dossier a été consulté ou a été changé.

M. Girard (Groulx) : O.K. Et donc plus de 1 million de personnes se sont inscrites au service de ce que nous, on a appelé, jusqu'ici, au service de surveillance, et c'est vous qui avez payé pour ça, vous, au sens de l'institution.

M. Jodoin (Yann) : Oui. Exact.

M. Girard (Groulx) : O.K. O.K. Et vous avez payé pour le service minimal, «premium, de grande qualité? Quel service?

M. Jodoin (Yann) : En fait, il y a des pratiques qu'Equifax a dans le monde, dans ce genre de situation là. Et nous, Desjardins, on a été, là, à votre expression... allé dans le «premium». En fait, il n'y a personne, à la connaissance, selon le feed-back que nous avons reçu, là, de l'agence de crédit qui offre le même service. Généralement, lorsque des protections d'alertage sont payées par une institution financière, c'est sur... pour un an. Nous, on est allé jusqu'à cinq ans.

M. Girard (Groulx) : O.K. Donc, le service... je ne suis pas convaincu qu'«alertage», c'est un mot français, là. Le service de... Le service d'alerte qui, lui, est gratuit. On s'inscrit, on a ce service-là, mais ça, ça informe les institutions qui octroient le crédit. Donc, vous avez facilité l'inscription, payé pour l'inscription au service de surveillance, qui a permis aux citoyens de savoir l'activité sur leurs dossiers.

M. Jodoin (Yann) : Exact.

M. Girard (Groulx) : Et vous avez choisi le meilleur service. Est-ce que le service a fonctionné? Est-ce que, selon vous, les gens qui se sont inscrits... Par exemple, combien il y a eu de fraudes sur ces comptes-là ou il y a eu... Est-ce que le service a fonctionné puis on peut dire que c'est... selon vos statistiques, il n'y a eu aucune fraude sur ces comptes-là?

M. Jodoin (Yann) : Je n'irais pas à dire qu'il n'y a eu aucune fraude, mais effectivement le service fonctionne, je l'utilise, personnellement. Et effectivement, lorsqu'il y a de l'information ou des changements sur le bureau de crédit, on est informés. La conséquence, c'est que c'est nouveau pour les consommateurs d'avoir ce type d'alerte là, et donc beaucoup se sont questionnés sur le type d'alerte qui est généré : changement d'adresse, une information, une réquisition, une requête sur le score de crédit, par exemple, ou l'ajout d'une nouvelle facilité de crédit sur le bureau de crédit. Alors, ça a généré beaucoup d'appels chez Desjardins, parce que nos membres voient ces alertes-là, ne sont pas encore assez éduqués sur le type d'alerte que ça génère, parce qu'il n'y a pas nécessairement un grand contrôle sur le type d'alerte qu'on veut recevoir, là, c'est... Il y a un changement, il y a un impact, on reçoit l'alerte, donc... Mais avec le temps, puis on en a... Les gens ne réalisent pas qu'il y a beaucoup de changements sur leurs bureaux... sur leurs dossiers de crédit, là. Alors, avec le temps, les gens s'habituent, et donc on a vu une réduction, là, de volumétrie d'appels chez nous, chez Desjardins, parce que les gens appellent l'institution financière avec qui ils font affaire pour comprendre pourquoi il y a eu des changements.

M. Girard (Groulx) : O.K. Là, je vais faire un contre-éditorial. Parce que vous, vous n'êtes pas habitué à la joute parlementaire, mais, lorsque je parle, mes collègues font des éditoriaux sur ce que j'ai dit. Alors là, je vais dire quelque chose, puis mes collègues pourront faire un éditorial là-dessus. Donc, les clients ont eu accès à un service gratuit, payé par Desjardins.

M. Jodoin (Yann) : Oui, c'est Desjardins qui a payé pour le service.

M. Girard (Groulx) : Bon, voilà. Merci. Pourquoi on n'a pas pu faire une inscription en batch? Pourquoi, s'il y a eu x millions de personnes qui ont eu... qui ont été victimes, pourquoi, en 48 heures, Desjardins n'a pas été capable de s'entendre avec Equifax sur les personnes qui avaient été victimes du vol et faire une inscription en batch, je ne sais pas c'est quoi, le...

Une voix : ...

M. Girard (Groulx) : Non, pas en rafale...

M. Jodoin (Yann) : ...de masse.

M. Girard (Groulx) : Pourquoi on n'a pas pu faire... Pourquoi Desjardins n'a pas pu faire l'inscription de masse pour toutes les victimes?

M. Jodoin (Yann) : Il y a deux choses. Un, il y a un indicateur qui est mis qui est... une inscription qui est mise au dossier de crédit qu'il y a potentiellement... O.K. Puis ça, c'est fait en masse. Donc, on inscrit, on informe le bureau de crédit qu'il peut y avoir eu une vulnérabilité, là, sur l'information du bureau de crédit ou sur la personne.

M. Girard (Groulx) : Ça, c'est l'alerte.

M. Jodoin (Yann) : Non.

M. Girard (Groulx) : Non, O.K.

M. Jodoin (Yann) : ...ça, c'est un indicateur de masse. Après ça, pour que le consommateur reçoive des alertes sur des changements ou des activités sur son bureau de crédit, il faut que ça soit le consommateur qui fasse l'action, qui fournisse, qui donne le consentement à Equifax, au bureau de crédit, là, de s'inscrire à cette... à recevoir l'information, de donner ses... un, de l'authentification.

Donc, nous, ce qu'on a fait, c'est qu'on a envoyé, si vous voulez, un code d'inscription gratuite à nos membres. Et là, après ça, ils devaient s'identifier, s'authentifier, faire le match avec leurs fiches de crédit et, après ça, dire à quel endroit, donc leur adresse courriel, pour lequel ils voudraient recevoir l'information, ou l'adresse postale. Alors, ça, c'est une activité que Desjardins ne pouvait pas prendre en charge, là, de forcer l'inscription de l'alertage. Est-ce que vous comprenez, il y a deux aspects, là.

• (12 heures) •

M. Girard (Groulx) : J'ai bien compris. Comment ça s'est passé pour les citoyens, là, ce processus d'inscription, là? C'était agréable, fonctionnel, fluide? Comment vous décririez l'expérience du citoyen pour qui vous avez payé le service? Il doit faire le geste de s'inscrire puisqu'il devra recevoir des alertes à l'endroit que lui désigne avec son code, etc. Comment ça s'est passé?

M. Jodoin (Yann) : Bon, c'est une excellente question. Je dirais qu'il y a deux aspects, parce que je pense que vous allez demander sur la question de la qualité de service, M. le ministre. Alors, dans un premier temps, il faut comprendre que c'était une situation exceptionnelle. On a touché des millions de membres. Equifax est «staffé»... était... excusez-moi, là, l'expression, là, pour gérer 400 dossiers par jour dans leur centre d'appel, c'est leur volumétrie normale avant un événement. Et donc, du jour au lendemain, on a envoyé des millions de codes et donc les... Et c'est sûr que la situation a créé énormément, tu sais, d'insécurité, donc les membres ont appelé de façon... en masse pour pouvoir contacter... Donc, est-ce que la situation... est-ce que l'expérience dans un stress de savoir : Est-ce que mon information a été violée, est-ce que j'ai été... j'ai potentiellement été fraudé... Alors, les gens, là, ils avaient ces inquiétudes-là, voulaient s'inscrire rapidement. Alors, oui, il y a eu des temps d'attente importants. Il y a peut-être eu aussi... Je sais que notre partenaire, Equifax, a rajouté de façon importante des gens, mais, tu sais, la qualité de l'entraînement puis du français n'a peut-être pas toujours été à... haut requis.

Mais c'était une situation que j'appelle exceptionnelle, là. Du jour au lendemain, n'importe quelle organisation, là, qui a une volumétrie de 400 puis qui passe à 50 000, 70 000... parce que c'était ce qui se passait, là, c'était le nombre d'appels par jour, ce n'était pas une expérience qui était agréable, là, pour les membres, et aussi, je vous dirais, pour Desjardins, parce qu'on a mis beaucoup de pression sur notre partenaire pour inscrire... tu sais, pour que nos membres s'inscrivent rapidement.

M. Girard (Groulx) : O.K. Je vais revenir à M. Grimard. Vous avez parlé des développements technologiques nécessaires au développement d'un nouveau produit, le verrou. Est-ce que j'ai compris que vous considérez que c'est les agents de crédit qui devront payer pour vos développements?

M. Grimard (Yvan-Pierre) : Ce n'était pas le point, M. le Président. En fait, ça va être une aventure commune. Alors, nous, ce qu'on souhaite, quand on regarde la trame de fond de notre message, c'est de s'assurer que les utilisateurs, donc nous, les institutions financières et les agents de crédit, on puisse être capables de tirer le maximum de bénéfices du numérique et des technologies, donc de pouvoir faire en sorte que nos systèmes puissent être liés ou se parler puis être en mesure d'offrir une prestation de services qui va être agréable, je dirais, même, pour les Québécois qui vont vouloir soit ajouter une protection, l'enlever. Donc, c'est ça, l'idée que nous avons. Donc, ça va se faire en équipe, cette affaire-là, c'est certain.

M. Girard (Groulx) : O.K. Puis est-ce que vous avez une idée des coûts associés à ça?

M. Jodoin (Yann) : M. le Président, on a définitivement fait des présomptions d'investissement. Ça va être quand même assez important pour les institutions financières, parce que ce sont des canaux de communication qui n'existent pas, qui doivent être extrêmement sécurisés. Donc, ce n'est pas juste d'avoir un «flag» ouvert, fermé, mais c'est également s'assurer que, tu sais, on matche la bonne fiche de crédit avec le bon membre. L'authentification est importante là-dessus. Alors...

C'est pour ça d'ailleurs qu'on recommande fortement... La connexion, aujourd'hui, entre les institutions financières et puis les bureaux de crédit est extrêmement automatisée, alors c'est très robuste, c'est très sécure dans un contexte, tu sais, des opérations quotidiennes qu'on fait avec eux. Mais, quand... Puis vous allez avoir notre partenaire, Equifax, là, un peu plus tard, aujourd'hui, vous pourrez leur poser la question, c'est des entreprises qui fonctionnent en B2B, ce n'est pas des entreprises qui historiquement fonctionnent bien en B2C, tu sais, en...

Le Président (M. Simard) : En conclusion.

M. Jodoin (Yann) : ...d'une entreprise vers un consommateur. Pardon?

Le Président (M. Simard) : En conclusion.

M. Jodoin (Yann) : En conclusion. Alors donc, d'avoir... de, nous, gérer la relation avec le consommateur pour le gel et le dégel, c'est notre business, c'est ce qu'on croit être...

Le Président (M. Simard) : Merci, M. Jodoin. Je cède la parole au député de Pontiac.

M. Fortin : Merci. Merci, M. le Président. Bonjour, messieurs. Je ne ferai pas d'éditorial sur votre éditorial, sur votre... qui était plus une publicité qu'un éditorial, mais bon. En avez-vous fait assez, chez Desjardins, depuis l'incident?

Le Président (M. Simard) : M. Grimard.

M. Grimard (Yvan-Pierre) : On a la prétention, la conviction d'avoir fait tout ce qui était possible pour être en mesure d'assurer, là, la protection de nos membres. On pense avoir été bienveillants et l'être toujours autant.

M. Fortin : O.K. Donc, qu'est-ce que ça veut dire? Depuis la fuite de données, à l'interne, qu'est-ce que vous faites de plus pour protéger les données des Québécois, de vos membres, là? Parce qu'il y en a des millions et des millions, de Québécois qui ont des données, puis vous en avez probablement plus de données que n'importe qui, sauf l'État québécois, sur ces gens-là. Alors, qu'est-ce que vous avez fait pour protéger les données des gens qui s'inscrivent chez vous, qui vous confient leurs données personnelles?

M. Grimard (Yvan-Pierre) : Écoutez, évidemment, il y a toute une série de mesures qui ont été prises. Mais aujourd'hui, M. le Président, on est venus discuter avec la commission du projet de loi n° 53 et on souhaiterait s'en tenir au contenu, là, du projet de loi, si c'était possible.

M. Fortin : Mais on vient d'avoir une discussion de 15 minutes qui n'était pas nécessairement sur le contenu du projet de loi. Alors, ce qu'on vous demande, c'est de savoir ce que vous avez fait pour protéger... Le but du projet de loi n° 53, là, c'est de protéger les Québécois et les Québécoises. Puis la raison du projet de loi n° 53, c'est parce qu'il y a eu une fuite de données massives à partir de chez vous.

Alors, on aimerait savoir... Nous, on peut en faire un bout, mais il faut savoir que vous allez en faire un bout, que vous en avez fait un bout. Alors, je veux savoir qu'est-ce qui a été fait chez Desjardins.

M. Grimard (Yvan-Pierre) : M. le Président, le but du projet de loi n° 53 était de faire en sorte que les Québécois puissent avoir un meilleur contrôle de leurs données personnelles se trouvant chez les agents d'évaluation du crédit. Alors, pour faire ça, le ministre des Finances, le gouvernement propose d'octroyer aux Québécois la possibilité de geler l'accès à leur crédit, la possibilité d'émettre une alerte de sécurité qui fait qu'un tiers qui veut accéder au bureau de crédit doit être plus vigilant dans la vérification de l'identité de la personne qui veut obtenir un nouveau crédit, et aussi le recours à une note explicative qui permet d'inscrire une mésentente avec un agent de crédit.

Alors, le projet de loi, c'est ce qu'il fait. C'est un projet de loi qui va dans la bonne direction et qui va positionner le Québec, je le réitère, comme leader, au moins au Canada puis certainement en Amérique du Nord, au niveau de la protection des renseignements personnels des Québécois qui se trouvent dans les bureaux de crédit.

M. Fortin : C'est... Effectivement, vous avez décrit le projet de loi n° 53 avec justesse. Ce n'était pas ma question. Ce qu'on cherchait à comprendre, c'est ce qui s'est passé chez vous. Et j'ai des questions plus précises, hein? Pour les... Vous avez combien de membres chez Desjardins? C'est facile, là, il n'y a pas de raison de ne pas répondre à cette question.

M. Grimard (Yvan-Pierre) : 4,2 millions de membres.

M. Fortin : O.K. Combien de... Dans la fuite de données personnelles, il y en avait combien, de ces membres-là qui ont été affectés?

M. Grimard (Yvan-Pierre) : Qui ont...

M. Fortin : Qui ont eu leurs données personnelles partagées, échangées, qu'il y a eu une fuite par rapport à leurs données personnelles.

M. Grimard (Yvan-Pierre) : Notre président a indiqué que c'était l'ensemble des données...

M. Fortin : O.K., parfait.

M. Grimard (Yvan-Pierre) : ...que ça concernait l'ensemble de nos membres, effectivement.

M. Fortin : Alors, il y a 1 million des 4,2 millions de membres que vous avez qui se sont inscrits chez Equifax. C'est ce que j'ai compris tantôt, 1 million environ. Donc, il y en a 3,2 millions qui ne se sont pas inscrits. Qu'est-ce que vous avez fait pour que ces gens s'inscrivent... outre leur écrire, là, outre leur envoyer une lettre par la poste, là, qu'est-ce que vous avez fait pour qu'ils s'inscrivent?

• (12 h 10) •

M. Jodoin (Yann) : M. le Président.

Le Président (M. Simard) : M. Jodoin.

M. Jodoin (Yann) : Selon Equifax, on a eu environ 40 % de taux d'adhésion au service d'alerte. Généralement, leur taux est dans moins que... pour tous les autres services qu'ils ont faits, par exemple, avec d'autres institutions financières, là, dans le monde, le service similaire, c'est moins de 5 %. Alors, on est largement, là, le «poster child», là, au niveau d'Equifax, en termes d'adhésion de nos membres, de la façon aussi qu'on a engagé nos membres à s'inscrire aux alertes, là, pas l'alertage mais au service d'alerte.

Alors, donc c'est... Puis on vous dit : L'ensemble des membres, là, on est allés par différentes vagues, là, de lettres également. Alors, quand je vous ai dit plus de 1 million, là, présentement, les données que j'ai, c'est à peu près 1,7, mais je ne voudrais pas induire la commission en erreur sur un chiffre, là, alors c'est pour ça...

M. Fortin : O.K., mais... Ça va, mais, même si vous êtes à 1,7 million, là, je le prends juste pour partir la discussion, là, ça veut dire qu'il y a 2,5 millions de personnes qui, elles, ne se sont pas inscrites. Tu sais, je vous soumets bien respectueusement, là, que votre travail... ça fait partie de votre travail de donner aux Québécois, à vos membres tous les outils possibles, toutes les opportunités pour qu'ils se protègent, parce que la fuite, veux veux pas, bien c'est une fuite qui vient de chez vous.

Alors, c'est des membres de chez vous, c'est des gens qui vous ont confié ce qu'ils ont de plus précieux, leurs données personnelles, entre autres. Alors, pour ces gens-là qui ne sont toujours pas inscrits, là, est-ce que c'est fini? Est-ce que vous tentez encore de les rejoindre? Est-ce que vous relancez encore? Ou est-ce que vous avez dit : Bien, pour les 2,5 millions qui restent, nous autres, on a fait ce qu'on avait à faire? J'essaie de comprendre.

M. Jodoin (Yann) : En fait, on est encore en vague de relancer les membres. On n'a pas encore établi la stratégie de relance. Je vous avoue qu'on a eu la pandémie, alors on a mis un arrêt à un moment donné sur les lettres, là, pour ne pas créer plus de confusion auprès de nos membres. C'est certainement quelque chose qu'on va reconsidérer à un moment donné, de relancer nos membres. Il n'y a pas de limite, là, dans le temps, là, sur l'inscription.

M. Fortin : À ce moment-là, le jour où vous le ferez, là, est-ce que vous allez vous assurer qu'Equifax a les ressources pour répondre aux Québécois en français?

Le Président (M. Simard) : M. Grimard.

M. Grimard (Yvan-Pierre) : Pour peut-être répondre plus précisément à votre question, M. le Président — désolé, désolé, Yann — je tiens à souligner que les membres qui ne se sont pas prévalus des services d'Equifax sont quand même protégés par l'entremise de ce qu'on appelle la protection membre Desjardins. Alors, cette protection-là est accessible à tous. Alors, un membre qui est victime d'un vol d'identité va être accompagné, va pouvoir... va être accompagné s'il encourt des pertes financières. S'il se fait voler de l'argent, il va être remboursé, il va être accompagné s'il a besoin de services d'un professionnel pour rétablir son dossier de crédit, et on va l'accompagner aussi dans les démarches qu'il va devoir faire pour, justement, rétablir son dossier au grand complet. Puis, quand on parle d'accompagnement, ce n'est pas de lui envoyer un courriel avec la liste de numéros de téléphone puis la liste de courriels, c'est un accompagnement qui est réel. Alors, tout ça pour vous dire qu'il n'y a pas de membre et de client de Desjardins qui sont laissés en plan suivant la fuite de renseignements personnels de 2019.

Le Président (M. Simard) : Merci. M. le député.

M. Fortin : O.K. Mais je reviens à ma dernière question, là. Est-ce qu'au moment où vous allez relancer vos clients... est-ce qu'Equifax va avoir les ressources nécessaires en français pour leur répondre?

Le Président (M. Simard) : M. Grimard.

M. Grimard (Yvan-Pierre) : Bien, écoutez, la... Je pense que oui. Pourquoi? Parce que la première vague est passée, et, selon nos études, selon les discussions qu'on a avec Equifax... M. Jodoin vous donnait, là, les statistiques, tantôt, le taux d'inscription à ces protections-là est extrêmement élevé, et c'est inégalé dans le monde. Alors, on n'anticipe pas de pression, là, semblable à celle qu'Equifax a subie l'année dernière.

M. Fortin : Quand vous dites : Tous les clients Desjardins ont eu les protections ou ont pu se prévaloir des protections nécessaires, là, vous incluez là-dedans ou vous comptez là-dedans les clients de Desjardins Assurances?

M. Grimard (Yvan-Pierre) : Tout client de Desjardins qui a été victime, dont les données personnelles ont sorti peut s'inscrire à la protection d'Equifax. Et, si le client ne prend pas ce service-là et qu'il a des problèmes de vol d'identité, alors il a recours à la protection Desjardins, qu'on appelle. Mais plus précisément, M. le Président, les données personnelles contenues chez nos filiales, donc... Vous parliez de... le député parlait d'assurances, alors, non, il n'y a pas eu de problématique de ce côté-là.

M. Fortin : Il n'y a pas eu de problématique, mais, si cette personne-là se réveille avec un enjeu demain matin, est-ce qu'elle peut bénéficier de la protection Desjardins à laquelle vous faites référence?

M. Grimard (Yvan-Pierre) : Oui, la personne peut bénéficier de la protection Desjardins.

M. Fortin : O.K. Je veux juste, pendant qu'on parle d'assurance, là... je vais revenir à mes questions sur ce qui s'est passé et votre réaction à ça, mais, pendant qu'on parle d'assurance, votre recommandation que l'alerte de sécurité ne s'applique pas lors de la police d'assurance, je comprends que vous êtes une compagnie d'assurance, que le bureau de l'assurance ne veut pas nécessairement non plus, mais il va falloir que vous nous l'expliquiez celle-là. Pourquoi est-ce que vous ne pensez pas que c'est nécessaire que l'alerte de sécurité, la note explicative, s'applique quand on achète une police d'assurance?

M. Grimard (Yvan-Pierre) : Écoutez, en fait, M. le Président, c'est qu'il existe un lien entre la cote de crédit et la sinistralité et les risques que pose, là, la personne qui veut assurer une voiture ou une habitation. Alors, l'objectif de ça, c'est de maintenir une certaine fluidité dans les relations. Et la cote ne sert qu'à offrir le meilleur tarif.

Le Président (M. Simard) : Très vite, pour une dernière question, M. le député. Très vite.

M. Fortin : Très vite, là, avez-vous mesuré, en termes de dollars, la fraude dont ont été victimes vos clients, au total? Avez-vous une idée générale ?

Le Président (M. Simard) : Très bien. Oui.

M. Grimard (Yvan-Pierre) : Malheureusement, M. le Président, je n'ai pas cette information-là.

Le Président (M. Simard) : Merci. La parole est au député de Rosemont.

M. Marissal : Merci, M. le Président. Messieurs, bonjour. Rebonjour, je devrais dire. Je comprends que ça ne vous tente pas trop de retourner 14 mois en arrière puis de reparler de ce qui s'est passé. Je préférerais ne pas en parler non plus, mais malheureusement on est ici en grande partie parce que ça, c'est arrivé, et on n'a peut-être pas eu toutes les réponses. Alors, ici, on peut rédiger, bichonner le plus beau projet de loi du monde, si les institutions bancaires n'y accordent pas toute l'importance voulue ou que parfois — ça a été dit tout à l'heure à ma collègue de Saint-Laurent par un expert qui était ici — on protège, ou on cache des informations, ou on retient, ou on ne la divulgue pas parce qu'il y a des risques réputationnels, ça ne nous aidera pas beaucoup. On peut adopter des lois ici qui seront vaines.

Est-il vrai que votre employé qui a été congédié, qui a volé des renseignements l'a fait pendant quatre ans chez Desjardins ?

Le Président (M. Simard) : M. Grimard.

M. Grimard (Yvan-Pierre) : M. le Président, ce n'est pas une information que je détiens, donc je ne suis pas en mesure de répondre à la question du député de Rosemont.

M. Marissal : Vous ne la détenez pas.

M. Grimard (Yvan-Pierre) : Je ne connais pas l'information.

M. Marissal : O.K. Est-il vrai, par ailleurs, que cet employé s'était acoquiné avec un courtier hypothécaire du domaine privé à qui il a refilé pendant quatre ans des données, ce courtier hypothécaire devenant soudainement très, très, très productif et très, très riche, puisqu'en fait ce qu'il faisait, c'est qu'il prenait les informations de votre employé et les transférait tout bonnement dans d'autres institutions, puisqu'il avait toutes les données, notamment hypothécaires? Est-ce que ça, c'est juste?

M. Grimard (Yvan-Pierre) : Ce sont des choses qui ont circulé dans les médias, mais je n'ai aucune idée, là, de la justesse de ce que j'ai lu dans les médias en question.

M. Marissal : Donc, vous ne confirmez ni n'infirmez. D'accord. Vous pouvez répondre pour qu'on l'entende sur le transcript.

M. Grimard (Yvan-Pierre) : J'indique que je ne sais pas si ce qu'on a pu lire dans les médias... concernant, là, l'exemple que le député de Rosemont a donné, je ne sais pas si c'est exact.

M. Marissal : D'accord. Quant à la divulgation, vous dites qu'elle a été faite rapidement, dans l'ordre. N'avez-vous jamais considéré que le risque réputationnel était immense en raison de l'ampleur des fuites?

M. Grimard (Yvan-Pierre) : M. le Président, le risque réputationnel était immense, c'est pourquoi Desjardins a fait preuve d'une bienveillance inimitable, qui n'a jamais été vue ailleurs. Alors, effectivement, il y avait des risques réputationnels, c'est pourquoi on a pris toutes nos responsabilités. On les prend encore, puis on va continuer de prendre nos responsabilités.

M. Marissal : Vous avez donc recouru au service d'Equifax. Pas bien, bien le choix, c'était Equifax ou l'autre, là. Je comprends qu'il y en a juste deux. Est-il vrai que ça a coûté 30 millions à Desjardins, à ce jour, avec Equifax?

• (12 h 20) •

M. Jodoin (Yann) : Ça a coûté très cher, M. le Président, mais le... Ce que je vais dire, c'est que la notion du coût n'était pas une... n'a jamais été, je dirais, un facteur décisionnel de vouloir faire ce qui était le mieux pour protéger nos membres.

M. Marissal : O.K. Et, très rapidement, pourquoi ne pas avoir émis une alerte de masse avant sur tous les dossiers, ce qui aurait finalement fait à peu près la même chose?

Le Président (M. Simard) : En conclusion.

M. Jodoin (Yann) : Comme j'ai indiqué, M. le Président, au départ, il y a une information qui a été inscrite, sur les bureaux de crédit, en masse, il faut séparer ça avec l'inscription à l'alertage reçu par les consommateurs ou les membres de Desjardins.

Le Président (M. Simard) : Merci, M. Jodoin. Je cède maintenant la parole au député de René-Lévesque.

M. Ouellet : Merci. Bonjour, messieurs. J'ai eu l'opportunité de parcourir votre mémoire. Vous avez souligné tout à l'heure votre... pas votre indignation, mais vous avez quand même souligné que d'autres joueurs des institutions financières ne sont pas présentés, mais ils nous ont quand même transmis un mémoire.

Je vais quand même me permettre d'obtenir un commentaire sur le mémoire de l'Association des banquiers canadiens parce que j'aimerais avoir votre avis. Je ne les ai pas devant moi pour les questionner, mais je les aurais questionnés sur ce point en question. Ils disent, dans leur mémoire, qu'il serait «extrêmement difficile de maintenir la relation de crédit avec les personnes qui demandent un gel de sécurité. Ainsi, les clients en question subiront des retombées négatives, par exemple fermeture de compte ou interruption de service, et les protocoles de gestion des risques seront compromis.»

Partagez-vous ces craintes? Partagez-vous cette catastrophe, dans les relations entre le client et les institutions, quant au manque de fluidité possible à travers les différentes relations par le fait qu'on va ajouter un verrou de crédit et que, si on se fie à la volonté de la commission, c'est peut-être même d'y aller avec un verrou qu'on soit capable d'enlever et de remettre rapidement, et même par le Web? Est-ce que vous partagez ces craintes?

M. Grimard (Yvan-Pierre) : M. le Président, je n'ai pas pu prendre connaissance du mémoire de l'association. J'ai regardé sur le site avant de venir. Ceci étant dit, je crois comprendre ce que l'Association des banquiers canadiens indique. C'est un peu dans cet esprit-là qu'on fait plusieurs recommandations. Effectivement, ça va être important de maintenir une fluidité, s'assurer de la satisfaction de nos membres, s'assurer aussi que ces membres-là puissent transiger avec les commerçants qu'ils auront choisis.

Ceci étant dit, dans notre mémoire, on ne l'a pas écrit de la même façon, là, que ça a été...

Le Président (M. Simard) : Et, ceci étant dit, M. Grimard, c'est normal que vous ne l'ayez pas vu puisque nous allons officiellement le déposer en fin de séance.

M. Ouellet : Vous recommandez la gratuité des mesures pour la protection du consommateur. Au final, c'est vous qui allez payer — quand je dis «vous», c'est les institutions — pour sa mise en application. Si on dit que le consommateur n'aura rien à payer pour obtenir les services de protection, le verrou ou les alertes de sécurité, vous comprendrez que le coût d'installation va être imputé à quelque part, et ce quelque part là risque d'être les institutions, puisque vous êtes les premiers tributaires ou les premiers demandeurs de ce genre d'information. Est-ce que je me trompe?

M. Grimard (Yvan-Pierre) : M. le Président, le député de René-Lévesque ne se trompe pas. On a été clairs à l'effet que, pour nous, la gratuité, c'est important, ça va favoriser l'accessibilité. Oui, il va y avoir des coûts, nous allons en assumer une partie, les banques vont en assumer une partie et probablement qu'Equifax, TransUnion, les gros joueurs vont en assumer une partie, eux aussi.

L'objectif, c'est de faire en sorte qu'il n'y ait pas de distinction entre les mieux nantis, les moins nantis, il faut que les services soient accessibles, puis on pense que tout le monde va en bénéficier. Et puis on a confiance qu'avec ce que le ministre a prévu comme outils à l'Autorité des marchés financiers la qualité du service va être au rendez-vous. L'Autorité va imposer... va proposer des lignes directrices qui vont porter spécifiquement sur les saines pratiques commerciales. Et, si les agents d'évaluation du crédit ne se conforment pas, l'Autorité a le pouvoir de réglementer ces choses-là. Donc, on a bien espoir, nous, que les agents vont être au rendez-vous pour être capables d'offrir aux Québécois ce qu'ils méritent.

M. Ouellet : Et je présume aussi que, par votre expérience passée, vous allez être en mesure de contribuer à améliorer la qualité du service ou du moins de proposer des améliorations quant à la façon dont le consommateur a eu à avoir affaire ou avoir accès à ce genre d'information là. Certaines personnes nous disaient que c'était effectivement difficile d'avoir... de s'y retrouver dans la masse d'informations. Vous en faisiez référence tout à l'heure, le genre d'alerte que ça a sollicité. Donc, je crois comprendre que votre expérience pourrait servir à TransUnion et à Equifax...

Le Président (M. Simard) : En conclusion.

M. Ouellet : ...pour la mise en place de mesures tout à fait adéquates, qui répondraient aux aspirations et aux demandes des consommateurs : accessibilité, mais surtout protection.

M. Grimard (Yvan-Pierre) : Exactement, M. le Président. C'est exactement l'objectif qu'on poursuit.

Le Président (M. Simard) : Merci. Alors, merci à vous deux pour votre présence parmi nous aujourd'hui.

Sur ce, nous allons suspendre nos travaux pour la période du repas. Nous serons de retour à 14 heures dans la même salle. Merci.

(Suspension de la séance à 12 h 25)

(Reprise à 14 h 02)

Le Président (M. Simard) : Alors, bonjour à tous. Merci à nouveau pour votre grande ponctualité. Nous avons la chance cet après-midi de débuter nos travaux en recevant un expert en sécurité informatique, M. Steve Waterhouse. Monsieur, soyez le bienvenu parmi nous, merci d'avoir répondu à notre invitation. Comme vous le savez, vous disposez d'une période de 10 minutes.

M. Steve Waterhouse

M. Waterhouse (Steve) : Merci, M. le Président. Messieurs, dames, le projet de loi n° 53 a comme objectif, comme vous le savez, de baliser les actions que doit prendre un agent d'évaluation du crédit envers les informations qu'il détient, manipule ou gère, qui sont le gel de sécurité, l'alerte de sécurité et la note explicative, comme plusieurs vous ont expliqué déjà. Dans mon exposé, j'apporte un point de vue plus technique que de la gouvernance. Malgré les meilleures intentions, si ces dernières ne peuvent être mises en place et contre-vérifiées, ce n'est qu'un exercice de bien paraître.

Selon une étude de PricewaterhouseCoopers de 2018, 44 % des cyberattaques de fuites d'information aux États-Unis sont attribuables à des agents de menace interne à l'organisation. Seulement 10 % des malfaisants ont exhibé des signes, des changements de comportement avant le méfait, ce qui rend encore plus difficile la détection de tels méfaits, ou même de telles personnes.

De l'Enquête canadienne sur la cybersécurité et le cybercrime de 2017, de la Sécurité publique du Canada, il n'est pas surprenant de constater que seulement 20,8 % des entreprises ont été victimes d'un cyberincident et moins de 10 % le rapportent aux services policiers. De ces incidents rapportés, 26,5 % sont des demandes de rançon, qui sont à la hausse, suivies de vol de renseignements personnels ou financiers, à 17,4 %, et des accès non autorisés à des systèmes, à 15,6 %. Il est fréquemment constaté que plus que la moitié des compagnies sondées règlent à l'interne les incidents, ce qui veut dire aussi qu'ils ne rapportent pas aussi souvent ces incidents de sécurité aux autorités, ce qui fait en sorte que les statistiques ne sont souvent pas le reflet de la réalité.

Pour y voir clair, il faut tout d'abord connaître les protagonistes qui sauront influencer l'évaluation des menaces et des risques, l'EMR, outil qui guide les décideurs des organisations quant au choix des moyens de détection et de défense envers les fuites de données, tels que présentés dans l'étude du rapport Insider Threat Report 2018 de Verizon et qui sont à décrire ces acteurs de menace comme étant soit le travailleur insouciant, l'agent interne, l'employé mécontent, l'employé interne malveillant et un tiers incapable, qui est souvent les partenaires d'affaires malveillants.

Pour mitiger ces risques de compromission, les dirigeants des entreprises de toutes grandeurs doivent reconnaître que, premièrement, ce risque existe, et prendre les moyens de vérifier à l'interne si l'organisation est vulnérable, intégrer des contre-mesures soit techniques ou humaines contre toute menace, et revoir fréquemment, ce qui fait souvent défaut, si ces mesures sont appropriées, et recommencer le processus. Ce sont, là, des principes fondamentaux de la cybersécurité dans n'importe quelle sphère d'activité ou même d'organisation.

Alors, que ces cas de fuite d'information, comme c'est arrivé chez AOL aux États-Unis il y a quand même plusieurs années... mais c'est quand même un fait historique de le voir, et on pourrait en rediscuter, comme Equifax, que vous allez avoir une présentation après la mienne, mais que c'est un fait historique aussi de la façon qu'Equifax s'est compromis, c'est quand même assez incroyable, Desjardins comme on le sait, et même dans l'armée américaine, où est-ce qu'on peut s'attendre que l'armée des États-Unis soit ultrasécuritaire, bien, déjà là, il y a eu une exfiltration de données quand même importante en 2010.

Les vieilles façons de faire, autrement dit, dans tous ces cas-là, c'est de travailler avec de la sécurité par-dessus de la sécurité, ce qui est un non-sens au XXIe siècle que de vouloir... de travailler de cette façon-là. Tout finit par se savoir, surtout dans le domaine des fuites d'information, comme on l'a appris des entreprises où il y a eu brèche. Ce sont toujours les citoyens, clients, utilisateurs ou même membres qui en paient le prix dans le futur. Ce ne sont pas les institutions.

Dans le rapport de février de 2020 d'Ernst & Young, d'un sondage global de la sécurité de l'information, qui est de plus en plus adoptée par les compagnies proactives en matière de protection des renseignements personnels et de la vie privée, l'approche «security by design» est préconisée, autrement dit, sécurité dans la conception de logiciels, systèmes et autres, est préconisée et mise de l'avant pour favoriser un environnement de travail axé sur la culture de l'information et... pardon, de la sécurité de l'information et qui est clé à éviter et à anticiper les fuites de données des différents acteurs de menace envers ces données, dont la menace à l'interne.

Et même au gouvernement fédéral, où cette culture de la gestion de l'information est présente depuis plus de 50 ans, il y a quand même des manquements et incidents de sécurité. Il faut constamment entretenir ces notions de protection de l'information et non imposer ou adopter une solution unique dans une organisation et consigner au dossier qu'une solution a été mise en place et satisfait le... ou la norme, ou les normes, ou les actionnaires et oublier le tout jusqu'au prochain incident, autrement dit faire un «check mark» que c'est fait. Bon. Car les moyens de techniques de prévention et de perte de données, «data loss prevention», existent et sont disponibles depuis plus de 10 ans, ayant moi-même installé par le passé ces types de moyens de défense dans les organisations de moyenne et grande taille, dans le but de réduire les fuites de données telles que soutenues par leurs évaluations de menaces et de risques.

Je suis d'avis que les organisations se doivent d'user surtout de gros bon sens dans l'application de la sécurité de l'information. L'université Carnegie Mellon a d'ailleurs publié en 2016 un excellent papier à cet effet, qui peut servir de ligne directrice aux organisations qui veulent bien développer leurs règles à l'interne et sensibiliser ou former leur personnel. Sans une formation, sensibilisation adéquate des agents, d'une transparence des actions d'intervention et une direction claire des dirigeants envers la sécurité des données détenues ou manipulées sur une base d'une meilleure connaissance des menaces et des vulnérabilités, les incidents de fuites de données ne feront que se répéter et s'amplifier dans un futur rapproché. Je suis disponible d'en discuter avec vous.

Le Président (M. Simard) : Merci, M. Waterhouse. Je cède donc maintenant la parole au ministre des Finances.

M. Girard (Groulx) : Vous pensez quoi du projet de loi n° 53?

M. Waterhouse (Steve) : Le projet de loi est en soi... j'en ai fait, des recommandations, à la fin du mémoire. C'est un très bon guide, une orientation pour que, justement, les organisations en prennent connaissance, qu'est-ce qu'ils en sont de leurs responsabilités à l'intérieur de leur manipulation, gestion, entreposage de données, sans quoi le projet de loi n° 64 à lui seul ne fera pas tout.

M. Girard (Groulx) : O.K. Donc, c'est par les lignes directrices de gestion et de pratiques commerciales qui seront émises par l'AMF qu'on va faire des avancements, mais vous comprenez que ces lignes directrices là vont s'appliquer aux agences de crédit, là. Tu sais, on parle de deux institutions, essentiellement, là.

M. Waterhouse (Steve) : Principalement, oui. Malheureusement, si on ne touche pas aux autres organisations qui viennent influencer, pour ne pas dire manipuler et traiter de l'information en référence à ces deux compagnies-là, ils peuvent être aussi... devenir le maillon faible dans une fuite potentielle d'information.

• (14 h 10) •

M. Girard (Groulx) : O.K. Mais juste... O.K. pour préciser, là, parce que la protection des renseignements personnels, c'est l'objet du projet de loi n° 64. Ici, on veut s'assurer, dans le projet de loi n° 53, que les agences d'évaluation de crédit, qui sont un intermédiaire extrêmement important dans les marchés financiers... puis c'est pour ça que c'est le ministre des Finances qui pilote ça et que c'est l'AMF qui va les superviser, puisque l'AMF est habituée à superviser des grandes institutions.

Est-ce que les services offerts par ces agents d'évaluation de crédit, l'alerte et la surveillance, là... On nous a donné des définitions, là. L'alerte, c'est une simple note qui est émise au... C'est gratuit, offert par les... et qui est sur le dossier et qui permet aux entités et aux institutions financières qui font de l'octroi de crédit d'être informées que... de faire des vérifications supplémentaires.

Les produits de surveillance, tels que ceux qui ont été payés par Desjardins pour les clients, est-ce qu'ils sont efficaces une fois que vos données ont été compromises, là? Parce que là c'est ce dont on parle. Je comprends que c'est encore mieux, la prévention de la perte de données. Ça, c'est indéniable, là, puis on en convient tous, là, mais, comme il y a eu des vols de données, et il y aura des vols de données, pour s'assurer que les citoyens puissent avoir des lignes de défense, est-ce que les services qui sont offerts par Equifax sont efficaces?

M. Waterhouse (Steve) : Ils sont efficaces dans la mesure que c'est ça qu'on veut en retirer. Parce que, dès le jour 1, même le jour 0, j'étais le premier qui recommandait que ce soit une surveillance de dossier de crédit de cinq ans, et non pas un an, comme le proposait Desjardins initialement, parce qu'il y a eu des conséquences dans d'autres fuites d'information, qu'après la cinquième année les malfaisants commençaient à utiliser les données compromises, parce que la poussière était retombée, puis les gens ne se souvenaient pas qu'il y avait des données qui avaient fui.

Ça fait que, le programme qui est offert par Equifax, on ne peut que le qualifier, parce qu'on l'utilise mais à l'interne, je n'ai aucune idée comment ça fonctionne de ce côté-là, et de se faire aviser, bien un, j'en suis un consommateur du service et je ne suis vraiment pas impressionné quant à la rapidité d'avertir le consommateur quand il y a manipulation ou quelque chose qui ne va pas avec le dossier de crédit. C'est bien aussi de faire la distinction que ce n'est pas un outil de protection du dossier de crédit mais bien un outil de surveillance.

M. Girard (Groulx) : O.K. Le gel de crédit, est-ce que ce sera un outil efficace?

M. Waterhouse (Steve) : Dans la mesure qui... J'entendais les intervenants précédents. Dans la mesure que ça peut être un outil efficace lorsque c'est bien géré, moi, j'y voyais aussi la possibilité que ça soit l'individu qui puisse à ce moment-là activer de lui-même. Mais ça, c'est avec une éducation, et, en l'absence d'une éducation, une compréhension technologique, ça risque d'embourber beaucoup plus le système et, à ce moment-là, d'amener les gens à appeler pour avoir plus d'aide à comprendre le système pour être capables de geler leurs dossiers de crédit. Alors, d'amener ça dans un automatisme, est-ce que ça serait, à ce moment-là, la responsabilité des institutions financières que ça soit un autre service offert? Possiblement. Considérant que ça doit rester gratuit, oui, je suis d'accord.

M. Girard (Groulx) : O.K. Ça, c'est une discussion qu'on va avoir, là, parce que je sais que tout le monde envisage, là, de pouvoir aller sur son téléphone puis mettre son verrou ouvert, fermé trois fois par jour. Mais ça risque d'être un peu plus compliqué que ça, parce qu'une fois que tu mets le verrou, ça enclenche des conséquences, là.

O.K. Ça fait que la protection en amont, beaucoup mieux que la gestion des fuites. La gestion des fuites : alerte, surveillance, verrou, la note. Est-ce que c'est utile, la note, selon vous?

M. Waterhouse (Steve) : J'ai mal compris, tout au long des présents travaux, à quoi et comment se manifeste la note — je suis un gars visuel — puis je ne vois pas non plus comment ça va se situer dans le dossier de crédit, honnêtement.

M. Girard (Groulx) : O.K. Bon. Donc, jusqu'à ce que vous l'ayez compris, vous n'y voyez pas l'utilité, là.

M. Waterhouse (Steve) : Je ne peux pas qualifier l'utilité ou pas, je ne la comprends pas, la... que ça soit là.

M. Girard (Groulx) : Non, non, c'est clair. O.K. Bien, la note vise à documenter que vous êtes en désaccord avec ce qui est inscrit... ce qui affecte votre crédit, là.

M. Waterhouse (Steve) : Donc, une... Bien, c'est là que ça va devenir, à ce moment-là, une gestion supplémentaire. Puis ça va être quoi, le recours pour être capable de challenger s'il y a une erreur qui est mise dans la note? Parce que, présentement, lorsqu'il y a des gens qui doivent faire faire des révisions de dossier de crédit, c'est un capharnaüm, pour ne pas dire une maison des fous, pour être capable d'adresser le sujet auprès d'Equifax ou TransUnion. J'en ai, des clients, à qui j'ai travaillé avec récemment qui en ont subi, des conséquences de vol d'identité, puis là-dessus, bien, il y a très peu de support de la part de Desjardins, malgré qu'est-ce qui est publicisé, parce que ça prend vraiment une longue liste de préalables pour être capable d'accéder au service de soutien, puis après coup, bien, lorsqu'on s'en va puis on fait affaire avec des Equifax puis des TransUnion, bien, ça aussi, là, c'est un autre... il faut prendre son numéro puis être très patient pour être capable d'y accéder. Ça fait que, la note au dossier, si on dit qu'elle est consignée pour aider le client, le citoyen ou le membre, bien, je ne crois pas que ça soit... L'idée est très bonne, mais je ne crois pas que ça soit actualisable et même disponible.

M. Girard (Groulx) : Est-ce que vous avez déjà fait affaire avec la Commission d'accès à l'information?

M. Waterhouse (Steve) : La Commission d'accès à l'information aussi, parfois, j'ai souvent fait valoir qu'elle est difficile d'accès, mais aussi, souvent, le traitement de l'information, comme il a été rapporté aujourd'hui, il est long aussi de leur côté.

M. Girard (Groulx) : O.K., mais vous l'avez déjà utilisée.

M. Waterhouse (Steve) : Les clients avec qui j'ai fait affaire ont... En fait, je les ai orientés vers la CAI.

M. Girard (Groulx) : O.K., ça complète mes questions. Peut-être, le député de Rousseau ou de Saint-Jérôme ont des questions?

Le Président (M. Simard) : Je vous en prie, cher collègue. M. le député de Rousseau.

M. Thouin : Alors, merci. Content de vous rencontrer aujourd'hui. Question : ce matin, les gens de Desjardins, je pense, ont dit que... comme ils sont habitués à faire du service directement à la clientèle, ce qui est moins les cas avec les entreprises qui font la gestion du crédit, comme Equifax ou TransUnion, ils disaient que c'est eux qui devraient normalement... c'est eux qui devraient modifier, là, le gel ou le dégel, là, d'un compte, c'est eux qui devraient gérer ça. Est-ce que vous êtes de cet avis-là?

Si on avait à mettre le gel, là, est-ce que le citoyen devrait passer directement avec Equifax pour geler ou dégeler son compte ou... ou, en fait, son bureau de crédit, ou il devrait passer plutôt... ça devrait être géré plutôt par les institutions financières qui sont en lien direct avec les citoyens, qui ont les plateformes peut-être pour ça?

M. Waterhouse (Steve) : Bien, je ne sais pas, moi, je ne suis pas dans le domaine des finances, ça, c'est clair. Cependant, la raison comment je verrais d'un bon oeil que ça passe par les institutions financières, c'est parce qu'ils sont en mesure d'authentifier la personne qui va venir faire... mettre, déposer une note ou amener un commentaire, sans quoi, s'il y a compromission de l'identité et l'identité frauduleuse rentre directement chez Equifax, bien là, ça commence à quadrupler un peu la surface de problèmes.

Ça fait que, de cette façon-là, encore là, toujours considérant que la personne qui se présente en succursale et que les banques aussi emboîtent le pas dans cette direction-là, je crois que ça serait une bonne façon. Sinon, avec l'identité numérique, qui vient dans un avenir rapproché, ça pourrait être fait de façon autonome, direct à la source et évitant un troisième parti, qui serait les institutions financières.

M. Thouin : Parce qu'on s'entend qu'à partir du moment où j'ai vos données confidentielles, bien, même s'il y a un verrou sur mon noyau de crédit, je peux probablement le faire déverrouiller, dépendamment c'est quoi, le chemin à prendre, mais je pourrais le faire déverrouiller. Donc, je suis mal intentionné, tu as pris le soin de mettre un verrou sur ton bureau de crédit, mais moi, j'ai tes infos, ça fait que je suis capable de le faire déverrouiller.

M. Waterhouse (Steve) : Voilà.

M. Thouin : On n'a rien gagné.

M. Waterhouse (Steve) : Pareil comme présentement, qu'il y en a qui se font copier, pour ne pas dire cloner leur carte d'identité cellulaire, et, de cette façon-là, le cellulaire ne devient plus la propriété de la vraie personne mais bien du fraudeur. Ça fait que c'est un peu dans la même essence que j'apporte le point que plus les gens vont être encore là, pris de pouvoir faire des modifications directement, avec les moyens aussi fiables, bien, ça va sauver du temps, je crois.

M. Thouin : O.K., puis j'aurais juste une dernière question ou...

Le Président (M. Simard) : Il reste 4 min 25 s.

M. Thouin : Quatre minutes. Bon, rapidement, bon, les mesures de sécurité qui sont envisagées ici, là, par le projet de loi n° 53, s'inspirent directement de la législation fédérale américaine. Vous en pensez quoi de cette législation-là? C'est quoi, la force ou la faiblesse de cette législation américaine actuellement, sur le sujet?

M. Waterhouse (Steve) : Bien, aux États-Unis, ils ont une approche beaucoup plus drastique, pour ne pas dire un peu plus autoritaire quant à l'aspect de la sécurité des finances. La Securities and Exchange Commission, je veux dire, ils ont mis en place des programmes de sensibilisation en place et, en même temps, quand ils se présentent dans des cas de fraude où est-ce qu'il y a, justement, utilisation des moyens informatiques pour commettre de la fraude... on peut penser facilement, donc, à la situation d'Equifax, où est-ce qu'il y a eu... en même temps qu'une situation technique qui a mené à la fuite d'information, bien, qu'il y a eu un délit d'initiés à l'intérieur de cette histoire-là.

Ça fait que là-dessus, ça a été une combinaison vraiment des équipes qui ont travaillé pour être capables d'arrimer, évidemment, les deux cas, mais j'y vois surtout un travail beaucoup plus harmonieux dans des cas qu'on lit, qui se passent aux États-Unis, alors qu'ici, bien, ces souvent des chasses gardées. Les gens travaillent beaucoup plus en silo. Alors, moi, j'y vois d'un bon oeil que les Américains l'approchent.

Le Président (M. Simard) : Très bien. M. le député de Saint-Jérôme.

M. Chassin : Merci. Bonjour.

M. Waterhouse (Steve) : Bonjour.

M. Chassin : Je voudrais profiter peut-être de votre expertise en matière de sécurité, dans une perspective où pour, dans le fond, des fraudeurs ou une organisation qui fraude des données personnelles... le fait qu'au Québec il y ait la possibilité que des gens qui soient fraudés recourent, par exemple, au gel, recourent aussi à l'alerte. Est-ce que ça rend moins intéressant, pour une organisation qui fait de la fraude, de cibler des organisations québécoises?

• (14 h 20) •

M. Waterhouse (Steve) : Que ce soient des organisations québécoises ou ailleurs dans le monde, la méthode est toujours la même. Ça va toujours, un, s'en prendre au maillon faible d'une chaîne de sécurité et, dans les maillons faibles, ça va toujours être l'être humain. Ça fait que, peu importe le moyen technique qui est mis en place, s'il n'y a pas une éducation avec les gens qui vont être, à ce moment-là, pris de comprendre dans quoi qu'ils s'embarquent et avec quoi qu'ils travaillent, comme c'est présentement le cas avec bien des moyens techniques à notre disposition, qu'on se fait dire : Bien mettez ça en place, ça va être sécuritaire, mais qu'on n'en a jamais été informé, bien, ça ne sert à rien parce qu'on va toujours trouver le moyen le plus facile, comme être humain, de pouvoir aller au plus simple, point.

M. Chassin : Je comprends, mais, pour commettre la fraude, pour commettre, finalement, le vol de données personnelles...

M. Waterhouse (Steve) : Oui.

M. Chassin : ...mais par ailleurs... puis permettez-moi une expression mal appropriée un petit peu, mais le retour sur investissement en temps et en énergie pour le fraudeur...

M. Waterhouse (Steve) : D'accord.

M. Chassin : ...est peut-être moins intéressant s'il y a des mécanismes qui, finalement, l'empêchent de prendre du crédit, de monétiser, en quelque sorte, ces données personnelles.

M. Waterhouse (Steve) : Ça y va... Bien, ça, c'est le modus operandi, puis M. Carlos aurait pu en témoigner, de ça, c'est toujours le fruit le plus bas d'un arbre que les voleurs vont aller saisir. Et, oui, un système d'alarme dans une maison, ou peu importe où, est là pour ralentir l'intention de commettre un vol, mais ça n'empêchera pas la personne de voler. Donc, même affaire avec...

M. Chassin : Non, c'est ça. Quelqu'un de bien décidé, là.

M. Waterhouse (Steve) : Même affaire avec du matériel qu'on va appliquer du chiffrement pour protéger sa confidentialité. Éventuellement, ce chiffrement-là peut être compromis lui-même parce qu'il va devenir faible, il y a une vulnérabilité dedans, peu importe. Mais, à ce moment-là, ça va prendre juste... c'est une question de temps avant que ça soit accessible. Donc, dans la solution que vous proposez, oui, c'est certain que ça va aller...ça va amener les fraudeurs à aller vers d'autres possibilités, mais ça va faire en sorte qu'éventuellement il va peut-être y avoir une faille puis... si ce n'est pas l'humain, le détenteur des données qui en fait une, gaffe, ça fait que ça peut fuir.

M. Chassin : On a parlé de la Commission d'accès à l'information. L'Autorité des marchés financiers, qui a une approche de gestion des risques, a une certaine expertise. Est-ce qu'à votre avis... Est-ce que vous les connaissez un petit peu? Est-ce qu'à votre avis il pourrait y avoir des outils que l'Autorité des marchés financiers pourrait utiliser pour diminuer ou, en tout cas, pour avoir des bons principes directeurs à communiquer, par exemple avec les agents d'évaluation de crédit, en diminution de risque?

M. Waterhouse (Steve) : Absolument. Parce que le «a» dit «l'autorité». Puis ce que je trouve dommage, c'est qu'ils n'affirment pas assez leur autorité, pareil comme la CAI, ils ne sont pas assez présents sur le marché. Récemment, ils ont commencé à faire des campagnes publicitaires et de la documentation pour sensibiliser les gens, pour ne pas dire éduquer. L'AMF, je le vois très bien avec ce rôle-là...

Le Président (M. Simard) : En conclusion.

M. Waterhouse (Steve) : ...encore là, envers les entreprises, pour être capable justement de rehausser, mais surtout, avec... comme une des recommandations que j'ai faites, d'amener des programmes de certification qui amèneraient toutes les entreprises à respecter des normes.

M. Chassin : Programmes certifiés. Je retiens ça.

Le Président (M. Simard) : Merci.

M. Chassin : Merci.

Le Président (M. Simard) : Alors, comme M. Waterhouse avait pris un peu moins que 10 minutes, nous avons bonifié chacun des temps de parole. M. le député de Pontiac, vous disposez donc de 11 min 20 s.

M. Fortin : Merci. Merci, M. le Président. Bonjour, M. Waterhouse, merci d'être avec nous. J'aime le terme que vous avez utilisé, la «culture de la sécurité de l'information», et le fait que souvent, là, on sous-estime, disons... les entreprises sous-estiment la menace à l'interne. Vous faites référence à Desjardins. Dans le passé, ils ont sous-estimé la menace d'une fuite potentielle de données à l'interne. Est-ce que vous pensez que, depuis la fuite, ils continuent de sous-estimer la menace?

M. Waterhouse (Steve) : Je ne sais pas, à ce moment-ci, s'ils continuent à sous-estimer. Je peux dire, par contre, avant l'incident qui... clairement, c'était sous-estimé, par des ressources qui étaient absentes, par la façon de travailler des gens à l'intérieur puis qui a mené justement à cette fuite d'information là. C'est certain que c'est dans leur intérêt d'améliorer les processus, de mettre les restrictions en place et de monitorer davantage, donc surveiller qui qui a accès aux données, pour ne pas qu'un deuxième incident survienne comme ça. Je l'espère, qu'ils le font, et ça serait un bon exemple à donner, justement, aux autres entreprises de la province.

M. Fortin : Mais vous l'espérez, mais vous n'avez pas... depuis la fuite, là, vous n'avez pas d'indication qu'ils ont vraiment pris les mesures nécessaires? Tu sais, je sais que vous avez suivi les travaux ce matin, on n'a pas vraiment eu d'indication à ce niveau-là. On nous dit que ça a été fait, mais vous n'avez pas eu, de votre côté, là, plus d'informations à ce sujet-là?

M. Waterhouse (Steve) : Je n'ai pas eu l'occasion de vérifier certaines sources qui m'auraient confirmé que c'est en place, fonctionnel et contraire à qu'est-ce qui était voilà deux ans.

M. Fortin : O.K. Vous avez parlé de votre propre expérience comme utilisateur, là, du système qui a été mis en place entre Desjardins et Equifax, entre autres, là. Et vous avez dit que vous avez été peu impressionné par la rapidité, disons, d'intervention ou d'alerte au moment où il se passerait quelque chose sur votre dossier. Pouvez-vous en dire davantage là-dessus? Je pense que vous êtes passé un peu vite, là. J'aimerais ça savoir le niveau de temps, peut-être, qui est insatisfaisant pour vous et ce que vous aimeriez voir en place.

M. Waterhouse (Steve) : Bien, dans un système de surveillance de dossier de crédit, on s'attend qu'au moment où ce qu'il y a une compagnie qui en fait une vérification de demande d'accès, bien, on en soit informé. Peut-être pas dans la seconde près, on s'entend, mais pareil... 24 heures après, il me semble que ce serait raisonnable, pas un mois.

De deux, il y a plusieurs personnes qui ne se sont pas inscrites, mais parce qu'ils ne savent pas que, toujours, le service est disponible, mais surtout ils anticipent que le service... ils ne savent pas comment ça va les aider dans le futur. Je l'ai dit sur plusieurs tribunes depuis un an : Inscrivez-vous, ça ne vous fera pas de mal, ça va vous aider. Mais, encore là, l'aide n'est pas expliquée. Ça fait que ce monitoring-là, dans le fond, parce qu'on baigne dans l'information, on peut... on est capable de deviner à quoi ça sert, mais, fondamentalement, les gens ne sont pas renseignés par rapport à ça.

Et, non, Desjardins ne fait pas de campagne d'aller rejoindre le monde pour être capable de lui dire : Va t'inscrire, ça va faire ceci. Et à la place ils ramènent le membre à l'appeler constamment, Desjardins, puis ils tombent dans une lourde attente. Ça fait que les gens, ils ont dit : Assez, c'est assez, on passe à d'autres choses. Ça fait que c'est pour ça qu'il n'y en a pas beaucoup qui se sont inscrits.

M. Fortin : Est-ce que ça se fait, cette fameuse campagne là, de la part de Desjardins, par exemple? C'est ce que vous suggérez, c'est... O.K., ils n'en font pas assez. Ils ont envoyé des lettres à leurs membres, puis c'est à peu près resté lettre morte après ça, là. Mais est-ce que ça se ferait, des gens qui se présentent dans leurs succursales, des gens qui les appellent pour, je ne sais pas, moi, un autre enjeu? Est-ce que ça se ferait d'être un peu plus proactifs là-dedans pour simplement leur dire : Bien, vous avez potentiellement été victime de fuite de données ou vous l'avez été, on vous le confirme, suivez le protocole?

M. Waterhouse (Steve) : Bien, je ne veux pas être cynique, mais en réduction du nombre de caisses pop qui existent à cette heure, ça va être difficile en personne, premièrement. Puis, deuxièmement, de les rejoindre, les membres, bien, oui, ils l'ont, le portail d'AccèsD. C'est comme ça qu'on a eu, les gens, l'accès pour s'enregistrer. Parfait, c'est la façon de le faire. Mais, d'une façon publicitaire, d'une façon postale, bien, je crois qu'il y aurait lieu d'en faire davantage pour rejoindre le membre et d'avoir un retour positif aussi, que le membre a pris connaissance de l'information, ce qui n'est jamais fait. Ça fait qu'il y a une différence à faire du «push and forget»... Autrement dit, donc, on envoie l'information puis on espère que ça soit capté. Et, de l'autre côté, de faire un retour avec un code donnant accès à un je ne sais pas quoi de concours, mais ça serait une façon de garder le membre actif et d'à ce moment-là s'assurer que, oui, ils ont pris connaissance.

M. Fortin : Hier, on a entendu de la part d'un expert : Le niveau des amendes pour les agences, entre autres, là, lorsqu'il y a fuite de données personnelles, il nous a dit, aux États-Unis, il y a des amendes quand même substantielles qui ont été mises de l'avant, des dizaines, sinon des centaines de millions au cours des dernières années. En Europe, c'est un peu la même chose. Ici, il n'y en a pas. Mais est-ce que vous considérez que ça pourrait être quelque chose qui pourrait forcer un peu ces entreprises-là à en faire davantage pour s'assurer qu'il n'y en a pas, de fuites de données personnelles?

M. Waterhouse (Steve) : Bien, c'est bien certain parce qu'au Canada, présentement, c'est le nirvana pour les organisations qui veulent manipuler et faire de la fraude avec des données parce que le système judiciaire ne suit pas la parade. La parade est en avance de plusieurs années. Ça fait que, oui, dans le projet de loi n° 64, c'est un bel... un bon et bel investissement de temps et d'énergie pour être capable d'améliorer ce système-là et d'éviter justement... d'encourager les compagnies à continuer. Parce que, quand que la mesure de répression est faible, bien, ils vont... Ils sont quasiment masochistes, ils vont le faire juste pour voir comment ça fait mal. Puis, quand ça ne fait pas mal, bien, ils vont continuer à le faire. C'est ça qu'on observe sur le marché, malheureusement. Et c'est pour ça qu'il y en a plein, de fuites d'information.

M. Fortin : Et dernière question de ma part, je pense que ma collègue en a peut-être quelques-unes aussi, là, mais vous faites les recommandations, justement, que les organisations se préparent mieux, avec des gens qui sont formés, des gens qui sont affectés... les gens qui sont affectés à la manipulation de données soient mieux formés. Vous faites référence à un cours du cégep, mais est-ce qu'on peut aller plus loin que ça là-dedans? Est-ce que ce cours-là, d'abord, c'est assez pour ces agents-là? Et est-ce qu'il devrait y avoir une formation offerte peut-être par l'AMF ou par d'autres, là, pour tous ces agents-là?

M. Waterhouse (Steve) : Bien, tout à fait. Ça, c'est la recommandation que j'ai faite. C'est dans ce sens qu'il y a moyen d'avoir des gens qui travaillent avec la gestion et manipulation de données qui soient complètement baignés, imprégnés de la façon de gérer la donnée. C'est une suggestion que j'ai faite, là, d'un cours qui existe sur le marché, donc, pour former immédiatement des gens. À développer avec l'AMF? Absolument, ça serait une excellente idée, ou peu importe l'organisation. Comme je l'enseigne au microprogramme en maîtrise à l'Université de Sherbrooke, je veux dire, c'est un autre plus que le professionnel peut venir chercher pour être capable d'améliorer ses compétences et, après ça, l'offrir à l'organisation. Définitivement.

M. Fortin : Parfait. Je vous remercie, M. le Président.

Le Président (M. Simard) : Mme la députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup. Bonjour.

M. Waterhouse (Steve) : Bonjour.

Mme Rizqy : Et bienvenue parmi nous. Tantôt, vous avez mentionné qu'il y a des incidents à l'interne et qui ne sont pas rapportés. Quel serait le bénéfice de rapporter tous ces incidents internes?

M. Waterhouse (Steve) : Bien, de corriger la faille, de corriger les situations, que ça ne se répète pas ad vitam aeternam. Parce que, c'est certain, on ne veut pas... Je ne crois pas qu'aucune personne ou organisation ne veut créer un climat de dénonciation constant, que ce soit de la Stasi du bloc de l'Est, que ça soit présent dans l'organisation. Et c'est ça, je trouve, qui est souvent difficile à faire comprendre à des PME, alors, que c'est toujours des gens de connaissance, même résidant dans le même endroit que... Bien, tout le monde se fait confiance. Mais cette confiance-là, souvent, elle est érodée parce que les gens connaissent mal... pas assez bien, même, connaissent mal leur prochain, ce qui fait en sorte qu'ils ont une déviance un peu dans leur comportement social. Puis au travail tout paraît bien, mais, de l'autre côté, ils se doivent la tête puis d'autres parties du corps. Ça fait que, de cette façon-là, ils veulent aller chercher l'argent nécessaire pour être capables de se repayer, de repayer leurs prêteurs. Puis c'est là que ça... Ça y va avec les fuites.

• (14 h 30) •

Mme Rizqy : Ça nous permet aussi d'avoir le portrait beaucoup plus juste afin d'allouer les ressources requises pour faire face au fléau qu'est le vol de données.

M. Waterhouse (Steve) : Bien, ça, ça va dans le sens aussi que les services policiers, je le mettais en cinquième recommandation, n'ont toujours pas assez de ressources pour être capables de répondre souvent à qu'est-ce qui arrive au citoyen typique. Donc, j'en ai aidé plusieurs, dans les deux dernières années, à rencontrer ces objectifs-là de retrouver leurs identités parce que ça été volé. Puis là ils vont aux services policiers, ils n'ont pas les effectifs, ils n'ont pas les compétences pour être capables de les desservir, ils vont se concentrer sur le crime physique conventionnel parce que c'est plus facile puis il y en a autant. Ça fait que là il y a un manque aussi.

De rapporter ça au centre antifraude? Oui, parfait. Mais c'est une... ça fait juste une collecte d'information pour générer des statistiques et aider potentiellement les corps policiers. Mais on ne voit pas de relation, à date, que rapporter... très peu, en tout cas, d'incidents... rapporter l'incident va faire en sorte qu'il y a des enquêtes qui vont être menées. Il y en a eu dans le cas de centres d'appels qui ont été, à ce moment-là, démantelés en Inde et en Ontario par rapport à ce que la population a laissé savoir que c'étaient des appels importuns, et qu'ils ont pris action.

Mme Rizqy : On parle beaucoup des particuliers dans cette commission, mais vous venez aussi de souligner les PME. Il y a aussi des conséquences du vol de données pour les petites entreprises. Pouvez-vous nous en parler davantage, c'est quoi, l'impact pour les petits entrepreneurs et les petites entreprises, justement, lorsque leurs vols de données sont... lorsqu'il y a un vol de données dans leur cas?

M. Waterhouse (Steve) : Bien, c'est souvent un double effet qui va arriver parce que l'entrepreneur est souvent... ils sont très peu, premièrement, d'employés, et ça va être la personne elle-même qui va être directement impactée côté personnel puis, après ça, côté professionnel, entrepreneurial. Et parce qu'ils n'ont pas les ressources, les reins solides pour tout avoir les ressources à l'intérieur de l'organisation, et voir et palier à ce manque, bien, le président, qui est en même temps le designer ou peu importe, qui fait un double chapeau dans son organisation, bien là, il faut qu'il se consacre à voir à la gestion de données à l'intérieur de l'entreprise. Donc, il faut qu'il fasse appel à des ressources extérieures. C'est des coûts supplémentaires qu'ils n'ont pas dans leur budget, ce qui les amène, à ce moment-là, à être très, très, très précaires, après ça, financièrement.

Mme Rizqy : Je sais que je vais sortir un petit peu du cadre du projet de loi n° 53. Justement, la semaine... il y a deux semaines, on vous avait aussi dans une autre consultation, sur le traçage de personne, pour parler de la littératie numérique. Mais, pour les petites entreprises, là, à toutes fins pratiques, pour protéger leurs banques de données, leurs banques de clients, protéger leur crédit, il n'y a pas beaucoup de ressources pour eux, n'est-ce pas?

M. Waterhouse (Steve) : C'est le bon vouloir des gros conglomérats que, s'ils appliquent une bonne... on parle des GAFAM ici, là, et s'ils appliquent une bonne sécurité, bien, ces PME là sont contentes parce qu'ils se sentent en sécurité. Mais il n'y a aucun moyen technique de vérifier si eux-mêmes sont protégés, si leurs données des clients sont protégées, parce qu'ils n'ont pas cette compétence. Souvent, ça va être le fils de l'autre ou le cousin de chose qui va venir, à ce moment-là, parce que lui, il clique c'est quoi, la technologie, puis il va faire en sorte, au meilleur de sa connaissance, de vérifier que tout est place et tout est sécuritaire. Mais ils n'ont pas le temps, non plus, les efforts et les ressources à mettre, financières, pour être capables d'aller chercher une certification professionnelle du travail.

Mme Rizqy : C'est quoi, l'accompagnement... Parce qu'on a vu que le nombre d'hameçonnages a augmenté. C'est quoi, l'accompagnement qui est offert aux PME au Québec?

M. Waterhouse (Steve) : En accompagnement de quoi?

Mme Rizqy : En cas d'hameçonnage. Est-ce qu'il y en a?

M. Waterhouse (Steve) : En cas d'hameçonnage, bien, c'est : tout le monde est laissé à tout le monde... à eux-mêmes, c'est-à-dire. Ça fait que l'accompagnement... Et, encore là, c'est des... c'est un accompagnement passif, parce qu'autant au gouvernement fédéral que, mettons, la CAI, ils ont publié de l'information, et c'est statique sur leur site Web. Il n'y a pas de campagne active qui va rejoindre le citoyen par une publicité active pour être en mesure... à part les médias sociaux. Mais, quand quelqu'un n'est pas branché média social, qu'il y va par les journaux traditionnels, la télévision ou la radio, bien, il y a très peu de publicité qui est diffusée par ces moyens-là, parce que c'est coûtant.

Le Président (M. Simard) : 30 secondes.

Mme Rizqy : Ah! parfait. Bien, il y a deux semaines, lorsqu'on vous avait, il y avait aussi le ministre délégué à la Transformation numérique qui parlait que c'est important de faire l'éducation des citoyens en matière de littératie numérique, mais je pense que ça pourrait être aussi important d'avoir des vrais outils, parce que, dans le cas des PME, si elles sont laissées à elles-mêmes dans le cas d'hameçonnage ou d'autres fraudes de données, bien, ça peut toutes les mettre en péril. Est-ce que vous pensez qu'on devrait aller plus loin en matière de gouvernance pour l'accompagnement, mais aussi les ressources pour elles?

M. Waterhouse (Steve) : Si mon souvenir est bon, le ministre de la Transition numérique a déjà débuté un programme avec l'Université Laval...

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : ...en ce sens, mais il faudrait que ça se multiplie pour que ça puisse porter fruit.

Mme Rizqy : Merci.

Le Président (M. Simard) : Merci. Merci, M. Waterhouse. Je cède la parole au député de Rosemont pour une période de 4 min 20 s.

M. Marissal : Merci, M. le Président. Merci d'être là, M. Waterhouse. Heureusement, j'ai fait les présentations avant que ça commence, ça me laisse plus de temps pour les questions. J'en ai quatre, essentiellement, là, en quatre minutes.

Selon vous, qui doit payer pour la protection offerte aux contribuables? Consommateurs, je devrais dire.

M. Waterhouse (Steve) : On parle de quelle protection?

M. Marissal : La protection, là, qui est dans 53.

M. Waterhouse (Steve) : Ça serait, à ce moment-là, les institutions... bien, plutôt, même la source qui a été à la base d'une fuite d'information. Donc, si c'est une institution financière, c'est à l'institution financière à payer, si c'est...

M. Marissal : Mais pas nécessairement s'il y a de fuite, là. La protection, c'est essentiellement pour ne pas qu'il y ait de fuite ou pour se protéger de fuites. Je comprends que, s'il y a fuite, ça, c'est 64 qui va régler ça, là. Mais la protection qu'on veut, là, le verrou, l'alerte, qui doit payer ça, puisqu'on l'offre?

M. Waterhouse (Steve) : Ça va être, à ce moment-là, les deux agences de notation de crédit, TransUnion et Equifax, quant à moi.

M. Marissal : Les agences. Très bien, c'est très clair. Et, si on avisait le consommateur, à chaque mouvement dans son dossier, en amont plutôt qu'en aval, de dire : Il s'est... en aval, c'est-à-dire, qu'«il s'est passé quelque chose dans ton dossier, vérifie donc tout de suite»?

M. Waterhouse (Steve) : Le risque qui arrive aussi, ça va être une surdose d'information au consommateur, pour ne pas dire au client, parce que les gens se font déjà bombarder de beaucoup d'informations, quelles qu'elles soient, que ce soit juste de façon... sur les médias sociaux, et, quand ça vient des... des informations comme ça, j'appelle ça opérationnelles, les gens vont peut-être y porter moins attention, si ce n'est pas que, s'ils l'ont, s'il y a plusieurs effets, il y en a beaucoup qui vont développer de l'anxiété, probablement, avec ça.

M. Marissal : Moi, j'en développe quand je n'ai pas d'information, d'habitude, mais on n'est peut-être pas tous faits pareils.

M. Waterhouse (Steve) : On est deux.

M. Marissal : On a beaucoup parlé depuis deux jours de la multiplication des usages du dossier de crédit, qui sert à peu près à toutes les sauces. Vous pensez quoi de ça, vous?

M. Waterhouse (Steve) : Bien, c'est à réviser, parce que c'est comme le numéro d'assurance sociale, une fois qu'il est compromis, là, on est fait. L'identité numérique promet d'amener ces éléments-là, d'être capable de resserrer un peu la diffusion d'information qui est unique et ne pas être redirigée, ou refaite, ou transformée pour que ça soit plus accessible. Alors, le conseil canadien de l'identité et de l'authentification numérique, qui planche là-dessus depuis maintenant trois ans et demi, va faire en sorte que, j'espère, dans un avenir très rapproché, alors qu'ils sont 20 ans en retard, d'amener l'identité numérique pour que ça soit le moyen, le véhicule pour être capable de s'authentifier et d'en même temps être sécuritaire dans l'utilisation d'information et l'accessibilité de services.

M. Marissal : O.K., intéressant. La sixième recommandation, là, la F, donner plus de pouvoir aux policiers, aux corps de police, en particulier, municipaux et régionaux, pour vrai, là, pour vrai, vu que ça fait longtemps que vous êtes là-dedans, là, les corps policiers sont-tu vraiment intéressés par ce qu'on appelle les «white-collar crimes»? Ils sont-tu vraiment intéressés d'aller là-dedans?

M. Waterhouse (Steve) : Bien, s'ils ne le sont pas, il faut qu'ils développent l'intérêt. Parce que, le citoyen, c'est toujours vers les ressources policières qu'ils sont envoyés quand ils sont dans le problème. Ça fait qu'aujourd'hui, de plus en plus, il y a des crimes informatiques, il y a des fuites de données, et les gens, ils en sont déboutés. Ils vont à leur boutique informatique du coin pour voir s'ils peuvent être aidés. Quand ça a une apparence de vol d'information, bien, ils se font rapporter aux services policiers.

J'ai eu un cas récemment, qui m'a approché, que la personne avait des contacts avec des personnes très importantes dans son carnet de téléphone, que là le téléphone a juste besoin de changer la vitre, mais ils ont réussi à gagner l'accès au téléphone et avoir accès à tout ce carnet d'adresses là avec des informations très sensibles à l'intérieur. Réaction des services policiers : ce n'est pas si grave que ça. Ça fait qu'un moment donné il faut voir l'incidence que, s'il y a un vol de données, bien, il y des incidences... des impacts plus tard, pas non plus à l'organisation, mais à plusieurs personnes...

M. Marissal : Très bien. Merci de la concision. Je vous pose des questions parce que, vous savez, on peut adopter toutes les lois qu'on veut ici, là, puis 53 a des mérites, assurément, mais, s'il n'y a pas de suivi, comme ça a été le cas de Desjardins, un an plus tard, il ne se passe rien, puis on n'est pas capable de coincer les bandits, 53 ou autre va devenir le proverbial parapluie du coyote dans Road Runner, là.

M. Waterhouse (Steve) : Tout à fait.

M. Marissal : Puis ça ne servira pas à grand-chose comme protection.

Alors, je termine là-dessus : Comment on fait pour convaincre les policiers, les corps de police d'aller là-dedans, là, même si c'est peut-être moins «glamour» que coffrer un Hell's Angels?

Le Président (M. Simard) : Très rapidement.

M. Waterhouse (Steve) : Il faut qu'à ce moment-là les dirigeants soient convaincus eux-mêmes que ça devient, à ce moment-là, très important. Parce qu'il ne faut pas oublier une affaire, notre économie, ici, présentement, elle est menée par la donnée. Ça fait que combien d'exemples qui ont été manifestés...

Le Président (M. Simard) : Merci.

M. Waterhouse (Steve) : ...que c'est la donnée, présentement, qui fait foi de beaucoup de choses dans les transactions.

Le Président (M. Simard) : Merci. Merci, M. Waterhouse. Je cède la parole au député de René-Lévesque.

M. Ouellet : Merci beaucoup, M. le Président. Donc, à mon tour de vous saluer, deux en deux, à date.

M. Waterhouse (Steve) : Bien sûr.

M. Ouellet : J'aimerais savoir... parce que vous faites référence, dans votre mémoire, de l'importance ou de l'opportunité de bien former les gens qui auraient à travailler à la sécurité ou à la manipulation des données. Avec votre expérience, pouvez-vous nous dire si, dans les institutions financières, les gens qui ont à travailler sur la sécurité des systèmes ont ce genre de formation là ou ce genre de certification qui les qualifie comme étant des gens chevronnés, qui sont à la dernière, dernière mise à jour de ce qui se fait en termes de cybercrime et qu'ils sont effectivement bien outillés? Est-ce qu'on voit ça dans les institutions financières au Québec et au Canada?

• (14 h 40) •

M. Waterhouse (Steve) : Bien, lorsque c'est un poste de pointe, oui, ils sont encouragés, les gens, à aller chercher toutes les nécessités de certification. Quand c'est un commis qui est au comptoir, je veux dire, il a la notion de base, la formation de base pour être capable de faire le traitement d'échange entre le client puis l'institution.

Mais, lorsque je précisais les formations à aller chercher, c'est vraiment pour, lorsqu'il y a des gens qui sont dans des centres de données qui sont consacrés vraiment à la rétention et à la manipulation des données, bien, qu'ils soient davantage certifiés, pour ne pas dire éduqués sur le sujet. Et après ça, bien, que l'ensemble des travaillants... pas juste informatique, mais, encore là, c'est un travail de... global, bien, que tout le monde soit, à ce moment-là, à un niveau tel que ça va être, à ce moment-là, plus facile de faire le travail de prévention, et pas dans l'échange d'information.

M. Ouellet : Ça fait que ça se fait un peu à la pièce, je veux dire, les entreprises ont de bonnes vertus, mais est-ce qu'elles offrent le bon contenu pour s'assurer que les gens qui ont à manipuler ou à être en contact avec ces informations-là ont les bons réflexes? Ce que vous nous dites, c'est qu'on pourrait faire une mise à jour de ces formations-là ou, du moins, regarder si les gens qui sont à surveiller ou à s'assurer de la surveillance...

M. Waterhouse (Steve) : Bien, les institutions financières répondent souvent à des obligations légales. Si ça serait légiféré que ce serait le cas, bien, à ce moment-là, ils s'y conformeraient sans problème.

Parce que, souvent, les grandes organisations, sans nommer les institutions financières, ils voient surtout une dépense inutile que de former si ce n'est pas obligatoire, parce que, là, à ce moment-là, ils vont rationaliser le tout. Ça fait que, si ça devient une obligation, ils vont le faire. J'ai très vu... Très peu souvent, j'ai vu des organisations qui vont prendre une initiative comme on parle pour être capables d'améliorer en amont des éventualités de fuites d'information ou d'incidents comme ça.

M. Ouellet : Parfait. Tantôt, on faisait référence à... Tu sais, le gel de sécurité, on peut le mettre en mode préventif, c'est-à-dire qu'avant qu'il y ait une fuite de données, moi, comme citoyen, je pourrais dire : Moi, je ne prends pas de chance, moi, mon crédit, j'aime mieux le verrouiller. Puis, si j'en ai besoin, puis ça gosse, bien, je ferai les démarches. Mais, au moins, si je me fais frauder, je serai déjà protégé. Ça, c'est la première chose qu'on pourrait faire.

Mais, lorsqu'on regarde le cas de Desjardins, ce n'est pas un verrou de crédit qui a été offert, ça a été une alerte de sécurité. Et vous faites mention... tu sais, ça arrive après coup.

Est-ce que, dans votre formation... parce que vous avez dit tout à l'heure que vous avez commenté à plusieurs reprises sans les médias. Quand on offre des programmes, pourquoi que les gens n'embarquent pas? Parce qu'on a eu le débat ici, on... ça devrait être gratuit. On pense que, si c'est gratuit, ce serait accessible à tous. Desjardins l'a offert à ses clients totalement gratuitement, ce suivi-là. Et ce n'est pas tout le monde, Desjardins l'a confirmé, à peu près 1 million, sur les 4,2, qui l'ont demandé. Pourquoi les gens, au-delà du manque de littératie en termes de connaissances informatiques par rapport au cyberrisque... qu'est-ce qui fait que les gens ne font pas le pas supplémentaire? Et, tant que ça ne leur est pas arrivé, ils vont dire : Écoute, je suis intouchable. Si ça m'arrive, bien, je vais le gérer. Qu'est-ce qui fait que les citoyens du Québec, et moi le premier, on ne franchit pas le pas supplémentaire pour dire : Protégeons-nous un peu plus avec les outils qui nous seraient disponibles?

M. Waterhouse (Steve) : Bien, parce qu'il y a une mécompréhension à l'outil sert à quoi, premièrement. Puis, deuxièmement, bien, tant qu'il n'y a pas de conséquence, ce n'est pas grave, on verra rendu là. Donc, un peu... Faire de la vitesse sur la route, tout le monde le sait, que ce n'est pas correct puis tout le monde le sait, qu'on devrait ralentir, ça va sauver de l'énergie, ça va être plus environnementalement «friendly», puis, après ça, bien, on va se rendre pareil. Mais il reste... tout le monde ont cet «incentive» d'aller plus vite pour aller sauver une minute.

Mais, dans le cas d'un programme comme ça, bien, ça va faire en sorte que...

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : ...les gens, autant qu'on les encourage à le faire, ils ne voient pas la pertinence, ils ne voient pas le retour, il n'y a pas de retour, il n'y a pas d'argent de plus qui va rester dans son compte.

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : Sauf ceux qui se font avoir et qui se font vider leurs comptes. Là, eux, ils ont compris et ils vont adhérer, ils vont avertir leur environnement immédiat.

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : Mais ceux et celles que ça ne leur est jamais arrivé, des situations comme ça dans leur vie, ils ne voient pas l'importance.

Le Président (M. Simard) : Merci beaucoup. Merci, M. Waterhouse, pour la qualité de votre présentation et votre contribution à nos travaux.

Sur ce, je suspends quelques instants notre séance afin de faire place à nos prochains invités.

(Suspension de la séance à 14 h 43)

(Reprise à 14 h 55)

Le Président (M. Simard) : À l'ordre, s'il vous plaît! Chers amis, nous allons reprendre nos travaux. Nous sommes en compagnie de représentants d'Equifax. Madame, monsieur, bienvenue. Pour les fins de nos travaux, auriez-vous l'amabilité de vous présenter, s'il vous plaît?

Equifax Canada inc.

M. Weiser (Jess) : Oui, merci. Alors, bonjour, M. le ministre des Finances, M. le Président de la Commission des finances publiques, Mmes et MM. les députés. Je vous remercie pour l'invitation à participer à cette consultation publique sur le projet de loi n° 53.

Je m'appelle Jess Weiser. Je suis vice-président Relations gouvernementales chez Equifax Canada et je suis basé à Toronto. Je suis accompagné d'Antonietta Di Napoli, qui est directrice des opérations chez Equifax et qui est basée à notre bureau de Montréal.

Permettez-moi de commencer en disant qu'Equifax est en faveur de réglementations intelligentes pour l'industrie des bureaux de crédit, des réglementations intelligentes dans non seulement les droits et les obligations aux consommateurs, aux bureaux de crédit et aux utilisateurs des renseignements sur le crédit, mais elles apportent également une certitude pour l'industrie et l'économie.

Le Québec est la seule province à ne pas avoir de loi spécifique pour encadrer l'industrie des bureaux de crédit et les utilisateurs des renseignements de crédit, mais Equifax adopte une approche uniforme en matière de dossiers de crédit partout à travers le pays, ce qui signifie que les Québécois bénéficient des mêmes services et protections que les Canadiens dans les autres provinces.

Nous saluons néanmoins l'initiative de présenter une nouvelle loi. Les éléments inclus dans le projet de loi n° 53 témoignent des meilleures intentions, et nous soutenons le projet de loi, en principe. Cependant, afin de minimiser le potentiel pour des conséquences inattendues, nous proposons des amendements clés, dont je serais heureux de discuter.

Tout d'abord, permettez-moi de donner un survol de notre entreprise et de nos activités. Equifax a été fondée il y a plus de 120 ans. Nous sommes aujourd'hui une entreprise mondiale de données, d'analyses et de technologies qui contribue à alimenter l'économie dans 27 pays. Au Canada, nos racines remontent à 1919 à Montréal, où nous disposons toujours d'un bureau de premier plan à Anjou. Nous employons actuellement plus de 500 Canadiens, dont environ 160 sont basés au Québec.

En tant que bureau de crédit, nous élaborons des dossiers de crédit. Ces dossiers contiennent des données publiques comme les faillites, les jugements, les recouvrements ainsi que l'historique des remboursements et des demandes de crédit des particuliers qui sont fournies à Equifax par les institutions financières avec le consentement des consommateurs. Ces informations sont à leur tour utilisées par les institutions financières, encore une fois avec le consentement des consommateurs, afin de prendre des décisions éclairées sur l'offre de nouveaux crédits.

Les rapports de crédit aident les Québécois à acheter des maisons et des voitures, à financer leurs études, à obtenir des cartes de crédit et même à acheter des électroménagers. Les rapports de crédit sont souvent fournis avec une cote de crédit aux institutions financières. Ces cotes ont été créées pour aider les gestionnaires de risque financier à prendre des décisions justes et objectives en matière de prêts et à prédire la probabilité que les personnes paieront leurs factures à temps.

Les cotes de crédit sont le résultat d'informations contenues dans un dossier de crédit, qui sont soumises à un algorithme spécifique de cotes de crédit. La plupart des algorithmes reposent sur des variables similaires, dont les antécédents de paiement, le pourcentage d'utilisation du crédit, la durée de l'historique de crédit, les nouvelles demandes de crédit et les types de crédit obtenus.

Je me dois de soulever la question de la COVID-19. Nous nous soucions profondément des consommateurs et des clients ainsi que de nos collègues et de nos communautés. C'est pourquoi nous avons pris des mesures immédiates pour soutenir les consommateurs, les clients et les économies locales depuis le début de la pandémie. Je vais vous faire part de quatre mesures clés.

• (15 heures) •

Premièrement, nous avons travaillé en collaboration avec l'industrie afin de fournir des conseils aux prêteurs pour qu'ils puissent s'assurer que les reports de paiements n'aient pas d'impacts négatifs sur la cote de crédit de leurs clients.

Deuxièmement, nous avons rendu gratuit l'accès en ligne aux rapports de crédit des particuliers à equifax.ca. Nous pensons que les consommateurs devaient disposer de tous les outils nécessaires pour prendre des décisions éclairées en matière de crédit et de finance. Cela inclut un accès facile et pratique à leurs rapports de crédit.

Troisièmement, nous sommes conscients que la pandémie a créé une grande incertitude financière pour des millions de Canadiens et de Québécois. Nous avons donc créé le centre de ressources COVID-19 + Crédit pour aider les consommateurs à mieux comprendre les impacts de la pandémie sur leurs finances et leur crédit.

Quatrièmement et dernièrement, nous reconnaissons, comme l'ont fait les gouvernements du Québec et de l'Ontario, que nous sommes un service essentiel et nécessaire au bon fonctionnement du secteur financier ainsi qu'à la stabilité économique. Les économies locales et en particulier les consommateurs dans le besoin comptent sur l'extension efficace des prêts et d'aide financière.

Equifax a assuré une continuité opérationnelle complète et responsable pour soutenir nos clients et consommateurs tout au long de la pandémie. Nous suivons de près les répercussions de la pandémie et continuerons à élaborer des solutions pour aider les consommateurs et les entreprises à faire face à la situation économique engendrée par la COVID-19 et à planifier leur avenir.

J'aimerais maintenant parler du projet de loi n° 53. Nous vous avons soumis des recommandations d'amendements détaillées, lesquelles je serai heureux de discuter. Durant le reste de mon exposé d'ouverture, je vous présenterai les thèmes de ces amendements.

Comme le Québec sera la dernière province à adopter une loi spécifique pour encadrer l'industrie, les utilisateurs des dossiers de crédit, un grand nombre de dispositions du projet de loi sont similaires à celles dans d'autres provinces. Lorsque ces dispositions peuvent être harmonisées sans effet indésirable, nous recommandons l'harmonisation. C'est le cas, par exemple, de la proposition d'une note explicative qui pourrait être modifiée pour assurer une plus grande harmonisation.

En ce qui concerne la proposition de gels de crédit, il est nécessaire de souligner que les gels n'existent pas actuellement au Canada. Un vaste effort tant en termes de ressources humaines que d'investissement financier sera nécessaire pour créer la nouvelle fonctionnalité. Le secteur financier au sens large et la communauté qui a recours aux renseignements sur le crédit devront également faire des investissements et des changements technologiques significatifs. Vu l'effort considérable nécessaire pour créer un gel au Canada, il est impératif que la loi qui encadre cette pratique soit conçue de manière efficace pour atteindre l'objectif visé, c'est-à-dire protéger les consommateurs contre le vol d'identité.

En ce qui concerne les mesures proposées en matière de cote de crédit, nous recommandons une définition modifiée de la cote afin de garantir que les consommateurs soient bien servis et outillés lorsqu'ils accèdent à une cote de crédit personnelle.

En conclusion, les bureaux de crédit sont essentiels à l'octroi de crédit de manière saine, efficace et équitable au sein de notre économie. Nous devons élaborer un cadre réglementaire approprié. Je me réjouis d'en discuter plus en détail avec vous. Je vous remercie à nouveau de nous donner l'occasion d'offrir ce témoignage et de votre dévouement pour accomplir ce travail important, particulièrement en personne durant la pandémie. Merci.

Le Président (M. Simard) : Merci à vous, M. Weiser. Je cède maintenant la parole au ministre des Finances.

M. Girard (Groulx) : Merci beaucoup pour votre présentation et bienvenue dans la plus belle ville d'Amérique du Nord. Alors... en personne, en personne.

La définition modifiée à la cote, est-ce que vous pourriez nous donner l'esprit de ce que vous recommandez comme modification?

M. Weiser (Jess) : Assurément. Merci pour la question, M. le Président. En effet, la définition qui existe maintenant dans le projet de loi... puis je paraphrase, mais les mots, c'est une cote qui est la cote communiquée généralement au prêteur. Mais le problème avec ça, il n'y a pas une cote généralement communiquée au prêteur. Alors, si on suit la lettre de la loi, d'après nous, jour 1, après qu'une loi soit adoptée, on ne peut pas se conformer exactement avec ça parce qu'on n'a pas de cote qui est la cote généralement donnée au prêteur. Alors, on avait un but pour objectif, mais élargir la définition pour faire que c'est une définition avec laquelle on peut se conformer. Objectif numéro un.

Objectif numéro deux, c'est sûr, on avait aussi l'objectif, puis je crois que vous aussi aviez l'objectif, on veut une cote qui est utile, qui est bonne pour un consommateur. On ne veut pas donner : Voici un B+ plus à un consommateur. Ça doit être une cote qui sert à quelque chose. Alors, la définition qui est là, qui est proposée, c'est une définition plus générale, une définition qu'on peut se conformer avec puis une définition qui résultera dans une cote qui est utile pour un consommateur, qui va être similaire, ou même d'une cote qu'une institution financière peut acheter de nous sur un consommateur.

Le Président (M. Simard) : Merci. M. le ministre.

M. Girard (Groulx) : O.K. Là, j'essaie de comprendre, là. Vous, vous vendez la cote aux institutions financières. Là, la cote va être disponible gratuitement aux individus. Est-ce que vous suggérez qu'on modifie la définition de la cote, par exemple, pour utiliser la cote de référence de l'industrie, là, le Beacon Score?

M. Weiser (Jess) : Merci pour la question. D'après nous, ce ne serait pas bien de spécifier une cote spécifique ou pas de spécifier une version de cote spécifique, parce que nous, on a plein de cotes, notre concurrent a plein de cotes. Ce qui est important, nous croyons, c'est que c'est une cote qui est elle-même ou similaire que les cotes qui sont d'habitude utilisées dans le marché, c'est sûr. Mais de dire : Bien, tu vas utiliser celle-là, bien, l'année après, peut-être, ça change, l'année après, ça change, on a des différents clients qui utilisent des différentes cotes, même client, il utilise des différentes versions du score. Je crois que ce qui est important, c'est : le consommateur a l'accès à une cote qui peut donner pour le consommateur des informations bons pour voir : O.K. ça, c'est la cote, ça veut dire que je suis un bon risque ou je ne suis pas un bon risque, je suis très bon. Ça, c'est, grosso modo, comment une institution financière va regarder s'il cherche une cote de chez un bureau de crédit.

M. Girard (Groulx) : O.K. Pour le gel, là, est-ce que vous êtes en faveur que, lorsqu'un consommateur active le gel avec une agence de crédit, il soit automatiquement enregistré aux deux agences de crédit.

M. Weiser (Jess) : Merci pour la question. Puis c'est une excellente question puis un excellent sujet. Le sujet, l'action puis le concept, en effet, d'un gel automatique aux deux bureaux de crédit, nous croyons, en principe, que c'est une très bonne idée. Son objectif est très bon. C'est quelque chose qui serait très difficile à implémenter puis qui lève des questions complexes non seulement pour nous, l'industrie, mais pour les législateurs. Comment est-ce qu'on enquête ça, comment est-ce que ça fonctionne? Ça veut dire que nous, on doit créer des nouveaux systèmes avec notre concurrent, qu'on se parle, qu'on crée des logiciels, en fait, avec eux. Puis ce n'est pas impossible, ça peut être fait. Mais c'est une chose.

Une autre chose, là, un gel double ou un gel automatique pour les deux bureaux de crédit, c'est quoi, l'implication? Bien, l'implication qu'il va y avoir aussi un dégel double. Alors, ça veut dire que, pour nous ou pour notre concurrent, vous devez prendre... en fait, prendre le mot du concurrent. Et eux, ils vont dire à nous : Aïe! Le consommateur a dit qu'il voulait son dossier dégelé. Puis, pour nous, bien : Est-ce que tu as fait une bonne authentification? Tu es sûr qu'il veut ça? Puis là nous, on devrait prendre le mot. Puis, si on dégèle, puis ce n'était pas vrai, puis le consommateur, il est fraudé, bien, c'est nous, cette responsabilité. Ça, c'est un enjeu. Il y a plusieurs... Mais le...

Bref, c'est un intéressant concept. C'est une bonne idée. Notre suggestion... Il n'y a pas de gel maintenant au Canada. Notre suggestion est de continuer avec le gel qui est proposé, de base. On peut travailler dessus quelque chose d'autre. Mais c'est sûr que, de compliquer le gel, un des résultats de ça va être que ça va être plus long de créer cette fonctionnalité. Alors, notre suggestion, c'est de créer une base du gel, comme celui qui existe autre part, exemple les États-Unis, et pas des choses vraiment complexes comme ce double gel, qui n'existe pas aux lois, par exemple, américaines.

• (15 h 10) •

M. Girard (Groulx) : O.K. Alors, allons-y sur le gel de base. Est-ce que vous pouvez nous expliquer comment ça va fonctionner? Combien de temps, vous estimez, sera nécessaire au développement informatique nécessaire à son implantation? Et combien vous estimez que ce service devrait être tarifé, ou s'il devrait être gratuit pour les citoyens, ou s'il devrait être gratuit pour les citoyens mais tarifé pour les... gratuit pour les citoyens mais payé par les institutions financières?

M. Weiser (Jess) : Oui, merci pour la question. Alors, bien, trois questions, comme je comprends, le processus, la durée de temps puis un coût, un tarif.

Numéro un, M. le Président, le processus, comment ça va fonctionner, bien, je ne peux pas dire sûrement maintenant parce que, bien, la loi n'est pas adoptée, on n'a pas créé le processus, mais, je parle généralement, le concept d'un gel, c'est quoi? C'est le concept qu'un consommateur peut communiquer avec un bureau de crédit pour dire : S'il te plaît, gèle mon dossier. Puis c'est quoi, le résultat d'un gel? Le résultat, c'est que, même si un prêteur vient chez nous, puis... le prêteur qui vient chez nous, pour une raison de faire une décision de risque sur un prêt, puis dit : Hé! j'ai le consentement, j'ai l'autorisation d'un consommateur de chercher son dossier parce qu'il a fait une demande pour une carte de crédit, nous, on ne peut pas donner le dossier parce que c'est gelé. En principe, ça, c'est le concept. Aussi, dans le concept, un consommateur peut dégeler, parce que, si un consommateur veut, bien, faire une demande pour une hypothèque, ça devrait être dégelé. Alors, c'est comme ça le concept puis généralement le processus.

Je peux parler un peu plus du processus américain, mais peut-être je vais continuer au temps. D'après nos estimations, ce n'est pas précis, mais, d'après nos estimations, on pense que ça va prendre deux années pour créer ce processus. Les raisons pour ça : aujourd'hui, la fonctionnalité n'existe pas. Ça existe aux États-Unis. L'infrastructure, la technologie, les logiciels, enfin, l'architecture de toutes nos applications devrait être changée, créée, et non seulement de nous, ça va prendre des investissements dans tout le secteur financier. Enfin, c'est plus que le secteur financier, c'est tout secteur qui utilise les dossiers de crédit et les renseignements de crédit. C'est un grand effort en fonction de matière humaine, mais aussi d'investissement puis ça va prendre du temps. Notre suggestion, c'est de prendre le temps qui est approprié pour que ça fonctionne bien, et ce n'est pas fait de... mal, puis c'est fait d'une façon qui a comme résultat l'objectif de protéger le consommateur.

Dernièrement, le coût. On est vraiment au début de ce processus, on fait l'examen comment ça va continuer et créer la fonctionnalité. Alors, des décisions commerciales n'ont pas été prises, bien, c'est quoi, le coût exact? S'il y a un coût, est-ce que c'est 20 $? Est-ce que c'est 3 $? Est-ce que c'est 4 $? Il n'y a pas de décision au niveau du prix. D'habitude, c'est fait à la fin de processus, et on est au début maintenant.

M. Girard (Groulx) : Bon, bien, je vais vous donner un ordre de grandeur, puis on ne parlera pas de qui paie, on va parler de la valeur, O.K.? Parce qu'il y aura un débat à savoir... une fois que le nouveau produit aura été créé puis qu'il y aura une valeur, on pourra discuter si c'est les clients qui paient, si c'est Equifax qui fait un geste humanitaire puis le donne gratuitement ou si c'est les institutions financières qui paient. Est-ce que la valeur de ce produit-là serait supérieure, par exemple, aux systèmes d'alerte?

M. Weiser (Jess) : Bien, c'est une très bonne question, M. le Président, puis c'est difficile donner une réponse au niveau de la valeur, mais ce que je peux vous dire, je crois que c'est important, ces deux concepts, produits et services, ils ont comme but la même chose.

M. Girard (Groulx) : Puis je vais préciser ma question, j'aurais dû dire : que le service de surveillance, parce que le service d'alerte est gratuit.

M. Weiser (Jess) : Ah! Oui, ça, c'est vrai.

M. Girard (Groulx) : Alors, je voulais dire, par exemple, là, le service que Desjardins a acheté chez vous pour les clients, qui est tarifé quelque part entre 15 $ et 20 $ par mois au niveau individuel, là, je présume que ce n'est pas la transaction commerciale que vous avez faite avec Desjardins, étant donné le volume, mais la valeur de ce service-là, est-ce qu'elle est supérieure... est-ce que ce sera, d'une part, plus utile que la surveillance et est-ce que la valeur sera supérieure?

M. Weiser (Jess) : Merci pour la question. Je crois que c'est vraiment difficile de donner une valeur à un vis-à-vis l'autre, c'est sûr que, d'habitude, une valeur c'est un des inputs dans la pensée de, bien, c'est quoi, le prix. Mais je crois que c'est l'autre input de quoi on parle, de qu'on pense maintenant, le fait que ce service n'existe pas, la fonctionnalité n'existe pas, puis ça va coûter beaucoup, ça va prendre un grand investissement pour créer la fonctionnalité. Le penser à cette étape-là, ce n'est pas c'est quoi, la valeur, on doit déterminer un prix, des avis de valeur, c'est plus...

M. Girard (Groulx) : Est-ce qu'il me reste du temps, monsieur...

Le Président (M. Simard) : Oui.

M. Girard (Groulx) : Avez-vous un estimé de cet investissement?

M. Weiser (Jess) : Ah! On n'a pas une estimation précise, mais c'est sûr que ça va coûter des millions de dollars.

M. Girard (Groulx) : Même des millions ou des dizaines de millions?

M. Weiser (Jess) : Mais je ne peux pas préciser, mais ça se peut... ou un ou l'autre, comme j'ai dit, on est vraiment au début du processus. Ce qui est sûr, ça va coûter beaucoup non seulement pour nous, mais tout le système financier, et plus le système financier, qui devrait changer les logiciels pour injecter cette nouvelle fonctionnalité.

M. Girard (Groulx) : O.K. Bien, je vous remercie. Vos réponses sont très utiles, puis, bien, je suis prêt... il ne reste plus de temps?

Le Président (M. Simard) : 40 secondes.

M. Girard (Groulx) : Est-ce que vous avez une question de 40 secondes?

Une voix : ...

Le Président (M. Simard) : M. le député de Saint-Jérôme.

M. Chassin : Peut-être une question très rapide, M. Weiser, sur l'aspect... aux États-Unis, il y a déjà, dans le fond, des dispositions législatives. Vous avez réussi à vous adapter, aux États-Unis, est-ce que ça a été une pression importante, malgré que vous ayez réussi à vous adapter?

M. Weiser (Jess) : Merci pour la question. Oui, on a adapté aux États-Unis. C'était un peu différent. Ici, il n'y a pas de fonctionnalités. Aux États-Unis, il y avait eu une nouvelle loi fédérale, ça fait à peu près deux ans ou trois ans, mais, avant la loi fédérale, on avait quand même la fonctionnalité. On avait ça pour 15 ans, alors on n'avait pas besoin de créer un nouveau...

Le Président (M. Simard) : Merci. Merci, M. Weiser. Désolé, c'est tout le temps dont nous disposions pour la partie gouvernementale. Je cède maintenant la parole au député de Pontiac.

M. Fortin : Je vous remercie, M. le Président, et je vais... Bonjour, bonjour à vous. Je vais changer de direction par rapport aux questions que le ministre posait à l'instant, parce que, bien honnêtement, combien ça vous coûtera, mettre ça de l'avant, je vous avoue que ce n'est pas au coeur de mes préoccupations. Je pense qu'on a d'autres préoccupations à travers le projet de loi qu'on veut mettre de l'avant, des préoccupations notamment pour le consommateur.

Alors là, je veux revenir à certaines des choses que vous avez mises dans votre mémoire, des demandes des consommateurs, notamment, le projet de loi y fait référence, l'ajout possible d'une note explicative. Je veux savoir, là, dans votre pratique quotidienne, dans ce que vous donnez aux institutions financières ou aux autres qui peuvent vouloir le dossier de crédit ou la cote de crédit, peu importe, là, le fait que ce soit inscrit, «le client conteste parce que XY raison», là, d'après vous, ça va-tu changer quelque chose à la fin de la journée? Ça va-tu aider le client?

M. Weiser (Jess) : Merci pour la question, M. le Président. Ça dépend. Ça se peut, et on veut que c'est utilisé, puis on fait du bon sens, puis on lit ça. Ça dépend du prêteur. À la fin du jour, vous avez raison que, si tu as une note sur un dossier, ça n'empêche personne de prendre une action ou l'autre, c'est une explication, une déclaration.

M. Fortin : O.K. Mais... Donc, vous n'avez pas d'assurance, là, par exemple des clients institutionnels avec qui vous faites affaire, que ça va être pris en compte, là.

• (15 h 20) •

M. Weiser (Jess) : Nous, on ne peut pas donner des assurances, c'est pour eux de faire ça.

M. Fortin : Je vous entends, je vous entends. On a entendu de la part de certains experts... le régime de pénalité américain, entre autres, là, qui est quand même assez important pour les entreprises comme la vôtre, lorsque vous-mêmes, vous avez des fuites de données... hein, ça peut arriver, des entreprises comme la vôtre qui ont des fuites de données où il y aurait des pénalités importantes. Et ce qu'on a entendu, ce qu'on a compris, c'est que plus les pénalités sont importantes, bien, plus l'organisation va faire attention aux données du monde, plus ils vont mettre des paramètres en place pour s'assurer que ces données-là sont protégées.

Est-ce que vous pensez que ça serait utile de mettre des pénalités plus sévères ici, au Canada, ou au Québec, pour s'assurer que les données sont bien protégées, les données de votre industrie?

M. Weiser (Jess) : Merci pour la question, M. le Président. Je peux vous dire : Pour notre part, on a comme but, on a comme objectif de protéger les données. C'est une des plus grandes priorités. Juste, indépendamment à toute autre chose, c'est une de nos plus grandes priorités. On nous considère qu'on est un leader mondial au sein de la protection des données maintenant. C'est dans notre culture, la sécurité, la protection des données, comme j'ai dit, c'est une plus grande priorité. On fait des dépenses, en fait, des investissements nous-mêmes, dans les trois ans, 2018 à 2020, de 1,5 milliard de dollars pour une transformation complète de nos technologies puis nos sécurités, puis, en fait, notre entreprise. C'est un investissement le plus grand dans notre histoire, et ça a pour but de changer tout ce qu'on fait au niveau de la sécurité.

M. Fortin : O.K. donc, si je comprends bien, vous préférez le système qui vous permet de faire des investissements plutôt qu'un système punitif, là. Vous êtes confortable avec votre niveau de protection que vous avez à l'interne pour l'instant.

M. Weiser (Jess) : C'est sûr qu'on est confortable avec le niveau de protection qu'on offre. On trouve que c'est un des meilleurs au monde.

M. Fortin : O.K. Si on parle des dossiers et des obligations que vous auriez, là, à travers le projet de loi ou que vous pourriez avoir à travers une bonification du projet de loi... Là, on parle beaucoup d'alerte de gel dans le projet de loi. Si, par exemple, un consommateur demande un dégel de son dossier, hein, on en a parlé, peut-être que ça peut être naturel de vouloir imposer un gel tout de suite, d'avoir un dégel lorsqu'il y aura transaction qu'on sait qui se produira. Est-ce que vous êtes capable de vous revirer de bord assez vite? Le consommateur dit : Moi, je veux un dégel, est-ce que vous êtes capable de faire ça rapidement?

M. Weiser (Jess) : Aujourd'hui...

M. Fortin : Aujourd'hui et dans le futur, après vos changements technologiques, s'il le faut, là.

M. Weiser (Jess) : Aujourd'hui, c'est sûr qu'on ne peut pas faire ça, il n'y a pas de fonctionnalité.

M. Fortin : Oui, mais après?

M. Weiser (Jess) : Mais après... Mais on est dans l'étape de commencer à examiner comment on va construire ça, comment est-ce que ça va fonctionner, alors c'est difficile de prédire comment ça va être dans le futur. Mais c'est sûr que, comme but, c'est de donner un service de qualité puis de réaliser comme but les fins qu'on veut.

M. Fortin : O.K. Mais, si je vous... si on vous dit, là, si le législateur, ici, là, vous dit : On vous demande ou on exige de vous qu'un consommateur québécois qui vous contacte puisse dégeler son dossier en une heure, vous allez le faire.

M. Weiser (Jess) : Ah! c'est sûr qu'on va essayer de faire, puis on va faire tous nos systèmes comme ça. Mais, si je peux offrir quelque chose, c'est... avec un dégel, avec une demande pour un dossier de crédit, il y a toujours une balance, puis c'est difficile. Mais c'est une balance pour nous. Deux impératifs, un, d'un bon service, d'un service de qualité, d'un service vert pour les consommateurs, puis s'assurer de la sécurité. Alors, on doit toujours être confiant qu'on authentifie bien le consommateur. On ne veut pas que c'est mal fait puis quelqu'un, un fraudeur dégèle, par exemple, un dossier.

Alors, ça, c'est la balance, mais, pour le but, c'est de le faire le plus vite possible. Il y a plein de cas, par exemple si c'est un consommateur qui n'utilise pas Internet, comment est-ce que ça va... c'est quelqu'un qui veut venir en personne, si c'est un cas où une personne fait part du... poste. Mais c'est sûr, si c'est donné vite, si c'est fait par Internet, si on a les renseignements pour s'authentifier bien vite, notre but, ce serait de le faire aussi vite que possible.

M. Fortin : Je comprends que c'est votre but. Mais, dans le fond, ce que je vous demande, là, c'est que, si on a des exigences qui sont particulièrement strictes envers la rapidité, si on a des exigences qui sont particulièrement strictes envers, je ne sais pas, moi, la gratuité et le fait que ça doit être une compagnie comme la vôtre qui en défraie les frais, vous allez vous conformer à la loi.

M. Weiser (Jess) : C'est sûr qu'on conforme en tout droit.

M. Fortin : En fait, c'est tout ce que je voulais savoir. Je voulais, là... entre autres, par rapport à la gratuité, TransUnion nous a dit la même chose, ils vont se conformer à la loi. Si une entreprise comme la vôtre doit fournir ce service-là gratuitement, ils vont le fournir. Pour moi, ça va, je pense que ma collègue de Saint-Laurent a quelques questions, M. le Président.

Le Président (M. Simard) : Mme la députée, entendu, avec plaisir.

Mme Rizqy : Il reste combien de temps?

Le Président (M. Simard) : 3 min 50 s.

Mme Rizqy : Parfait, merci. Merci et bienvenue parmi nous. Juste pour peut-être sécuriser le ministre des Finances, vous n'avez pas de problème de trésorerie présentement, là. Au niveau monétaire, vous allez bien?

M. Weiser (Jess) : On n'a pas de problème.

Mme Rizqy : Merci. Et d'ailleurs j'aimerais juste faire une petite parenthèse, parce que j'ai eu l'occasion de vous rencontrer, et souvent on mentionne quand que les gens ne parlent pas français, mais, dans votre cas, c'est... je vous l'avais déjà mentionné en privé, mais j'aimerais souligner la qualité de votre français. Puis je sais que vous faites à chaque fois un effort, à nos appels, nos rencontres, pour communiquer en français, j'aimerais le souligner.

J'aimerais savoir... On s'est parlé, vous et moi, par rapport à certains dossiers qui méritent une attention plus particulière, c'est les dossiers qui ont une rectification qui doit être faite. Je vous avais parlé des différents codes qui existent mais que le consommateur ne connaît rien. 72 % du temps, selon une étude... démontre que ça peut être réglé rapidement, mais il reste le 28 %, puis, vous m'avez dit, vous allez me revenir là-dessus. Et là... et, sur ce 28 %, ça peut être plus long. Est-ce que ça, vous avez trouvé une solution pour... et on parlait le... en anglais, le «fast track» ou, si vous le permettez, une voie rapide pour rectifier les dossiers pour les consommateurs?

M. Weiser (Jess) : Oui, merci pour la question, M. le Président. Nous, on veut l'exactitude du dossier, comme le consommateur, comme les institutions financières, et on n'aime pas des erreurs. On fait tout ce qu'on peut pour s'assurer qu'il n'y a pas d'erreur. Puis, quand il y a des erreurs... une erreur est trop, mais, quand il y a une erreur, on a créé un processus robuste pour que les consommateurs peuvent faire une demande de changer une erreur, de... et il y a un désaccord, on veut changer ça, je crois que c'est un processus robuste. On est toujours là pour regarder des solutions pour améliorer. Puis, peut-être, je vais demander à ma collègue Toni, qui est responsable des opérations, d'énumérer ce processus, qu'est-ce que le consommateur doit faire s'il pense qu'il y aurait une...

Mme Rizqy : Ah! mais, si vous le permettez, vu que je n'ai pas beaucoup de temps, moi, c'était vraiment... Parce que j'ai eu la longue conversation avec vous à cet effet, et c'est vraiment... ce n'est pas le... c'est parce que je ne veux pas vous empêcher de parler, c'est que je veux vraiment savoir : Pour les 28 % des cas où est-ce que ça devient problématique, où est-ce qu'il y a une usurpation d'identité, est-ce que c'est possible d'avoir une voie rapide?

M. Weiser (Jess) : Bien, c'est sûr que, dans tous les cas, on essaie d'y aller assez rapide que possible. Ton étude des statistiques... combien de temps ça prend...

Le Président (M. Simard) : Oui, Mme Di Napoli. Bienvenue parmi nous, madame, d'ailleurs.

Mme Di Napoli (Antonietta) : Merci. Oui...

M. Weiser (Jess) : ...statistiques.

Mme Di Napoli (Antonietta) : On a fait des améliorations à nos services. Ça fait que, premièrement, j'aimerais souligner qu'on peut faire des... demander des corrections au dossier de crédit en ligne maintenant. Ça, c'était une fonctionnalité qui n'existait pas avant. Ça fait que ça, c'est plus efficace, plus rapide pour les consommateurs.

Au niveau des statistiques, en 1919, 90 % de nos enquêtes avec nos fournisseurs de données étaient fermées dans 10 jours. C'était traité et fermé dans 10 jours. C'est sûr que, dans notre processus, on voit que, si après 10 jours le fournisseur de données ne répond pas, on supprime l'information tout à fait puis on répond au consommateur en disant que l'information est supprimée du dossier de crédit.

Mme Rizqy : O.K. Vous avez mentionné que vous avez 500 employés, environ 160 au Québec. Si jamais... Parce que, ce matin, nous, on a reçu Desjardins. Ils disaient qu'ils allaient peut-être relancer leurs clients. Ils ont eu au total environ 6 millions de personnes qui ont été touchées par la fuite de données, environ 1,7 million, selon le chiffre avancé ce matin, qui se sont inscrites auprès de vous.

Si jamais la balance des clients se dirige vers vous, est-ce que vous allez avoir suffisamment de monde pour répondre en français? Et l'an dernier il y avait un problème au niveau du clavier en français sur votre site Web.

Le Président (M. Simard) : Très rapidement, s'il vous plaît.

M. Weiser (Jess) : Oui, on serait prêts puis on est prêts. Les Québécois ont comme «expectation» de recevoir un bon service puis un service en français, puis on donne maintenant puis on est prêts pour continuer à donner.

Le Président (M. Simard) : Merci. Merci beaucoup. M. le député de Rosemont.

• (15 h 30) •

M. Marissal : Merci, M. le Président. Bonjour. Bienvenue. Vous avez rendu gratuit l'accès en ligne au rapport de crédit des particuliers, equifax.ca. Vous dites que vous pensez que les consommateurs devraient disposer de tous les outils nécessaires. Mais ça, vous rentrez ça dans votre filière COVID. Pourquoi vous ne l'avez pas fait avant? Et est-ce qu'il y a une date de péremption sur cette initiative?

M. Weiser (Jess) : Bien, pourquoi c'était fait au temps du COVID? Bien, on avait une décision, là, au temps de COVID. On a vu qu'il y avait... bien, il y avait plein de problèmes dans le temps de COVID. Un des problèmes, c'était que les consommateurs s'inquiétaient de leurs finances. Un autre, c'est que c'était difficile d'y aller, dehors, de chercher un dossier de crédit. Nous-mêmes, il y avait une période de temps où les centres d'appels, il y avait moins de personnes, on doit avoir moins de personnes... on a dû avoir des espaces entre les personnes. Alors, c'est une des raisons pourquoi on a fait la décision : O.K., le dossier sur Internet devrait être gratuit. Puis on l'a fait gratuit. Je crois que je comprends la question...

M. Marissal : Est-ce que ça finit en même temps que l'éventuelle et tant espérée fin de la pandémie?

M. Weiser (Jess) : Il n'y a pas de plan maintenant pour arrêter cette pratique. Ça, c'est notre pratique, puis il n'y a pas de plan pour changer.

M. Marissal : Très bien. Vous avez parlé du temps de réponse, vous venez de parler du temps de réponse avec ma collègue de Saint-Laurent, mais on a beaucoup parlé aussi du taux, pourcentage d'exactitude ou d'inexactitude. Vous dites : Une erreur, c'est une de trop. Moi, je pense qu'il y en a plus qu'une, malheureusement. Avez-vous des données sur le taux d'inexactitude de vos dossiers?

M. Weiser (Jess) : On n'a pas des données sur le taux d'exactitude des données, malheureusement. Tout ce que je peux dire, c'est que, pour nous, c'est important qu'il n'y pas de faute puis que les dossiers sont exacts. C'est notre entreprise d'avoir des données exactes. Nous, on veut ça, les consommateurs veulent ça, puis les entreprises financières veulent ça. On a tous des «incentives» pour faire ça, puis c'est la raison qu'on a ce processus robuste. On essaie de le faire facile pour corriger des...

M. Marissal : O.K. je comprends que vous n'avez pas de chiffre sur le taux d'inexactitude de vos dossiers. Le ministre des Finances vous a posé une question tout à l'heure sur une conversation, là, évidemment, numérique, entre vous et TransUnion, justement sur le gel, par exemple. Vous, vous dites : Non, ce n'est pas vraiment possible, ce n'est pas vraiment... Mais est-ce à dire que TransUnion et Equifax ne se parlent pas déjà, et même des centaines de milliers de fois par jour?

M. Weiser (Jess) : C'est sûr qu'on se parle. On n'a pas aujourd'hui des logiciels entre un et l'autre pour transmettre des données de façon sécuritaire. Et je ne veux pas dire, pour être sûr, que c'est un concept qui est impossible. C'est possible. C'est complexe, mais c'est sûr que ça va faire que le temps pour créer ces systèmes, ça serait plus long de penser puis de créer un autre système avec eux.

Et l'autre chose qui est importante, un enjeu, c'est que... le dégel. Si le dégel s'est fait avec nous ou essayer de faire à nous avec eux, là, l'autre doit dire : O.K. Je prends son mot qu'il y a un dégel. Ce n'est pas moi qui a... ce n'est pas nous... qui a parlé au consommateur, c'est eux, mais il dit : Ils veulent dégeler. C'est un enjeu aussi. Ce n'est pas une chose impossible, mais le fait... c'est un bon concept. En principe, nous soutenons ça. C'est complexe, puis notre suggestion, c'est de continuer avec un gel de base pour commencer.

M. Marissal : Je comprends. Bien, disons, pour Equifax, la fuite chez Desjardins, l'an dernier, ça a été plutôt une bonne affaire, pour Equifax, non?

Le Président (M. Simard) : Rapidement, s'il vous plaît.

M. Weiser (Jess) : Je ne dirais pas que c'est une bonne affaire, mais je comprends que la question, c'est au niveau de... bien, les ventes, pour nous, des fuites. Ce que je dirais, c'est que nos services de fuite, on n'a jamais chargé un consommateur, même un sou. On fait des dépenses et des investissements pour créer des solutions à ces problèmes dans la société, puis c'est les compagnies qui paient pour ça.

Le Président (M. Simard) : Alors, merci, M. Weiser. Je cède maintenant la parole au député de René-Lévesque.

M. Ouellet : Merci beaucoup, M. le Président. Donc, à mon tour de vous saluer. J'ai eu effectivement l'opportunité aussi de vous rencontrer un petit peu après le dépôt du projet de loi, avant la pandémie, pour nous expliquer un peu votre position. Ça fait que j'irai plutôt avec des questions plus précises, suite à l'évolution de la situation. Présentement, aux États-Unis, le gel existe.

M. Weiser (Jess) : Oui.

M. Ouellet : Vous l'offrez.

M. Weiser (Jess) : Oui.

M. Ouellet : Et c'est possible pour un client de demander un gel, dégel, dans des délais de, quoi, 12 heures, 24 heures, 48 heures?

M. Weiser (Jess) : Bien, c'est aux États-Unis, je n'ai pas ici les nombres exacts, mais ça dépend de la façon que la demande vient. Si c'est par poste, le délai est un peu plus long. Si la demande vient par Internet, les règles sont... ça doit être effectué plus vite. Mais je n'ai pas que c'est trois jours si ça vient par poste puis un jour si ça vient sur Internet. Mais, oui, il y a des règles au niveau des délais.

M. Ouellet : O.K. Donc, vous avez une certaine expérience en matière de technologies pour offrir une expérience client intéressante, à savoir : il est beaucoup plus facile pour quelqu'un qui a de la technologie entre les mains de faire une demande de gel, dégel par son application ou par Internet. Donc, ça existe déjà, vous n'êtes pas devant un inconnu.

Donc, quand vous dites, tout à l'heure, que ça pourrait prendre deux ans, permettez-moi de douter de votre volonté d'aller un peu plus vite que deux ans. Moi, ma prétention — puis les gens de TransUnion nous ont dit à peu près la même affaire, entre 18 et 24 mois — je pense qu'on peut faire plus court considérant qu'il y a une expertise que vous avez développée par le passé, ailleurs dans la législation américaine. Je suis bien conscient que les systèmes informatiques canadiens ne parlent pas de la même façon que les systèmes informatiques américains parlent à vos systèmes à Equifax. Ça, on a eu cette discussion-là, je suis d'accord avec vous. Mais je pense que les Québécois, Québécoises ne s'attendent pas, à la sortie de cette commission, qu'on va leur dire : Écoutez, on a un excellent projet de loi, on va vous protéger, ça sera gratuit, mais ça va prendre deux ans avant qu'on le mettre en application. Honnêtement, là, il faut qu'on travaille ensemble à trouver des solutions pour que ça soit plus court que ça.

Puis je vais être honnête avec vous, on vous a questionné comment ça peut coûter... ça, moi, ça ne me dérange pas comment ça va vous coûter parce qu'il y a de la business à faire. Si je vous pose la question comme j'ai posé à TransUnion, si le législateur vous oblige de rendre cette fonctionnalité-là gratuite pour les consommateurs, je présume, mais je vous laisse y répondre, que vous allez être toujours en affaire ici, au Canada, là?

M. Weiser (Jess) : Merci pour la question, M. le Président, mais, au niveau du temps, c'est sûr qu'on veut travailler avec vous. L'affaire des États-Unis, oui, on a la connaissance du concept et comment l'offrir, mais c'est au niveau des technologies, des logiciels, c'est vraiment que chaque application, mais chaque aspect de l'architecture de nos applications devrait être changé, et non seulement pour nous. Si on fait ça juste nous, ça ne changerait rien, rien. On doit communiquer avec tous les prêteurs, les grandes banques, les petites banques, les prêteurs, pour qu'ils... savoir qu'est-ce qu'il fait avec ça, comment il gère cette information. On va essayer de le faire d'une façon efficace et vite, mais notre estimation, c'est que ça va prendre deux années pour faire bon avec le système, pour que le résultat est un gel qui fonctionne bien pour les consommateurs.

Deuxième, au niveau prix, on n'a pas fait de décision du coût. Je comprends qu'il y a un débat de la gratuité, combien le prix, mais il n'y a pas de décision faite encore de nous au niveau de s'il y a un prix, c'est quoi, le prix.

M. Ouellet : Mais vous comprenez que, si pour... ici, la commission parlementaire, nous décidons tous que, pour le consommateur, pour demander cet accès-là, c'est gratuit, vous avez également compris que ça devrait être gratuit, mais que, s'il y a des coûts que vous voulez charger à l'utilisateur-payeur...

Le Président (M. Simard) : En conclusion.

M. Ouellet : ...donc, les institutions financières, ça pourrait leur être chargé. Et là on n'a pas encore eu les discussions quel serait le coût raisonnable, parce que ça pourrait être prévu dans le projet de loi.

Le Président (M. Simard) : Très rapidement.

M. Weiser (Jess) : Je comprends.

Le Président (M. Simard) : Très bien.

M. Ouellet : Bien, merci.

Le Président (M. Simard) : Voilà. Alors, Mme Di Napoli, M. Weiser, merci beaucoup pour votre contribution à nos travaux. Ceci met donc fin à nos auditions.

Mémoires déposés

Notre commission a, bien sûr, accompli son mandat, mais, avant de terminer, je dépose officiellement les mémoires des groupes non entendus durant nos auditions.

Je vous remercie encore à vous deux pour votre présence. Je remercie beaucoup tous nos auditeurs, qui nous écrivent très fréquemment pour nous donner des commentaires, commentaires que nous lisons, bien sûr, avec beaucoup d'intérêt.

Alors, on se retrouve demain, le 27 août, à 9 h 30. Bonne soirée à tout le monde.

(Fin de la séance à 15 h 39)