Journal des débats de la Commission des finances publiques
Version préliminaire
42e législature, 1re session
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
mardi 25 mai 2021
-
Vol. 45 N° 132
Consultations particulières et auditions publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Simard, Jean-François
-
Caire, Éric
-
Barrette, Gaétan
-
Marissal, Vincent
-
-
Caire, Éric
-
Simard, Jean-François
-
Barrette, Gaétan
-
Marissal, Vincent
-
-
Simard, Jean-François
-
Caire, Éric
-
-
Caire, Éric
-
Simard, Jean-François
-
Barrette, Gaétan
-
Marissal, Vincent
-
Ouellet, Martin
-
-
Simard, Jean-François
-
Caire, Éric
-
Barrette, Gaétan
-
-
Simard, Jean-François
-
Barrette, Gaétan
-
Marissal, Vincent
-
Caire, Éric
-
-
Simard, Jean-François
-
Caire, Éric
-
Barrette, Gaétan
-
-
Barrette, Gaétan
-
Simard, Jean-François
-
Marissal, Vincent
-
Caire, Éric
-
-
Caire, Éric
-
Simard, Jean-François
-
Barrette, Gaétan
-
Marissal, Vincent
-
-
Marissal, Vincent
-
Simard, Jean-François
-
Caire, Éric
-
-
Caire, Éric
-
Simard, Jean-François
-
Barrette, Gaétan
-
Marissal, Vincent
9 h 30 (version révisée)
(Neuf heures trente minutes)
Le Président (M. Simard) :
Alors, chers collègues, bienvenue à tous. Je constate que nous avons quorum. Je
déclare donc la séance de la Commission des finances publiques ouverte.
Comme vous le savez, nous sommes réunis
virtuellement afin de procéder aux consultations particulières et aux auditions
publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la
gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement et d'autres dispositions
législatives.
Mme la secrétaire, bonjour. Y aurait-il
des remplacements ce matin?
La Secrétaire
: …
Remarques préliminaires
Le Président (M. Simard) : Bien.
Alors, nous allons donc, comme à l'habitude, débuter par nos remarques
préliminaires. Et je cède d'emblée la parole au ministre. Monsieur, nous vous
écoutons. Vous disposez de six minutes.
M. Éric Caire
M.
Caire
: Merci,
M. le Président. Écoutez, évidemment, un plaisir pour moi d'être ici. Donc,
vous me permettrez, d'entrée de jeu, de saluer mes collègues de la partie ministérielle,
mon collègue de La Pinière, mon collègue de Rosemont pour cette consultation
particulière sur le projet de loi n° 95, M. le Président, projet de loi
n° 95 qui est un projet extrêmement important pour la suite des choses parce
qu'il induit un changement de culture extrêmement important. Et les
consultations particulières vont être d'autant plus intéressantes qu'on va
probablement avoir plusieurs points de vue de plusieurs sources différentes de
notre société.
Et il faut toujours garder en tête que
l'objectif du p.l. n° 95 est d'induire un
changement de culture. Il nous amène vers du droit nouveau, il nous amène vers
une philosophie qui ne trouve pas énormément d'écho ailleurs, à savoir qu'on
veut maintenant considérer la donnée comme un actif gouvernemental. Et ça, ça
répond à, je dirais, une nécessité de la transformation numérique, à savoir
concilier la valorisation, l'utilisation de la donnée tout en assurant la
sécurité de la donnée en question.
Et, M. le Président, nous vivons
actuellement dans ce que moi, je qualifierais du pire des deux mondes, à savoir
que la donnée est difficilement accessible et n'est pas valorisée, valorisée au
sens d'utilisée, au sens où, très souvent, le <citoyen se...
M.
Caire
: ...
la
donnée en question.
Et, M. le Président, nous vivons,
actuellement, dans ce que moi, je qualifierais du pire des deux mondes, à
savoir que la donnée est difficilement accessible et n'est pas valorisée,
valorisée au sens d'utilisée, au sens où, très souvent, le >citoyen se
transforme en employé de l'État parce que deux entités gouvernementales sont
incapables de se parler, et, ce faisant, on demande à nos citoyens de répondre
à des questions pour lesquelles nous possédons la réponse, mais, parce que nous
ne nous parlons pas, nous forçons le citoyen à nous communiquer, à de très
multiples reprises, les mêmes informations. Donc, une situation où on ne
valorise pas, où on n'utilise pas la donnée, et c'est le citoyen qui en fait
les frais.
Parallèlement à ça, la sécurité, bien, M.
le Président, je veux dire, les événements des derniers jours, voire des dernières
années, se passent de commentaires. Il faut être meilleurs. Il faut rehausser
notre capacité, notre expertise, notre façon de travailler. On ne peut plus
aborder la cybersécurité comme nous l'avons fait dans les dernières années. Et
c'est aujourd'hui une question de réseau, c'est une question d'expertise, c'est
une question d'outils technologiques, c'est une question de procédures, de
façons de faire qui nécessitent qu'on change de façon importante... en fait, je
vous dirais, qu'on soit diamétralement opposés à ce que nous faisons actuellement
dans plusieurs actions du gouvernement.
C'est très exactement ce à quoi nous amène
le projet de loi n° 95, qui s'inscrit dans une logique, M. le Président,
d'actions que le gouvernement a posées dans les dernières années, à savoir
l'élaboration d'une politique de cybersécurité, la mise en place du Centre
gouvernemental de cyberdéfense, le déploiement des centres opérationnels de
cyberdéfense pour constituer le réseau gouvernemental de cyberdéfense, des ententes
de collaboration qu'on a avec, notamment, le gouvernement fédéral pour être
capables d'échanger l'expertise, pour être capables d'échanger de
l'information, des outils technologiques, donc cette idée-là d'avoir un réseau
qui est capable de réagir en amont de la menace mais aussi qui est capable de
réagir à des attaques réussies, donc de contrer ces attaques-là, de limiter les
dégâts lorsqu'il y en a. Alors, c'est tout ça, maintenant, qu'il faut
considérer, et le projet de loi n° 95 nous fait faire un pas de plus dans
cette direction-là, un pas extrêmement important, M. le Président.
Le projet de loi est un projet de loi,
essentiellement, d'opérations technologiques, et c'est dans ce sens-là, M. le
Président, qu'il faut l'aborder, que nous allons l'aborder, évidemment, dans
une perspective d'écoute, dans une perspective de sensibilité par rapport aux
commentaires qui nous seront faits, bien évidemment, M. le Président, parce
que, comme n'importe quel autre projet de loi, celui-là est très certainement
perfectible. Et <donc je...
M.
Caire
: ...
évidemment,
dans une perspective d'écoute, dans une perspective de sensibilité par rapport
aux commentaires qui nous seront faits, bien évidemment, M. le Président, parce
que, comme n'importe quel autre projet de loi, celui-là est très certainement
perfectible. Et >donc je suis en mode… et je veux le dire aux collègues,
en mode collaboratif, en mode informatif, en mode disponible, parce que l'objectif
ultime, c'est de doter le Québec d'un État qui est capable d'assumer une
transformation numérique au bénéfice des citoyens et qui est capable de
rehausser sa capacité à protéger les informations, de quelque nature que ce
soit, qui lui sont confiées et d'en assurer la disponibilité, la confidentialité
et l'accessibilité.
Donc, M. le Président, très heureux de
participer à ces consultations particulières, et je me mets, à partir de
maintenant, en mode écoute, M. le Président.
Le Président (M. Simard) : Je
vous remercie, M. le ministre. Je cède maintenant la parole au porte-parole de
l'opposition officielle, le député de La Pinière. Cher collègue.
M. Gaétan Barrette
M. Barrette : Pour une
période, M. le Président...
Le Président (M. Simard) : De
quatre minutes.
M. Barrette : Merci, M. le
Président. Alors, à mon tour de saluer et de vous saluer, M. le Président, en
case départ, évidemment. M. le ministre, salutations à votre équipe et
évidemment salutations aux collègues des oppositions, avec qui nous allons
travailler sur ce projet de loi, ainsi qu'à leurs équipes.
C'est un projet de loi qui est court mais
qui est de très grande envergure. Je pense qu'il y a une disproportion entre
l'envergure du projet de loi et sa longueur, comme ça arrive souvent dans certaines
lois. Ce n'est pas quelque chose de nouveau.
D'entrée de jeu, je pense aussi que c'est
un projet de loi qui est nécessaire. Il est nécessaire, d'une part, parce qu'on
est en 2021. Plus que jamais, on est à l'ère de la gestion de l'information, et,
plus que jamais, il y a lieu d'en tirer le plus d'éléments possible dans
l'intérêt de la société et donc des citoyennes et des citoyens qui la
constituent.
Ayant dit ça, il est très probable qu'il y
ait certaines oppositions dans la réflexion qu'on va tenir, parce qu'évidemment
on sort d'une époque où la donnée personnelle est une donnée qui est souvent
vue comme étant un trésor individuel à ne pas partager, alors que, dans bien
des circonstances, c'est le partage qui est le trésor. C'est de ce partage-là,
du moins dans une organisation qui est celle qu'est un gouvernement, où on peut
en tirer le maximum d'éléments utiles pour la société. Donc, il va y avoir une
collision de concepts, c'est sûr qu'il va y avoir cette collision de concepts
là, et ce sera à nous de s'assurer que les protections soient en place.
Ayant dit ça, évidemment, je ne peux pas
faire autrement, et les gens le soupçonnent en <m'écoutant...
M. Barrette : ...
il va y avoir une collision de concepts, c'est sûr qu'il va y avoir cette
collision de concepts là, et ce sera à nous de s'assurer que les protections
soient en place.
Ayant dit ça, évidemment, je ne peux
pas faire autrement, et les gens le soupçonnent en >m'écoutant... ne pas
faire le lien avec le projet de loi n° 64. Les deux
doivent s'arrimer. Ça ne peut pas être deux projets parallèles. Ce sont deux
projets qui, d'une certaine manière, de grande manière, sont connectés, dans
leur finalité, même, je dirais. Alors, ils doivent non seulement coexister,
mais ils doivent s'arrimer de la façon la plus précise possible, efficace
possible en matière de sécurité. Et je dirais que ce sera probablement pour moi
l'élément principal ou un des éléments principaux sur lesquels je vais
m'attarder.
• (9 h 40) •
Je pense qu'il y a… Sémantiquement, dans
le projet de loi et dans nos propos, il faudra bien faire attention, et je le
dis d'entrée de jeu. Évidemment, pour ceux qui nous écoutent, là, valorisation,
ça rime souvent avec commerce. Alors, je ne pense pas que l'État soit ici dans
un mode de valorisation à l'enseigne du commerce. Je ne le pense pas, mais le
ministre pourra me contredire éventuellement, un peu plus tard dans nos… Mais
je pense que, de ce côté-là, il y a une prudence extrême à y avoir de façon à
ce qu'on puisse, de l'autre côté de la médaille, s'assurer que ce dont j'ai
parlé se réalise.
Alors, ce sont les angles, là, parce que j'ai
quatre minutes, et il ne me reste que quelques secondes, ce sont les angles que
je vais aborder, et en terminant, en comprenant bien que, là, il y a une
opportunité tournée vers le futur qui est de tirer le maximum d'effets
bénéfiques de l'utilisation de la donnée tout en évitant, évidemment, d'en
faire un commerce. Alors, M. le Président, je termine là-dessus. On aura
évidemment amplement de temps ultérieurement pour élargir sur ce fond-là.
Merci.
Le Président (M. Simard) :
Bien. Merci à vous, cher collègue. Et je cède maintenant la parole au député de
Rosemont qui dispose d'une période d'une minute.
M. Vincent Marissal
M. Marissal : Avant de
partir le chronomètre, M. le Président, je voudrais juste vous dire que mon
système a lâché trois fois depuis le début de nos travaux. Je ne sais pas si je
suis le seul à vivre ça. Pourtant, je suis dans l'immeuble du parlement, à mon
bureau. Je veux juste vous dire que, si d'aventure un tel problème devait
perdurer, ça va être assez compliqué d'écouter les témoins. Je vous le dis, là,
pour que ce soit su d'entrée de jeu. Avec votre permission, je vais maintenant
commencer ma minute d'intervention.
C'est un projet de loi important. Puis je
salue les collègues rapidement, parce que je n'ai qu'une minute. Évidemment, on
le prend d'un angle positif. Souvenez-vous des Russes, en 1972, qui étaient
venus pour apprendre. Moi, je... Apparemment, ça s'applique encore aux Canadiens
de Montréal, d'ailleurs, aujourd'hui, 50 ans plus tard. Moi, je suis là
aussi pour apprendre, parce qu'on a beaucoup à apprendre dans ce nouveau
secteur, et je suis là pour contribuer aussi.
Cela dit, je vous le dis tout de suite, un
peu <comme le...
M. Marissal : …
en 1972,
qui étaient venus pour apprendre. Moi, je... Apparemment, ça s'applique encore
aux Canadiens de Montréal, d'ailleurs, aujourd'hui, 50 ans plus tard. Moi,
je suis là aussi pour apprendre, parce qu'on a beaucoup à apprendre dans ce
nouveau secteur, et je suis là pour contribuer aussi.
Cela dit, je vous le dis tout de suite,
un peu >comme le député de La Pinière, moi, quand j'entends
«actif», «valorisation», il y a des petites lumières rouges qui s'allument dans
ma tête. Non, je n'entends pas des voix, mais j'ai des alertes rouges dans ma
tête, qui disent : Attention! C'est un actif qui appartient aux citoyens,
et le gouvernement en est le dépositaire, non pas le propriétaire. Alors, je
vais lancer, moi, ma réflexion sur ce projet de loi là sur cette base-là mais
avec beaucoup d'ouverture d'esprit.
On a déjà fait des projets de loi, là,
n° 14, n° 64, n° 95, non, ce n'est pas les billets chanceux
d'une loterie, c'est des projets de loi qui vont tous dans la même direction,
depuis que le gouvernement est au pouvoir. Mais on a beaucoup de travail à
faire pour s'assurer qu'on préserve cette précieuse richesse que sont nos
données personnelles, mais, je le répète, là, pour que ce soit clair,
j'entreprends ces travaux avec beaucoup d'ouverture d'esprit. Merci.
Auditions
Le Président (M. Simard) :
Merci à vous, cher collègue. Alors, d'ici la suspension de nos travaux cet
avant-midi, nous recevrons deux intervenants. Et nous commençons par
M. Steve Waterhouse. Monsieur, êtes-vous bien avec nous en ce moment?
M. Steve Waterhouse
M. Waterhouse (Steve) : Oui,
M. le Président.
Le Président (M. Simard) :
Super! Heureux de vous accueillir. Alors, pour les fins de notre procès-verbal,
auriez-vous l'amabilité de vous présenter à nouveau? Je dis «à nouveau» parce
que, bien sûr, vous êtes un habitué de notre commission.
M. Waterhouse (Steve) :
Certainement, monsieur. Je suis Steve Waterhouse, un ancien officier de
sécurité informatique au ministère de la Défense nationale et chargé de cours
au microprogramme, en maîtrise, à l'Université de Sherbrooke en protection de
l'information, au volet prévention.
Le Président (M. Simard) :
Merci. Alors, nous vous écoutons. Et vous savez que vous disposez de
10 minutes.
M. Waterhouse (Steve) :
Merci, M. le Président. MM. les élus, merci. C'est une opportunité rêvée de
partager ça avec vous alors que le présent projet de loi n° 95 est plus
que nécessaire, il est primordial, comme j'entendais d'entrée de jeu. Témoins
récemment de toutes ces fuites de données, collectivement, nous nous demandons
à quand cesseront ces fuites, comment peut-on les prévenir.
En premier lieu, j'ai pour mon dire, c'est
de réaliser qu'appliquer le principe de sécurité par l'obscurité n'a plus sa
place au XXIe siècle. Comme dans tous les plans de protection et dans
n'importe quel contexte, il faut connaître ce que l'on veut protéger et contre
quoi. J'apporte souvent le point que les évaluations de menaces et des risques,
les EMR, sont la base des prises de décision que tous les dirigeants, en fait,
à n'importe quel niveau, pratiquent sur une base régulière.
Le cyberrisque, quant à lui, nécessite une
attention particulière, car il en est suffisant… il en suffit de peu pour créer
un événement malheureux de perte de données, qui en résulte souvent à des vols
d'identité ou des demandes de rançon.
Il est reconnu, dans l'entreprise privée,
qu'à bien des égards la classification d'information est réalisable en sept
étapes, c'est-à-dire réaliser une évaluation des risques liés aux données
sensibles, développer une politique de classification formalisée, découvrir
l'emplacement de vos données, catégoriser les types de données, identifier et
classer ces données, activer les contrôles de prévention et contrôler et <maintenir…
M. Waterhouse (Steve) :
…
la classification d'information est réalisable en sept étapes,
c'est-à-dire réaliser une évaluation des risques liés aux données sensibles,
développer une politique de classification formalisée, découvrir l'emplacement
de vos données, catégoriser les types de données, identifier et classer ces
données, activer les contrôles de prévention et contrôler et >maintenir les
mesures.
Sept étapes appliquées globalement par le Conseil
du trésor seraient à être reprises et travaillées à chacun des ministères,
selon moi, afin qu'ils précèdent… procèdent, pardon, individuellement à leurs
propres évaluations selon leurs missions. À titre d'exemple, le MAPAQ n'a pas
autant de données que le ministère de la Santé et des Services sociaux à
protéger et gérer, mais il doit appliquer quand même les mêmes règles de
marquage d'information en sa possession.
L'administration
publique s'est dotée d'une référence de base pour la classification des actifs
informationnels au Québec, en 2016, appelée Guide de catégorisation de l'information
ou, son sobriquet, PR-057, qui, à mon sens, n'est nullement le format et l'outil
pour effectuer efficacement l'exercice de la classification à proprement dit.
De procéder avec une évaluation par la disponibilité, l'intégrité et la
confidentialité de base est un début mais n'est nullement pratique dans sa mise
en application des quatre niveaux de… de sensibilisation, pardon, des données
adoptés au PR-057, surtout dans l'identification des données sensibles selon
leur évaluation.
Les provinces
de l'Ontario, de la Saskatchewan, de la Colombie-Britannique, de l'Alberta, du
Nouveau-Brunswick et du Yukon ont produit une politique de classification de l'information
en inspiration du modèle du gouvernement fédéral, en annexe A du présent
mémoire, depuis 2017. Une sorte d'uniformité dans les pratiques de
classification facilite le partage des trucs et astuces entre les provinces et
le fédéral. Du moins, il facilite l'implantation des cadres.
Et récemment
les organisations qui utilisent la suite Microsoft Office 365 peuvent
programmer les niveaux de confidentialité et étiquettes de rétention en
fonction des stratégies et des politiques dédiées. L'idée est d'approcher le
besoin de classifier adéquatement pour que ce soit rapide et efficace tout en
appliquant une forme de prévention de diffusion non autorisée des données, par
la vocation de prévention de pertes de données, en anglais, le «data loss
prevention», vers l'extérieur du gouvernement du Québec.
Il est important
d'apporter, dans cette politique, comment les données seront protégées, en
traitement, composées ou modifiées, au repos, dans l'entreposage, en transit,
donc dans la transmission de celles-ci, et de quelle manière les données
physiques et électroniques seront détruites, en considération de leur niveau de
classification, à la fin de leur vie utile.
À titre d'exemple,
depuis plusieurs années existe un moyen de transmission des courriers
électroniques sécuritaire via une infrastructure à clé publique au ministère de
la Justice du Québec. Cette façon de faire pourrait servir l'ensemble du
gouvernement, voire même avec le citoyen, lorsque le projet d'identité
numérique sera à terme et mature. De cette façon, les informations en transit
demeureraient confidentielles, un risque de fuite de moins, et adresseraient le
besoin de signature numérique tel que mentionné dans les notes explicatives du
présent projet de loi.
Dans ce projet
de loi n° 95, il serait approprié d'adresser comment les contrats devraient
exiger la cybersécurité pour tout développeur, agence qui gère les données
citoyennes afin d'éviter les situations récentes comme avec le portail des
garderies 0-5 ans et du portail <Clic Santé…
M.
Waterhouse (Steve) :
...
tel que mentionné dans les notes
explicatives du présent projet de loi.
Dans ce projet de loi n° 95, il
serait approprié d'adresser comment les contrats devraient exiger la
cybersécurité pour tout développeur, agence qui gère les données citoyennes
afin d'éviter les situations récentes comme avec le portail des garderies 0-5
ans et du portail >Clic Santé. De ces situations, à qui revient la
responsabilité de la posture de sécurité, voire la protection des données
citoyennes de ces contractés? Les policiers pourront-ils prendre les
dépositions des citoyens lorsqu'une plainte ou une divulgation pour fuite
d'information leur est apportée?
Un exemple, comment c'est simple, à
l'annexe B… présente une page, un tableau synthèse pour guider les
contractuels, tout comme les fonctionnaires, à aller dans ce sens. La majorité
des développeurs avec des projets similaires, ci-haut mentionnés, sinon pas
tous, n'ont pas ou très peu de ressources en cybersécurité et documentent très
peu les politiques publiques de protection des renseignements personnels et
protection à la vie privée.
Merci à nouveau pour cette opportunité
d'échange avec vous. Je suis maintenant disponible à répondre à vos questions.
Le Président (M. Simard) :
Merci à vous, M. Waterhouse. Alors, je cède maintenant la parole au
ministre, qui dispose de 16 min 30 s pour sa période d'échange.
M.
Caire
:
Merci, M. le Président. Bien, d'abord, merci beaucoup, M. Waterhouse, de
participer à cet exercice. Vous êtes un expert reconnu dans l'espace public,
donc je pense qu'aujourd'hui les parlementaires vont avoir un grand bénéfice
d'échanger avec vous.
D'entrée de jeu, puis ce n'est pas une
question piège, là, parce que le gouvernement du Québec a sorti un schéma de
catégorisation des données, justement... Parce que moi, je suis à la même
enseigne que vous, je trouve qu'on doit... en fait, je suis convaincu qu'on
doit cesser de catégoriser la donnée par celui qui l'utilise, parce que sinon
une même donnée utilisée par la Santé devient protégée par tous les régimes de
protection, mais, si elle est utilisée par le Tribunal administratif du
logement, elle devient publique, et tout le monde peut s'en servir tout à fait
légalement, sans contrainte. Donc, c'est un peu schizophrénique comme façon de
faire. Et moi, je dis qu'on est à l'ère où on doit réfléchir et que la
catégorisation de la donnée doit se faire sur la base de sa sensibilité et de
sa valeur et non pas sur la base de celui qui s'en sert.
Maintenant, nous avons déposé à la
Commission des institutions le modèle de catégorisation en sept niveaux, comme
vous le prescrivez. Je ne sais pas si vous avez eu l'occasion de le voir. Et,
si oui, j'aimerais ça avoir vos commentaires là-dessus.
• (9 h 50) •
M. Waterhouse (Steve) : M. le
ministre, non, je n'ai pas eu l'occasion de voir et consulter ce document-là. Et
j'ai pourtant cherché publiquement, avec les accès, donc, publics que j'ai,
mais rien n'a transpiré dans ce sens, si jamais il a été publié, ce qui indique
tout bonnement qu'il n'a pas été catégorisé, indexé, là, par les moteurs de
recherche, évidemment.
Mais ça serait très intéressant parce que…
Est-ce que c'est trop d'avoir sept niveaux de classification, alors que
l'ensemble des provinces que j'ai mentionnées tout à l'heure, ils ont adopté
quatre niveaux, tout simplement, pareil comme dans le PR-057, mais en relation
avec le modèle du gouvernement fédéral de protégé A, B, C et public comme <types...
M. Waterhouse (Steve) :
...
là, par les moteurs de recherche, évidemment.
Mais ça serait
très intéressant parce que… Est-ce que c'est trop d'avoir sept niveaux de
classification, alors que l'ensemble des provinces que j'ai mentionnées tout à
l'heure, ils ont adopté quatre niveaux, tout simplement, pareil comme dans le
PR-057, mais en relation avec le modèle du gouvernement fédéral de protégé A,
B, C et public comme >types de niveaux de sécurité?
M.
Caire
:
Bien, c'est pour ça que j'aurais été intéressé à avoir vos commentaires
là-dessus. Puis, ceci étant dit, cette commission parlementaire n'est pas la
fin des échanges, donc je serai très heureux d'avoir vos commentaires
là-dessus, effectivement.
Je vais vous
amener peut-être sur un autre sujet, parce que je pense que, sur le mémoire tel
que vous le déposez, je ne peux pas être plus d'accord que ça, là, puis, tu
sais, on va se parler entre convertis, mais j'aimerais vous amener peut-être
sur votre passé dans une organisation chargée de la cybersécurité. Le projet de
loi n° 95, évidemment, va se baser sur la politique
de cybersécurité du gouvernement du Québec. On tend à déployer le réseau. Donc,
le vaisseau amiral est le Centre gouvernemental de cyberdéfense, mais chaque
ministère se dote d'un centre opérationnel de cyberdéfense. Donc, l'idée, c'est
d'avoir un réseau.
Évidemment, et
on nous a fait le commentaire, puis je veux vous entendre là-dessus, la
gouvernance, c'est une gouvernance de type militaire. Parce que la prétention
que j'ai est à savoir que, quand on parle de cyberdéfense, bien, évidemment, on
parle de procédures, on parle... les fameux SOP, là, qu'il faut avoir, on parle...
qu'est-ce qu'il faut mettre en place comme mesures de protection, comment on
doit réagir en amont, en aval d'une attaque, et tout ça. Le maître-mot, c'est
le temps d'intervention. Plus ce temps est court, et plus l'intervention est
efficace. J'aimerais vous entendre là-dessus. Est-ce que vous êtes plutôt du
type : Oui, une gouvernance militaire ou vous dites : Non, je pense
que... Parce que tout à l'heure vous parliez, là, de chaque ministère et
organisme qui devrait catégoriser sa donnée. Êtes-vous du type plutôt... de
dire : Non, il faut laisser chaque organisation s'occuper de sa sécurité?
Comment vous, vous voyez ça, cette organisation-là?
M.
Waterhouse (Steve) : Bien, M. le ministre, c'est de la musique à mes
oreilles, de la façon que vous l'apportez, parce que je prône dans le même
sens. Et, quand j'ai commencé avec la réseautique en 1994, 1995, les réseaux
s'installaient au sein des différents ministères, au fédéral, et tout était à
bâtir, un peu comme on est à l'étape, présentement... en discussion de cette
commission.
Et je suis
d'avis qu'il faut mettre en place une façon unifiée d'adresser le cyberrisque.
C'est perdant... C'est perdu d'avance, je devrais dire, si tous les ministères
commencent à faire une interprétation du cyberrisque à son niveau. Il faut
qu'ils le fassent, oui, mais en unisson avec la politique centrale, qui, à ce
moment-là, va donner les efforts qui vont tendre à la même direction. Sans
quoi, ce sont tous des maillons faibles qui vont se tenir ensemble, et ce n'est
qu'une question de temps avant qu'ils se fassent exploiter, comme c'est
présentement la situation.
Or, oui, je suis
dans le sens que ça devrait être une forme empirique, oui, pour dire : Avec
des procédures, des façons de faire à la militaire, comme on dirait. Cependant,
il faut qu'il y ait un changement profond de culture comme vous avez dit
d'entrée de jeu. S'il n'y a pas cette culture-là de dire que la menace, elle
est <omniprésente...
M.
Waterhouse (Steve) :
…
exploiter, comme c'est
présentement la situation.
Or, oui, je suis dans le sens que ça
devrait être une forme empirique, oui, pour dire : Avec des procédures,
des façons de faire à la militaire, comme on dirait. Cependant, il faut qu'il y
ait un changement profond de culture comme vous avez dit d'entrée de jeu. S'il
n'y a pas cette culture-là de dire que la menace, elle est >omniprésente
24/7, qu'on est sous attaque présentement, au moment où est-ce qu'on se parle,
bien, les gens ne réaliseront pas qu'une grande fin de semaine de trois jours,
bien, ce n'est pas vrai qu'il n'y aura pas d'attaque. Les belligérants, les
factions en opposition le savent très bien, savent quand est-ce qu'on dort,
savent quand est-ce qu'il y a des congés, et ce sont les moments d'opportunité
qu'ils ont pour pouvoir, à ce moment-là, tenter de pénétrer le système et
d'exploiter cette information-là.
M.
Caire
:
Merci. Un autre objectif du projet de loi n° 95, qui
est un changement de culture assez profond… Puis j'écoutais les collègues puis
je suis tout à fait d'accord avec eux, de dire : La donnée appartient aux
citoyens, et le gouvernement du Québec en est le dépositaire. Maintenant, ce
n'est pas la réalité législative au Québec. La réalité législative au Québec,
c'est : le citoyen est propriétaire de ses données, mais chaque organisme
qui collecte la donnée en est le détenteur, et en a la responsabilité, et, je
dirais même, n'a pas, de prime abord, la possibilité de le partager. Donc, on
essaie d'induire un changement de culture qui dit : Effectivement, la
donnée, elle appartient aux citoyens. Ça, je pense que, là-dessus, personne ne
va avoir de longs débats. Maintenant, quand c'est collecté par un organisme
qui opère au nom du gouvernement du Québec ou à l'intérieur du gouvernement du
Québec, il devient donc la responsabilité du gouvernement d'en assurer, oui, la
protection mais aussi la mobilité, la valorisation, ce qui permet à un
organisme de réutiliser la donnée plutôt que de la collecter et donc de
surmultiplier les bases de données, et donc d'éclater complètement les centres,
les sites où ces données-là sont conservées, conservées avec une expertise à
géométrie variable, avec des moyens techniques et matériels à géométrie
variable et donc qui augmentent significativement le risque que ces données-là
fassent l'objet d'une fuite.
Donc, la philosophie qui est induite par
le projet de loi n° 95 est de dire : On va
instituer des sources de données, donc des organismes qui seront mandatés par
le gouvernement pour collecter certains profils de données qui seront
partageables dans le respect des lois. Et j'écoutais le député de
La Pinière tantôt et je ne peux pas être plus d'accord avec lui que ça, il
est clair que nos lois sur les protections des renseignements personnels
doivent être mises au goût du jour. Ça, c'est le p.l. n° 64,
là, mais, le p.l. n° 95, son rôle est de dire, que…
dans le respect de ces lois-là, qui peut avoir accès à quoi et dans quelle
forme aussi, parce que, quelquefois, il n'est pas nécessaire de communiquer un
renseignement personnel, on peut simplement confirmer un <état et…
M.
Caire
: …
le
p.l.
n°
95, son rôle est de dire, que…
dans le respect de ces lois-là, qui peut avoir accès à quoi et dans quelle
forme aussi, parce que, quelquefois, il n'est pas nécessaire de communiquer un
renseignement personnel, on peut simplement confirmer un >état et sans
communiquer le renseignement personnel.
Donc, c'est vraiment ça, d'avoir des
sources de données officielles qui vont s'échanger des informations lorsque
c'est requis par une prestation de services, dans le respect des lois
actuelles, mais surtout en ayant cette capacité-là augmentée de sécuriser
l'information, parce qu'il n'y aura pas surmultiplication des sites. Donc, ça,
c'est la philosophie. J'aimerais ça vous entendre là-dessus, M. Waterhouse. Comment
vous, vous voyez ça? Est-ce que vous voyez des lacunes à cette façon de faire
là, des avantages? Comment vous abordez ça, vous?
M. Waterhouse (Steve) : Bien,
M. le ministre, premièrement, je suis d'accord avec vous, il faut que ça soit
dans le respect du citoyen, parce que, présentement, le citoyen est échaudé
avec les multiples fuites de données internes, au gouvernement du Québec, comme
à l'externe, avec un paquet de compagnies comme on en entend à chaque semaine.
Et le citoyen veut tout simplement s'assurer qu'à chaque soir qu'il se couche
il n'y aura pas, le lendemain matin à la une du journal, une fuite
d'informations qui va, à ce moment-là, lui peser sur les épaules, encore une
fois, pour les prochaines 20, 30, 40, 50 années en amont.
Devant cette possibilité-là, c'est certain
que plus qu'il y a de disparités dans la façon de gérer la donnée, comme on
disait tout à l'heure, avec la classification, bien, plus il y a de moyens qui
ne seront pas mis en place pour protéger adéquatement la sensibilité de ces
données. Prenons, par exemple, lorsqu'il y a des contrats, comme on parle… on a
parlé récemment, avec les différents fournisseurs, et qu'ils doivent... du
donneur d'ouvrage, exécuter une tâche x, mais qu'il n'y a pas de supervision
quant à la réalisation pour effectuer des vérifications d'usage une fois le
projet complété. Est-ce que ça rencontre toutes les normes et est-ce que ça
respecte aussi la sécurité, l'intégrité et la disponibilité qui est attendue
d'un service gouvernemental? Si ça, c'est toujours absent des contrats qui sont
donnés à l'extérieur, parce que l'expertise est là, il ne faut pas se le cacher,
bien, c'est certain qu'il y a nécessairement un gros potentiel de fuite de
données, si ce n'est pas pour dire de mise à risque des données
citoyennes, qu'il soit à l'extérieur ou à l'interne du gouvernement du Québec.
• (10 heures) •
M.
Caire
: Oui,
bien, merci beaucoup pour cette réponse-là, mais je veux quand même vous amener
peut-être un petit peu plus loin, parce qu'on est vraiment au niveau de la configuration
de comment on peut s'échanger des données.
Et allons-y sur la base des contrats dont
vous parlez. Est-ce que ces contrats-là nécessitent implicitement ou
explicitement que des données soient collectées? Est-ce que ce n'est pas la
première question qu'on devrait se poser? Parce que malheureusement, dans le
modèle actuel, lorsqu'il y a prestation de services, le réflexe est de
collecter une donnée que l'on possède déjà.
Prenons l'exemple de Place 0-5 ans. Il n'y
avait pas d'information là-dedans qui n'était pas connue du gouvernement du
Québec. Donc, est-ce que cet organisme-là avait besoin de se faire le
collecteur et le <dépositaire d'autant…
10 h (version révisée)
<485
M.
Caire
: …est de collecter une donnée que l'on possède déjà.
Prenons l'exemple de Place 0-5 ans. Il
n'y avait pas d'information là-dedans qui n'était pas connue du gouvernement du
Québec. Donc, est-ce que cet organisme-là avait besoin de se faire le
collecteur et le >dépositaire d'autant d'informations que le gouvernement
possédait déjà? C'est un petit peu dans ce sens-là que je pose ma question, parce
que, si on limite la collecte de données, si on limite le nombre de sites où
une même donnée va se retrouver entreposée, est-ce qu'on ne limite pas du même
coup les risques qui sont inhérents aux fuites de données? C'est un petit peu
ça, le sens de ma question.
M. Waterhouse (Steve) : Bien,
tout à fait, je réponds à la positive de votre question. Et c'est tout
simplement d'établir des moyens techniques par lesquels il y a entente et collaboration
entre le donneur d'ouvrage et l'exécutant. Ça va de soi. Maintenant, est-ce que
les systèmes, à l'intérieur des différents ministères, qui vont à l'extérieur
sont prêts à recevoir une connectivité de l'extérieur de manière sécurisée
permettant justement de puiser ou échanger des données selon le type
d'application?
Mais j'ai pour mon dire, M. le ministre,
que toute application développée à l'externe devrait revenir à l'intérieur, sur
l'infrastructure du gouvernement, pour ainsi assurer la pleine confidentialité
de toutes les données qui seraient utilisées. Ça serait beaucoup plus
sécuritaire, à mon sens, de le pratiquer de cette façon-là plutôt que de
dépendre que l'entité vers laquelle on a demandé une tâche, une exécution ou un
travail x... bien, qu'elle respecte en tous points cette façon-là. Parce qu'on
a épluché plusieurs de ces fournisseurs, et très peu respectent les fondements
de base de la cybersécurité. Parce qu'eux, ils produisent tout simplement un
produit, un logiciel, peu importe l'outil, pour être, à ce moment-là,
disséminé, puis il y en a qui le font de façon très cavalière. Alors, c'est
pour ça que je réitère que ça devrait être ramené à l'intérieur du gouvernement
pour que ça soit bien pris en charge, supervisé et encadré.
M.
Caire
: Bien,
en fait, il y a deux éléments, dans votre réponse, que je voudrais discuter ou
que je voudrais explorer avec vous peut-être de façon plus précise. Le premier
élément, c'est l'accès à l'information. Le deuxième élément, c'est l'utilisation
d'applications.
La politique de cybersécurité — puis,
bon, on ne se le cachera pas, là, M. Waterhouse, là, que vous avez
collaboré à l'élaboration de la politique de cybersécurité, donc je pense que
vous la connaissez bien — prescrit effectivement qu'avant de déployer
une application ou de mettre en ligne un site on devrait vérifier l'état de
sécurité, le fameux «security by design», là, qui est prévu par la politique de
cybersécurité. Je ne vous le cache pas qu'il est actuellement appliqué à
géométrie variable, là. Mais ça, c'est effectivement un des rôles du Centre gouvernemental
de cyberdéfense de s'assurer que ça, c'est fait.
Donc, ce que vous dites, c'est que, dans
le fond, quand une entreprise signe une entente avec le gouvernement, on
devrait traiter ces systèmes comme des systèmes à être déployés. Donc, il
faudrait les tester, il faudrait s'assurer qu'ils sont sécuritaires, dans un
premier temps. Ça, c'est ma question... si j'ai <bien…
M.
Caire
: …quand
une
entreprise signe une entente avec le
gouvernement, on devrait
traiter ces
systèmes comme des
systèmes à être déployés. Donc, il
faudrait les tester, il faudrait s'assurer qu'ils sont sécuritaires, d
ans
un premier temps. Ça, c'est ma
question... si j'ai >bien compris
ce que vous dites.
Puis, dans un deuxième temps, ce que vous
dites, ce n'est pas tellement qu'il faut négocier des paramètres de sécurité
avec les entreprises mais de discuter de paramètres d'accès aux systèmes du
gouvernement, qui, eux, seraient évidemment préjugés sécuritaires. Est-ce que
j'ai bien compris, là, ce que vous nous dites?
M. Waterhouse (Steve) : Bien,
je vais le repréciser. Dans un premier temps, les exigences du ministère devraient
faire, à ce moment-là, office d'obligation que... L'exécutant devrait se
conformer, parce que le gouvernement apporte, à ce moment-là, des données qui
sont sensibles, sont réputées sensibles, donc plus sensibles… qu'eux
travaillent des données publiques. À ce moment-là, vous serez d'accord comme
moi que c'est d'appliquer toujours les mesures les plus contraignantes selon la
sensibilité qui est à traiter.
Donc, dans un premier temps, ce serait peut-être
d'avoir des systèmes de développement qui seraient soit parrainés par le
gouvernement ou, du moins, rendus sécuritaires, aux normes du gouvernement, hébergés
chez l'exécutant ou à l'intérieur du gouvernement, reste à définir, mais il
reste toujours bien... que le gouvernement doive avoir son mot à dire sur où le
développement, le traitement de l'information sera fait, et par la suite
comment est-ce que cette information-là doit être interprétée et lue. Donc, si…
Puis, à l'annexe B, c'est pour ça que
je l'apportais, ce petit résumé là qui… c'est l'agence de transport CATSA, à
l'aéroport, que, eux, bien, ils répondent des normes du gouvernement fédéral et
ils ont mis une façon assez simple de résumer ce qu'ils doivent respecter en
termes de traitement d'information, l'acheminement, l'archivage, etc. Et, si ce
genre d'annexe là est apporté, en exemple, là, vers les exécutants d'un contrat :
Bien, voici les exigences que le gouvernement du Québec s'attend de vous... Et
ça, il faut que ce soit imposé, il ne faut pas que ce soit suggéré, parce que,
si c'est suggéré, c'est clair qu'ils vont en disposer. Ils vont aller le chemin
le plus court pour accomplir la tâche, pour se faire payer rapidement mais…
M.
Caire
: D'où
l'idée de le mettre dans les clauses contractuelles.
M. Waterhouse (Steve) :
Définitivement. Puis c'est ça que j'apportais dans les notes d'entrée, parce
que, si ce n'est pas présent, même s'ils le disent haut et fort : Oui,
oui, oui, on est pour les bonnes vertus, on s'attend de toujours protéger la
cybersécurité, on sait que c'est important, mais qu'il n'y a personne qui est
impliqué, en termes de métiers de cybersécurité, dans les organisations, c'est
certain que ça va passer à côté, puis on a des résultats comme on voit dans les
journaux.
M.
Caire
: O.K.
Et, dans les clauses contractuelles, au fond, ce que vous nous dites, c'est
qu'il serait prescrit qu'on doit respecter les normes, les standards et les
politiques du gouvernement. Donc, vous n'y allez pas de façon méta, à savoir
vous devez avoir telle ou telle application. Ce que je veux dire, c'est qu'on
ne serait pas à l'étape de dire : Pour faire affaire avec le gouvernement,
vous devez utiliser tel ou tel type de système. On est vraiment, vous le dites,
dans un sens plus large.
M. Waterhouse (Steve) : Il
faut. Il faut, parce qu'à ce moment-là, comme on dit en anglais, ça va être
«future-proof», ça va être à l'épreuve du temps. Et, si vous précisez, au
moment précis d'aujourd'hui, <une…
M.
Caire
: …qu'on
ne serait pas à l'étape de dire : Pour faire affaire avec le gouvernement,
vous devez utiliser tel ou tel type de système. On est vraiment, vous le dites,
dans un sens plus large.
M. Waterhouse (Steve) :
Il faut. Il faut, parce qu'à ce moment-là, comme on dit en anglais, ça va être
«future-proof», ça va être à l'épreuve du temps. Et, si vous précisez, au
moment précis d'
aujourd'hui, >une telle méthode, un tel outil,
bien, dans cinq ans, six ans, si ce n'est pas vous qui êtes encore en
poste, votre successeur, il aura oublié comment ça a été fait, et, à ce
moment-là, ça devient une méthode ou un moyen qui est vétuste et qui n'est plus
à jour. Et, à ce moment-là, ils vont respecter la norme, c'est écrit noir sur
blanc, mais ils vont être en deçà des normes au moment où est-ce que ce sera
utilisé. Ça fait que c'est pour ça que c'est de le mettre selon les règles en
vigueur…
Le Président (M. Simard) : En
conclusion.
M. Waterhouse (Steve) : …de
telle référence, le plus large possible.
M.
Caire
: M. le
Président, est-ce que je comprends que mon temps est expiré?
Le Président (M. Simard) : Tout
à fait. Et vous aviez d'ailleurs 17 min 30 s.
M.
Caire
:
16 minutes?
Le Président (M. Simard) :
Non, vous aviez 17 min 30 s parce que M. Waterhouse n'avait
pas pris tout le temps qui lui était imparti, donc nous l'avons réparti dans
chacun des groupes parlementaires. Alors, vous avez écoulé votre temps.
M.
Caire
:
Alors, permettez-moi de remercier M. Waterhouse pour cette très intéressante
conversation.
Le Président (M. Simard) :
Très bien. Conséquemment, puisque le député de René-Lévesque ne sera pas
présent, du moins dans le cadre de la première intervention, y aurait-il consentement
afin que nous puissions répartir équitablement entre les deux groupes d'opposition
les 2 min 45 s qui lui étaient allouées?
M.
Caire
: Consentement.
Le Président (M. Simard) : Y
a-t-il consentement de tous les collègues?
Des voix
: Consentement.
Le Président (M. Simard) :
Très bien. Ce qui ferait que, puisque vous aviez déjà un peu plus de temps que
prévu également pour l'opposition, grosso modo, je calcule à vue d'oeil en
regardant mon secrétariat, vous disposeriez, M. le député de La Pinière,
d'environ 13 minutes.
M. Barrette : Ah!
13 minutes?
Le Président (M. Simard) :
Bien oui. Vous ne pouvez pas dire qu'on n'est pas généreux avec vous ce matin.
M. Barrette : Bien, vous êtes
d'une grande générosité. Je vais le prendre puis j'en suis très heureux. Alors,
allons-y. Alors, bonjour, M. Waterhouse.
M. Waterhouse (Steve) : M. le
député.
M. Barrette : Bien, bienvenue,
évidemment, à cette commission-ci. Écoutez, je vais... pour le bénéfice de ceux
qui nous écoutent, je vais quand même établir une chose. Je ne pense pas que ça
ait été établi précédemment. Le ministre nous a informés que vous aviez été
consulté pour la rédaction ou, du moins, la réflexion qui a mené à la rédaction
du projet de loi n° 95. C'est exact?
M. Waterhouse (Steve) : Bien,
au même titre que, présentement, je présente devant vous.
M. Barrette : Non, non, je
comprends, mais c'est parce que c'est important pour les gens qui nous écoutent
de savoir que vous avez participé à la rédaction du projet de loi. Ce qui ne me
dérange pas du tout, là.
M. Waterhouse (Steve) : Bien,
je n'ai pas participé à la rédaction du projet de loi, M. le député, là, seulement
à la politique…
M.
Caire
: C'est
à la politique de cybersécurité, M. le député.
Le Président (M. Simard) : M.
le ministre, pour l'instant, la parole ne vous appartient pas. La parole
n'appartient qu'au député de La Pinière. Monsieur, veuillez poursuivre.
M. Barrette : Ce n'est pas
grave, M. Waterhouse. C'est simplement pour établir que vous avez été dans
la game, si vous préférez, là. Je ne veux pas vous prêter ni d'intentions ni de
responsabilité. Ça fait mon affaire que vous... Vous avez été là pendant le
processus qui a mené le ministre à déposer son projet de <loi…
Le Président (M. Simard) :
…M., veuillez poursuivre.
M. Barrette : Mais ce n'est
pas grave, M. Waterhouse, c'est
simplement pour établir que vous
avez été dans la game, si vous préférez, là. Je ne veux pas vous prêter ni
d'intention ni de
responsabilité. Ça fait mon affaire que vous... Vous
avez été là pendant le processus qui a mené le ministre à déposer son projet de
>loi. Parce que, quand je lis votre mémoire, votre mémoire est quand
même critique, de façon significative, de la situation actuelle.
• (10 h 10) •
M. Waterhouse (Steve) : Oui.
M. Barrette : Bon. Vous
considérez, quand je lis votre mémoire, que la situation actuelle en matière
de… pas juste de cybersécurité mais en matière de sécurité au sens global du
terme... qu'elle laisse à désirer. Et ce n'est pas une critique du gouvernement
actuel ni des précédents. C'est l'État qui est de même. L'État est rarement
contemporain dans sa gestion des données. Ça, on va dire ça comme ça. C'est ce
que vous constatez à la grandeur du gouvernement. Donc, il y a lieu d'agir.
M. Waterhouse (Steve) : Oui, monsieur.
C'est le constat aussi de d'autres professionnels de la cybersécurité en
province aussi.
M. Barrette : C'est d'autant
plus intéressant d'avoir ce bout de conversation là qu'on arrive avec un projet…
on a actuellement, comme je l'ai dit dans mon introduction, deux projets
de loi, là, qui traitent de sécurité des données ou de gestion de la donnée. Il
y a le64, il y a le 95. Manifestement, il était
temps d'agir, parce qu'on n'est pas très, disons, à date dans nos standards de
gestion de la donnée. On s'entend là-dessus.
M. Waterhouse (Steve) : Tout
à fait.
M. Barrette : Bon. Un coup que
j'ai dit ça, là, quand j'ai lu votre mémoire, la première réflexion qui m'est
venue à l'esprit est la suivante, puis là je vous demande votre opinion, vous
avez vu le gouvernement, vous avez été consulté pour une partie de la
cybersécurité... je suis obligé de conclure, à la lecture de votre mémoire, que
jamais, au grand jamais, la loi n° 95, même si elle
est adoptée, par exemple, d'ici trois semaines, ne devrait être mise en
application tant que ce que vous avez évoqué dans votre mémoire n'a pas été
corrigé.
M. Waterhouse (Steve) : Bien,
c'est le but de la présente discussion, je crois, M. le député, et j'espère
qu'elle sera considérée, ce que j'apporte, et les autres qui me suivront
apporteront aussi comme réflexions, parce que c'est important, à ce moment-ci,
de bien redresser qu'est-ce qui n'est pas en place et de mettre les jalons qui
sont nécessaires à tracer le chemin de demain. Parce que, présentement, oui, le
gouvernement, il est 20 ans en arrière, M. le député, et, s'il y en a qui
ne croient pas ça, bien, désolé, là, je vous l'apporte en réflexion, parce que
le gouvernement du Québec comme d'autres aspects gouvernementaux à travers le
pays n'ont pas suivi l'évolution technologique, et elle va d'une vitesse à
grand V. Et, si personne ne met, justement, un chemin, des balises avec
lesquelles s'aligner pour le futur, bien, c'est certain, le gouvernement du
Québec sera toujours à la remorque des événements et non pas un leader en
avant.
M. Barrette : Donc, je
comprends votre réponse, là. Elle va dans le sens que... dans le même sens que <moi…
M. Waterhouse (Steve) :
...
si personne ne met, justement, un chemin, des balises avec lesquelles
s'aligner pour le futur, bien, c'est certain, le gouvernement du Québec sera
toujours à la remorque des événements et non pas un leader en avant.
M. Barrette : Donc, je
comprends votre réponse, là. Elle va dans le sens que... dans le même sens que
>moi, mais moi, je vais un pas plus loin, là. Le pas plus loin, c'est
qu'avant de mettre des données, 95, là, ce dont on parle aujourd'hui, va mener
à, mettons... on va résumer, là, on va avoir une espèce de hub où la donnée va
se retrouver ou, du moins, va transiger. Ce que vous nous dites, là, et ce que
je dis, là, c'est qu'avant que quoi que ce soit circule dans ce hub-là, là, il
va falloir que tout au complet soit mis en place, complètement et non
partiellement. Est-ce qu'avec ça vous êtes d'accord ou non?
M. Waterhouse (Steve) : Je
suis d'accord, M. le député, parce que, sinon, ça va créer des maillons faibles,
et ils seront un autre élément de risque et de contention.
M. Barrette : Parfait. On
s'entend là-dessus. J'ai bien compris votre mémoire et votre pensée.
Maintenant, quand je lis votre mémoire, et
vous en avez vous-même fait... vous y avez fait référence dans l'échange que
vous venez d'avoir avec le ministre, je comprends que vous avez établi, dans
votre mémoire, un maximum. Et même le fédéral n'est pas au maximum. Est-ce que
j'ai bien compris?
M. Waterhouse (Steve) : M. le
député, je ne comprends pas le maximum que vous référez.
M. Barrette : Bien, vous
avez mis les... Dans la catégorisation, par exemple, là, vous avez mis un
certain nombre de catégories. Sept, de mémoire. Vous avez constaté qu'au
fédéral il y en a quatre. C'est dans ce sens-là. Est-ce que, quand vous, vous
parlez d'un certain nombre de catégories, pour prendre cet exemple-là, il est absolument
nécessaire... Est-ce que le fédéral, ça devient un point de référence qui est
un cran en dessous de ce qu'on devrait faire, ou c'est le maximum que personne
n'atteindra jamais dans le public, ou est-ce qu'à l'inverse, à l'inverse, on se
contente d'un minimum?
M. Waterhouse (Steve) : Oui,
je comprends votre question maintenant. Ayant évolué avec le système fédéral,
puis c'est quand même un modèle mature d'une cinquantaine d'années, il y a trois
niveaux qui ne sont pas d'intérêt national et trois niveaux d'intérêt national.
Et ça, cette norme-là, avec laquelle les autres provinces, je mentionnais, se
sont inspirées, d'avoir un minimum, puis ça, c'est dans l'industrie privée aussi,
ça se passe comme ça, quatre niveaux, trois niveaux, c'est pas mal la norme qui
est établie. Ça se veut, à ce moment-là, de vraiment mettre des catégories
minimales pour, à ce moment-là, identifier qu'est-ce qui est critique de qu'est-ce
qui l'est moins pour appliquer les bonnes mesures.
Si on en met plus pour être capable de
vraiment granulariser la classification de ces données-là en importance et en
sensibilité, surtout, bien, peut-être que ce sera trop onéreux d'en mettre sept
versus quatre, trois ou cinq, peut-être. C'est un exercice qui est à revoir. Et,
comme le ministre me le mentionnait tout à l'heure, le ministre Caire, bien, j'aimerais
bien ça voir ce plan de sept catégories, qui serait intéressant à travailler, mais
j'ai pour mon dire que quatre, c'est quand même, à date, une norme, appliquée
par toutes les autres provinces mentionnées plus tôt, qui ferait en sorte qu'on
va faire un travail de fond très intéressant.
M. Barrette : Est-ce que
je dois comprendre que, dans votre esprit, le niveau de sécurité est équivalent
selon le... pour chacun des niveaux et que c'est la granularisation qui change
en passant de quatre à <sept...
M. Waterhouse (Steve) :
…
par toutes les autres provinces mentionnées plus tôt, qui ferait en
sorte qu'on va faire un travail de fond très intéressant.
M. Barrette : Est-ce
que je dois comprendre que, dans votre esprit, le niveau de sécurité est
équivalent selon le... pour chacun des niveaux et que c'est la granularisation
qui change en passant de quatre à >sept?
M. Waterhouse (Steve) : Fort
probablement. Il faudrait que je voie en détail les sept classifications qui
sont énumérées ici, mais, définitivement, il faut qu'il y ait rattaché, à ce
moment-là, importance de la donnée versus niveau 4, versus niveau 5,
6 et 7, etc., plus quelles sont les mesures à appliquer pour la protéger, cette
donnée-là, en transit, en repos, en destruction. C'est tout ça qui vient faire
en sorte... Plus qu'il y a de niveaux, plus ça devient complexe à gérer dans le
temps. En mettre quatre, niveaux, à date, c'est très simple à respecter, mais,
quand on parle de sept, bien, à ce moment-là, il va falloir s'équiper pour
travailler plus longuement.
M. Barrette : Donc, vous, vous
liez, et ça, ça a un impact dans toute décision gouvernementale... vous liez un
coût aux niveaux en question. Et plus...
M. Waterhouse (Steve) :
Définitivement.
M. Barrette : Bon. Et puis là
je ne sais pas dans quel ordre, là, vous les mettez, là. Le plus coûteux, ça doit
être 1, j'imagine, ou 7, je ne le sais pas, là.
M. Waterhouse (Steve) : Bien,
le plus sensible... En fait, l'élément le plus sensible, admettons, les
stratégies du cabinet du premier ministre, bien, il faut-tu qu'elles soient...
présentement, devraient-elles être classifiées au même titre que le rapport
d'impôt d'un citoyen? La réponse est non. Donc, comment est-ce qu'on protège
les secrets cabinet, si on peut juste interpréter ça comme ça pour l'instant,
pour l'exemple, et quel moyen de cryptographie on va appliquer? Quel moyen pour
transporter l'information entre deux personnes? Est-ce qu'un courrier
électronique normal est suffisant? La réponse, c'est non. Bon, bien, avec quels
moyens qu'on protège cette transmission? Et, après coup, c'est quoi, la durée
de vie d'une donnée secret cabinet? Est-ce qu'elle doit être archivée? Si oui,
comment, combien de temps, etc. Il y a toutes des politiques comme ça. Les
sous-politiques doivent être dérivées pour, à ce moment-là, compléter la
désignation de ce niveau de sécurité. Et, comme vous dites, peut-être,
niveau 7, ce serait le plus important.
Et après ça, quand on arrive à la donnée
publique, bien, la donnée publique, c'est qu'est-ce qu'on retrouve sur Internet
pour tout le monde, mais la donnée collectée par un ministère au gouvernement,
confiée à ce gouvernement-là, ne devrait certainement pas être de l'information
publique. Donc, de cette perspective, c'est d'identifier comment est-ce que le
gouvernement, le ministère protège l'information citoyenne, de quel niveau,
etc. Ça, c'est qu'est-ce qui devrait être relié étroitement à cette
classification.
M. Barrette : Bien là, je vais
vous faire rire, là, mais, pour le citoyen moyen, là, je pense que sa donnée
est plus importante que la stratégie du premier ministre. Avec tout le respect
que je dois au premier ministre, là, je pense que le dommage de la fuite de la
donnée du premier ministre va toucher le premier ministre, alors que la banque
de données, elle, de citoyens, au pluriel, ça m'apparaît plus dommageable. Je
ne pense pas que la donnée stratégique du premier ministre va permettre de
voler son identité et de faire un emprunt, de contracter une hypothèque à son
nom, là, alors que dans d'autres...
M. Waterhouse (Steve) : Non,
mais la perte de stratégie provinciale envers, exemple, des transactions
hydroélectriques interprovinciales pourrait endommager les relations
gouvernementales. Ça, pour moi, c'est important.
M. Barrette : Non, c'est vrai.
Je ne vous dis pas que ça n'a pas de valeur, là. Je vous dis que, pour le
citoyen lui-même, là, le citoyen <lambda, là...
M. Barrette : ...
une
hypothèque à son nom, là, alors, que dans d'autres...
M. Waterhouse (Steve) :
Non, mais la perte de stratégie provinciale envers, exemple, des transactions
hydroélectriques interprovinciales pourrait endommager les relations
gouvernementales. Ça, pour moi, c'est important.
M. Barrette : Non, c'est vrai.
Je ne vous dis pas que ça n'a pas de valeur, là. Je vous dis que, pour le
citoyen lui-même, là, le citoyen >lambda, là, lui, là, il se considère
7, lui, là, si le 7 est le maximum.
M. Waterhouse (Steve) : Tout
est relatif du point de vue qu'on le regarde, effectivement.
M. Barrette : O.K. Alors,
vous, là, je n'ai pas vu... ou peut-être que j'ai mal lu votre mémoire, je n'ai
pas vu de priorisation dans les niveaux. Est-ce que j'ai mal lu?
M. Waterhouse (Steve) : Bien,
tout est à définir, M. le ministre, parce que... Moi, je préconise le niveau...
le modèle fédéral qui... Il y a trois niveaux de base d'intérêt non national, A,
B et C, C étant le plus grave, A étant le moins grave dans son importance,
comme d'autres provinces l'ont appliqué de cette manière-là, alors que le
PR-057, bien, lui, il le réfère à niveau 1 à 4, 4 étant le plus grave.
M. Barrette : O.K. Bien là,
vous préférez lequel dans les deux, là?
M. Waterhouse (Steve) : Je
préférerais un modèle aligné sur le modèle fédéral, sachant sa simplicité et
son efficacité, qui a été prouvée à travers le temps. Mais, à ce moment-là, ça
reste à définir et de le mesurer, de le jauger, là, dans le temps. Mais il faut
nécessairement qu'il y en ait une, façon de catégoriser, de classifier cette
information-là, dès que possible.
M. Barrette : O.K. Quand vous
regardez la situation, parce que vous avez quand même fait un survol de la situation,
quand vous regardez l'ensemble de la... je suis-tu obligé de conclure, puis
vous me confirmerez ou non, qu'au bout, à la clé, là, il y a du personnel en
quantité significative, là?
M. Waterhouse (Steve) : Vous
avez été entrecoupé. Pourriez-vous répéter, s'il vous plaît?
M. Barrette : J'ai dit :
Quand j'écoute... quand je lis votre mémoire et que j'écoute vos commentaires,
je suis obligé de conclure qu'en bout de ligne, pour se rendre au bon niveau,
on a de l'embauche à faire.
• (10 h 20) •
M. Waterhouse (Steve) : Pas
autant de l'embauche, M. le ministre, que de former de manière qualitative les
gens soit en place ou à venir à l'intérieur des enceintes du gouvernement,
parce que, nécessairement, ce n'est pas... c'est une nouvelle science, c'est
une nouvelle façon de travailler, et qu'est-ce qui a été appris voilà
25 ans n'est pas nécessairement à jour pour qu'est-ce que... le travail
est à faire aujourd'hui.
La classification d'information, la
gestion d'information, oui, c'est intemporel, d'une certaine façon, mais, la
façon de le faire moderne, bien, il faut que les gens soient à jour pour être
capables d'apporter les meilleures solutions possible.
M. Barrette : M. le Président,
il me reste combien de temps?
Le Président (M. Simard) : 40.
M. Barrette : 40 secondes.
O.K. Vous estimez, pour faire cette transition-là, que ça prendrait combien de
temps?
M. Waterhouse (Steve) : Bonne
question. Le moins de temps possible, c'est certain. Mais il faut qu'ils soient
concentrés, les efforts, dès maintenant pour être capable de développer,
justement, une méthodologie qui soit applicable dans les plus brefs délais. C'est
la meilleure réponse que je peux vous générer à ce moment-ci.
M. Barrette : Oui, mais
«ballpark», là. Vous avez été dans des grandes organisations, vous là, là. Pour
arriver, là... «Ballpark», là. Je ne vous demande <pas...
M. Waterhouse (Steve) :
...
c'est certain, mais il faut qu'ils soient concentrés, les efforts,
dès maintenant pour être capable de développer, justement, une méthodologie qui
soit applicable dans les plus brefs délais. C'est la meilleure réponse que je
peux vous générer à ce moment-ci.
M. Barrette : Oui, mais
«ballpark», là. Vous avez été dans des grandes organisations vous là, là, pour
arriver, là, «ballpark», là, je ne vous demande >pas à la seconde, au
jour, au mois près, là, à la limite, même pas à l'année près. C'est une
transition qui prend combien de temps avant d'être fonctionnelle avant de
partager les données, là?
M. Waterhouse (Steve) : Est-ce
qu'on parle d'une transition en partant de zéro et créée à partir de rien ou
convertir qu'est-ce qui est en place?
M. Barrette : Non. À partir de
ce que vous avez vu à date, là.
M. Waterhouse (Steve) : Bien,
c'est de convertir qu'est-ce qui est déjà en place. Et, je vous dirais, il faut
prendre le temps qu'il faut. Et est-ce qu'un an... Je pourrais dire... prescrire
un an, c'est certain, mais il faut le faire le plus rapidement possible.
J'aimerais ça que ce soit fait le mois prochain.
Le Président (M. Simard) :
Très bien. Alors, cher collègue, malheureusement, nous devons arrêter ici.
M. Barrette : Merci, M. Waterhouse.
M.
Waterhouse (Steve) : Bienvenue, monsieur.
Le Président (M. Simard) :
Merci à vous également, cher collègue. Je cède maintenant la parole au député
de Rosemont, qui dispose d'environ 4 min 10 s.
M. Marissal : Merci, M. le
Président. Merci au PQ de m'avoir donné ces quelques secondes. Je vais franchir
le cap des quatre minutes. M. Waterhouse, je vais commencer là où a
commencé mon collègue de La Pinière mais avec une question beaucoup plus
pointue. Avez-vous été rémunéré pour avoir participé à l'élaboration de la
politique de cybersécurité du gouvernement?
M. Waterhouse (Steve) :
Aucunement. Même pas le stationnement de payé, aucun café.
M. Marissal : O.K. Très bien.
Vous comprenez la question. Si c'est bon pour vous, c'est bon pour nous de le
savoir, parce que, de la façon dont ça avait été dit, on aurait pu penser que
vous aviez été mis à contribution, ce qui, évidemment, changerait votre rôle
ici. Alors, je suis heureux de l'entendre. Et merci de votre contribution
bénévole.
Quand on regarde la liste des témoins,
vous en êtes le premier, et c'est bien, je pense que vous deviez figurer pas
mal au top de la liste, au-dessus de la liste, devrais-je dire, de tous les
partis ici représentés. On reconnaît votre expertise. Mais moi, je m'étonne, en
regardant la liste, de un, de voir qu'elle est plutôt courte. On a neuf ou 10
groupes à ce jour, alors que le ministre, paradoxalement, parle de droit
nouveau, de territoire à défricher, de révolution, puis là on va «wraper» ça,
on va fermer ça en quelques jours, deux jours, là, de témoins. Je trouve ça
paradoxal. J'aimerais ça vous entendre là-dessus.
Et ce que je trouve particulièrement
paradoxal, c'est qu'il n'y a pas de collecteur de données de l'État dans la
liste qui a été retenue par le gouvernement. Je pense, par exemple, à la RAMQ,
là, qui est probablement... et Revenu Québec, qui sont les deux plus gros
collecteurs de données. Serait-il utile de les entendre?
M. Waterhouse (Steve) : Bien,
les entendre pour... Eux, ce sont des exécutants dans l'accumulation des
données, puis ils vont dire : Bien, nous, on regarde vers le haut, on
attend que les politiques descendent pour être capables d'exécuter leur
mission. Je ne sais pas qu'est-ce qu'ils auraient apporté de plus, à part
d'élaborer ou d'énumérer un constat d'où ils en sont et où ils veulent aller,
peut-être. Ça, c'est comme ça que j'entends qu'ils auraient pu contribuer et
donner un état de la situation dans laquelle ils baignent, manquant de
ressources, manquant peut-être de stratégie. Ça, c'est la façon que j'aurais pu
voir leurs apports.
Mais, les autres professionnels qui sont
manquants à l'appel, c'est peut-être parce qu'ils sont justement submergés de
travail, tellement qu'il y en a à faire. Ils n'ont peut-être pas entendu
l'appel au moment <opportun...
M. Waterhouse (Steve) :
...
peut-être. Ça, c'est comme ça que j'entends qu'ils auraient pu
contribuer et donner un état de la situation dans laquelle ils baignent,
manquant de ressources, manquant peut-être de stratégie. Ça, c'est la façon que
j'aurais pu voir leurs apports, mais les autres professionnels qui sont
manquants à l'appel, c'est peut-être parce qu'ils sont justement submergés de
travail, tellement qu'il y en a à faire, ils n'ont peut-être pas entendu
l'appel au moment >opportun. Il y a plein de facteurs comme ça qui
expliquent mal pourquoi qu'il n'y a pas plus d'appelés ici aujourd'hui.
M. Marissal : Mais on est
d'accord pour dire que ces deux entités-là, là, que je nomme, par exemple, là,
RAMQ, puis c'est à dessein que je le fais, là, il y a eu des débats là-dessus déjà,
et Revenu Québec, vont devoir, au premier chef, participer, là, à ce qu'on est
en train de faire là.
M. Waterhouse (Steve) : Bien,
moi, je les vois juste comme des exécutants. Une fois que la politique sera
dessinée et la stratégie sera adoptée et descendue, ça ne doit pas devenir un
débat mais bien une exécution en partance de la stratégie globale, et qu'ils
puissent à ce moment-là arrimer leurs procédures en fonction de cette
stratégie-là, sans quoi ça va devenir une boucle sans fin, et, comme le député
de Lotbinière le mentionnait tout à l'heure, l'échéancier ne sera jamais
atteint parce que ce sera toujours en termes de poursuite de discussions et de
remises en question de tout ce qui devrait être fait.
Alors, j'ai pour mon dire, M. le député,
il faut que ce soit, à un moment donné, avec des décisions. Et, comme disait le
ministre Caire tout à l'heure, oui, il faut que ce soit à la militaire, à un
moment donné, il faut que ce soit directif, sans quoi ça va toujours être à
recommencer.
M. Marissal : Je crois
que vous vouliez dire le député de La Pinière, si je ne m'abuse.
M. Waterhouse (Steve) :
La Pinière. J'ai dit... La Pinière, excusez.
M. Marissal :
La Pinière. Ce n'est pas grave. On se confond souvent. Il y en a 125, puis
ça se ressemble parfois un peu, dans l'orthographe à tout le moins.
Vous avez dit tout à l'heure, puis je
pense que votre constat est partagé, là : Le gouvernement du Québec est
20 ans en arrière. Moi, je suis un gars prudent dans la vie, là, puis je
ne hais pas ça, faire ça par étapes, puis je me dis : Ne serait-il pas
préférable de rattraper le retard, du moins en grande partie, avant de se
relancer dans une nouvelle révolution où on parle de valorisation de données,
où on ouvre toutes sortes de nouvelles avenues?
M. Waterhouse (Steve) : Tout
dépend, M. le ministre... M. le député, pardon, de quelle façon on le voit,
parce que moi, j'ai... De la façon que le projet de loi n° 95 va apporter,
c'est vraiment d'actualiser qu'est-ce qui a été fait par le passé puis de le
mettre au goût moderne. Moi, c'est de la façon que je l'ai compris. C'est comme
faire faillite puis de repartir. Donc, qu'est-ce qui a été fait par le passé,
aussi chambranlant que c'est, comme je le décris, pour dire que le gouvernement
est en retard de 20 ans...
Le Président (M. Simard) :
Très bien.
M. Waterhouse (Steve) : ...en
sorte que ça va...
Le Président (M. Simard) :
Très bien.
M. Marissal : Merci, M. Waterhouse.
M. Waterhouse (Steve) : Merci.
Le Président (M. Simard) :
Alors, merci. Merci beaucoup, M. le député de Rosemont. M. Waterhouse,
merci pour votre intervention et votre contribution à nos travaux.
Sur ce, nous allons suspendre quelques
instants, le temps de faire place à nos prochains invités.
(Suspension de la séance à 10 h 27)
10 h 30 (version révisée)
(Reprise à 10 h 39)
Le Président (M. Simard) :
Donc, chers collègues, nous sommes en mesure de reprendre nos travaux. Et nous
sommes en compagnie des représentants de la Commission d'accès à l'information
du Québec. Madame, monsieur, soyez les bienvenus. Pour les fins de nos procès-verbaux,
auriez-vous l'amabilité de vous présenter, s'il vous plaît?
Commission d'accès à l'information (CAI)
Mme Poitras (Diane) :
Alors, bonjour. Je suis Diane Poitras. Je suis présidente de la Commission
d'accès à l'information. Et je suis accompagnée de Me Jean-Sébastien
Desmeules, secrétaire général et directeur des affaires juridiques à la commission.
Le Président (M. Simard) :
Bienvenue. Vous savez que vous disposez de 10 minutes pour votre
présentation.
• (10 h 40) •
Mme Poitras (Diane) :Merci, M. le Président. Alors, d'abord, bonjour à tous et merci
pour cette invitation à prendre part aux présentes consultations particulières
au sujet du projet de loi n° 95.
C'est un projet de loi qui vise plusieurs objectifs,
et il s'inscrit dans la foulée de plusieurs autres initiatives et doit donc
être analysé en tenant du compte de celles-ci, et je parle entre autres, évidemment,
du projet de loi n° 64, qui propose une réforme des lois sur la
protection des renseignements personnels. La commission ne commentera que les
dispositions du projet de loi qui ont un impact sur la protection des
renseignements personnels compte tenu, notamment, du temps qui lui est imparti
et des conséquences importantes de ce qui est proposé sur les renseignements
personnels et la vie privée des citoyens et citoyennes du Québec.
Avant d'aborder ces conséquences, la commission
tient à souligner que la transformation numérique de l'administration publique
peut et doit s'effectuer dans le respect des principes de protection des renseignements
personnels — la Stratégie de transformation numérique gouvernementale
insistait d'ailleurs sur le respect de ces principes — et, de l'avis
de la commission, le projet de loi s'écarte de cet engagement. En effet, le
très vaste régime d'exception qui est proposé par le chapitre II.4 du projet
de loi aurait pour effet de remplacer, à toutes fins pratiques, le régime
général de la Loi sur l'accès pour les renseignements personnels numériques. Et
je m'explique.
Pour bien comprendre les conséquences du projet
de loi, il est utile de rappeler brièvement ce qu'est la protection des
renseignements personnels puis de prendre la mesure de la portée des modifications
proposées à la Loi sur la gouvernance et la gestion des ressources
informationnelles.
Alors, commençons par la protection des
renseignements personnels. À titre de composante du droit à la vie privée, qui
est protégé par la charte, la protection des renseignements personnels, ça
comprend un ensemble de principes qui visent à donner au citoyen le contrôle
sur ses informations, principalement par le biais du consentement. Ces
principes vont bien au-delà des seuls enjeux relatifs à la confidentialité ou à
la sécurité de l'information. En résumé, ils prévoient qu'il faut limiter <la…
Mme Poitras (Diane) :
…ça comprend un ensemble de principes qui vise à donner au citoyen le contrôle
sur ses informations, principalement par le biais du consentement. Ces
principes vont bien au-delà des seuls enjeux relatifs à la confidentialité ou à
la sécurité de l'information. En résumé, ils prévoient qu'il faut limiter >la
collecte, l'utilisation, la communication et la conservation des renseignements
personnels à ce qui est nécessaire. Ce sont à ces principes et au principe du
consentement que certaines dispositions du projet de loi dérogent ou permettent
au gouvernement de déroger par simple décret en prévoyant des exceptions qui ne
sont pas suffisamment circonscrites, à notre avis, ni encadrées par des mesures
suffisamment robustes.
La portée de la LGGRI, maintenant, bien,
il faut se rappeler que c'est une loi qui s'applique à un très grand nombre d'organismes
publics : les ministères, les organismes gouvernementaux, les organismes
scolaires et établissements d'enseignement supérieur, de santé et de services
sociaux. En fait, les municipalités et, pour certaines obligations, les entreprises
de l'État sont pratiquement les seuls organismes publics à en être exclus.
Quant aux renseignements qui sont visés par le projet de loi, ce serait toute
donnée numérique gouvernementale détenue par ces organismes. Ça inclut les renseignements
personnels de toute nature comme les renseignements d'identité, de santé,
financiers, fiscaux, scolaires, sociaux, policiers, pour ne donner que ces exemples.
Enfin, tel que libellé dans le projet de
loi, les fins administratives ou de services publics, là, qui conditionnent les
principes de mobilité et de valorisation de ces données, que nous verrons dans quelques
instants, englobent la presque totalité des activités d'un organisme public. Il
est difficile d'identifier quelles activités ne feraient pas partie de l'une ou
l'autre des fins décrites au projet de loi.
Alors, ces précisions permettent de bien
saisir toute la portée du projet de loi. Ce qui est proposé est susceptible, à
notre avis, de s'appliquer dans la très grande majorité des situations
impliquant des renseignements personnels numériques détenus par la plupart des organismes
publics assujettis à la Loi sur l'accès. C'est pourquoi la commission croit que
ce régime d'exception au principe de protection des renseignements personnels
deviendrait vraisemblablement la norme. Voyons maintenant quelles exceptions
sont proposées par le projet de loi.
D'abord, il pose comme principe que toutes
les données numériques détenues par les organismes publics sont un actif informationnel
stratégique du patrimoine numérique gouvernemental et dont la mobilité, la
valorisation à des fins administratives et de services publics sont d'intérêt
gouvernemental. L'application de ce principe aux renseignements personnels se
concilie difficilement avec le fait que les citoyens confient leurs
renseignements aux organismes publics dans un contexte et à une fin spécifiques.
Ils ne renoncent pas pour autant à la propriété de leurs renseignements ni à
exercer tout contrôle sur ceux-ci, surtout que, souvent, ils n'ont pas le choix
de les transmettre aux organismes publics.
Cet élément central du projet de loi va
donc à l'encontre d'un des principes fondamentaux de la protection des
renseignements personnels, soit celui de permettre à l'individu d'exercer le
contrôle sur ses renseignements. Or, le projet de loi permettrait au
gouvernement d'utiliser ou de communiquer des renseignements personnels <numériques…
Mme Poitras (Diane) :
…souvent,
ils n'ont pas le choix de les transmettre aux organismes
publics. Cet élément central du projet de loi va donc à l'encontre d'un des
principes fondamentaux de la protection des renseignements personnels, soit
celui de permettre à l'individu d'exercer le contrôle sur ses renseignements.
Or, le projet de loi permettrait au
gouvernement d'utiliser ou de communiquer des renseignements personnels >numériques
à des fins auxquelles les citoyens n'ont pas consenti et dont ils n'ont pas été
informés. Ces exceptions seraient déterminées par cinq décrets du gouvernement.
Deuxièmement, lorsqu'elles impliquent des
renseignements personnels, la mobilité et la valorisation des données
numériques sont évidemment susceptibles d'aller à l'encontre des principes de
limitation de la collecte, d'utilisation et de la communication des
renseignements personnels. Plus précisément, le projet de loi permettrait au
gouvernement, par décret, d'autoriser la collecte, la communication et
l'utilisation de renseignements personnels pour une finalité différente de
celle à laquelle les citoyens ont consenti, et sans tenir suffisamment compte
du respect de leur vie privée. Il permettrait aussi de concentrer au sein d'un
même organisme public des renseignements personnels parfois très sensibles,
avec les risques que cela comporte, comme l'actualité tend malheureusement à le
démontrer.
La commission comprend très bien que l'un
des objectifs du projet de loi est d'instaurer un nouveau cadre de gestion des
données numériques gouvernementales qui réduirait les silos entre les
organismes publics, et ce, afin de favoriser l'efficacité de l'administration
publique et la prestation de services des citoyens. Toutefois, elle considère
que ces objectifs peuvent être atteints sans porter atteinte de façon aussi
importante aux principes fondamentaux visant à protéger les renseignements
personnels.
La commission croit aussi que l'adoption
de ce volet du projet de loi minerait certains efforts actuels pour rehausser
la protection des renseignements personnels dans le cadre de la réforme qui est
prévue par le projet de loi n° 64. C'est pourquoi la commission recommande
de revoir l'approche proposée par le projet de loi n° 95, du moins pour
les renseignements personnels.
La modification du régime général de la
Loi sur l'accès permettrait d'intégrer les objectifs poursuivis tout en
s'assurant de la cohérence de ces modifications avec la réforme en cours et du
respect des principes de protection des renseignements personnels. Cette avenue
permettrait aussi d'éviter de créer un régime législatif distinct du régime
général de protection des renseignements personnels et de multiplier les lois
qui prescrivent des exceptions au régime général.
L'application simultanée de plusieurs lois
et de nombreux décrets occasionnerait, à notre avis, d'importantes difficultés
d'interprétation, pour les organismes publics, qui peuvent être évitées. Il en
serait de même pour les citoyens, qui sont les premiers concernés par les
impacts du projet de loi et les risques de ne plus être en mesure de connaître
à quelles fins leurs renseignements personnels pourront ultimement être
utilisés ou communiqués.
La commission convient que des
modifications législatives sont requises pour adapter le cadre juridique actuel
au nouvel environnement numérique. Toutefois, ces modifications et
d'éventuelles exceptions au régime général et prépondérant prévu par la Loi sur
l'accès doivent se trouver dans cette loi, qui a un statut quasi
constitutionnel, soulignons-le ou rappelons-le. Aussi, ces exceptions doivent
être spécifiques et limitées à ce qui est légitime et nécessaire. Elles doivent
aussi être encadrées par des mesures <de…
Mme Poitras (Diane) :
…d'éventuelles exceptions
au régime général et prépondérant prévu par la
Loi sur l'accès doivent se trouver dans cette loi, qui a un statut quasi
constitutionnel, soulignons-le ou rappelons-le. Aussi, ces exceptions doivent
être spécifiques et limitées à ce qui est légitime et nécessaire. Elles doivent
aussi être encadrées par des mesures >de contrôle adéquates.
L'étude du projet de loi n° 64 est
justement l'occasion d'effectuer ces changements. Dans son mémoire, la
commission formule des recommandations visant à guider cet exercice. Elle est
disponible pour y collaborer afin de prévoir comment faciliter l'innovation, l'efficacité
gouvernementale et l'amélioration des services aux citoyens mais dans le
respect des principes de protection des renseignements personnels.
L'innovation et la transformation
numérique peuvent aussi être une occasion d'améliorer le contrôle des citoyens
sur leurs renseignements. Elles ont permis le développement de plusieurs
techniques permettant l'utilisation de renseignements personnels sans qu'il
soit possible d'identifier les personnes qu'ils concernent. Ces développements
devraient aussi être pris en compte dans l'évaluation de la nécessité de
prévoir des exceptions aussi étendues.
Je vous remercie de votre attention. Il me
fera plaisir d'échanger avec vous au cours des prochaines minutes.
Le Président (M. Simard) :
Merci à vous, Mme la présidente. Et je cède maintenant la parole à M. le
ministre.
M.
Caire
:
Merci, M. le Président. Bonjour, Me Poitras. Comment allez-vous?
Mme Poitras (Diane) :
Ça va bien, merci. Et vous?
M.
Caire
: Bien
oui! Merci, merci. Bien, d'abord, merci d'avoir pris le temps de regarder le projet
de loi. Merci de vos commentaires. Je suis convaincu que ça va alimenter notre
réflexion.
Vous avez amené, par contre, des éléments
sur lesquels je souhaite peut-être revenir. Vous parlez d'un régime
d'exception. Or, la loi n° 95 ne prévoit aucune exception, prévoit le
respect intégral de toutes les règles, lois et directives qui existent. Donc,
comment vous en arrivez à la conclusion que 95 présente un régime d'exception?
• (10 h 50) •
Mme Poitras (Diane) :
Merci pour cette question. En fait, peut-être qu'il faut nuancer. Elle ne
prévoit pas de dérogation. Elle ne dit pas : Ça s'applique malgré la Loi
sur l'accès, mais, en prévoyant des possibilités d'utiliser, de communiquer ou
de recueillir des renseignements dans des situations autres que celles qui sont
prévues dans la Loi sur l'accès, et sans le consentement de la personne
concernée, on prévoit un régime d'exception au principe de limitation de la collecte,
de l'utilisation et de la communication des renseignements personnels.
M.
Caire
: Mais
il y a des lois qui prévoient ça. En fait, ça m'étonne, parce que même 64
prévoit qu'on peut communiquer un renseignement personnel sans le consentement si
les fins sont compatibles, si c'est manifestement dans l'intérêt de la
personne. Et on arrive avec 95, qui dit : Nous allons intégralement
respecter ces dispositions-là.
Les décrets vont venir préciser. Puis,
vous l'avez mentionné, là, un décret ne peut pas être plus permissif qu'une loi.
Il doit nécessairement être plus sévère. Donc, encore là, je vous avoue, puis
je ne suis pas tout seul, là, j'ai de la difficulté à suivre comment vous en
arrivez à la conclusion que ça, c'est un régime <d'exception…
M.
Caire
:
…ces dispositions-là.
Les décrets vont venir préciser. Puis, vous l'avez
mentionné, là, un décret ne peut pas être plus permissif qu'une loi, il doit
nécessairement être plus sévère. Donc, encore là, je vous avoue, puis je ne
suis pas tout seul, là, j'ai de la difficulté à suivre comment vous en arrivez
à la conclusion que, ça, c'est un régime >d'exception, s'il y a
obligation du respect du cadre législatif et réglementaire intégral. Je ne
comprends pas, là.
Mme Poitras (Diane) :
Je vais prendre un exemple concret. Il n'y a rien comme un exemple concret pour
essayer de comprendre. Comme vous le soulignez, dans la Loi sur l'accès, on
limite les situations. Le principe de base, pour l'utilisation, on va prendre
un exemple en utilisation de renseignements, la loi dit : Comme organisme
public, tu peux utiliser les renseignements que toi, tu as recueillis aux fins
pour lesquelles tu les as recueillis puis que tu as déclarées au citoyen quand
tu les as recueillis. On dit… Il y a une exception, dans la Loi sur l'accès,
qui dit : On peut l'utiliser à des fins compatibles. Vous l'avez souligné.
La loi n° 95 vient de donner toute une autre série
d'exceptions, qui sont prévues au chapitre II.4, qui sont les fins
administratives ou de services publics. Tout ça, ce sont des nouvelles
exceptions qui permettent et à l'organisme qui a recueilli et qui détient les
renseignements de les utiliser, et à tout autre organisme public de les
utiliser à ces fins-là dans la mesure où c'est prévu dans un décret.
M.
Caire
: Mais…
Parce que, là, je me fais le porte-parole d'une vingtaine de juristes, là, qui
ont collaboré à ce… dont le SAIRID, et qui ne voient pas ce régime d'exception
là non plus, parce qu'il est clair que soit on respecte la loi, soit on demande
le consentement dans la prestation de services.
Mais à mon tour peut-être de donner un
exemple où on va demander à un citoyen qui inscrit son fils à l'école d'aller
chercher un certificat de naissance qu'on va amener à l'école, que l'école va
valider, que l'école va retourner au Directeur de l'état civil pour faire
valider si le certificat de naissance qui a été présenté est le bon. Bien, ce
que la loi dit, c'est : Bon, bien, écoutez, parlez-vous, là, puis laissez
le citoyen en dehors de ça. C'est un peu ça qui est la finalité de… Est-ce que
vous voyez là un régime d'exception?
C'est un peu ça, dans le fond, l'idée du
projet de loi, c'est de dire que, si j'ai déjà la réponse, je valide auprès de
l'organisme détenteur si la loi me permet d'avoir accès à cette information-là,
parce que la loi prévoit que j'ai… Puis vous l'avez dit, hein, souvent, les
organismes vont collecter auprès du citoyen, parce que, dans la Loi d'accès
actuelle, il est prévu que, si je collecte une information personnelle dans le
cadre d'une mission qui m'est donnée par la loi, j'y ai accès, donc on respecte
intégralement cette façon de faire là, et, si vous n'y avez pas accès, bien,
vous devrez obtenir le consentement du citoyen. C'est un peu ce que 12.10 dit. Donc,
encore là, j'ai un peu de difficulté à voir en quoi c'est une exception par
rapport à ce qu'on fait déjà.
Mme Poitras (Diane) :
En fait, le consentement ne se retrouve nulle part dans le projet de loi
n° 95. Toutes les communications, les utilisations qui sont <prévues…
M.
Caire
:
...devrez obtenir le
consentement du citoyen.
C'est un peu ce que
12.10 dit.
Donc, encore là, j'ai un peu de
difficulté à voir en quoi c'est une exception par rapport à ce qu'on fait déjà.
Mme Poitras (Diane) :
En fait, le consentement ne se retrouve nulle part dans le projet de loi
n° 95. Toutes les communications ou les utilisations qui sont >prévues,
c'est indiqué qu'elles peuvent se faire sans le consentement du citoyen.
Si l'intention était de dire... Dans
l'exemple pratique que vous donnez, c'est très simple, lors du premier contact
avec le citoyen, dire : Acceptez-vous, là? On va s'occuper de valider tout
ça plutôt que de vous retourner puis vous faire faire les démarches à notre
place. Il n'y a aucun problème. Ça, ce serait correct. Mais, si on respecte, si
vous me dites : Les principes... on a l'intention de respecter les principes
de la loi, pourquoi alors prévoir le chapitre II.4 du projet de loi
n° 95? Parce qu'il permet de faire des choses que la Loi sur l'accès ne
permet pas. Sinon, on n'a pas besoin du chapitre II.4 et de toute la
section sur les renseignements personnels.
Nous, ce qu'on vous dit, c'est : C'est
clair qu'il y a des situations où on peut faciliter la vie du citoyen, etc.,
limiter les démarches que lui a à faire, alors qu'on a déjà l'information. La
commission n'est pas contre ça, pas du tout. Ce qu'elle dit, c'est :
Prenons le chemin de la Loi sur l'accès. On est en train de la réformer. C'est
le temps de briser les silos que vous voulez faire pour atteindre les objectifs
que vous poursuivez par 95. Mais le chemin qui est choisi, c'est des exceptions
beaucoup trop larges, pas suffisamment circonscrites et pas suffisamment
encadrées.
M.
Caire
: O.K.
Puis en même temps... Bien, en fait, écoutez, je respecte hautement votre
opinion. Ceci étant, nous n'y voyons pas d'exception, dans le sens où il y a un
engagement et une obligation, 12.10, de respecter les lois, les directives et
les règlements intégralement.
Mais tout à l'heure vous disiez : De
toute façon, les organismes vont aller collecter l'information auprès du
citoyen. Ça, c'est l'état actuel des choses. C'est pour ça, tout à l'heure,
M. Waterhouse nous a dit que cette multiplication-là des sites où on
conservait des données, des renseignements personnels multipliait dans les
mêmes proportions les risques. Vous semblez dire le contraire, à savoir que, si
on y va du côté des sources de données, c'est ça qui multiplie les risques. Comment
vous conciliez votre interprétation de la sécurité des renseignements, qui est
assez contradictoire avec celle que M. Waterhouse vient de nous donner,
qui lui dit plutôt : Non, au contraire, allez-y vers les sources de
données parce que c'est ça qui va vous offrir une meilleure sécurité de
l'information?
Mme Poitras (Diane) :
Si on... Peut-être qu'on s'est mal compris. On n'est pas contre le fait,
notamment, d'instaurer des... Si une des façons d'atteindre l'objectif est
d'instaurer des sources officielles de données — je m'excuse, je ne
me souviens pas exactement du terme, là, mais vous savez sûrement à quoi je
réfère...
M.
Caire
: Oui,
c'était ça.
Mme Poitras (Diane) :
...c'est ça — et que cette source pourra être la source qui alimente
certains autres <organismes...
Mme Poitras (Diane) :
...
si une des façons d'atteindre l'objectif est
d'instaurer des sources officielles de données — je m'excuse, je ne
me souviens pas exactement du terme, là, mais vous savez sûrement à quoi je
réfère...
M.
Caire
:
Oui, c'était ça.
Mme Poitras (Diane) :
...c'est ça — et que cette source pourra être la source qui alimente
certains autres >organismes dans certaines circonstances, qui seraient
définies dans la loi, par contre, ou avec le consentement du citoyen, ce n'est
pas une… on dit juste : Attention, est-ce que cette source doit
nécessairement concentrer un grand nombre de renseignements de santé, fiscaux,
sociaux, policiers, etc.? Il n'y a pas de balise à cette possibilité de
concentration là dans la loi actuelle.
Alors, on n'est pas contre le principe. Ce
qu'on vous dit, c'est que ça devrait être dans la Loi sur l'accès puis ça
devrait être davantage balisé que ce que propose le projet de loi n° 95.
M.
Caire
: Oui,
sauf que là… Puis, comme j'ai les deux chapeaux, la Loi d'accès se veut
technologiquement neutre, donc je ne suis pas convaincu que je vous suis
là-dessus, puis la loi n° 95, elle, est une loi
essentiellement technologique. Donc, vous ne pensez pas que ces deux lois-là
doivent effectivement être en concordance.
Moi, je vous suis sur le fait
qu'effectivement 95 doit s'appuyer sur les… ce que la Loi d'accès... ou la loi
sur la protection des renseignements personnels prescrit, mais elle doit, la Loi
d'accès, rester technologiquement neutre, alors que le projet de loi n° 95, lui, est essentiellement, pour ne pas dire
exclusivement, un projet de loi technologique, là. J'essaie de vous suivre dans
le raisonnement. Aidez-moi.
Mme Poitras (Diane) :
Il y a moyen que les principes qu'on veut intégrer… La Loi sur l'accès, c'est
une loi de principes, avec des exceptions. Je suis convaincue qu'il y a moyen
d'intégrer ces principes-là de façon neutre, technologiquement, dans la Loi sur
l'accès.
Puis, comme je disais, ça va nous faire
plaisir de s'asseoir avec vos juristes puis ça va me faire plaisir aussi de
s'asseoir avec les juristes pour voir comment ça se fait qu'eux arrivent à la
conclusion que ce n'est pas une exception aux principes de la Loi sur l'accès.
Moi, j'aimerais bien comprendre comment ils arrivent à ce raisonnement-là parce
que...
Pour revenir sur ce point-là, tu sais,
dans la Loi sur l'accès, on dit : Une des exceptions, c'est, si la loi
prévoit autrement qu'on peut utiliser ou communiquer des renseignements, c'est
correct, puis là, bien, c'est dans la loi n° 95
que vous venez d'établir un paquet d'exceptions. Ça fait que c'est sûr que vous
respectez la Loi sur l'accès, vous ne lui dérogez pas, mais vous créez des
exceptions au principe de limitation de la collecte, d'utilisation et de
communication des renseignements, par contre.
• (11 heures) •
M.
Caire
:
Écoutez, je suis convaincu que vous allez avoir des heures de plaisir de
discussion avec les gens du SAIRID, Me Poitras. Je vais vous laisser
billeveser entre juristes. Le modeste informaticien que je suis va se limiter
aux technologies.
Bien, le principe de 95, puis je suis
content qu'on aborde cet aspect-là, Me Poitras, le principe de 95, le
principe d'une source de données, c'est, au contraire, de concentrer une donnée
spécifique. On s'entend que le réseau de la santé <collecte…
11 h (version révisée)
<485
M.
Caire
: …se limiter aux
technologies.
Bien, le principe de 95, puis je suis
content qu'on aborde cet aspect-là, Me Poitras, le principe de 95, le
principe d'une source de données, c'est, au contraire, de concentrer une donnée
spécifique. On s'entend que le
réseau de la santé >collecte beaucoup
trop d'informations par rapport à ce qui est propre à la Santé, versus ce que
l'État civil possède, versus ce que l'Éducation possède, versus ce que Revenu
possède.
L'idée de la source de données est d'avoir
des sources de données qui sont spécifiques à la mission de la source et de
s'assurer d'avoir une intégrité dans l'information. Parce qu'actuellement, au gouvernement
du Québec, il y a probablement entre 250 et 300 versions différentes de
Diane Poitras, ce qui est, du point de vue de l'intégrité de l'information,
ingérable. La multiplication des sources de données rend notre organisation
vulnérable aux fuites. Et, bon, on a fait référence aux événements récents.
Alors, l'idée de la source de données, elle est... Ça, et d'avoir un
gestionnaire de données au centre de ça, c'est de dire que, si un organisme a
besoin d'une information, il doit vérifier à l'interne si cette information-là,
elle est accessible, un; deux, le gestionnaire doit vérifier si, aux termes de
la loi, l'organisme en a besoin dans l'exécution de sa mission; et, trois, il
doit lui communiquer, dans la version la plus humble possible, qui ne permet
pas d'identifier la personne, si tant est que c'est nécessaire.
Puis je vous ai… j'ai vu, dans votre
mémoire, vous parliez de dépersonnalisation, puis je veux être très clair,
parce que la loi n° 95 n'aborde pas cette situation-là
sous l'angle de la dépersonnalisation mais bien sous l'angle du plus petit
dénominateur commun. Je vous donne un exemple. Si un gouvernement met en place
un nouveau programme qui a un critère d'âge dans l'admissibilité, bien, l'organisme
qui administre le programme pourrait, à l'État civil, s'assurer que le critère
d'admissibilité est rencontré, ce qui ne veut pas dire que je vais vous
transférer ou vous donner accès à la date de naissance. Je vais simplement vous
confirmer que le critère d'âge est rencontré.
Donc, pour moi, cette façon de faire là,
au contraire, là, de ce que j'entends de votre part, limite la transmission d'informations
et de renseignements personnels au plus petit dénominateur commun, et donc en
assure, à mon avis, puis je veux vous entendre là-dessus, là, en assure une
plus grande confidentialité. Parce que vous parlez de donner accès à des renseignements
personnels sans le consentement, et moi, je dis : Au contraire, un, on
respecte les lois et, deux, on a l'obligation d'aller au plus petit
dénominateur commun, donc d'en transférer le moins possible. Donc, est-ce que… je
ne sais pas, est-ce que ce que je vous dis là vous amène dans une zone
différente par rapport à 95 ou il y a quelque chose que moi, je n'ai pas vu?
Mme Poitras (Diane) :
En fait, je vous dirais, pour le dire simplement, quand je vous écoute, puis
que vous me dites : Bien, ce qu'on veut faire, c'est ça, avec ces
limites-là, puis ça va bien protéger les renseignements, ce n'est pas ce que je
retrouve et ce que nous retrouvons dans le projet de loi. Ces limites que <vous…
M.
Caire
: …différente
par rapport à 95, ou il y a
quelque chose que moi, je n'ai pas
vu?
Mme Poitras (Diane) :
En fait, je vous dirais : Pour le dire simplement, quand je vous écoute
puis que vous me dites : Bien, ce qu'on veut faire,
c'est ça, avec
ces limites-là puis ça va bien protéger les
renseignements, ce n'est pas
ce que je retrouve et ce que nous retrouvons dans le
projet de loi. Ces
limites que
>vous donnez…
Puis l'exemple que vous venez de donner,
ce n'est pas dans le projet de loi. Ce que le projet de loi permettrait, c'est
que l'État civil communique tout ce qu'il peut avec le réseau de la santé, que
le réseau de la santé pourrait communiquer tous les renseignements au réseau
scolaire, que Revenu Québec pourrait communiquer tous les renseignements puis
qu'on pourrait, avec ça, les utiliser à toutes fins et les communiquer dans
toutes situations que le gouvernement déciderait par décret. Et c'est cette
étendue du régime, de possibles exceptions, qu'on ne trouve pas nécessaire pour
atteindre vos finalités.
Bien, quand je vous entends, puis je vous
écoute, puis vous me donnez des situations précises, moi, je ne retrouve pas
ces balises-là dans le projet de loi n° 95. Et, si c'est ça, l'intention,
c'est pour ça que je vous dis : Ça va nous faire plaisir de s'asseoir avec
votre équipe pour essayer de les mettre dans la Loi sur l'accès, plutôt que le
projet de loi n° 95, pour atteindre les objectifs dans la protection de la
vie privée en respectant la vie privée des citoyens.
M.
Caire
: Bien,
encore là, je… comme ministre responsable de l'Accès à l'information et de la
Protection des renseignements personnels, j'ai aussi une préoccupation de
garder le projet de loi n° 64 technologiquement neutre, mais je vous
entends, Me Poitras, là, sachez que je vous entends.
Mais en fait… Bien, en fait, ce que je vous
explique, il est dans la loi, là. Je vous avoue qu'en même temps que je vous
écoute j'essaie de retrouver l'article qui l'adresse spécifiquement, puis vous
comprendrez que ma condition ne me permet pas de faire deux choses en même
temps. En fait, c'est 12.14 qui dit : «Lorsque de telles données peuvent
être utilisées ou communiquées sous une forme ne permettant pas d'identifier
directement la personne concernée, elles doivent être utilisées ou communiquées
sous cette forme.»
Et c'est à dessein qu'on n'utilise pas
l'expression de «dépersonnalisation», parce que la dépersonnalisation, dans
l'univers technologique, amène une définition qui est claire de ce qui doit
être fait versus l'anonymisation. Donc, c'est pour cette raison-là qu'on parle
d'identifier la personne, et parce qu'on est dans un principe où on fait une
obligation technologique d'aller au plus petit dénominateur commun. Mais je vous
rappelle, respectueusement, que le projet de loi n° 95 est un projet de
loi essentiellement technologique.
Donc, c'est sûr que ces concepts-là sont
peut-être plus, comment je… On sait qu'on s'en va vers du droit nouveau, on
sait qu'on s'en va vers des concepts qui sont nouveaux, mais l'idée est
vraiment, de ce que je vous dis, là, de dire que... Autant pour le Service
québécois d'identité numérique, d'ailleurs, ou avec le portefeuille d'identité
numérique, on souhaite cesser de fournir beaucoup trop d'informations par
rapport à ce qui est requis, souvent. Bien, c'est le même principe.
Le Président (M. Simard) :
Merci, <M. le ministre…
M.
Caire
: ...
qui
sont nouveaux, mais l'idée est vraiment, de ce que je vous dis, là, de dire
qu'autant pour le Service québécois d'identité numérique, d'ailleurs, ou avec
le portefeuille d'identité numérique, on souhaite cesser de fournir beaucoup
trop d'informations par rapport à ce qui est requis, souvent. Bien, c'est le
même principe.
Le Président (M. Simard) :
Merci, >M. le ministre.
M.
Caire
: Déjà?
Le Président (M. Simard) :
Bien oui, déjà.
M.
Caire
: Bien,
on va se reparler, Me Poitras, de toute façon. On va se reparler.
Le Président (M. Simard) : Bien
oui. Alors, je cède maintenant la parole au député de La Pinière.
M.
Caire
: Aïe! Merci
beaucoup, Me Poitras. Sincèrement, merci beaucoup.
Le Président (M. Simard) :
Alors, je cède la parole au député de La Pinière pour
11 min 20 s.
M. Barrette : Ah!
11 min 20 s. C'est bon. Alors, bonjour, Me Poitras,
M. Desmeules. Est-ce que c'est Me Desmeules ou c'est
M. Desmeules?
M. Desmeules (Jean-Sébastien) :
C'est Me Desmeules, oui.
M. Barrette :
Me Desmeules. Bon, alors, bienvenue à cette commission, à mon tour. Bon, écoutez,
j'ai comme envie d'y aller plus dans la philosophie de la chose que dans le
détail, tant du mémoire que du projet de loi.
Me Poitras, je pense que vous étiez
là dans la législature précédente, puis on avait regardé nous-mêmes des choses
qui vont dans... ou qui auraient été, si les projets de loi avaient été de
l'avant ou même déposés, dans le sens de 95. Je ne fais pas une profession de
foi de 95, là, ce n'est pas ça, mon idée, mais je veux...
Je vous ai écoutés, tous les deux, là, le ministre
et vous, Me Poitras, et je suis toujours surpris de voir à quel point on
arrive à vouloir la même chose puis ne pas avoir le même outil pour le faire, et
ça... Mais ça me rassure, parce que, la Commission d'accès à l'information, ce n'est
pas une critique, mais, il y a des, des, des années, là, genre à la fin des
années 90, début des années 2000, ce dont on parle aujourd'hui aurait
été une impossibilité, vu de l'angle de la Commission d'accès à l'information.
Là, aujourd'hui, il y a une ouverture,
puis c'est comme si, le véhicule, du moins, si je comprends, là, votre intervention,
Me Poitras, le véhicule, vous ne le trouvez pas bon. Mais je comprends,
là, que vous voyez aujourd'hui une utilité d'avoir une plus grande liberté de
circulation de l'information à l'intérieur de l'État. Ça, là, est-ce qu'on peut
dire ça?
Mme Poitras (Diane) :
Oui, dans certaines limites et avec un encadrement, des espèces de garde-fous
adéquats. Et c'est la voie qu'a choisie l'Ontario et c'est la voie qu'est en
train de choisir aussi le gouvernement fédéral, qui, les deux, ont modifié la
loi-cadre, l'équivalent de la Loi sur l'accès. Et donc on est convaincus que
c'est possible de le faire.
Puis ce n'est pas juste une question de
dire : On veut que ce soit dans la Loi sur l'accès, ce n'est pas ça, c'est
que c'est cette loi-là, qui est prépondérante puis qui a un statut quasi constitutionnel,
qui établit les limites et le cadre dans lequel on peut justement faire ces
choses-là.
M. Barrette : Mais, moi, c'est
là que je ne comprends pas, là. Quand le ministre donne l'exemple du certificat
de naissance, là, pour moi, c'est une évidence. Alors, en quoi ça, ça a besoin
d'un cadre <juridique...
Mme Poitras (Diane) :
...établit les limites et le cadre dans lesquels on peut,
justement,
faire ces choses-là…
M. Barrette : Mais moi,
c'est là que je ne comprends pas, là. Quand le ministre donne l'exemple du
certificat de naissance, là, pour moi, c'est une évidence. Alors, en quoi ça,
ça a besoin d'un cadre >juridique spécifique? Parce que, quand je vous
écoute, Me Poitras, là... Puis là ne pensez pas que je fais... prends la
défense de 95, c'est juste que c'est le genre de chose que moi-même, je
souhaitais faire précédemment, dans mes fonctions précédentes, que je ne
pouvais pas parce que la loi l'empêchait. La loi d'accès à l'information, telle
qu'elle est écrite actuellement, là...
Je le disais en introduction, vous n'avez peut-être
pas entendu, mais la donnée, là, c'est un univers en soi. C'est un trésor, il
est dans un coffre-fort puis il ne peut pas aller nulle part. Alors, le
certificat de naissance, là, c'est un trésor, il est dans un coffre-fort, un
coffret de sécurité dans une banque, puis, le faire sortir de là parce qu'on en
a de besoin pour une attestation, pour une autre affaire gouvernementale, on ne
peut pas le faire. 95 veut faire ça.
Je ne le vois pas, le moyen, moi. Je ne
suis pas au fait, là, de ce que fait l'Ontario, là, mais ça ne veut pas dire
que... (panne de son) …qui a raison, ça ne veut pas dire que l'Ontario a
raison, là. Il doit bien y avoir moyen de moyenner.
• (11 h 10) •
Moi, j'allais même plus loin, là. Vous
savez, sur la question des déterminants de la santé, là, l'État, qui doit
mettre en place des conditions qui favorisent la santé, doit, par définition,
mettre en commun des données socioéconomiques, démographiques, géographiques et
de santé à court, moyen et long terme. Il ne peut pas le faire. Il peut le
faire dans le cadre d'un programme de recherche avec une demande spécifique, et
patati, et patata, mais il y a un frein.
Alors, entre la circulation et la disponibilité,
entre organismes, d'un certificat de naissance, il y a quelque chose de
beaucoup plus élaboré, à l'autre extrême que sont les déterminants de santé,
pour... Vu sous l'angle de l'État qui veut améliorer le sort des citoyens, il
est où, le chemin? Je ne l'entends pas. Vous, vous dites... 95, vous ne voyez pas
ce qu'il faut là-dedans pour le faire. Moi, je vous écoute, puis je ne vous
fais aucun reproche, mais je ne vois pas, moi, votre chemin. Expliquez-moi
votre chemin.
Mme Poitras (Diane) :
Bon, dans la Loi sur l'accès, il y a des principes puis il y a des exceptions.
Alors, les... ce qu'il faut faire, c'est bonifier les exceptions à la Loi sur
l'accès qui limitent la circulation ou les utilisations des renseignements
personnels pour qu'ils reflètent ce désir d'améliorer les services aux citoyens
dans une ère numérique et d'utiliser des renseignements à certaines occasions.
Puis effectivement, les deux exemples que vous donnez, le certificat de
naissance puis tous les renseignements de santé, avec d'autres déterminants de
santé, on comprend que le niveau de sensibilité n'est pas le même. Mais il y a
moyen, dans cette loi-là... Elle <sert à...
Mme Poitras (Diane) :
...
d'utiliser des renseignements à certaines occasions. Puis,
effectivement, les deux exemples que vous donnez, le certificat de naissance
puis tous les renseignements de santé, avec d'autres déterminants de santé, on
comprend que le niveau de sensibilité n'est pas le même. Mais il y a moyen,
dans cette loi-là... Elle >sert à ça, la réforme.
Les réformes en cours, actuelles des lois
qui protègent les renseignements personnels dans le secteur public vont
pratiquement toutes dans le sens d'ouvrir pour permettre ces choses-là, mais il
faut poser des limites et il faut que les situations soient clairement définies
par la loi, et non qu'on prévoie une loi, à côté, qui permette des possibilités
d'exceptions très larges, et que c'est le gouvernement, par décret, qui va
fixer dans quelles situations et à quelles conditions ça va pouvoir se
réaliser.
Et, pour le certificat de naissance,
actuellement, moi, je pense qu'on n'a ni besoin d'aucune modification à la Loi
sur l'accès ou à... même, à la... On n'a pas besoin du projet de loi n° 95. On pourrait simplement dire au citoyen : Tu
acceptes-tu que j'aille vérifier ton certificat de naissance moi-même, que
j'aille l'obtenir avec ton consentement? Puis, je veux dire, ça pourrait se
faire dans le respect des règles actuelles, ce qui n'est pas le cas, par
exemple, de tous les renseignements de santé, là, aussi à cause des cadres
spécifiques qui peuvent exister dans ce domaine-là. Bien, moi, je le vois, la
voie pour y arriver, là.
M. Barrette : O.K. Alors,
est-ce que cette voie-là... Bien, vous la voyez, mais là je ne l'ai pas vue
dans ce que vous dites. Vous dites que vous la voyez. Vous êtes juriste, là. Vous
êtes à la CAI. Vous devez voir des choses qu'on ne voit pas. Sans ça, il y a un
problème. Mais là vous ne voyez pas la possibilité, dans le cadre de 95, d'y
inscrire les limitations que vous souhaitez. Parce que 95, ça va plus loin que
les non-exceptions que vous y voyez, là. 95, il y a toute une question de
gouvernance de la sécurité, une gouvernance de la gestion de l'information, une
gouvernance qui va dans le détail de la vie de l'information, et ça, ça a une
valeur en soi, en ce qui me concerne. Vous ne voyez pas la possibilité, à la
place, d'inscrire dans 95 ce que vous recherchez.
Mme Poitras (Diane) :
En fait, on pourrait garder le... On ne dit pas qu'il ne faut pas aller de
l'avant avec 95...
M. Barrette : Je n'ai pas
compris ça.
Mme Poitras (Diane) :Ce qu'on dit, c'est que, pour le volet protection des
renseignements personnels, mettez ces exceptions-là dans la Loi sur l'accès,
qui vont pouvoir bénéficier du cadre général de la loi, avec tout ce que ça
implique et des protections que ça peut impliquer, et limitons-les un peu, parce
que, pour l'instant, on les trouve beaucoup trop vastes.
Puis on trouve que donner un pouvoir
discrétionnaire au gouvernement de déterminer par décret dans quelles
circonstances, et quelles règles vont s'appliquer, et à quels renseignements...
Il faut que ce soit... Il faut que la loi fixe le cadre. Il faut se rappeler
que ces situations-là, c'est quand même une exception au droit fondamental à la
vie privée, là. On est... Oui, on peut permettre des exceptions légitimes, mais
elles doivent <être...
Mme Poitras (Diane) :
…
et à quels renseignements... Il faut que ce soit... Il faut que la loi
fixe le cadre. Il faut se rappeler que ces situations-là, c'est quand même une
exception au droit fondamental à la vie privée, là. On est... Oui, on peut
permettre des exceptions légitimes, mais elles doivent >être précises
dans la loi et proportionnelles à l'objectif qu'on veut atteindre. Et c'est ça
qu'on ne retrouve pas dans le projet de loi n° 95 pour le volet protection
des renseignements personnels.
M. Barrette : O.K. Et, pour
vous, à la Commission d'accès à l'information, là, la vie de la donnée à
l'intérieur d'une entité qu'est le gouvernement, que ça se promène dans cette
bulle-là, là, c'est un univers dans lequel il faut proscrire une circulation
libre.
Mme Poitras (Diane) :
Je n'ai pas dit «proscrire». Encadrer. Ce n'est pas pareil. La loi actuelle
prévoit déjà des situations où ça peut être fait et encadre ces situations-là.
Est-ce qu'elles doivent être bonifiées à la lumière des objectifs qu'on
poursuit puis de l'ère du numérique? Oui, la commission est bien d'accord avec
ça, mais on pense qu'on va beaucoup trop loin avec 95 et que ce n'est pas
le véhicule approprié.
Ça serait très complexe d'interpréter. Moi,
j'essaie de me mettre dans la peau d'un organisme public ou même nous, comme commission,
déterminer si tel renseignement peut être utilisé par tel organisme, dans telle
circonstance. Il va falloir regarder la Loi sur l'accès, le projet de loi
n° 95, la LGGRI, les décrets qui sont adoptés, le secret professionnel et,
s'il y a des organismes impliqués qu'il y a des lois particulières, comme le
domaine de la santé ou des renseignements fiscaux, il va falloir regarder ces
lois-là aussi et la loi sur la transformation numérique parce qu'il y a un lien
qui est fait aussi, là. Alors, ça va être très, très, très complexe.
M. Barrette : Oui, par
définition, parce que, dans votre situation, veux veux pas, votre angle est un
angle qui freine. Dans la bulle de l'État, moi, j'insiste là-dessus, là, dans
la bulle qu'est l'État, vous amenez un frein puis vous trouvez que 95 est
trop libre.
Mme Poitras (Diane) :
Oui, parce que le droit au respect de la vie privée puis la protection des
renseignements personnels, ce n'est pas juste la confidentialité ou la sécurité
de l'information, c'est aussi, en quelque sorte, limiter les situations où on
se communique et on utilise des renseignements entre organismes. Et c'est ce
bout-là que, si on ouvre les valves puis on dit : Bien, dans toutes les
situations que le gouvernement va décider, par décret, de faire, ce sera
correct, on vient de vider de son sens ces principes de la loi. On ne dit pas
que ce n'est pas possible. On dit qu'il faut qu'ils soient prévus dans la loi.
M. Barrette : Juste par
curiosité, parce qu'il me reste quelques secondes, vraiment, là, quand ça a été
rédigé, ce projet de loi là, ça n'a pas été fait de façon conjointe avec vous?
Mme Poitras (Diane) :
Le projet de loi n° 95? Non. On l'a vu quand il a été rendu public.
M. Barrette : …O.K. C'est bon.
Là, il ne me reste plus de temps, hein, M. le Président?
Le Président (M. Simard) :
Non, malheureusement, cher collègue. Alors, nous allons maintenant céder la
parole au député de Rosemont, qui dispose, quant à lui, de
2 min 50 s.
M. Marissal : Merci,
M. le Président. Me Poitras, Me Desmeules, merci d'être là. Je
trouvais votre mémoire particulièrement <clair, et…
Le Président (M. Simard) :
…non, malheureusement, cher collègue. Alors, nous allons maintenant céder la
parole au député de
Rosemont qui dispose, quant à lui, de
2 min 50 s.
M. Marissal : Merci,
M. le Président. Me Poitras, Me Desmeules, merci d'être là. Je
trouvais votre mémoire particulièrement >clair, et la discussion que
vous avez eue par la suite avec le ministre m'a complètement embrouillé.
Je comprends qu'un cadre réglementaire peut
être malléable, là, mais là je pense qu'on essaie de sculpter de l'eau, tellement
c'est liquide, que vous n'allez pas du tout dans la même direction ni l'un ni
l'autre. Quoique vous disiez tous les deux vouloir vous rendre au même objectif,
vous ne me semblez pas suivre du tout la même voie. Je dirais même qu'il y en a
un qui va à l'est, l'autre à l'ouest... ou nord ou sud, là, prenez ça comme
vous voulez, là, mais vous êtes assez écartelés dans la façon de le faire. J'ai
du mal à comprendre qu'on puisse arriver à ce point décalés. Puis je ne dis pas
que vous avez tort, hein, Mme Poitras... Me Poitras, je ne suis pas en
train de dire ça, je ne suis pas en train de dire que le ministre a tort, mais
je suis quand même assez perplexe devant la disparité de vos opinions, puisqu'on
parle ici, quand même, d'un projet de loi majeur.
Ce que je crois comprendre de ce que vous
dites, par contre, c'est qu'on met la charrue devant les boeufs, parce qu'en
fait ce qu'il faudrait faire, c'est réformer complètement la loi-cadre de la
CAI. Est-ce que, ça, je comprends ce bout-là correctement?
Mme Poitras (Diane) :
Et elle est en train de se faire, la réforme. Et on ne veut pas dire, là :
On rebrasse les cartes, puis on efface tout, puis on réécrit. Il y a moyen
d'inclure. Il y a déjà des exceptions à l'utilisation, à la communication dans
la loi. Il s'agit simplement de les bonifier et d'intégrer, comme c'était prévu
au départ.
On prévoyait le gestionnaire de
renseignements personnels, je comprends ici que ce serait la source de données,
ou on y ferait référence si on la maintient dans le projet de loi n° 95,
qui est plus large que les renseignements personnels, on comprend ça, mais il y
a vraiment moyen, de façon pas si compliquée que ça, d'intégrer ce qu'on veut
faire dans la Loi sur l'accès, dans le contexte de la réforme actuelle.
M. Marissal : Vous avez dit
tout à l'heure que, par décret, le gouvernement pourrait utiliser des
renseignements personnels pour autre chose que le but initial. Je pense que
vous alliez donner des exemples sonnants et trébuchants tout à l'heure. Pouvez-vous
nous en donner un ou deux, là, pour qu'on comprenne bien de quoi il s'agit? Puisque
nous devons rester dans le contexte de la collecte minimum et du consentement.
• (11 h 20) •
Mme Poitras (Diane) :
Bien, en fait, le projet de loi n° 95 permettrait au gouvernement de
décider d'utiliser des données de santé, des données fiscales, des données de
toutes… policières, à toutes fins qu'il déterminerait, du moment que ça
correspond à l'une des fins, là, qui est énumérée dans le chapitre II.4,
les fins administratives ou de services publics. Et elles sont libellées en
termes tellement larges que ça pourrait être pour n'importe quoi. Et c'est ça,
c'est… On va trop loin. On comprend qu'il n'y a possiblement aucune mauvaise
intention, mais on ne peut pas accepter que le gouvernement nous dise :
Faites-nous confiance, on ne fera jamais ça.
Le Président (M. Simard) :
Très bien.
Mme Poitras (Diane) :
Il faut que ce soit établi clairement dans la loi.
M. Marissal : Je vous
remercie, Me Poitras. Merci.
Le Président (M. Simard) : Je
cède maintenant la parole au député de René-Lévesque.
M. Ouellet : Merci. À mon
tour de vous saluer, Me Poitras et <Me Desmeules…
Mme Poitras (Diane) :
…
aucune mauvaise intention, mais on ne peut pas accepter que le
gouvernement nous dise : Faites-nous confiance, on ne fera jamais ça.
Le Président (M. Simard) :
Très bien.
Mme Poitras (Diane) :
Il faut que ce soit établi clairement dans la loi.
M. Marissal : Je vous
remercie, Me Poitras, merci.
Le Président (M. Simard) :
Je cède maintenant la parole au député de René-Lévesque.
M. Ouellet :
Merci.
À mon tour de vous saluer, Me Poitras et >Me Desmeules.
Quelques questions en rafale. Est-ce que, selon vous, ce projet de loi là va
mieux respecter le consentement du citoyen ou est-ce qu'il va faire plutôt le
contraire?
Mme Poitras (Diane) :
Il permet de l'écarter complètement.
M. Ouellet : Est-ce que le
projet de loi donne au gouvernement le pouvoir d'utiliser ou de communiquer des
renseignements personnels de citoyens, donc, sans leur consentement?
Mme Poitras (Diane) :
Oui.
M. Ouellet : Est-ce que ce
projet de loi peut techniquement établir des normes de protection de
renseignements administratifs plus strictes que pour des renseignements
personnels?
Mme Poitras (Diane) :
Oui, il pourrait.
M. Ouellet : Est-ce que le
gouvernement se donne le pouvoir d'exiger de la CAI, un organisme indépendant,
l'adoption de pratiques particulières quant à la gestion de ses systèmes ou de
ses données numériques?
Mme Poitras (Diane) :
On parle de règles de gouvernance, et la définition qui en est faite est assez
limitée.
M. Ouellet : D'accord. À cet
égard, est-ce qu'il devrait rendre des comptes au gouvernement ou au Parlement?
Mme Poitras (Diane) :
On parle de faire rapport de comment ça a été utilisé à la fin, à la CAI, et,
de façon transparente, je pense, de le publier, mais on est après coup, là. C'est…
On a déjà… On s'est donné le pouvoir de déterminer d'autres utilisations et d'autres
communications. On rend juste compte après de ce qu'on a fait.
M. Ouellet : Donc, en résumé,
suite aux échanges que vous avez eus avec le ministre, je comprends bien qu'on
semble tous s'entendre sur une finalité, une mobilité de la donnée, mais le
moyen qui est proposé dans le 95 ne vous plaît pas et devrait plutôt être
utilisé à l'intérieur du projet de loi n° 64, qui, je le rappelle, est
encore à l'étude. Donc, c'est ce que vous nous dites : Comme parlementaires,
aujourd'hui, prenez une partie de 95, allez le mettre dans 64 pour bonifier la
loi-cadre, qui va améliorer surtout la compréhension mais surtout sa mise en
application.
Mme Poitras (Diane) :
Oui, et restreignez un peu ce qui est dans 95, permettre… Et c'est très étendu
et c'est… Les situations où on peut utiliser ou communiquer des renseignements
sont beaucoup trop étendues, et les mesures de contrôle ne sont pas
suffisantes. Et on ne devrait pas permettre au gouvernement, par décret, de décider
de ces finalités-là.
M. Ouellet : D'accord. M. le
Président, je pense que j'ai terminé.
Le Président (M. Simard) : Il
vous restait 30 secondes, cher collègue.
M. Ouellet : Ah! bien,
écoutez, merci beaucoup. Je pense que le briefing technique qui vient d'être
envoyé à tous les collègues sera approprié, considérant qu'il y avait une
partie de cette loi, Mme Poitras et M. Desmeules, que je n'avais pas
vue, suite à votre mémoire. Donc, ce serait important pour nous, comme le
collègue de Rosemont, de bien comprendre la portée de tout ça et de trouver le
véhicule adéquat. Merci.
Le Président (M. Simard) :
Merci à vous, cher collègue.
Alors, Mme Poitras, Mme la présidente,
M. Desmeules, de la Commission d'accès à l'information du Québec, merci
pour la qualité de votre contribution à nos travaux.
Ceci étant dit, compte tenu de l'heure,
nous allons suspendre jusqu'après les affaires courantes. Alors, à bientôt.
<(Suspension de la séance à
11 h 24)
Le Président (M. Simard) : …
du
Québec, merci pour la qualité de votre contribution à nos travaux.
Ceci étant dit, compte tenu de l'heure,
nous allons suspendre jusqu'après les affaires courantes. Alors, à bientôt.
>(Suspension de la séance à
11 h 24)
15 h 30 (version révisée)
(Reprise à 15 h 31)
Le Président (M. Simard) :
Bien. Alors, chers amis, rebienvenue à la Commission des finances publiques.
Comme vous le savez, nous sommes réunis de manière virtuelle afin de poursuivre
les consultations particulières et auditions publiques sur le projet de loi
n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des
ressources informationnelles des organismes publics et des entreprises du
gouvernement et d'autres dispositions législatives.
Alors, cet après-midi, nous entendrons la
Commission de l'éthique en science et en technologie, le Pr Sébastien
Gambs, le Pr Benoît Dupont ainsi que le Fonds de recherche du Québec. Et
nous commençons par la Commission de l'éthique en science et en technologie.
M. Bergeron, soyez le bienvenu parmi nous.
Commission de l'éthique en science et en
technologie (CEST)
M. Bergeron (Michel) :
Merci, M. le Président.
Le Président (M. Simard) :
Pour les fins de nos travaux, auriez-vous l'amabilité de vous présenter ainsi
que de signifier, bien sûr, la présence des personnes qui vous accompagnent?
M. Bergeron (Michel) :
Certainement. Merci beaucoup. Alors, mon nom est Michel Bergeron. Je suis
consultant en éthique et en conduite responsable en recherche et aussi
président du comité de travail sur l'accès aux données de la Commission de l'éthique
en science et technologie. Alors, cet après-midi, je suis accompagné par
M. Dominic Cliche, qui est conseiller en éthique aussi à la commission.
Le Président (M. Simard) :
Très bien. Alors, vous disposez d'une période de 10 minutes.
M. Bergeron (Michel) :
Merci. Donc, pour faire court, au lieu de parler de la Commission de l'éthique
en science et en technologie, nous utiliserons l'acronyme CEST, ce qui sera
plus facile pour nous au niveau de la présentation.
Donc, juste pour vous situer un petit peu,
la CEST est un organisme du gouvernement du Québec qui est placé sous la
responsabilité du ministre de l'Économie et de l'Innovation.
Alors, la commission fête cette année son
20e anniversaire d'existence. Elle est composée de 13 membres, dont
un président, tous nommés par le gouvernement.
La mission de la CEST est de conseiller le
gouvernement sur toute question relative aux enjeux éthiques liés à la science
et à la technologie ainsi que de susciter une réflexion sur des enjeux éthiques
qui devraient être intégrés dans les démarches entourant la transformation
numérique de <l'administration...
M. Bergeron (Michel) :
...
tous nommés par le gouvernement. La mission de la CEST est de
conseiller le gouvernement sur toute question relative aux enjeux éthiques liés
à la science et à la technologie ainsi que de susciter une réflexion sur des
enjeux éthiques qui devraient être intégrés dans les démarches entourant la
transformation numérique de >l'administration publique de manière à
réduire les risques de nature éthique et à maximiser les bénéfices attendus par
l'utilisation des données au sein de l'administration publique ainsi qu'à
proposer des outils pertinents. Dominic reviendra tout à l'heure sur les questions
que se pose la CEST, entre autres en ce qui a trait aux divisions des efforts
relatifs à la révision législative et à plusieurs projets de loi distincts. Tantôt...
Alors, il reviendra sur ces éléments-là.
Essentiellement, le cadre d'analyse
éthique de la CEST est centré sur l'exigence de confiance de la population
envers l'État. Donc, les principaux enjeux éthiques que nous avons considérés
sont le respect de la vie privée, telle qu'elle s'exerce par le consentement
manifeste, libre, éclairé, donné à des fins spécifiques et en continu, le
principe démocratique et l'enjeu de la confiance, tels qu'ils s'expriment par
la transparence, en particulier lors d'initiatives d'information et de communication
axées sur l'explicabilité favorisant la compréhension des citoyens, sur le bien
commun, la responsabilité et sur les impacts de changements de culture que de
telles modifications impliquent, ce qui générera assurément son lot de tensions
avec les repères normatifs et les pratiques actuelles.
En ce qui concerne la CEST, le projet de
loi soulève quelques questions ou quelques risques d'ordre éthique. Premièrement,
le projet de loi est en continuité directe avec la Loi favorisant la transformation
numérique de l'administration publique. Cette dernière nous est toujours
apparue comme une solution temporaire pour permettre la mise en oeuvre de
projets en ressources informationnelles en attente de révisions à apporter aux
lois la protection des renseignements personnels. À notre avis, l'adoption du
projet de loi n° 95 ou du projet de loi n° 64, modernisant des dispositions législatives en matière
de protection des renseignements personnels, devrait entraîner l'abrogation de
la Loi favorisant la transformation numérique de l'administration publique.
Le projet de loi est très ambitieux et
annonce plusieurs travaux importants à venir. Par exemple, le régime de
patrimoine numérique gouvernemental introduit un nouveau concept et annonce un
changement de culture dont la portée devra être analysée en lien avec ce que
l'on considère comme le bien commun.
Le projet de loi, conséquemment, énonce un
régime particulier de gestion de l'ensemble des données, sur support numérique,
détenues par les ministères, organismes publics et entreprises du gouvernement.
Ces données peuvent être utilisées, de manière pratique, à toute fin jugée
pertinente par le gouvernement, qu'il y ait utilisation unique ou utilisation
secondaire de ces données. Ce concept s'écarte de l'idée que les citoyens
confient des données à l'administration publique, cette dernière en étant
fiduciaire plutôt que propriétaire.
Nous concevons toutefois que l'État ait un
intérêt légitime dans la <mobilité...
M. Bergeron (Michel) :
…
par le gouvernement, qu'il y ait utilisation unique ou utilisation
secondaire de ces données. Ce concept s'écarte de l'idée que les citoyens
confient des données à l'administration publique, cette dernière en étant
fiduciaire plutôt que propriétaire.
Nous concevons toutefois que l'État ait
un intérêt légitime dans la >mobilité et l'utilisation de plusieurs
données, incluant des données à caractère sensible, en passant outre le
consentement, mais cela doit se faire dans un contexte où l'encadrement est
suffisant et où les personnes concernées sont bien informées des pratiques en
vigueur. Cette relation fiduciaire place la confiance au centre de la relation
entre l'administration publique et les citoyens.
Dans un contexte où la confiance du public
est à la fois essentielle et précaire, les mécanismes de responsabilisation et
de transparence doivent être au plus tôt renforcés. La Loi favorisant la
transformation numérique de l'administration publique énonce d'ailleurs à son
premier article que, et je cite, «les pouvoirs conférés par la présente
loi doivent être exercés de manière à respecter le droit à la vie privée et le
principe de transparence ainsi qu'à promouvoir la confiance du public». Fin de
la citation. De tels principes interprétatifs pourraient d'ailleurs être
ajoutés au projet de loi.
Nous jugeons par ailleurs que le projet de
loi ne renforce pas suffisamment les mécanismes de reddition de comptes et de
transparence. À titre d'exemple, une disposition devrait prévoir la divulgation
proactive des plans de transformation numérique et de tout autre plan,
stratégie, politique pertinent dans une perspective d'accessibilité et
d'appropriation de l'information par les citoyens, et il en va de même pour les
utilisations précises prévues des données, entre autres, qui seront déterminées
par décret et devraient être présentées de manière accessible et compréhensible
aux citoyens, par exemple sur une plateforme de divulgation proactive en ligne.
Nous notons les responsabilités
concentrées chez un petit nombre d'acteurs et nous recommandons que l'unité
administrative spécialisée en sécurité de l'information soit complétée par la
mise en place de ressources pour l'analyse des enjeux éthiques selon une
perspective globale.
Plus précisément, nous recommandons que
des ressources éthiques soient identifiées pour compléter ce qui est prévu en
sécurité de l'information et que certaines responsabilités, telles que celle
d'établir un modèle de classification de sécurité des données numériques
gouvernementales en fonction de leur nature, de leurs caractéristiques et de
leur utilisation et des règles qui les régissent... que ce soit intégré au
niveau des dimensions éthiques.
Je céderais maintenant la parole à Dominic
pour poursuivre.
M. Cliche (Dominic) : Bonjour
à tous. Merci beaucoup. Donc, en comparaison avec, donc, la Loi favorisant la
transformation numérique de l'administration publique, là, qu'on voit comme la
précurseure du projet de loi n° 95, donc, il est apprécié, de notre côté,
là, que soit proposée une définition des fins administratives et de services
publics, donc une certaine clarification des finalités qui peuvent être
poursuivies.
Cependant, la définition est excessivement
inclusive et ouvre à des utilisations potentielles très diverses. En soi, ce
n'est pas nécessairement un problème, mais ça implique quand même un
renforcement, a fortiori, là, des mesures de transparence et de responsabilité.
Mais, en <termes…
M. Cliche (Dominic) :
…
des finalités qui peuvent être poursuivies.
Cependant, la définition est
excessivement inclusive et ouvre à des utilisations potentielles très diverses.
En soi, ce n'est pas nécessairement un problème, mais ça implique quand même un
renforcement a fortiori, là, des mesures de transparence et de responsabilité.
Mais, en >termes d'utilisations
diverses, par exemple, le projet de loi semble s'appliquer, donc, autant à des
projets qui permettraient à un citoyen de ne fournir qu'une seule fois
certaines informations identificatoires simultanément à plusieurs organismes,
donc qui est un exemple qu'on entend souvent, mais on sent, en tout cas, dans
tout ce qui est ouvert, qu'il y a aussi la possibilité de se rendre à des
projets qui impliquent, ultimement, là, des systèmes intelligents et qui
concernent l'entraînement d'algorithmes apprenant, par exemple, à partir des
données de l'administration publique. Évidemment, dans ces cas-là, des enjeux
spécifiques seraient soulevés et devraient être abordés.
• (15 h 40) •
Il est aussi apprécié que certaines
balises soient énoncées, dont l'interdiction de la vente ou de toute aliénation
des données. Dans le contexte, cependant, des balises plus substantielles et
robustes seraient nécessaires. Par exemple, le projet de loi pourrait recentrer
la définition des fins administratives et de services publics en énonçant, pour
la mobilité et la valorisation des données, certains objectifs jugés légitimes
qui seraient assez spécifiques et qui veulent être poursuivis par le gouvernement.
Ça peut être difficile de spécifier très,
très justement, spécifiquement les objectifs. Donc, le projet de loi pourrait
aussi, par la négative, proscrire certaines fins ou utilisations des données
qui pourraient être préjudiciables. Mais encore, le projet de loi pourrait
énoncer certaines fins ou utilisations qui, sans les interdire, hein, seraient
considérées plus sensibles et nécessiteraient alors de prévoir des mesures
spécifiques pour réduire les risques de préjudice. On peut penser, par exemple,
que ce serait en raison de la répercussion sur les citoyens, donc des fins, par
exemple, telles que la vérification de l'admissibilité ou l'allocation de ressources
dans certains services en éducation, santé et services sociaux, par exemple,
qui sont plus délicats.
Le projet de loi a pour effet de créer un
régime normatif distinct pour la mobilité et la valorisation des données gouvernementales,
et, pour ça, la CEST... Donc, la CEST craint que le projet de loi permette en
fait aux organismes publics de se soustraire à des dispositions, qui sont
néanmoins pertinentes, qui seraient incluses, actuellement, donc, à la Loi sur
l'accès ou qui seront vraisemblablement incluses, là, lors de l'adoption du projet
de loi n° 64.
Donc, par exemple, donc, ce projet de loi,
qui est présentement à l'étude par la Commission des institutions, représente,
en fait, une mise à jour importante du cadre normatif au regard de l'avènement
du numérique et de l'intelligence artificielle. Donc, pensons notamment aux dispositions
relatives à la prise de décision fondée entièrement sur un traitement
automatisé des données ou celles relatives au profilage.
Donc, il serait inquiétant, en fait, que plusieurs
projets gouvernementaux puissent se soustraire à ces mises à jour, donc, a
fortiori dans le cadre d'un projet de ressources informationnelles qui
s'intègre justement dans cette révolution numérique là à laquelle répond
partiellement le projet de loi n° 64.
Donc, un arrimage beaucoup plus robuste
serait à prévoir, là, sinon une intégration de certaines dispositions ou une
prépondérance de certaines dispositions du projet de loi n° 64
sur les projets qui seraient adoptés par décret dans le cadre de la loi qui
découlerait, donc, du projet de loi n° 95.
Pour conclure rapidement, si j'ai encore
juste une seconde, un exemple, peut-être, là, d'un élément où une autre question
demeure aussi, où des éléments seraient à préciser. Lorsqu'on parle de la réalisation
d'une évaluation des facteurs <relatifs…
M. Cliche (Dominic) :
...par décret dans le cadre de la loi qui découlerait, donc, du
projet
de loi
n° 95.
Pour conclure,
rapidement — si
j'ai encore juste une seconde
— un
exemple,
peut-être,
là, d'un élément où une autre
question demeure aussi, où des éléments
seraient à préciser. Lorsqu'on parle de la
réalisation d'une
évaluation
des facteurs >relatifs à la vie privée, transmission à la Commission
d'accès à l'information de cette évaluation-là, lorsque des données visées
contiennent des renseignements personnels, il y a plusieurs questions, en fait,
qui sont soulevées...
Le Président (M. Simard) : En
conclusion.
M. Cliche (Dominic) : Oui, je
conclus. Donc, il y a plusieurs questions qui demeurent, il y a plusieurs
flous, notamment la question à savoir qui détermine si les risques
résiduels sont acceptables, comment, est-ce qu'il y aura une grille qui permet
d'harmoniser ces pratiques-là dans l'ensemble de l'administration publique.
Donc, c'est le genre de questions aussi qui suscitent des inquiétudes du côté
de la commission. Merci.
Le Président (M. Simard) :
Merci beaucoup, M. Cliche. Alors, nous serions en mesure d'entreprendre la
période d'échange. Je cède la parole à M. le ministre, qui dispose de
16 min 30 s. M. le ministre, votre micro me semble fermé.
M.
Caire
: Ça ne
sera pas long, M. le Président. Alors, merci beaucoup à M. Bergeron, merci
à M. Cliche. Merci de l'intervention.
Bien, d'entrée de jeu, différents éléments
que vous avez apportés que je trouve intéressants. Et, M. Bergeron, j'ai
envie de commencer par une question, parce que vous avez parlé de la
catégorisation des données du volet éthique. Qu'est-ce qui... Dans le cadre que
le gouvernement utilise actuellement et qui a été rendu public, sur la
catégorisation des données, qu'est-ce qu'il manque là-dedans, selon vous, au
niveau éthique?
M. Bergeron (Michel) : Bien,
au niveau éthique, quand on regarde la définition qui est dans le projet de loi,
de «données gouvernementales», cette définition est assez large. La
catégorisation, en ce qui concerne les données, peut toucher des éléments
comme, par exemple, la sensibilité des données, les données qui proviennent de
différentes sources, la différence entre, par exemple, donnée de base et donnée
traitée, etc. Donc, ces éléments-là ne sont pas inclus dans le projet de loi.
M.
Caire
: Non,
je comprends, mais vous comprendrez qu'un projet de loi ne peut pas aller à ce
niveau-là de sensibilité. C'est pour ça que le gouvernement a adopté le cadre
dont je vous parle, là, qu'on a déposé à la Commission des institutions et qui
sert justement à faire cette catégorisation-là dans le projet actuel de
consolidation des CTI.
C'était au niveau de ce cadre-là, qu'on a
rendu public, que je vous demandais si la commission avait eu l'occasion de se
pencher là-dessus et de faire ce commentaire-là, au niveau du fait qu'il y
avait peut-être des enjeux éthiques, là. Parce que vous comprendrez que la loi
actuelle prévoit respecter toutes les règles d'accès et les règles de
protection. Donc, ça fait partie des éléments qu'on va respecter. Puis
là-dessus, d'ailleurs, je reviendrai sur un commentaire de M. Cliche. Mais
donc je voulais voir si la commission avait eu le temps d'analyser le cadre de
catégorisation des données qu'on a déposé en commission parlementaire et si
c'est sur cette base-là que le commentaire avait été fait.
M. Bergeron (Michel) : En ce
qui me concerne, le commentaire a été fait sur la description, la définition
qu'il y a <dans la loi...
M.
Caire
:
…sur un
commentaire de M. Cliche, mais donc je voulais voir si la
commission
avait eu le temps d'analyser le cadre de catégorisation des données qu'on a
déposé en
commission parlementaire et si c'est sur cette base-là que le
commentaire
avait été fait.
M. Bergeron (Michel) :
En ce qui me concerne, le
commentaire a été fait sur la
description… la définition
qu'il y a >dans la loi. Je demanderais
à M. Cliche s'il a des informations additionnelles qu'il aimerait ajouter.
M. Cliche (Dominic) : Non, effectivement,
la position n'est pas développée à partir d'une analyse, là, du cadre en
question, qu'on va consulter, cela dit, évidemment.
M.
Caire
: O.K.
M. Cliche, bien, je vais en profiter pendant que vous êtes là. Vous dites :
Écoutez, ce serait… il y a un questionnement, au niveau de la commission, sur
une éventuelle utilisation des données qui pourrait être dérogatoire à la loi,
là. Vous faites notamment référence au projet de loi n° 64. Or, il est
assez… bien, en tout cas, moi, je pensais que c'était suffisamment clair, mais
je veux vous entendre là-dessus, là. S'il y a des clarifications à apporter, je
vais être intéressé à vous entendre.
12.10 du chapitre II.4 de la loi
actuelle prévoit effectivement, puis c'est la discussion qu'on avait avec Me Poitras
cet avant-midi, que... Le projet de loi n° 95 est un projet de loi
technologique, donc qui va respecter l'ensemble des lois et... lois de
protection particulière et directives de sécurité. Son objectif n'est pas de
définir sous quelles conditions l'information doit être communiquée. Ça, c'est
64 qui va le faire et les régimes de protection particuliers. Et 95 stipule
nommément qu'ils vont respecter ces cadres-là.
Donc, 95 est plus dans l'organisation
technologique de la diffusion de l'information, dans le respect du cadre légal.
Donc, là-dessus, est-ce que 12.10 répond à vos attentes?
M. Cliche (Dominic) : Je peux
prendre la balle au bond, oui. Effectivement, c'est une précision qui est
intéressante et importante. Effectivement, à ce moment-là, le fait qu'on assure
par... si je comprends, donc, l'idée, que, dans la portion… En tenant compte de
leur nature, de leurs caractéristiques et des règles d'accès et de protection…
des registres, on s'assure, par cette disposition-là, d'une coordination puis
d'un arrimage avec les lois d'accès et de protection des renseignements
personnels. Effectivement, à ce moment-là, déjà, sur la question de l'arrimage
avec le projet de loi n° 64, ça correspond, là...
M.
Caire
: Bien,
en fait, c'est plus que 64, donc…
M. Cliche (Dominic) : Bien,
et autres, là. Mais, sur notre commentaire à nous...
M.
Caire
: C'est
64, c'est les lois… les protections particulières en santé. Il y en a au
Curateur public, il y en a une à l'Agence du revenu. Donc, c'est toutes ces
lois-là auxquelles on va s'astreindre. C'est un petit peu pour ça, là, que
j'avais cette discussion-là avec Me Poitras.
Puis je trouvais ça très intéressant,
votre commentaire, parce que, dans le fond, 95 ne change pas qui peut avoir
accès à quoi. 95 change comment j'accède à la donnée.
Et c'est un peu l'objectif, de dire que,
quand je collecte une information, la première chose que je dois faire, c'est
vérifier. Est-ce que je l'ai déjà dans mon actif gouvernemental? Et d'où la <notion…
M.
Caire
:
...
qui peut avoir accès à quoi, 95 change comment j'accède à la donnée.
Et c'est un peu l'objectif de dire que, quand je collecte une information, la
première chose que je dois faire, c'est vérifier : est-ce que je l'ai déjà
dans mon actif gouvernemental? Et d'où la >notion que la donnée est un
actif gouvernemental, ce qui empêche l'organisme de poser une question pour laquelle
il a déjà la réponse.
Et donc l'idée générale, je dirais, là, c'est
de faire en sorte que le citoyen cesse d'être un employé de l'État, mais bien quelqu'un
qui reçoit un service de l'État. Ça fait que c'était cette dynamique-là qu'on
voulait changer. Est-ce que, selon la vision que vous avez de ça, on atteint
cet objectif-là?
M. Cliche (Dominic) :
Bien, c'est sûr que ça, ça clarifie pour... Effectivement, je pense que, l'objectif,
on... ça, c'est acquis. Ça, ce n'est pas quelque chose que conteste, d'aucune
manière, là, la commission. Je pense qu'à ce moment-là, effectivement, sur l'application
des régimes de protection, c'est une réponse qui est satisfaisante.
Ensuite, sur... On peut rappeler, à ce
moment-là, d'autres commentaires qu'on a pu faire à l'occasion justement de l'étude
du projet de loi n° 64. Et peut-être que... Ce n'est peut-être pas le
moment, à ce moment-là, de ramener ces considérations-là ici, mais, justement,
en lien...
M.
Caire
: Oui,
oui, oui, tout à fait.
M. Cliche (Dominic) : ...sur
l'encadrement des usages, aussi, sans être... aller au-delà du régime très... qui
distingue très, très fortement renseignements personnels et autres renseignements,
notamment pour étoffer un peu davantage, là, les catégorisations, pour pouvoir
prendre en compte différents usages, l'utilisation de différents outils, et 64
fait un pas là-dedans...
Mais, encore une fois, la commission avait
des commentaires, là, supplémentaires, là, sur peut-être le besoin d'élargir,
sans élargir le niveau de protection, aussi rigide, évidemment, de l'ensemble
des renseignements personnels à l'ensemble des données. Mais, comme le
soulignait M. Bergeron, par exemple, la notion des renseignements traités,
des renseignements inférés, par exemple, était un enjeu que nous avions
soulevé, là, lors de l'étude... lors de notre passage lors de l'étude du projet
de loi n° 64.
Et on pourrait faire, finalement, les
mêmes remarques ici, de s'assurer que, justement, l'encadrement réponde aussi à
ce besoin-là de regarder les finalités peut-être un peu plus en détail et
d'intégrer, dans la mesure où on s'entend qu'il y a énormément de travail qui
devra se faire de manière extralégislative, là, dans tout le projet de
transformation numérique... que cela soit fait justement en incluant les bons
acteurs, notamment en termes d'éthique et d'intégrité, au Trésor, avec lesquels
on peut collaborer, et en s'assurant d'un niveau élevé, là, de transparence
pour ces projets-là.
• (15 h 50) •
M.
Caire
: Bien,
justement...
M. Cliche (Dominic) : Je
pense que la notion de la transparence demeure importante, et peut-être encore
une lacune, à ce moment-là, qui demeure, du projet de loi.
M.
Caire
: C'est
un élément que je voulais aborder avec vous, là, parce que M. Bergeron
parlait de la transparence. Comment... Parce qu'on parle de sécurité de
l'information, et, en sécurité de l'information, comme dans la vie, toute
vérité n'est pas bonne à dévoiler. Vous comprendrez pourquoi.
Donc, <comment...
M.
Caire
: …
C'est
un élément que je voulais aborder avec vous, là, parce que M. Bergeron
parlait de la transparence, comment... Parce qu'on parle de sécurité de
l'information, et, en sécurité de l'information, comme dans la vie, toute
vérité n'est pas bonne à dévoiler, vous comprendrez pourquoi. Donc, >comment,
à travers le p.l. n° 95… Puis là j'imagine que votre
commentaire visait plus la gestion de la donnée que les pratiques en matière de
cybersécurité. Donc, je prends pour acquis que cette transparence-là ne
s'appliquait pas aux politiques et aux pratiques en matière de cybersécurité,
ce qui serait suicidaire. Je pense que tout le monde est d'accord là-dessus. Donc,
on allait plus au niveau de la gestion de la donnée.
Et là je vous amène à l'évaluation des
facteurs relatifs à la vie privée. Parce qu'au fond on reprend le concept du
p.l. n° 14, auquel vous faisiez référence, concept
qui a été intégré au p.l. n° 64. Et donc, en toute
cohérence, 95 devait reprendre ce concept-là. Donc, qu'est-ce qui, par rapport
à 95, vous semble différent de 64 ou de 14, qui intègrent déjà ces deux… Ces
deux projets de loi là intègrent déjà cette obligation-là d'avoir une
évaluation des facteurs relatifs à la vie privée.
M. Cliche (Dominic) : Bien,
en fait, deux choses. Dans les différentes… Bien, comme je l'ai déjà mentionné,
là, justement, peut-être le besoin d'élargir la réflexion sur différentes
catégories de protection, au-delà de la distinction entre renseignements
personnels et autres renseignements. Puis ça s'applique aussi au projet de loi
actuel comme celui… 64.
Mais aussi, donc, par rapport à la... plus
spécifiquement, à l'évaluation de la protection des… l'évaluation des facteurs
relatifs à la vie privée, pardon, donc, en fait, les éléments qu'on soulève ne
sont pas dans le fait de faire cette évaluation-là. Au contraire, c'est une
très bonne chose. C'est une bonne mesure qui est proposée et qui est cohérente,
effectivement, avec l'encadrement, par ailleurs, qui est proposé, par ailleurs.
Cela dit, c'est assez… ce qui est flou,
c'est un peu, en fait, une fois qu'on a cette évaluation-là, qu'est-ce qu'on en
fait exactement. Et c'est sur... c'est des questions là-dessus... Moi, l'idée
n'est pas de dire, de notre côté, que c'est nécessairement problématique, mais
je pense qu'il y a des éléments qui sont à préciser, justement, sur la manière
dont ça va être pris en compte, sur le…
Justement, on parle de risque résiduel. Il
y a toujours un moment où on doit prendre une décision. Est-ce qu'on accepte ou
non le risque résiduel à la suite d'une évaluation des facteurs relatifs à la
vie privée? Et ça, bien, c'est une question qui est extrêmement importante, et avoir
peut-être une idée un peu plus claire, que ce soit directement dans le projet
de loi ou, sinon, par des…
M.
Caire
: Par
décret?
M.
Cliche (Dominic) : Par décret, ou par des politiques, ou… La mesure
exacte est loin d'être dans mon champ d'expertise, là, quelle est la meilleure
mesure à adopter là-dessus, mais d'être en mesure quand même de s'assurer que,
bien...
Par
exemple, le rôle de la Commission d'accès à l'information là-dedans, de recevoir
l'évaluation, on peut se demander : Est-ce qu'elle peut formuler un avis?
Est-ce que cet avis-là peut être contraignant? Est-ce que c'est nécessairement
le bon organisme pour prendre connaissance de l'ensemble de cette
évaluation-là? Est-ce que cette évaluation-là devrait s'appliquer, aussi, pas
uniquement aux projets avec des renseignements personnels, mais aussi à
d'autres catégories de données qui peuvent <avoir…
M. Cliche (Dominic) :
…
formuler un avis? Est-ce que cet avis-là peut être contraignant? Est-ce
que c'est nécessairement le bon organisme pour prendre connaissance de
l'ensemble de cette évaluation-là? Est-ce que cette évaluation-là devrait
s'appliquer aussi, pas uniquement aux projets avec des renseignements
personnels mais aussi à d'autres catégories de données qui peuvent >avoir…
qui sont dans des jeux de données plus sensibles sans être nécessairement
identificatoires?
Donc, ça, là-dessus, on n'a
malheureusement pas de disposition à vous offrir, là, clé en main, mais
évidemment c'est vraiment un état de réflexion qu'on peut amener. Mais c'est le
genre de questionnement, quand même, qui demeure, là, de notre côté, par
rapport à l'évaluation des facteurs relatifs à la vie privée. Mais ce n'est pas
une remise en question du principe, au contraire.
M.
Caire
: Je
comprends. Bien, vous m'ouvrez la porte, M. Cliche, M. Bergeron. Puis
on parle de catégorisation de données, et j'ai eu l'occasion d'avoir cette
discussion-là aussi avec Me Poitras tout à l'heure, on fait une catégorisation...
En fait, on faisait une catégorisation de nos données beaucoup en fonction de
celui qui était l'utilisateur, le générateur de la donnée, et non pas en
fonction de la donnée à proprement parler.
On a vécu récemment une situation qui a
mis en lumière les faiblesses de cette façon de faire là, à savoir que des
renseignements qui étaient dits personnels, et donc qui auraient été, en santé,
par exemple, protégés par les régimes de protection en application, ont été
rendus publics par le Tribunal administratif du logement et ont permis à des
individus, en toute légalité, en toute légitimité, d'être collectés massivement.
Parce qu'évidemment cette façon-là date de l'époque où on était papier, et donc
où il fallait se déplacer dans les différents districts juridiques et/ou aller
au greffe pour ramasser, colliger cette information-là, ce que l'univers
numérique ne nous contraint plus à faire. Et donc on a assisté à cet
événement-là.
Donc, diriez-vous que de catégoriser la
donnée de façon transversale, c'est-à-dire en fonction de sa valeur puis de sa
sensibilité, et non pas en fonction de qui en est l'utilisateur ou le
détenteur, devrait, dans un contexte éthique… devrait être la valeur
fondamentale sur laquelle on s'appuie pour catégoriser les données?
M. Cliche (Dominic) : C'est
évidemment une grande question. Je pense que c'est bien, effectivement, que...
d'aller au-delà de la source du renseignement, effectivement.
Mais je pense que, nécessairement, dans
cette évaluation-là, pour certaines données, certains renseignements, il y aura
une importance éthique de la source, là, où... Par exemple, certaines données,
justement, sensibles et personnelles, on peut dire que le citoyen a un intérêt
supplémentaire quand même, là, sans dire nécessairement qu'il demeure... sans
parler de la propriété, nécessairement, des données au sens... s'en aller dans ce
terrain glissant là, mais il a un intérêt très fort par rapport à cette
information et au contrôle par rapport à sa circulation et à son utilisation.
Et donc la source ne pourra pas être
évacuée, évidemment, là, de la réflexion, mais élargir la catégorisation est
certainement un pas dans la bonne direction.
M.
Caire
: Mais,
quand vous dites : La source ne peut pas être évacuée de la réflexion, j'ai
envie de vous demander, à brûle-pourpoint, pourquoi. Qu'est-ce que la <source…
M. Cliche (Dominic) :
…circulation et à son utilisation. Et donc la source ne pourra pas être
évacuée, évidemment, là, de la réflexion, mais élargir la catégorisation est
certainement un pas dans la bonne direction.
M.
Caire
:
Mais, quand vous dites : La source ne peut pas être évacuée de la
réflexion, j'ai envie de vous demander, à brûle-pourpoint, pourquoi, qu'est-ce
que la >source amène, du point de vue de l'éthique, toujours, et donc de
la sensibilité de la donnée? Qu'est-ce que la source amène à la donnée que la
donnée ne porte pas en elle-même?
M. Cliche (Dominic) : C'est,
à la limite, une question ontologique de savoir… Qu'est-ce que la donnée,
exactement? En fait, l'idée... C'est parce qu'effectivement, à la limite, on
pourrait s'entendre que c'est dans la nature de la donnée elle-même si elle est
identificatoire, et par… Mais donc…
Mais c'est indirectement, à ce moment-là,
probablement, que la source devient significative et où, par exemple... C'est
souvent lorsque c'est le citoyen qui en est la source. Dans certains cas, il y
aura un intérêt probablement plus fort que pourrait faire valoir le citoyen. C'est
plus dans ce sens-là.
M.
Caire
: Parce
que, comme je l'ai mentionné, malheureusement, une même donnée, dépendamment de
qui l'utilise, pourrait être soit très protégée, soit totalement publique, là.
Donc, je serai intéressé à avoir vos réflexions là-dessus. Là, je comprends
qu'ici et maintenant ce n'est peut-être pas pertinent, là, mais je serai très intéressé
à avoir vos réflexions là-dessus.
Je vais revenir à M. Bergeron, très
brièvement parce que je vois le temps qui file, au commentaire que vous avez
fait, où vous dites qu'il faudrait rajouter un volet éthique compte tenu... — puis
je pense, M. Cliche, que vous faisiez référence à ça — compte
tenu, notamment, là, qu'on s'en va de plus en plus vers, donc, un patrimoine
gouvernemental, donc une donnée qui est gouvernementale, donc une donnée qui va
être considérée dans sa globalité, dans une perspective d'utilisation
d'intégration de l'intelligence artificielle.
Je serais intéressé peut-être à avoir, à
brûle-pourpoint, vos commentaires des enjeux éthiques qui devraient être
considérés dans le fait qu'on dit maintenant que la donnée est un actif
gouvernemental, donc que cette notion-là de donnée globale qui entre en ligne
de compte avec le p.l. n° 95... C'est quoi, les
enjeux éthiques que vous voyez à travers cette notion-là?
M. Bergeron (Michel) : Je
pense qu'un des éléments qui est lié aux enjeux éthiques dans cette
perspective, c'est vraiment tout le lien qui peut être fait, entre autres, avec
ce qui découle des obligations de la charte sur les droits et libertés et qui
fait en sorte que, par exemple, lorsqu'on utilise certaines données, on doit
revenir à ce qui est favorisé, ce qui est exigé.
Le Président (M. Simard) :
Très bien. Merci. Alors, ce temps… ce bloc de parole est maintenant écoulé. Et
je cède la parole…
M.
Caire
: Merci
beaucoup, messieurs. Merci infiniment.
Le Président (M. Simard) : Je
cède la parole au député de La Pinière, qui dispose de 12 min 25 s.
Votre micro, cher collègue. Voilà.
• (16 heures) •
M. Barrette : Bon. Voilà, c'est
parti. Bonjour, <M. Bergeron…
>
16 h (version révisée)
<5369
Le
Président (M. Simard) : …25 s. Votre micro, cher collègue. Voilà.
M. Barrette : Bon, voilà,
c'est parti. Bonjour, >M. Bergeron, M. Cliche. C'est un
plaisir de vous recevoir aujourd'hui. Alors, bien, je vais vous poser une
question, bien, surprenante, peut-être, là. Avez-vous eu la chance de nous
écouter ce matin?
M. Bergeron (Michel) :
Malheureusement non, pour moi.
M. Barrette : Et M. Cliche?
M. Cliche (Dominic) : J'ai eu
l'occasion d'entendre les remarques introductives, simplement.
M. Barrette : O.K. Donc, vous
n'avez pas eu la chance d'entendre la Commission d'accès à l'information.
M. Cliche (Dominic) : Nous
avons eu la chance de consulter leur mémoire, cependant.
M. Barrette : O.K. Alors, je
vais aller là-dessus, là, parce que c'est vraiment… Je vais vous avouer qu'il y
a quelque chose d'intellectuellement surprenant dans l'exercice qu'on fait, non
pas le projet de loi comme tel mais dans les positions qui sont débattues.
Alors, vous, vous êtes des experts en
éthique dans le merveilleux monde de la technologie. La Commission d'accès à
l'information, on ne peut pas dire qu'il n'y a pas un volet éthique là-dedans.
Ça serait exagéré de dire quelque chose comme ça. On a le projet de loi
n° 95 qui, lui, fait ce qu'il souhaite faire, et là on a vraiment,
vraiment une collision des concepts. Vous vous situez où par rapport au mémoire
de la Commission d'accès à l'information?
Ce n'est pas une question piège,
honnêtement, là. C'est juste qu'à un moment donné, même pour nous autres, c'est
mélangeant, là. On a vraiment… Moi, j'ai mon opinion, le ministre a son opinion,
puis je pense que mes collègues des deux autres partis ont leur opinion. On
tourne tous sur… On est tous sur la même patinoire, la patinoire de l'éthique
et de protection des renseignements personnels, puis on n'a pas, personne, la
même opinion, ça fait que…
En général, on arrive à… il y a une
tendance, là, c'est comme un peu vectoriel, il y a une résultante, puis on s'en
va tous vers ça. Là, on ne s'en va pas vers ça. Alors, juste me donner votre
opinion. Ça m'intéresse comme tel, là. Ce n'est pas un jugement de valeur. Je
vous demande de vous positionner par rapport à ça.
M. Bergeron (Michel) : Bien,
en ce qui me concerne…
M. Barrette : …je vais vous
poser des questions plus précises.
M. Bergeron (Michel) : En ce
qui me concerne, j'ai trouvé le mémoire de la commission très intéressant. Je
pense qu'il soulève des points qui sont pertinents en ce qui concerne
l'utilisation des données et des éléments qu'on discute déjà dans le groupe de
travail sur les données.
Une voix : M. Cliche.
M. Cliche (Dominic) : Oui, je
peux compléter. Bien, en fait, effectivement, je pense que, sans… Il y a
plusieurs positions, là, qui sont prises par la Commission d'accès, sur
lesquelles la Commission de l'éthique n'a pas à s'avancer nécessairement, sur… comme
par exemple, je mentionnais que le… quel véhicule législatif est le bon. Et là,
déjà, la discussion avec M. le ministre a permis de clarifier certains
éléments.
Je pense qu'on avait une compréhension,
là, la Commission d'accès à l'information et nous, similaire, là, justement,
sur l'impact qu'avait ou que pouvait avoir le projet de loi n° 95... ou
entrer peut-être en conflit avec <d'autres…
M. Cliche (Dominic) :
...et là,
déjà, la discussion avec M. le ministre a permis de
clarifier certains éléments. Je pense qu'on avait une compréhension, là, la
Commission
d'accès à l'information et nous, similaire, là, justement, sur l'impact
qu'avait ou que pouvait avoir le
projet de loi n° 95 ou entrer
peut-être
en conflit avec >d'autres initiatives en lien avec la protection des renseignements
personnels. Là, on comprend que cette position-là doit être beaucoup plus
nuancée. Donc, à ce moment-là, nécessairement, on aura tendance à nuancer notre
position par rapport aussi à ce que défendait la CAI, là, dans son mémoire.
Chose certaine, la commission ne s'oppose
aucunement, là, à la question, au principe à la base du projet de loi n° 95, qui est de mieux valoriser les données publiques,
donc détenues par les organismes publics, à des fins qui sont d'intérêt public.
Je pense que, de manière générale, les citoyens peuvent s'entendre qu'il y a effectivement
une amélioration de la communication, là, entre les ministères et organismes, et
particulièrement de l'échange de certaines données, qui est une bonification
claire, là, de leur rapport avec l'administration publique, là, dans le cadre
de la transformation numérique.
Mais après ça, évidemment, je pense que,
là où on vient peut-être s'accorder avec... davantage dans la perspective plus prudente,
si on veut, que peut-être certains pourront juger excessivement prudente, c'est
que, lorsqu'on arrive dans un régime ou lorsque... qu'on comprenait qu'il était
vraiment un régime très, très ouvert de partage des données, une contrepartie
très importante en matière de reddition de comptes et de transparence était
nécessaire, des garanties peut-être plus précises aussi à être données. Là,
évidemment, avec la discussion qu'on a eue, il y a des éléments à nuancer
là-dedans, mais, quand même, je pense que ces contreparties-là doivent...
demeurent très importantes.
Puis il y a tout un enjeu de comment le
gouvernement transmet aussi... communique la question de la transformation
numérique et intègre le citoyen dans la réflexion et dans la... juste dans
l'appropriation et la compréhension de ce que ça signifie pour l'administration
publique, là, de faire cette transformation numérique là, et qu'on soit en
mesure de voir aussi les enjeux à moyen terme, là, qui vient avec la
numérisation plus grande des services publics et l'utilisation de différents
outils numériques.
Donc, je pense qu'effectivement il y a
moyen d'avoir... Je pense qu'on doit être prudents. Après ça... C'est la
position fondamentale pour ce qu'on partage avec la Commission d'accès à
l'information là-dessus.
M. Barrette : Or, la
Commission d'accès à l'information, de la manière qu'elle s'est exprimée ce
matin, elle est... Comment je dirais ça? Ce n'est pas négatif, ce que je veux
dire, mais elle est plus... son curseur dans la prudence est très, très, très
loin à droite, on va dire, ou à gauche, c'est selon, peu importe, et elle reproche
au projet de loi d'avoir un curseur qui est à l'autre bout. C'est quoi, votre
position là-dessus?
M. Cliche (Dominic) : Dans la
mesure où notre compréhension était celle, effectivement, d'un régime pour
l'ensemble des données gouvernementales considérées comme étant d'intérêt
gouvernemental, sans la nuance, justement, de l'application de l'ensemble des
lois, déjà, et des régimes de protection, dans cette compréhension-là, on
était... notre accord devait aller avec la Commission <d'accès...
M. Cliche (Dominic) :
…dans la mesure
où notre compréhension était celle, effectivement, d'un
régime pour l'ensemble des données gouvernementales considérées comme étant
d'intérêt gouvernemental sans la nuance, justement, de l'application de
l'ensemble des lois, déjà, et des régimes de protection, dans cette
compréhension-là, on était... notre accord devait aller avec la Commission >d'accès
à l'information, là. Dans la mesure où on a quand même des garanties qui sont
données, là, on a une précision qui est apportée, le curseur peut se ramener,
peut se centrer davantage, là. Disons ça comme ça.
M. Barrette : Est-ce que vous
considérez que les renseignements personnels à l'intérieur de la bulle gouvernementale
devraient circuler librement dans cette bulle-là?
M. Bergeron (Michel) : Je
pense qu'à ce niveau-là c'est vraiment selon l'encadrement qui va exister, qui
va permettre de faire la réflexion. La circulation, elle est nécessaire à
certains développements, mais elle doit être encadrée de la façon qui est la
plus prudente possible.
M. Barrette : Alors, est-ce
que vous avez des suggestions particulières pour l'encadrement en question? Honnêtement,
on est restés sur notre faim ce matin, là, parce que la Commission d'accès à
l'information émet des opinions et des principes, elle nous dit que c'est
faisable mais ne nous dit pas comment le faire et ne nous fait pas de proposition,
ne serait-ce que théorique, sur la façon de le faire.
M. Bergeron (Michel) : Bien,
je pense qu'à ce niveau-là on est… au niveau de la réflexion, en ce qui concerne
les données, renseignements personnels, on n'est pas rendus à ça.
On a commencé à réfléchir sur les éléments
de base d'ordre éthique, sur certaines législatives puis, entre autres, là... L'ensemble
des projets de loi sont intéressants à ce niveau-là, mais c'est un… l'éthique
étant ce qu'elle est, c'est un processus de réflexion qui nécessite d'inclure
les éléments qui sont en discussion.
M. Barrette : Mais là, pour
que je comprenne bien, là, vous, avez-vous été consultés pour… législativement,
pour la rédaction du projet de loi?
M. Bergeron (Michel) : Non.
M. Barrette : Vous, le projet
de loi, vous en avez pris connaissance, là, quand il est arrivé, là, comme nous
autres, là.
M. Bergeron (Michel) : C'est
ça.
M. Cliche (Dominic) : Exactement.
M. Barrette : O.K. Alors,
avez-vous des suggestions spécifiques à nous faire, des voies, des pistes, non
pas de solution, là, je ne pense pas que c'est le mot que je devrais utiliser,
là, mais...
La Commission d'accès reproche au projet
de loi de permettre au gouvernement, par décret, de faire ce qu'il veut. Je
peux comprendre la critique de la Commission d'accès à l'information. Un décret
gouvernemental, c'est assez vaste, on l'a vu dans les projets de loi précédents.
Et ça, je dis ça pour faire sourire le ministre. C'est assez ouvert, là. La
Commission d'accès à l'information, essentiellement, reproche à ce genre de
chose là l'absence de balise, ne serait-ce que pour déterminer ce qui est un
intérêt gouvernemental.
M. Cliche (Dominic) : Effectivement.
Bien, je peux reprendre un peu ce que je mentionnais, donc, dans… l'idée
d'avoir, dans le contexte, quand même des balises plus substantielles et
robustes, donc que ce soit en précisant davantage des objectifs qui sont poursuivis,
en formulant certaines fins à proscrire ou, sinon, en ayant peut-être un régime
plus différencié, là, des mesures spécifiques pour certaines utilisations plus <sensibles…
M. Cliche (Dominic) :
...ce que je mentionnais, donc, dans… l'idée d'avoir, dans le contexte,
quand
même des balises plus substantielles et robustes, donc que ce soit en précisant
davantage des objectifs qui sont poursuivis, en formulant certaines fins à
proscrire ou, sinon, en ayant peut-être un régime plus différencié, là, des
mesures spécifiques pour certaines utilisations plus >sensibles.
• (16 h 10) •
Évidemment, nous, nos travaux portent... En
ce moment, le mandat, en fait, de notre comité est un mandat du Scientifique en
chef sur l'accès aux données par le secteur privé. Donc, on est dans quelque
chose qui est... Nos travaux ne sont pas transférables, là, au projet de loi en
question. On est dans un champ différent.
On a réfléchi, depuis quelques années, à
la transformation numérique. Et là le mandat qui nous occupe principalement en
ce moment est évidemment extérieur, là, au projet de loi n° 95, ce qui
fait en sorte qu'effectivement on se présente devant vous aujourd'hui, avec le
temps qu'on a eu, là, pour prendre connaissance du projet de loi... formuler
quelques commentaires plus généraux. Et il va nous faire, évidemment, le plus
grand plaisir de poursuivre cette réflexion-là et de vous proposer, si on est
en mesure de le faire, là, des propositions plus concrètes en prévision de l'étude
détaillée.
Cela dit, au moment où on en est, on est quand
même dans des principes, effectivement. On peut comprendre la position aussi de
la Commission d'accès à l'information dans cette perspective-là, j'imagine.
M. Barrette : C'est assez
intéressant, ce que vous dites, M. Cliche, parce que... Je vais vous
prendre à pied levé, là, vraiment, là. Je vais vous faire... Je vais rebondir
sur ce que vous venez de faire, là, à pied levé. Ce que vous venez de dire, là,
les travaux que vous faites actuellement, là, que vous dites extérieurs au
projet de loi n° 95, si le projet de loi n° 95 était la loi n° 95 aujourd'hui, vous n'auriez pas le choix de prendre ça
en considération, là.
M. Cliche (Dominic) :
Absolument.
M. Barrette : Le feriez-vous?
M. Cliche (Dominic) : Bien
sûr. C'est notre mandat.
M. Barrette : Dites-nous
combien ça altérerait vos travaux actuellement, là. La question est
intéressante. Je comprends que vous êtes extérieurs, là, mais faites comme si.
Ça vient vous altérer comment?
M. Cliche (Dominic) : Bien, c'est-à-dire
que, là, tout d'un coup, effectivement, il faut voir dans ce cadre-là qu'est-ce
qui permettrait d'ouvrir, j'imagine, notamment par des contrats de
sous-traitance, là, qui permettrait... qui ferait... qui pourrait créer un
certain accès au secteur privé à des données, là, qui constitue, donc, l'accès
gouvernemental. Et, plus probablement, et là il faudrait analyser un peu plus...
mais, dans les fins qui sont mentionnées, donc recherche et développement, on
peut aussi imaginer des partenariats dans cette perspective-là.
Donc, c'est probablement dans ce genre de
contexte là, là, qu'on aurait évalué, dans le cadre de la loi qui est... du projet
de loi qu'on a devant les yeux ou si c'était, donc, la loi adoptée, quelles en
seraient les conséquences, les actes, là, sur l'accès possible, là, par le
privé. Mais ce n'est pas quelque chose, évidemment, qui est abordé directement
dans le cadre du projet de loi, puis il faudrait gratter davantage.
M. Barrette : Sauf que, dans
un débat d'étude détaillée, ça risque de venir sur le tapis, là. Le contraire
nous surprendrait beaucoup.
M. Cliche (Dominic) :
Assurément. On espère de pouvoir formuler un rapport sur ces questions-là
rapidement.
Le Président (M. Simard) :
<Conclusion...
M. Barrette : ...sauf que,
dans
un débat d'étude détaillée, ça risque de venir sur le tapis, là. Le contraire
nous surprendrait beaucoup.
M. Cliche (Dominic) :
Assurément. On espère de pouvoir formuler un rapport sur ces questions-là
rapidement.
Le Président (M. Simard) :
>Conclusion.
M. Barrette : Bien, écoutez,
M. le Président, en 15 secondes, là, tout au plus, là... Je vais terminer
là, là.
Le Président (M. Simard) :
Très bien. Alors, merci à vous, MM. Cliche et Bergeron, pour la qualité de
votre présentation. Mais, avant...
Je vois déjà mon collègue de Rosemont, que
je ne voudrais surtout pas oublier et qui bénéficie bien sûr, lui aussi, d'une
partie du temps qui était imparti au Parti québécois. Alors, cher collègue, à
vous la parole pour une période de 4 min 10 s.
M. Marissal : Merci, M. le
Président. Merci, MM. Bergeron et Cliche. Prenez-le pas mal, là, mais la conversation
que vous avez eue puis qu'on a depuis ce matin, mais ça inclut celle que je
viens d'entendre, en particulier avec le ministre, c'est une conversation de
gens très au fait de la situation, de... pas convertis, là, je cherche le
terme, là, mais ça va me revenir, c'est une conversation de gens qui
connaissent intimement... Bien, je me mets à la place des gens qui nous
écoutent peut-être, en plus en format virtuel... Ouf! Je les salue. Je les
salue. Mais, bon, on va y arriver. D'initiés, c'est le mot que je cherchais.
Nous avons des conversations d'initiés. Merci. Ça va venir, ça va venir.
Là, je veux revenir sur ce que le député
de La Pinière vient d'aborder. Et vous l'avez abordé, en fait, vous-mêmes
avant que la question vous soit posée, vous avez eu un mandat du Scientifique
en chef pour évaluer les possibilités de partage ou de partenariat visant des
données personnelles de Québécois et de Québécoises avec le privé. Moi, je
l'apprends. Je ne le savais pas.
Ce que je sais, c'est que c'est une préoccupation,
pour ne pas dire une marotte, de votre ministre, qui est le ministre de
l'Économie. J'ai eu avec lui, d'ailleurs, des conversations houleuses sur le
sujet, notamment, de partage de données de la RAMQ avec les pharmaceutiques. Le
ministre nous a appris, aux crédits, qu'il avait lui-même signé des décharges
et des documents autorisant le partage d'une partie de ses données
personnelles. Je ne savais même pas que c'était possible de faire une telle
chose au Québec. Et ça le regarde parfaitement. Je n'ai aucun jugement à porter
sur ça. J'en ai, par contre, sur l'utilisation des données personnelles, en
particulier dans le domaine de la santé avec les Big Pharma.
Alors, vous ne pouvez pas dire qu'il n'y a
pas de lien, là, parce que votre ministre, le ministre de l'Économie et de
l'Innovation, nous a dit, il y a deux ou trois semaines à peine, aux crédits,
que son projet — ce n'est pas nécessairement le sien, mais il le
chérit — de partage de données de la RAMQ avec les pharmaceutiques
évolue, un peu dans l'ombre, le reconnaissait-il... mais que le projet de loi n° 95 déposé par son collègue à la Transformation numérique
<allait...
M. Marissal : ...
trois
semaines à peine, aux crédits, que son projet — ce n'est pas
nécessairement le sien, mais il le chérit — de partage de données de
la RAMQ avec les pharmaceutiques évolue, un peu dans l'ombre, le
reconnaissait-il, mais que le projet de loi
n°
95
déposé par son collègue à la Transformation numérique >allait défricher
le terrain, déneiger l'entrée de cour, puis on allait pouvoir finir par passer.
Alors, je ne sais pas, là, de quoi on
parle ici, mais comment pouvez-vous dire qu'il n'y a pas de lien, que vous êtes
dans une réflexion éthique de très, très, très haut niveau? Et ça, je n'ai
aucun doute que c'est le cas, mais, dans la vraie vie, là, il y a un lien. Pour
que le monde nous comprenne bien, là, c'est de ça dont on parle aussi, là. C'est
possible, le partage de données privées, de données personnelles au privé. C'est
ce que vous avez dit.
M. Cliche (Dominic) :
Oui. En fait, l'idée n'est pas qu'il n'y a pas de lien, mais il est évidemment
plus indirect.
Nous, en fait, le mandat plus spécifique
est sur les données de santé ou, du moins, de... l'utilisation des données dans
un contexte de santé et de sciences de la vie à des fins de recherche.
Donc, évidemment, là, ça, c'est la
finalité, là, la fin administrative de services publics, de recherche et
développement, qui pourrait être concernée, là, comme je le mentionnais plus
tôt, et qui là pourrait être une porte d'entrée, là, pour, par exemple... pour
effectuer... pour entrer dans le mandat qui nous concerne, finalement, là, donc
pour effectuer de la recherche en partenariat avec le privé à partir de données
gouvernementales.
Mais, encore là, c'est ça, l'ensemble, là,
de l'encadrement de cette possibilité-là, on n'y a pas accès, et c'est quelque
chose, évidemment, dont... qu'on doit souligner, que je pense qu'on souligne, d'ailleurs,
là. C'est assez... Dans les fins qui sont utilisées, dans les fins qui peuvent
être permises, interdites...
Le Président (M. Simard) :
Très bien.
M. Cliche (Dominic) :
...ou qui pourraient être un peu plus encadrées, bien, c'est à réfléchir.
Le Président (M. Simard) :
En conclusion.
M. Marissal : En
conclusion, bien, je n'ai plus de temps. Je veux simplement noter que cette
chose existe, qu'elle est là. Peut-être est-ce le proverbial éléphant dans la
pièce? Mais c'est malheureux que je n'aie pas plus de temps, messieurs. Et je
vous remercie pour votre participation. Je souhaite pouvoir avoir d'autres
conversations de ce type, peut-être, avec vous dans les...
Le Président (M. Simard) :
Très bien.
M. Marissal : Peut-être
juste me répondre très rapidement. Quand devez-vous rendre vos rapports quant
au mandat que vous avez reçu?
Le Président (M. Simard) :
Très rapidement, s'il vous plaît.
M. Marissal : Merci, M. le
Président.
M. Cliche (Dominic) : C'est
prévu pour l'automne prochain.
M. Marissal : Merci. Merci,
M. le Président.
Le Président (M. Simard) :
Bien. Merci à vous, cher collègue. Donc, MM. Cliche et Bergeron, à nouveau,
merci pour la qualité de votre présentation. Puis on espère vous recevoir à
nouveau sous peu. Au revoir.
M. Cliche (Dominic) : Merci à
tous.
M.
Caire
: Merci
beaucoup, messieurs.
Une voix : Bonne suite des
travaux.
Le Président (M. Simard) :
Sur ce, chers collègues, on va suspendre quelques instants, le temps de faire
place à nos prochains invités.
(Suspension de la séance à 16 h 18)
(Reprise à 16 h 25)
Le Président (M. Simard) :
Alors, nous sommes de retour. Nous pouvons reprendre nos échanges. Et nous
sommes en compagnie du Pr Gambs, de l'UQAM. Cher ami, soyez le bienvenu
parmi nous.
M. Sébastien Gambs
M. Gambs (Sébastien) : Merci
beaucoup pour l'invitation.
Le Président (M. Simard) :
Pour les fins de nos travaux, auriez-vous l'amabilité, d'abord, de vous
présenter?
M. Gambs (Sébastien) : Oui.
Donc, je suis professeur en informatique à l'UQAM et je suis titulaire de la
Chaire de recherche du Canada en analyse respectueuse de la vie privée et
éthique des données massives. Donc, essentiellement, mon expertise est
protection de la vie privée et sécurité, côté informatique.
Le Président (M. Simard) :
D'accord. Donc, vous disposez de 10 minutes pour faire votre présentation.
M. Gambs (Sébastien) :
D'accord. D'abord, bien, je vous remercie pour l'invitation. Donc, en
préambule, je pense que ça a déjà été dit par quelques intervenants, mais je
pense que c'est important de discuter de ce projet de loi en lien avec les
autres projets de loi, comme le projet de loi n° 64, la stratégie
numérique du gouvernement, et, j'imagine, la future infrastructure d'identité
numérique. Donc, je pense que c'est important aussi que ce débat, au-delà de
cette commission, ça inclue le plus d'acteurs possible, éventuellement, dans
d'autres contextes.
Donc, j'ai lu le projet de loi avec
attention et je note qu'au niveau de la sécurité il y a des points très
positifs au niveau du fait d'avoir un responsable de sécurité dans chaque
ministère. Peut-être que je suggérerais, pour être capable d'avoir une
reddition de comptes sur l'implantation de ces améliorations de la sécurité...
ce serait d'avoir une transparence aussi sur les plans de sécurisation, au
niveau de chaque ministère, qui vont être mis en place, penser à des
indicateurs aussi, comment est-ce qu'on sait, au bout de cinq ans, si on a
vraiment amélioré le niveau de sécurité globale de chaque ministère et du
gouvernement.
Et aussi il y a des notions, comme
l'obligation de divulguer les brèches de sécurité, qui font partie des bonnes
pratiques de sécurité, que je n'ai pas vues pour l'instant dans le <document…
M. Gambs (Sébastien) :
…ministère,
qui vont être mis en place, penser à des indicateurs aussi,
comment est-ce qu'on sait, au bout de cinq ans, si on a vraiment amélioré le
niveau de sécurité globale de chaque ministère et du gouvernement. Et aussi il
y a des notions, comme l'obligation de divulguer les brèches de sécurité, qui
font partie des bonnes pratiques de sécurité, que je n'ai pas vues pour
l'instant dans le >document.
Cela dit, étant plutôt un chercheur du
côté vie privée, ce serait intéressant, je pense, d'inclure, dans ce plan de
sécurisation, aussi une analyse des enjeux de vie privée et des enjeux
éthiques.
Et, quand on parle de mobilité des
données, j'ai vu quelques exemples ces dernières années, dans d'autres
gouvernements, qui amènent des questions. Donc, juste pour vous donner un
exemple, en 2014, le gouvernement belge a voulu, avec la circulation des
données, collecter des données de consommation d'eau, de gaz et d'électricité
dans le cadre de la détection des personnes qui fraudaient, parce qu'en fait votre
allocation sociale dépend de si vous êtes seul ou en couple dans votre logement.
Et donc ce que le gouvernement avait voulu faire à l'époque, c'était de prendre
des données dans un contexte, l'utiliser dans un autre contexte, ce qui avait
soulevé des enjeux éthiques importants. Donc, on forçait les gens à… En
particulier en Belgique, une loi européenne forçait les gens à installer des
compteurs électriques intelligents. On leur disait que c'était pour le cas de
l'optimisation et la distribution, et, d'un coup, on commence à l'utiliser pour
d'autres finalités.
Donc, je ne sais pas s'il faudrait
réfléchir à un organisme gouvernemental, une forme de comité d'éthique qui
réfléchirait aussi quand on commence à faire bouger des données hors de leur
finalité, collecte de départ, qui pourrait réfléchir et conseiller le
gouvernement sur ces aspects-là.
Je note aussi qu'on parle beaucoup de
mobilité et de valorisation dans le document, ce qui peut avoir des tensions
avec la vie privée. Donc, en particulier, on attend du gouvernement qu'il ait
les standards de vie privée les plus élevés, puisqu'il est au service du
citoyen. Et, en général, le citoyen n'a pas le choix de lui transmettre des
données dans le cadre des missions régaliennes. Donc, je pense que ce serait important
aussi de préciser ces aspects-là.
Donc, une des choses que je me suis
demandées, c'est... Toutes les discussions aussi avec la valorisation des
données, avec des compagnies privées ne font pas partie du projet de loi, et je
pense que ce serait aussi quelque chose à inclure dans la discussion globale
dont je parlais au départ. Donc, est-ce que le gouvernement s'engage à ne pas
le faire? Est-ce qu'il a des plans pour le faire? Je pense que ce serait
important de les mettre sur la table.
On parle en particulier des données de
santé. Aussi, les données de santé sont... vendues à une compagnie privée,
bien, ça peut avoir un impact sur le prix de mon assurance médicaments, ça peut
avoir un impact sur mon score de crédit si cette information est… sur mon
employabilité si on a des outils de recrutement prédictifs.
Donc, toute la question de comment ce
projet de loi s'inscrit par rapport à la stratégie de valorisation avec les
acteurs privés, je pense que ce serait important à mettre aussi sur la table.
• (16 h 30) •
Aussi, j'ai vu ce matin la discussion sur
est-ce qu'il faut avoir les données centralisées ou en silos. Il faut faire
attention à toute centralisation de données. Donc, oui, le fait de centraliser
des données, ça peut permettre de mettre plus de ressources sur un endroit pour
améliorer la sécurité, mais il y a aussi beaucoup de cas où, dès qu'on a
centralisé les données, on devient une cible de choix et on arrive à des fuites
de données.
Donc, en Inde, par exemple, ils ont un
projet qui s'appelle Aadhaar, où ils ont, dans un but d'identité numérique et
de services de transformation numérique, centralisé beaucoup de données, et il
y a eu une fuite de <données de…
>
16 h 30 (version révisée)
<M. Gambs (Sébastien)T :
…de mettre plus de ressources sur un endroit pour améliorer la sécurité, mais
il y a aussi beaucoup de cas où, dès qu'on a centralisé les données, on devient
une cible de choix et on arrive à des fuites de données.
Donc, en Inde, par exemple, ils ont un
projet qui s'appelle Aadhaar, où ils ont, dans un but d'identité numérique et
de service de transformation numérique, centralisé beaucoup de données, et il y
a eu une fuite de >données de 1,1 milliard de personnes avec les
noms, les adresses, photos, numéros de téléphone, adresses e-mail. Donc, dès qu'on
centralise, on devient aussi une cible de choix, un seul point central de
sécurité.
Donc, la question… Je pense que la
question de la sécurité, ce n'est pas aussi simple que centraliser ou en silo.
Il faudrait vraiment réfléchir à est-ce que la centralisation, c'est la
meilleure chose ou est-ce qu'il faudrait avoir plusieurs hubs.
Et aussi je pense que... de centralisation
en vie privée... Si on centralise toutes les données de toutes les sources
gouvernementales et que, dans 10 ans, on a un gouvernement autoritaire qui
est en place, on lui aura donné toutes les clés pour être capable de tracer
quels sont ses opposants potentiels, cibler les personnes à risque. Donc, dès
qu'on centralise, on fait un pas de plus aussi dans les risques de traçage des personnes.
Donc, voilà, je finirais mon intervention là-dessus.
Je pense que ce qui a été dit aussi, c'est
qu'on a l'impression que certains aspects pourraient être précisés par décret.
J'entendais l'intervention de la Commission d'accès ce matin, en particulier. Donc,
d'avoir un débat un peu plus large sur comment vont être précisées ces sources
de données officielles, par exemple, ça, je pense que ça devrait faire partie
aussi de la discussion. Voilà pour mon intervention.
Le Président (M. Simard) :
Alors, merci à vous, M. le professeur. Cela va nous donner plus de temps
pour finalement procéder à nos échanges. Et, si mon calcul est bon, la partie
gouvernementale disposerait donc, à ce stade-ci, de 17 min 30 s.
M. le ministre.
M.
Caire
: Merci
beaucoup, M. le Président. Bonjour, Pr Gambs. Merci beaucoup de votre intervention.
Nonobstant à ceci, plusieurs de vos commentaires m'ont fait tiquer, et je vais
être intéressé à en discuter avec vous, parce que vous semblez favorable à ce
que le gouvernement divulgue ses brèches de sécurité. J'ai-tu bien compris ce
que vous avez dit?
M. Gambs (Sébastien) : Oui.
S'il y a une fuite de données à un service gouvernemental...
M.
Caire
: Mais,
je veux juste être sûr que je comprends, de divulguer la fuite ou de divulguer
la brèche? Parce que ce n'est pas la même chose.
M. Gambs (Sébastien) : De
divulguer la fuite.
M.
Caire
: Ah!
mais ça, c'est prévu dans 64 déjà.
M. Gambs (Sébastien) : O.K.
Bien, tant mieux. Mais souvent, quand on divulgue…
M.
Caire
: O.K.
Donc, ça... Mais, ça, vous ne l'aviez pas vu. Je comprends que c'est vraiment
la fuite de données dont vous parliez, là, pas la brèche.
M. Gambs (Sébastien) : Bien,
en général, quand la fuite est publique, la brèche est aussi colmatée. Donc, on
peut divulguer la brèche.
M.
Caire
: Oui,
c'est ça. Ah! je peux vous dire que, dans La Place 0-5, on cherche encore
par où ils sont passés.
O.K. Donc, ça, c'est une question que
j'avais. Donc, on s'entend que projet de loi n° 64 prévoit qu'une fuite de
données doit être divulguée à la Commission d'accès à l'information, aux gens
qui sont inclus ou qui sont impactés par cette fuite-là et éventuellement aux
gens qui peuvent apporter des correctifs majeurs et importants à l'incident de
confidentialité. Ça, c'est tout dans 64.
M. Gambs (Sébastien) : Oui. Donc,
moi, je veux juste, pour préciser…
M.
Caire
: Donc,
ça, ça répond à <votre…
M.
Caire
:
...aux gens
qui sont inclus ou qui sont impactés par cette fuite-là et éventuellement
aux gens qui peuvent apporter des correctifs majeurs et importants à l'incident
de confidentialité. Ça, c'est tout dans 64.
M. Gambs (Sébastien) :
Oui. Donc, moi, je veux juste, pour préciser…
M.
Caire
:
Donc, ça, ça répond à >votre objection?
M. Gambs (Sébastien) : Moi,
c'était un cran plus loin. C'est de le divulguer publiquement parce que...
M.
Caire
: Oui,
oui.
M. Gambs (Sébastien) : ...pas
juste à la Commission d'accès, mais de rendre des comptes, aux citoyens directs,
de chaque brèche, de chaque fuite.
M.
Caire
: Bien,
écoutez, on a eu cette discussion-là à la Commission des institutions. Mais
pour vous dire que le volet divulgation d'une fuite de données est couvert par
le projet de loi n° 64.
Autre chose que vous avez dite qui m'a
surpris : Mettre sur la table les éventuelles interactions avec le privé.
Or, le projet de loi ne prévoit aucune interaction avec le privé. Donc,
j'aimerais comprendre de quoi vous parlez exactement, parce qu'il est clair que
le projet de loi est orienté vers les services publics et l'administration
publique et n'inclut que les services publics par l'administration publique.
Donc, en quoi le privé vient jouer là-dedans? Je n'ai pas très bien compris
l'intervention.
M. Gambs (Sébastien) : Donc,
ma question, c'est : Pourquoi est-ce que ce projet-là ne précise pas, dans
le cadre des données gouvernementales, tous les types de partenariat? Donc,
j'imagine que ce sera peut-être une loi subséquente, c'est ça?
M.
Caire
: Bien,
en fait, c'est parce que l'idée, c'est de dire que, dans une prestation de
services publics... comment la donnée peut circuler entre deux organismes
publics. Donc, il n'y a pas de... il n'y a pas nécessairement... L'entreprise
privée n'intervient pas là-dedans, là.
M. Gambs (Sébastien) : Oui. En
tout cas, là, je pense, ça aurait pu être une occasion d'inclure toute la...
M.
Caire
: Parce
que, la LGGRI, il faut comprendre que cette loi-là, c'est une modification à la
loi sur la gestion et la gouvernance des ressources informationnelles. Et donc
les organismes à qui la loi s'applique sont précisés dans la loi, et
l'entreprise privée n'est pas impactée par la LGGRI, là.
M. Gambs (Sébastien) : Oui,
mais comme... O.K. Peut-être que c'est une erreur de ma part, mais, quand on
parle de mobilité et de valorisation des données gouvernementales, dans mon
sens... Je ne sais pas si ce projet de loi ou une loi subséquente, j'imagine,
va statuer sur ce qui va être permis ou pas.
Donc, au-delà de la circulation entre les organismes,
puisqu'on parle des données gouvernementales, il y a toute la question, comme
vous l'avez dit, de la gouvernance, et une partie de la gouvernance, c'est la
mobilité et la valorisation vers l'extérieur. Donc, j'imagine, si ce n'est pas
ce projet de loi qui va en discuter, il y en aura un autre ou un autre
contexte. Et donc mon seul commentaire, c'était : Ça aurait pu être une
occasion de l'inclure dans ce projet de loi ou alors de dire quelles vont être
les interactions avec une loi future, éventuellement.
M.
Caire
: Bien,
en fait, les premiers articles de la loi précisent à qui la loi s'applique, là.
Et, comme le disait d'ailleurs la Commission d'accès à l'information, cette
loi-là ne s'applique qu'aux organismes publics et aux entreprises de l'État.
Sur la question de la valorisation, vous
nous avez amenés là-dessus... (Interruption) Excusez-moi, hein? C'est
l'article 12.10, paragraphe 4°, qui parle de la valorisation, qui est
«la mise en valeur d'une donnée numérique gouvernementale au sein de
l'administration publique à une <fin...
M.
Caire
:
...qu'aux
organismes publics et aux
entreprises de l'État.
Sur la question de la valorisation,
vous nous avez amenés là-dessus. (Interruption) Excusez-moi, hein? C'est
l'article 12.10, paragraphe 4° qui parle de la valorisation, qui est
«la mise en valeur d'une donnée numérique gouvernementale au sein de
l'administration publique à une >fin administrative ou de services
publics, excluant sa vente ou toute autre forme d'aliénation». Est-ce que ça,
ça répond plus adéquatement à l'interrogation que vous aviez sur ces
questions-là, sur la valorisation de la donnée?
M. Gambs (Sébastien) : Oui et
non, dans le sens qu'il y a quand même le débat... Du coup, si cette loi n'est
pas l'occasion, il y a quand même la question d'où... dans quelle loi ça va
être discuté.
Donc, oui, je comprends que ce projet de
loi ne statue pas sur cet aspect de la valorisation qui fait partie des données
gouvernementales, mais ma question reste : Où est-ce que ça va être
discuté?
Moi, en travaillant en sécurité, je vois
aussi qu'il y a beaucoup de chantiers, comme l'identité numérique. Donc, je me
pose des questions sur quelle va être l'architecture de cette identité et la
vision globale, où on s'en va avec les interactions entre ces lois. Donc...
M.
Caire
: O.K.
Je comprends. Mais je vous rassure, Pr Gambs, la LGGRI ne s'applique
qu'aux organismes publics et aux entreprises du gouvernement. D'ailleurs, vous
l'avez, là, dans les différentes lois. Donc, les organismes impactés sont
clairement identifiés. Et je dis ça pour faire sourire à mon tour mon collègue
de La Pinière, parce que nous avons eu cette discussion-là à quelques reprises
en commission parlementaire.
Bon, Pr Gambs, vous êtes un
spécialiste de la cybersécurité. Si je vous dis qu'actuellement, dans la
perspective de prestation de services publics, chaque organisme public, dans
une perspective de prestation, collecte les informations dont ils ont besoin,
si bien qu'il y a probablement au sein du gouvernement, actuellement, entre 250
et 300 versions de vous-même parce qu'il y a cette incapacité-là de
partager la donnée entre les organismes, donc, diriez-vous que cette
surmultiplication-là d'une même information dans des centaines de bases de
données, en fait, 577 sites, pour être très précis... est-ce que vous
diriez... Est-ce que le spécialiste de la cybersécurité en vous dirait que
cette pratique-là, elle est conforme aux bonnes pratiques en cybersécurité?
M. Gambs (Sébastien) : Donc,
encore une fois, le débat, c'est... Si on centralise, on limite le nombre de
copies, mais on va créer un seul point de faille. Donc, je pense que tout le
débat va être là-dessus. Et les bonnes pratiques de...
M.
Caire
: Quand
vous parlez de centralisation, pour que je comprenne bien, vous parlez de
mettre toutes les données dans le même serveur, là.
M. Gambs (Sébastien) : C'est
ça, ou dans la même infrastructure...
M.
Caire
: O.K.
Si je vous parle... puis je m'adresse au...
Le Président (M. Simard) :
S'il vous plaît! M. le ministre...
M.
Caire
: Juste
pour...
Le Président (M. Simard) : M.
le ministre, à l'ordre, s'il vous plaît! Là, pour les fins de nos travaux, il
faudrait éviter de parler un par-dessus l'autre, parce que ça devient un peu
cacophonique, et, d'où on est, on ne comprend plus rien. Alors, allons-y étape
par étape. M. le ministre.
M.
Caire
: Bien,
je voulais comprendre la notion de centralisation. Parce que vous avez amené
une notion qui était intéressante, de hub de données. Puis là-dessus je veux
vous entendre, parce que c'est exactement la vision que nous mettons en place
avec les <sources...
Le Président (M. Simard) :
…un par-dessus
l'autre parce que ça devient un peu cacophonique, et,
d'où on est, on ne comprend plus rien. Alors, allons-y étape par étape. M. le
ministre.
M.
Caire
:
Mais je voulais comprendre la notion de centralisation. Parce que vous avez
amené une notion qui était intéressante de hub de données, puis, là-dessus, je
veux vous entendre, parce que c'est exactement la vision que nous mettons en
place avec les >sources officielles de données. Donc, diriez-vous que
cette pratique-là est une bonne pratique?
M. Gambs (Sébastien) : Oui. Encore
une fois, je serais intéressé aussi de savoir ça va être quoi, la liste des
sources officielles. Mais, si on a des sources... La notion de sources
officielles, je la trouve intéressante. Au lieu d'avoir un seul site central, bien,
d'avoir… Je serais juste curieux de savoir ce qu'il va être, et combien il va y
en avoir, et…
• (16 h 40) •
M.
Caire
: Bien,
ça fera l'objet d'une analyse lorsque le projet de loi... si le projet de loi
est adopté, d'ailleurs. Je vais le mettre au conditionnel par respect pour l'Assemblée
nationale et la décision qu'elle aura à prendre. Mais je pense qu'on a tous en
tête, là, des sources officielles de données qui sont relativement simples à
définir, mais il y en a d'autres pour lesquelles, effectivement, ça devra faire
l'objet d'une analyse.
Et je vous pose la question : Sur
quels critères pourrait-on se baser pour déterminer… Puis, bon, on comprend
tous que Santé, Éducation, Direction de l'état civil, Finances sont des sources
de données qui peuvent quand même être assez faciles à déterminer a priori,
mais il y a peut-être d'autres sources de données pour lesquelles le constat
est moins simple à faire. Donc, sur quelles bases on pourrait travailler et
définir? C'est… Est-ce qu'il existe des modèles dans le monde sur lesquels on
pourrait se baser pour définir ces sources de données là, et les faire de façon
cohérente mais sécuritaire?
M. Gambs (Sébastien) : Je
pense que, souvent, les bonnes sources de données sont des gens qui ont... des organismes
qui ont l'habitude de travailler avec ces données-là, mais pour lesquels il
faudrait le support du gouvernement pour aider à améliorer leurs infrastructures
de sécurité.
Donc, plutôt que de créer une nouvelle
entité qui gère ces données-là, je pense qu'il faudrait réfléchir à quels sont
les acteurs sur le terrain et les organismes qui ont l'habitude de traiter de
ces données mais qui n'ont peut-être pas le niveau de maturité de sécurité, là,
c'est revenu beaucoup dans les interventions... et d'aider par... ces
organismes à monter en maturité, donc, peut-être en leur donnant des ressources
ou de la formation subséquente.
M.
Caire
: Est-ce
qu'il existe des modèles de ça dans le monde, que vous avez eu l'occasion
d'observer?
M. Gambs (Sébastien) : Des
modèles de sources… La notion de sources officielles de données, c'est la
première fois que je la vois dans une législation. Donc, je n'aurais pas de… Il
faudrait que je réfléchisse et que je vous revienne, là.
M.
Caire
: Des
concepts de hubs, est-ce que... Vous avez parlé de hubs. Est-ce qu'à ce
moment-là ce concept…
M. Gambs (Sébastien) : Bien,
les exemples que j'ai vus, moi, c'est les exemples où il y avait un seul hub,
et ça a souvent mené à des fuites de données.
M.
Caire
: Oui,
je comprends.
M. Gambs (Sébastien) : Pour
venir avec des exemples de plusieurs hubs, je pense qu'il faudrait que je vous
revienne.
En France, en ce moment, il y a des
discussions avec le hub de santé, où justement il y a beaucoup de tension, hein,
dans les discussions parlementaires et dans la société civile sur ce hub-là.
M.
Caire
: Parce
qu'il faut être capable, aussi... Les hubs, il faut être capable de les mettre
en relation. Donc, il faut émuler un peu un modèle de base de données relationnelle,
là, pour utiliser une image avec laquelle vous êtes probablement familier. Je
m'excuse <pour…
M. Gambs (Sébastien) :
…dans les
discussions parlementaires et dans la société civile sur ce
hub-là.
M.
Caire
:
Parce qu'il faut être capable, aussi, les hubs, il faut être capable de les
mettre en relation. Donc, il faut émuler un peu un modèle de base de données
relationnelle, là, pour utiliser une image avec laquelle vous êtes probablement
familier. Je m'excuse >pour mon collègue de...
Une voix : ...
M.
Caire
: Loin
de moi l'idée de vouloir évincer du débat qui que ce soit, mais, pour peut-être
mieux imager ce que j'ai en tête au Pr Gambs, on serait… Si je vous
comprends bien, et si nous nous comprenons bien, on émulerait un modèle de
données de base… base de données relationnelle, là.
M. Gambs (Sébastien) : Oui,
ou base distribuée. Bien, c'est aussi pour ça que, j'imagine, ces sources vont
s'appuyer sur l'infrastructure de l'identité numérique. Et, sans avoir de
détails de cette infrastructure-là, comment les sources officielles vont
l'utiliser…
M.
Caire
: Bien,
en fait, non. C'est-à-dire que l'identité numérique, elle, va devoir prendre sa
source dans certains de ces hubs-là, effectivement.
M. Gambs (Sébastien) : Il y a
donc... Il y a des technologies respectueuses de la vie privée qui peuvent
avoir des données distribuées mais permettre d'avoir une identité sécurisée et
respectueuse de la vie privée. Donc, il y a beaucoup de façons différentes,
technologiques, de faire les choses et il y a des bonnes et des mauvaises. Et
je pense que ces sources-là devraient… avant de les identifier, il faudra aussi
savoir un peu c'est quoi, l'infrastructure qui va être derrière elles.
M.
Caire
: O.K.
Je comprends.
Vous avez parlé du chef gouvernemental de
la sécurité de l'information. Vous semblez saluer l'initiative, saluer aussi
les chefs délégués de la sécurité de l'information, qui seront déployés dans
les différents ministères. Qu'est-ce que vous voyez de positif là-dedans? Puis,
dans ce que vous avez vu, est-ce qu'il y a des choses que vous amélioreriez?
M. Gambs (Sébastien) : Bien,
ce que je vois de positif, c'est que d'avoir une personne responsable de cet
aspect-là dans chaque organisme, à mon avis, c'est une bonne façon d'avoir une
stratégie qui est adaptée à cet organisme puis d'être sûr qu'on ait une
personne dont le rôle est à 100 %.
Les façons d'améliorer, je les ai dites au
début. Je pense qu'il faut être capable de faire une reddition de comptes sur à
quel point la sécurité est améliorée et quels sont les indicateurs. Donc, je
pense qu'il faut réfléchir à des indicateurs, au fur et à mesure de monter en
maturité, de la sécurité de ces organismes pour qu'on soit capable de mesurer.
Donc, ça peut être des tests de pénétration, ça peut être d'autre chose, mais...
Encore une fois, je serais aussi très transparent sur le plan de sécurisation
pour qu'il puisse être audité par des experts externes. Donc, voilà, c'étaient essentiellement
mes points au début de mon intervention.
M.
Caire
: Mais
j'aime ça quand vous parlez des indicateurs puis j'aimerais ça faire un bout de
chemin avec vous là-dedans parce que ça, c'est quelque chose qui me parle beaucoup.
On parle bien d'indicateurs de performance au niveau de la maturité des
entreprises. Comment on peut… Bien, des entreprises… des organisations. Outre,
bon, les balayages, outre les tests d'intrusion, outre les tests classiques
d'hameçonnage, est-ce qu'il y a d'autres indicateurs qui existent qui nous
permettraient de mesurer la montée en puissance, en compétence de nos
organismes?
M. Gambs (Sébastien) : Bien,
on peut essayer de regarder, déjà, le niveau de formation sur la sécurité.
Donc, ça peut être… Au-delà des tests d'hameçonnage, ça peut être des <tests…
M.
Caire
:
…les tests classiques d'hameçonnage, est-ce qu'il y a d'autres indicateurs qui
existent qui nous permettraient de mesurer la montée en puissance, en
compétence de nos organismes?
M. Gambs (Sébastien) :
Bien, on peut essayer de regarder,
déjà, le niveau de formation sur la
sécurité. Donc, ça peut être…
au-delà des tests d'hameçonnage, ça peut
être des >tests ou des formations à l'interne avec du feed-back à la
fin.
Ça pourrait être aussi le fait de rendre
transparent le plan de sécurisation. Ça permet aussi de montrer à quel point il
a été spécifié par rapport aux missions de l'organisme au lieu d'être un plan
générique. Donc, je pense que regarder la façon dont il est formulé, est-ce
qu'il prend en compte les spécificités du ministère ou de l'organisme…
Donc, par exemple, les données de santé et
les données d'impôt ne sont pas forcément sécurisées de la même manière que
d'autres ministères. Donc…
M.
Caire
: Là-dessus…
Oh! je vais vous laisser compléter. Excusez-moi.
M. Gambs (Sébastien) : Non,
non, c'était tout.
M.
Caire
: Bien,
c'est parce que je trouve ça intéressant. Puis c'est une question que je pose,
je vous dirais, à tous nos intervenants, parce qu'on a une catégorisation de la
donnée qui est en fonction du détenteur et non pas en fonction de la valeur ou
de la sensibilité de la donnée elle-même. Vous en pensez quoi, de ça?
Puis vous pensez quoi de l'idée de dire :
Bien, on ne devrait pas catégoriser une donnée en fonction du fait qu'elle
appartient à la santé ou au Tribunal administratif du logement mais bien par
rapport à la valeur qu'elle peut avoir pour des intentions malveillantes et
pour son niveau de sensibilité? Donc, le préjudice, évidemment, qui est
conséquent à une diffusion non autorisée de cette donnée-là, vous en pensez
quoi, et donc d'harmoniser, évidemment, nos régimes de protection en fonction
de la sensibilité de la donnée et non pas en fonction de qui en est l'utilisateur?
M. Gambs (Sébastien) : Oui. Moi,
je pense que c'est une très bonne idée. En vie privée, j'ai tendance à dire que...
Le risque de vie privée lié à une donnée personnelle est lié à ce que j'appelle
le potentiel d'inférence — c'est à quel point on peut déduire
d'autres choses sur une personne si on a cette donnée ou si on la croise. Et
donc, si on prend les données de santé ou les données de mobilité, par exemple,
c'est des données avec un fort potentiel d'inférence, alors que, si je prends, par
exemple, vos goûts musicaux ou vos plats préférés, c'est des données avec des
faibles potentiels.
Donc, je vais totalement dans votre sens.
On parle de sensibilité en termes de ce qu'on peut déduire sur une personne à
partir de cette donnée si elle fuite ou si elle est croisée.
M.
Caire
: O.K. Donc,
une organisation devrait, au-delà, là, des régimes législatifs mais... Dans la
mise en place des systèmes de défense, une organisation devrait tenir compte de
ce potentiel-là d'inférence, du niveau de préjudice d'une utilisation
malveillante et, évidemment, de l'attractivité de la donnée. Parce qu'on le
sait, il y a des données qui sont attractives pour les organisations
malveillantes puis il y en a d'autres qui le sont moins. Donc, ces critères-là
vous apparaîtraient des critères assez fondamentaux pour une catégorisation
plus globale de la donnée.
M. Gambs (Sébastien) : Oui.
Juste pour vous dire, souvent, c'est ce que font les… Quand, en sécurité, on
fait une analyse de risques, c'est qu'on évalue l'impact lié à l'accès à une
information ou une ressource. On intègre déjà un peu cet aspect-là. Si le
potentiel d'inférence est élevé, bien, l'impact sur les citoyens au Québec va
être plus grand en termes d'usurpation de l'identité, de risque <de…
M.
Caire
:
…de la
donnée?
M. Gambs (Sébastien) :
Oui. Juste pour vous dire, souvent, c'est ce que font les… Quand, en sécurité,
on fait une analyse de risque, c'est quand qu'on évalue l'impact lié à l'accès
à une information ou une ressource, on intègre
déjà un peu cet
aspect-là. Si le potentiel d'inférence est élevé, bien, l'impact sur les
citoyens,
au
Québec, va être plus grand en termes d'usurpation de l'identité, de
risque >de profilage que si le potentiel d'inférence est faible. Donc,
c'est pris en compte, je pense, déjà un peu dans les réflexes des personnes qui
font des analyses de sécurité, peut-être pas en termes de la classification qui
est utilisée mais en termes de leurs habitudes, je dirais.
M.
Caire
:
Est-ce qu'il existe des normes là-dessus, Pr Gambs, sur la catégorisation
des données? Je sais qu'au niveau des protocoles de sécurité il en existe une
puis une autre, là, mais au niveau de la donnée comme telle... Parce que, comme
vous l'avez sans doute vu dans le projet de loi, il y a l'obligation pour le
gestionnaire de la donnée de faire un inventaire de la donnée, donc d'avoir
vraiment non seulement une connaissance de quelle donnée on a, mais quel profil
de donnée on a aussi. Donc, est-ce qu'il existe des modèles, dans le monde, de
ça... des normes, je devrais dire, dans le monde, de ça?
M. Gambs (Sébastien) : Pas
que je connaisse, non. Souvent, la législation va définir les données sensibles
comme étant les données amenant la discrimination, mais…
Le Président (M. Simard) : En
conclusion. En conclusion, s'il vous plaît.
M. Gambs (Sébastien) : Oui. Si
je pouvais terminer, juste...
Le Président (M. Simard) :
Oui, je vous en prie, monsieur.
M. Gambs (Sébastien) : Une
des difficultés, c'est de réfléchir au croisement. Donc, quand on regarde une
donnée toute seule, travaillant dans un ministère, on va avoir une idée des
risques, mais c'est le croisement potentiel avec 10 sortes de données
différentes provenant d'autres sources qui est difficile, je pense, à intégrer
dans cette analyse de risques et dans cette catégorisation et inventaire.
Le Président (M. Simard) :
Merci beaucoup.
M.
Caire
: Merci
infiniment, Pr Gambs. Très, très, très intéressant. Merci beaucoup.
Le Président (M. Simard) : Je
cède maintenant la parole au député de La Pinière, qui dispose de
13 min 5 s.
M. Barrette : ...
Le Président (M. Simard) : Cher
collègue…
M.
Caire
: En
ouvrant le micro, ça va mieux.
Le Président (M. Simard) : …il
faudrait mettre votre son. Et puis, M. le ministre, laissez à la présidence le
soin de présider. Merci. M. le député de La Pinière.
M. Barrette : Merci de me le
rappeler. Je vais commencer par me faire plaisir. Comment prononce-t-on votre
nom de famille?
• (16 h 50) •
M. Gambs (Sébastien) : Gambs,
mais personne n'arrive à le prononcer, donc je ne me vexerai pas si…
M. Barrette : Bon. Gambs. Bon,
bienvenue. Alors... Non, mais c'est parce que c'est toujours désagréable de se
faire massacrer son nom. Je n'ai pas dit que mes collègues l'avaient fait, mais
je porte toujours une attention particulière à ça.
Écoutez, là, vous avez… Je comprends, là,
que vous avez suivi nos travaux, là, depuis ce matin, heureusement, et tant
mieux. Votre expertise, elle est technologique, ou elle est éthique, ou les
deux?
M. Gambs (Sébastien) : Je
dirais les deux, à la base, plutôt technologique, mais mon projet de recherche
s'intéresse aussi aux enjeux éthiques des données massives. Donc...
M. Barrette : O.K. Parfait.
Non, c'est important, parce que, quand on lit votre titre, qui a été déposé
dans notre horaire, ça avait l'air plus du côté éthique que technologique. Mais
je vois que vous avez une expertise plus technologique qu'éthique. L'un
n'empêche pas l'autre, mais c'est juste pour comprendre d'où vous venez.
Et la raison pour laquelle je vous pose
cette question-là, elle est de deux ordres. C'est drôle, parce que c'est votre
dernière intervention et votre première. Dans votre première intervention, vous
avez fait référence à la situation belge, <où…
M. Barrette : ...
technologique
qu'éthique. L'un n'empêche pas l'autre, mais c'est juste pour comprendre d'où
vous venez.
Et la raison pour laquelle je vous pose
cette question-là, elle est de deux ordres. C'est drôle parce que c'est votre
dernière intervention et votre première. Dans votre première intervention, vous
avez fait référence à la situation belge >où on a croisé des données,
essentiellement, et, quand vous avez commencé par ça, j'ai cru comprendre que
vous étiez plus du bord éthique, j'ai cru comprendre que vous étiez défavorable
à ça. Est-ce que je comprends ça comme il faut?
M. Gambs (Sébastien) : Oui. Essentiellement,
ce que je disais, c'est que l'analyse de sécurité devra inclure les facteurs de
vie privée, ce qui apparaît dans le projet de loi, et les enjeux éthiques
aussi. Et la...
M. Barrette : Oui, mais...
M. Gambs (Sébastien) : ...
M. Barrette : Allez-y.
Excusez-moi.
M. Gambs (Sébastien) : Non,
excusez-moi, M. le Président, d'avoir... Pour... Ce que j'ai essentiellement
dit, c'est que cette question-là devrait être un débat de société sur est-ce
que ce croisement est... Donc, au-delà d'être imposé, je pense que ça devrait
être discuté, soit dans une instance ou... Donc, essentiellement, ce type
d'utilisation, où on change la finalité des données qui ont été collectées, je
pense qu'on peut difficilement se passer d'un débat de société avant de valider
ou non cet usage.
Donc, j'imagine qu'il y a des pays dans le
monde où cet usage serait considéré normal pour la culture ou le pays et
d'autres où ça ne serait pas le cas.
M. Barrette : Mais votre
lecture du projet de loi n° 95 n'est-elle pas, en essence, un projet de
loi qui vise à croiser des données?
M. Gambs (Sébastien) : En
tout cas, je vois qu'on parle de mobilité et de valorisation, donc c'est sûr
que le croisement des données fait partie, j'imagine, des choses que ce projet
de loi va permettre. La question, c'est... Parmi tous ces croisements, il y a
des croisements, je pense, qui ne poseront pas de problème de société et il y a
des croisements dans lesquels on va avoir des enjeux éthiques qui vont émerger,
sur lesquels un débat de société se passera difficilement, à mon avis.
M. Barrette : Alors là, vous
proposez... Vous venez nous dire que vous êtes d'une opinion selon laquelle le
projet de loi n° 95 est trop tôt? Parce que, vous savez, faire un débat de
société, c'est long, et il est possible que le ministre veuille que son projet
de loi passe, un jour plus proche que loin, tiens.
M. Gambs (Sébastien) : Non,
non. Bien, je vais essayer de repréciser. Je suis désolé si je n'ai pas été
clair. Mais, en gros, le point de vue, c'est : Ce projet de loi va
faciliter le croisement des données entre les institutions gouvernementales. Il
va y avoir, sur certains de ces croisements, des changements de finalité par
rapport à la collecte des données qui a été faite et des enjeux éthiques qui
vont émerger, et donc je pense qu'il serait important pour le gouvernement de
se doter d'un organisme ou d'une façon de réfléchir à ces enjeux éthiques.
Donc, il y a la... on a la Commission de l'éthique, qui est passée juste avant,
mais je pense que ça serait bien d'avoir un organisme aussi ou une façon
d'avoir des débats de société sur les croisements qui risquent d'être
problématiques, sous peine d'avoir une... je pense, un rejet de la population
de certains de ces croisements ou de certaines des choses qui vont être mises
en place.
M. Barrette : Donc, ce que
vous préconisez, c'est la <création...
M. Gambs (Sébastien) :
…ça serait
bien d'avoir un organisme aussi ou une façon d'avoir des
débats de société sur les croisements qui risquent d'être problématiques, sous
peine d'avoir une... je pense, un rejet de la population de certains de ces
croisements ou de certaines des choses qui vont être mises en place.
M. Barrette : Donc, ce que
vous préconisez, c'est la >création d'une espèce d'arbitre du croisement
à l'intérieur du projet de loi.
M. Gambs (Sébastien) : Oui. Je
ne sais pas si c'est une bonne façon de le nommer, mais oui.
M. Barrette : L'image
correspond à ce que vous pensez. C'est ça, mon point.
M. Gambs (Sébastien) : Oui, ce
serait un organisme qui peut conseiller le gouvernement et qui pourrait aider à
réfléchir aux enjeux éthiques des croisements.
M. Barrette : Attention! Moi,
là... Est-ce qu'on parle ici d'un conseiller ou d'un arbitre qui fait la
décision? Et là je vais m'expliquer et je vais aller à l'autre bout de votre intervention.
À un moment donné, là, quand on prend la
recherche, on fait déjà ça, là. Alors, vous savez que, dans les gouvernements,
un chercheur va venir frapper à la porte, va avoir beaucoup de difficultés
d'avoir accès à des données parce que, technologiquement, on n'est pas bien
organisés pour ça. Et là le chercheur, là, il va monter un programme de
recherche, va demander à avoir accès à différentes bases de données parce que
son projet de recherche oblige un croisement de données. Et, ça, on est
habitués de faire ça, et on n'en fait pas beaucoup parce qu'on n'a pas de ressource
pour le faire, et on n'a pas une structure de gestion de données qui nous
permet d'en faire beaucoup. Alors, ça, ça se fait. Sauf que là, avec le projet
de loi n° 95, ça pourrait se faire couramment. Donc, il faudrait, à un
moment donné, un arbitre qui calle la shot de façon régulière. Moi, c'est ce
que j'entends un peu de la position que vous dites.
Je vais faire moi-même un croisement d'interventions
de la journée, là, je vais croiser votre intervention avec l'intervention de la
Commission d'accès à l'information. La Commission d'accès à l'information, là,
elle est malheureuse, puis je pense bien peser mes mots puis utiliser les bons
mots, parce que, la section II.4, qui, pour elle, est une ouverture, même
si II.4 sont des éléments qui sont spécifiques, chacun... la somme des éléments
spécifiques est trop large, et, même, très probablement, chacun des éléments
est, pris indépendamment, trop large lui-même. Alors, la Commission d'accès à
l'information se présente comme étant, elle, potentiellement l'arbitre de la
décision du croisement de données.
Vous souhaitez, d'une certaine manière,
qu'il y ait un conseil, mais, dans la vraie vie quotidienne, il faudrait que
quelqu'un puisse prendre les décisions au fil de l'eau, là, si vous me
permettez, là, sur une base quotidienne.
M. Gambs (Sébastien) : Oui.
Alors, moi, j'ai tendance quand même à différencier les projets de recherche,
qu'il peut y avoir des exceptions avec... L'exemple que je donnais, je l'avais
dit, que ça serait quand même une décision gouvernementale qui n'arriverait pas
tous les jours, qui serait de... par exemple, de demander à Hydro-Québec d'être
une source officielle des données puis de dire : On veut croiser les
données pour détecter les fraudeurs, avec le ministère des Finances. Donc, c'est
quand même deux cas différents. Dans un cas, c'est une exception pour des
chercheurs pour un projet. Dans un autre cas, c'est un…
M. Barrette : Non, je sais. Je
vous interromps, M. Gambs. Je vous interromps, simplement parce que je
comprends que c'est un…
Maintenant, prenez le <cas…
M. Gambs (Sébastien) :
...on
veut croiser les données pour détecter les fraudeurs avec le
ministère des Finances. Donc, c'est quand même deux cas différents. Dans un
cas, c'est une exception pour des chercheurs pour un projet, dans un autre cas,
c'est un… Oui.
M. Barrette : Non, je sais.
Je vous interromps, M. Gambs, je vous interromps simplement parce que je
comprends que c'est un…
Maintenant, prenez le >cas, là,
prenons le cas, là, d'Hydro-Québec, là, qui fait des croisements avec Revenu
Québec. Vous êtes, donc, en défaveur de ça.
M. Gambs (Sébastien) : J'ai essentiellement
dit qu'il faudrait avoir un débat de société pour trancher. Je pense que ce
serait... De mon point de vue, je pense qu'il y a des enjeux éthiques trop
importants pour ne pas avoir un organisme qui permet de débattre de cet
aspect-là. C'est ça que j'ai dit, essentiellement.
M. Barrette : Bon. Alors,
mettons que votre sentiment est plus négatif que positif vis-à-vis la
possibilité de ça.
M. Gambs (Sébastien) : Moi,
enfin, les enjeux éthiques que je vois, ce serait très problématique pour ce
croisement-là.
Mais, encore une fois, je pense que ce
n'est pas à moi de prendre la décision. Ce serait... Essentiellement, ma
recommandation, c'était d'avoir un organe ou une façon de réfléchir à ces
questions-là et d'en débattre.
Mais je pense qu'il y a plein de
croisements des données qui ne soulèveront pas forcément des enjeux éthiques, mais
là j'ai voulu vous donner un exemple, et qui avait fait beaucoup de bruit en
Belgique à l'époque.
M. Barrette : Non, bien, je
comprends bien votre intervention. Évidemment, la mienne... Je ne veux pas vous
mettre dans l'embarras, là. Ce n'est pas ça du tout, du tout, mon objectif. Je
pose la question, essentiellement, parce qu'au bout du compte, dans l'état
actuel du projet de loi, ça peut arriver... un problème.
M. Gambs (Sébastien) : Oui.
M. Barrette : O.K. Sur le plan
technologique, là — là, je veux aller du côté technologique — là,
vous me surprenez beaucoup, beaucoup, beaucoup, là. Dans le monde
d'aujourd'hui, c'est la première fois que j'entends une position aussi
catégorique contre un hub centralisé de données. Honnêtement, là, c'est la première
fois que je l'entends comme ça. Vous êtes dans une forme... dans une position
beaucoup plus décentralisée, dans des satellites, là. Je suis étonné de ça.
M. Gambs (Sébastien) : Bien,
il y a...
M. Barrette : Parce que, quand
on regarde les grandes organisations, là, les banques, Google et compagnie, là,
ils sont pas mal centralisés, là.
M. Gambs (Sébastien) : Oui,
mais, quand on regarde les fuites de données qu'on a constamment, c'est souvent
parce que des données ont été centralisées, donc...
M. Barrette : Bien, est-ce que
c'est...
M. Gambs (Sébastien) : Est-ce
que...
M. Barrette : ...centralisé ou
parce que les mesures de sécurité étaient mauvaises?
M. Gambs (Sébastien) : Bien,
en sécurité informatique, on sait qu'il n'y a pas de sécurité parfaite. Donc,
on peut essayer de renforcer autant qu'on peut, mais beaucoup de fuites de
données sont arrivées parce qu'il y avait des grandes masses de données
centralisées à un endroit et qu'une fois que l'accès était trouvé, même si cet accès
était difficile parce que le niveau de sécurité était haut, ça menait à des
grandes masses de données. Donc, de distribuer, c'est une forme de protection
contre avoir les données dans un seul endroit.
• (17 heures) •
Donc, je rejoins le... Comme je dis, c'est
le débat : Est-ce qu'on veut avoir un hub centralisé et risquer de tout
fuiter mais mettre plus de ressources ou plusieurs petits hubs? Donc, il y a
plein de façons de distribuer. Ça peut <être...
>
17 h (version révisée)
< M. Gambs (Sébastien) :
…c'est une forme de protection contre avoir les données dans un seul endroit.
Donc, c'est... Je rejoins le… Comme je dis, c'est le débat : Est-ce qu'on
veut avoir un hub centralisé et risquer de tout fuiter, mais mettre plus de
ressources, ou plusieurs petits hubs? Donc, il y a plein de façons de
distribuer. Ça peut >être quelques hubs comme ça peut être beaucoup
d'organismes.
Mais, comme je disais, dans les fuites de
données actuelles, on voit souvent que c'est des fuites qui arrivent parce que
les données ont été centralisées. Donc, je ne pense pas que je suis trop à
contre-courant de beaucoup d'experts de sécurité au niveau de ce qui arrive
dans la fuite de données. Après, comment on règle cela, j'imagine,
effectivement, qu'il peut y avoir plusieurs avis.
M. Barrette : Bon, le ministre
me voit venir, là, et évidemment... C'est parce que là vous êtes en train de
dire que ce que l'on fait actuellement, ce n'est pas bon. La transformation
numérique à laquelle on assiste au Québec actuellement, elle est plus hubienne que
satellitaire.
M. Gambs (Sébastien) : J'ai
juste… Moi, mon rôle en tant que chercheur, c'est juste de soulever les
risques. Donc, je voulais juste remarquer que de centraliser les données
pouvait amener, s'il y a une brèche de sécurité, à une fuite de données
massive. C'est juste… Donc, il faut penser à est-ce qu'on veut vraiment
des données complètement centralisées ou distribuées entre quelques hubs.
M. Barrette : O.K. Alors,
est-ce que je… Là, il ne me reste pas beaucoup de temps. Est-ce que là, de
façon globale, vous considérez, globalement, là, votre impression globale —
j'ai quasiment envie de conclure, là, je ne veux pas vous mettre des mots dans
la bouche — que le projet de loi n° 95, il est précoce, au moins?
M. Gambs (Sébastien) : Non. Ce
que j'ai dit, c'est que j'aurais bien aimé voir comment il s'insère par rapport
à l'identité numérique. Il y a d'autres choses... Et c'est difficile de juger
séparément.
Je ne dis pas qu'il est précoce, mais
j'imagine qu'il devra être discuté au vu du projet de loi n° 64, au vu des
infrastructures d'identité numérique. Sinon, c'est difficile de se prononcer
sur tous les aspects de ce projet de loi sans avoir la vision globale.
M. Barrette : Est-ce
que 95 est antinomique à 64?
M. Gambs (Sébastien) : Je ne
pense pas. Pas forcément.
M. Barrette : C'est… Wow!
C'est… Combien de temps, M. le Président? Je pense que j'ai terminé.
Le Président (M. Simard) :
40 secondes, cher collègue, mais vous n'êtes pas obligé de les prendre.
M. Barrette : Bon, bien,
écoutez, je vais vous remercier pour votre intervention, M. Gambs. En tout
cas, moi, personnellement, vous m'avez beaucoup surpris. Alors, ce sont des
échanges très utiles, croyez-le, croyez-moi. Merci beaucoup.
Le Président (M. Simard) :
Merci à vous. Je cède maintenant la parole au député de Rosemont, qui dispose
de 4 min 20 s.
M. Marissal : Merci,
M. le Président. Merci, M. Gambs, pour la présentation. Il y a
effectivement tout un pan éthique qui entre en collision avec les pans
technologiques. C'est utile d'avoir ce genre de conversation là, parce que, des
fois, la technophilie débridée nous amène à penser que c'est ça, la solution,
alors que c'est juste un outil. Puis des fois on va trop vite.
Bon, cela dit, je pense que le gouvernement
veut aller vite avec 95, mais c'est… Avec le ministre de la Transformation
numérique, que j'ai déjà qualifié de couteau suisse du gouvernement <parce
qu'il est à…
M. Marissal : …à penser que
c'est ça, la solution, alors que c'est juste un outil, puis des fois on va trop
vite.
Bon, cela dit, je pense que le
gouvernement veut aller vite avec 95, mais c'est… mais, avec le
ministre
de la Transformation numérique, que j'ai déjà qualifié de couteau suisse du
gouvernement >parce qu'il est à multiusage, et c'est une qualité, un parlementaire
redoutable, en plus... il nous a habitués au procédé des poupées gigognes. Un projet
de loi ne vient jamais seul. Il en cache toujours deux, trois autres, là, et quelquefois
d'autres projets aussi, connexes à ça.
Il nous dit, par contre, depuis ce matin,
dans le cas de 95 : Ce n'est que pour de la circulation de données dans la
bulle gouvernementale, donc de gouvernement… pas de gouvernement à gouvernement,
de département à département, de ministère à ministère. Vous sembliez, au début
de votre intervention, y voir peut-être autre chose, et plus vaste. Est-ce que
vous êtes encore dans cette impression ou est-ce que, selon vous, on se limite uniquement,
là, à ce qu'on dit?
M. Gambs (Sébastien) : Ce que
j'ai dit, c'est que j'aurais aimé voir la… Parce qu'on parle de valorisation et
de mobilité des données gouvernementales. Alors, je comprends que le projet de
loi ne concerne que leur mobilité dans le cadre gouvernemental, mais il y a
toute la question de la valorisation avec les entités privées que je ne vois
pas dans ce projet de loi. Et donc ma question était : Où va-t-on en
discuter et dans quel endroit? Et comment ça va s'insérer avec ce projet de
loi? C'était ça, ma question.
M. Marissal : Je comprends
bien, mais les mots sont importants, puis il paraît que nous, les législateurs,
on ne parle pas pour ne rien dire. Je n'ai pas dit que ça s'applique tout le
temps à moi, là. Des fois, je parle pour ne rien dire, mais, dans ce cas-ci, c'est
un projet de loi et c'est sérieux. Le mot «valorisation», là, comment on le
définit dans votre domaine?
M. Gambs (Sébastien) : En
général, la valorisation, ça va être exploitation en vue d'une finalité
différente de laquelle elle a été… Donc, en vie privée, souvent, quand on parle
de valorisation, ça va être : Est-ce qu'on peut revendre ou est-ce qu'on
peut refaire d'autres services? Un exemple, c'est si on anonymise les données.
C'est souvent dans un autre type de valorisation ou au-delà de la finalité pour
laquelle on les a collectées. On va vouloir créer de nouveaux services ou les
vendre à des compagnies.
M. Marissal : Ou les donner,
les partager.
M. Gambs (Sébastien) : Ou les
partager. Ou ça pourrait être de développer de nouveaux services
gouvernementaux aussi. Donc, la valorisation peut couvrir beaucoup de choses.
M. Marissal : Je disais que
c'était intéressant, les discussions d'ordre éthique, mais je ne suis pas sûr
qu'on peut légiférer en temps réel et constant sur des questions éthiques, donc
nécessairement fuyantes et changeantes.
Mais comment on évaluerait les risques
d'inférence, dont vous avez parlé tout à l'heure? Parce qu'il y a un peu une
clé là-dedans, de ce que vous dites, là. C'est qu'une donnée en soi, ça peut ne
rien valoir ou elle peut être la clé de sésame qui permet d'ouvrir, là, plein
d'autres portes. Alors, comment on peut l'évaluer, cette inférence?
M. Gambs (Sébastien) : Donc,
pour faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux
scientifiques qui ont fait des croisements de données ou qui utilisent les
données. Donc, c'est typiquement un travail de chercheur de ma communauté ou de
communauté d'apprentissage machine de pouvoir <réfléchir…
M. Marissal : …plein
d'autres portes. Alors, comment on peut l'évaluer, cette inférence?
M. Gambs (Sébastien) :
Donc, pour faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux
scientifiques qui ont fait des croisements de données ou qui utilisent les
données. Donc, c'est typiquement un travail de chercheur de ma
communauté
ou de
communauté d'apprentissage machine de pouvoir >réfléchir à
comment on quantifie et définit cette potentielle inférence.
Donc, il y a beaucoup de littérature sur
le sujet. Je n'ai malheureusement pas de réponse facile sur… ou je pourrais
vous donner une source sous laquelle vous pourriez voir, si on a mobilité plus
santé, bien, voilà, ce qu'on peut déduire, c'est… Je dirais que c'est disséminé
dans la littérature sur le sujet à l'heure actuelle.
M. Marissal : Donc,
assurément, vous nous suggérez non seulement des garde-fous, mais un suivi en temps
réel, régulièrement revenir, remettre notre ouvrage sur le métier pour nous
assurer qu'on n'a pas de…
Le Président (M. Simard) : En
conclusion.
M. Gambs (Sébastien) : Oui. En
sécurité et vie privée, c'est ce qu'on fait, de toute façon, tout le temps. Une
analyse de risques par rapport à la sécurité d'un système, elle doit être faite
régulièrement pour évaluer sa maturité et son évolution.
M. Marissal : Je vous
remercie, M. Gambs.
Le Président (M. Simard) :
Alors, M. Gambs, à mon tour de vous remercier pour la qualité de votre
contribution au débat public en général et en particulier pour les travaux de
cette commission. Et au plaisir de vous retrouver parmi nous.
M. Gambs (Sébastien) : Merci
beaucoup. Je vous souhaite une belle journée. Merci pour l'invitation.
Des voix : …
M. Gambs (Sébastien) : Bonne
journée.
Le Président (M. Simard) : Sur
ce, nous allons suspendre momentanément.
(Suspension de la séance à 17 h 07)
(Reprise à 17 h 18)R
Le Président (M. Simard) :
Alors, chers collègues, nous sommes de retour. Nous pouvons donc reprendre nos
travaux.
Nous sommes en compagnie des Prs Dupont
et Cuppens. Alors, chers collègues, bienvenue parmi nous. Vous disposez d'une
période de 10 minutes. Peut-être qu'au tout début vous pourriez d'abord
vous présenter.
MM. Benoît Dupont
et Frédéric Cuppens
M. Dupont (Benoît) : Bonjour,
M. le Président. Merci de nous recevoir pour entendre nos réflexions sur le projet
de loi n° 95. Je me présente, je suis le Pr Benoît Dupont, de
l'Université de Montréal, professeur en criminologie et titulaire de la <Chaire
de recherche du Canada…
Le Président (M. Simard) : …minutes,
p
eut-être qu'au tout début vous pourriez
d'abord vous présenter.
M. Dupont (Benoît) :
Bonjour, M. le Président. Merci de nous recevoir pour entendre nos réflexions
sur le
projet de loi
n° 95. Je me présente, je suis le
Pr Benoît Dupont de l'Université de Montréal, professeur en criminologie
et titulaire de la >Chaire de recherche du Canada en cybersécurité. Et
je suis accompagné du Pr Frédéric Cuppens, de l'École polytechnique de
Montréal. Alors, nous allons répartir notre intervention en cinq minutes
chacun, si vous le voulez bien.
Et donc je vais peut-être commencer par
quelques éléments de contexte par rapport à ce projet de loi, qui partira du
point de… du constat que les organismes gouvernementaux accumulent et
centralisent de très grandes quantités d'informations personnelles. Et donc il
est évidemment impératif qu'ils accordent une importance particulière à la
protection des données des citoyens.
Au niveau fédéral, il existe une loi, la
Loi sur la protection des renseignements personnels, qui prévoit, depuis 2014,
que les organismes publics notifient au commissaire à la protection de la vie
privée les cas de brèches de données pouvant causer un préjudice aux individus
concernés. Et cette transparence, qui n'a malheureusement pas encore
d'équivalent au Québec, mais ça va être, je pense, réparé avec le projet de loi
n° 64, nous permet ainsi d'apprendre que, pour la période de 2019 à 2020,
donc très récemment, 341 brèches de données ont été déclarées par
34 organismes fédéraux, ce qui représentait une augmentation de 120 %
sur l'année précédente. Et ces brèches de données comprennent aussi bien des
pertes de données, des accès non autorisés, des vols de données. Et, de l'aveu
même du commissaire à la protection de la vie privée, les statistiques,
probablement, sont sous-estimées et ne représentent que la pointe de l'iceberg.
Globalement, dans les cas de vols et pertes
de données du secteur public comme du secteur privé au Canada, dans cette
année-là, c'est 30 millions de dossiers personnels qui ont été compromis
en 2019-2020. Alors, ces chiffres ont l'air énormes, mais il n'y a aucune
raison… La raison pour laquelle j'en parle, c'est qu'il n'y aucune raison statistique
de penser que la situation est très différente au Québec, et que nous sommes
protégés de ce type d'incident, et que nous sommes moins exposés, que les
citoyens québécois sont moins exposés que nous le sommes au niveau fédéral. Et
ces statistiques-là ne tiennent pas non plus compte des cyberattaques menées
par le biais des rançongiciels, qui ont proliféré au cours des
trois dernières années et qui ciblent sans discrimination les systèmes
gouvernementaux et les infrastructures essentielles.
• (17 h 20) •
Donc, ces éléments de contexte, vraiment,
pour nous aider à vraiment comprendre l'importance de ce projet de loi, qui
arrive, selon nous, à point nommé pour moderniser les capacités de réponse des organismes
publics et des entreprises du gouvernement du Québec en matière de
cybersécurité notamment, même si on comprend que ce projet de loi porte aussi
sur la transformation numérique, sur la valorisation des données.
Mais notre intervention à nous, tous les
deux, aujourd'hui, sera focalisée sur la notion de cybersécurité, et on a
quatre commentaires généraux et un certain nombre de commentaires
spécifiques et de recommandations qu'on souhaitera <faire…
M. Dupont (Benoît) :
...
notamment, même si on comprend que ce
projet de loi porte
aussi sur la transformation numérique, sur la valorisation des données, mais
notre intervention à nous, tous les deux,
aujourd'hui, sera focalisée
sur la notion de cybersécurité. Et on a quatre commentaires généraux, et
un certain nombre de commentaires spécifiques, et de
recommandations
qu'on souhaitera >faire. Je vais commencer par deux commentaires
généraux avant de passer la parole à mon collègue.
Dans le projet de loi, on remarque que le
langage qui est utilisé est plutôt celui de sécurité de l'information ou de
sécurité informatique. Et nous, on recommanderait qu'on adopte plutôt une
terminologie de cybersécurité, comme la politique de cybersécurité dont s'est
doté le gouvernement du Québec en mars 2020.
Pourquoi? Parce que la notion de sécurité
englobe non seulement la sécurité des systèmes informatiques, sécurité
technique, la sécurité de l'information, c'est-à-dire les données, mais aussi
la manière dont les humains interagissent avec ces systèmes techniques et avec
ces informations. Et, si on veut bien sécuriser les données personnelles des citoyens
québécois, il ne faut pas uniquement apporter des solutions techniques, il faut
aussi comprendre comment interagissent des technologies, des informations et
des humains, et pour pouvoir mettre en place des mécanismes de protection. Donc,
ça, ce serait une première recommandation.
La deuxième recommandation d'ordre général
serait d'assurer une plus grande place à la cyberrésilience, qui est mentionnée
une fois dans le projet de loi. Et on pense, nous, qu'on devrait accorder une
plus grande place à la cyberrésilience et aux pratiques de cyberrésilience, qui
englobent non seulement la prévention et la protection des systèmes contre les
cyberattaques, mais aussi des notions de préparation, de réponse et
d'adaptation à des incidents qui sont devenus inévitables, on l'a vu récemment
dans les journaux. Même avec toute la bonne volonté du monde, avec toutes les
ressources possibles et imaginables, il restera des attaques qui vont être
couronnées de succès. Et on doit non seulement penser comment protéger nos systèmes,
mais aussi comment se doter de moyens de réponse qui vont minimiser et atténuer
les conséquences sur les citoyens québécois en cas d'attaque réussie.
La cybersécurité ne pourra jamais être
assurée à 100 %. Il faut prévoir ce qui va se passer en cas d'incident de
sécurité et former les intervenants, et pas seulement les spécialistes en
cybersécurité, à la réponse aux incidents. Il faut intégrer de manière plus
poussée, selon nous, les notions de pratiques... les pratiques de
cyberrésilience, qui vont être complémentaires à la cybersécurité. Alors, je
vais passer la parole à mon collègue Cuppens.
M. Cuppens (Frédéric) :
Merci. Merci, Benoît Dupont. Donc, notre réflexion qu'on a eue sur ce projet de
loi, ça concerne le déploiement et l'applicabilité de la loi. Donc, à ce sujet,
en lisant le document, on a pu remarquer que les articles imposent généralement
des obligations aux organismes publics mais, plus souvent, sans préciser s'il s'agit
d'obligations de moyens ou d'obligations de résultat.
Alors, s'il s'agit d'obligations de
résultat, bien, il y a plusieurs articles qui nous paraissent difficilement
applicables. S'il s'agit d'obligations de moyens, les moyens, en général, ne
sont pas ou peu précisés, et, quand ils le sont, il <s'agit...
M. Cuppens (Frédéric) :
...
d'obligations de moyens ou d'obligations de résultat. Alors, s'il
s'agit d'obligations de résultat, bien, il y a plusieurs articles qui nous
paraissent difficilement applicables. S'il s'agit d'obligations de moyens, les
moyens, en général, ne sont pas ou peu précisés. Et, quand ils le sont, il >s'agit
le plus souvent de moyens organisationnels, et les moyens techniques à mettre
en oeuvre sont pratiquement absents.
Alors, ce n'est probablement pas le but de
la loi de préciser ces moyens, mais il nous paraît néanmoins essentiel qu'ils
le soient par ailleurs. Et, à ce propos, je pense qu'il faut éviter de
surestimer les moyens de protection et, surtout.. d'éviter de penser la
cybersécurité comme la ligne Maginot.
Donc, il nous semble également important
de préciser... J'ai réussi à vous faire sourire, c'est déjà bien. Merci. Donc, il
nous semble également important de préciser les moyens qui seront mis en oeuvre
pour vérifier l'application des mesures. Alors, s'agit-il d'audits internes ou
bien alors d'audits externes réalisés par des organismes indépendants et accrédités?
Ça, je pense aussi que c'est important de le préciser.
Un autre point, ça concerne le...
d'inclure des obligations que l'ensemble des personnels concernés soient formés
aux risques, et au risque cyber, en l'occurrence.
Et enfin, comme recommandation générale,
il y a aussi le besoin d'inclure des obligations de définir les mesures à
prendre en cas d'incident. On l'a vu, hein, on le sait, la cybersécurité, ce n'est
pas parfait, ça ne marche pas à 100 %. Et donc cela passe aussi par des obligations
de définir des plans de continuité d'activités et de reprise d'activités.
Alors, on a eu une lecture détaillée du
projet de loi, donc on a des remarques sur un certain nombre d'articles. Donc,
on n'aura naturellement pas le temps, en 10 minutes, de les présenter,
mais il y a quand même un article qui nous a interpelés. C'est
l'article 12.14, paragraphe 3, qui dit : «Lorsque de telles
données — on parle, donc, de données à caractère personnel — peuvent
être utilisées ou communiquées sous une forme ne permettant pas d'identifier
directement la personne concernée, elles doivent être utilisées ou communiquées
sous cette forme.»
Alors, il nous paraît essentiel de
préciser, dans ce cas, la signification du terme «identifier directement la
personne concernée», hein? On travaille sur l'anonymisation des données, hein,
et on a eu plusieurs projets sur le risque de réidentification. Et donc il est
clair que le risque de réidentification est également indirect.
Et donc on a été interpelés par ce paragraphe,
parce que la mauvaise application de cet article peut avoir des conséquences
graves en termes de diffusion de données à caractère personnel. Donc, on pourra
probablement revenir là-dessus dans la suite.
Donc, pour terminer, ce que je voulais
dire, avec Benoît, donc, on a fait quelques recommandations, là aussi
générales. Je vais en citer quelques-unes, et ensuite on pourra partager nos
notes avec vous, si vous le souhaitez.
La première recommandation, c'est de
s'assurer que le <chef...
M. Cuppens (Frédéric) :
...
la suite.
Donc, pour terminer ce que je voulais
dire, avec Benoît, donc, on a fait quelques recommandations, là aussi,
générales. Je vais en citer quelques-unes, et ensuite on pourra partager nos
notes avec vous, si vous le souhaitez. La première recommandation, c'est de
s'assurer que le >chef gouvernemental de la sécurité auquel il est fait
mention dans le projet de loi, eh bien, a bien les moyens d'intervention
interministérielle ainsi que les moyens de communication, notamment en externe,
avec le citoyen. Ça aussi, ça paraît important.
S'assurer aussi que les responsables de la
transformation numérique et de la valorisation des données sont étroitement alignés
avec les standards en sécurité. Ces standards existent probablement. C'est déjà
pertinent de voir comment les appliquer.
Ensuite... Je ne vais pas tous les citer,
mais il faut également utiliser une approche systématique pour identifier les
données sensibles et caractériser la sensibilité de ces données en termes de
confidentialité, c'est prévu dans le projet de loi, mais aussi d'intégrité et
de disponibilité, ce qui est moins mentionné dans le projet de loi.
Une autre remarque correspond… coïncide
avec le terme de «valorisation des données». Il est fait mention… À plusieurs
reprises dans le document, il est mentionné l'obligation, effectivement, de
travailler sur cette valorisation des données, mais sans clairement mentionner
l'obligation d'éclairer la finalité de cette valorisation. C'est essentiel...
Le Président (M. Simard) :
M. Cuppens...
M. Cuppens (Frédéric) : ...notamment
pour vérifier le caractère...
Le Président (M. Simard) : M. Cuppens,
excusez-moi...
M. Cuppens (Frédéric) : J'ai
pratiquement terminé.
Le Président (M. Simard) : Non,
mais... Parce qu'on aurait pu poursuivre sur le temps du ministre, avec son
consentement.
M.
Caire
:
Consentement.
M. Cuppens (Frédéric) : C'est
exactement ce que je voulais faire.
Le Président (M. Simard) :
Alors, prenez votre temps.
M. Cuppens (Frédéric) : Donc,
la nécessité de faire appel au consentement des personnes chaque fois
qu'effectivement c'est nécessaire en cas de valorisation. C'est exactement le
mot «consentement» que je souhaitais mentionner dans ma présentation. Et je vous
laisse la parole...
Le Président (M. Simard) :
Non, mais vous pourriez poursuivre.
M. Cuppens (Frédéric) : ...et
on sera ravis de répondre à vos questions. Merci pour votre attention.
Le Président (M. Simard) :
Bien. Merci à vous. Et désolé de vous avoir coupé comme ça, en plein vol.
Alors, je cède maintenant la parole à M. le ministre.
M.
Caire
:
Merci, M. le Président. Merci, Pr Dupont, merci, Pr Cuppens. Très
belle présentation. J'ai quelques commentaires, questions, Pr Dupont, sur
la divulgation. Effectivement, 64 répond à cette préoccupation-là.
Puis je n'ai peut-être pas précisé tout à
l'heure, avec le Pr Gambs, qu'on le fait dans 64 parce que cette obligation-là
va être plus large, parce que la loi d'accès à l'information et la loi sur les
renseignements dans l'entreprise privée touchent beaucoup plus d'organismes que
la seule LGGRI. Donc, on veut rendre cette obligation-là plus largement que si
on le faisait dans la LGGRI. Mais elle sera effectivement de… elle sera… Cette
préoccupation-là sera effectivement répondue.
• (17 h 30) •
Je veux revenir, Pr Dupont, sur le
fait que vous souhaitez qu'on parle plus de cybersécurité puis je reviendrai
sur la cyberrésilience tout à <l'heure...
>
17 h 30 (version révisée)
<485
M.
Caire
: …que, si on le faisait dans la LGGRI, mais elle sera
effectivement de… elle sera… cette
préoccupation-là sera
effectivement
répondue.
Je veux revenir, Pr Dupont, sur le fait
que vous souhaitez qu'on parle plus de cybersécurité puis je reviendrai sur la
cyberrésilience
tout à >l'heure. Mais vous souhaitez qu'on parle un
peu plus de cybersécurité plutôt que de la sécurité des systèmes d'information.
Est-ce que la définition dont vous parlez, c'est une définition qui est
largement répandue, qui s'adresse directement aux standards qui sont utilisés,
et donc qui, au niveau légal, pourrait avoir une portée plus grande? C'est-tu
ça que je dois comprendre de votre intervention?
M. Dupont (Benoît) : Oui, tout
à fait. La notion de cybersécurité, elle a pris son envol, y compris au sein
des organismes de standardisation internationaux, depuis le début des années 2010,
vraiment. Ça existait évidemment, ce terme, avant, mais, depuis le début des
années 2010, elle a supplanté la notion de sécurité de l'information parce
que, comme je l'ai indiqué, elle intègre cette dimension des comportements
humains.
On dit souvent que le facteur humain est
le maillon faible dans la sécurité de l'information. Très souvent, dans les
incidents, ce sont des humains. Moi, je dirais plutôt que c'est l'atout dans la
manche des intervenants en cybersécurité. C'est de former les gens à la
cybersécurité pour les amener à justement être mieux informés des risques et à
mieux pouvoir y répondre. Et, dans les pratiques traditionnelles de sécurité de
l'information, qui étaient très axées sur la dimension technique, c'est quelque
chose qui était en général considéré de façon marginale, et je pense qu'il faut
qu'on ait une réflexion beaucoup plus… en plaçant cette dimension humaine au
coeur de… ce qui inclut le citoyen aussi, au coeur de la réflexion.
M.
Caire
: Donc,
dans le fond, ce que vous dites, c'est que la sécurité de l'information
s'entend de la cybersécurité, mais l'inverse n'est pas vrai.
M. Dupont (Benoît) : Tout à
fait.
M.
Caire
: O.K.
Bien, je prends bonne note, Pr Dupont.
La cyberrésilience, puis, bon, je vous ai
déjà entendu sur le sujet, là, par contre, là, on est dans des notions
plus opérationnelles. Et, comme vous le savez, le gouvernement du Québec s'est
doté d'une politique de cybersécurité où il est fait mention de la
cyberrésilience et des pratiques, des bonnes pratiques à mettre en place pour
atteindre cette cyberrésilience-là. Je vous le dis, parce que ces pratiques-là
sont très évolutives. Les technologies changent, les pratiques changent, les
normes, les standards, tout ça évolue. Puis le mettre dans un projet de loi... puis
je voudrais vous entendre là-dessus, le mettre dans un projet de loi, c'est
cristalliser une façon de faire par rapport à des pratiques qui, dans la ligne
du temps, évoluent continuellement, alors que de le mettre dans une politique
de cybersécurité, bien... C'est plus facile d'adapter la politique que
d'adapter la loi.
Donc, est-ce que vous maintenez qu'on
devrait l'aborder dans la loi ou, à la lueur de ce que je vous dis, de le
mettre dans une politique de cybersécurité vous apparaît être une pratique qui
est respectueuse de l'objectif qui est d'avoir, effectivement, collectivement,
une meilleure cyberrésilience?
M. Dupont (Benoît) : Je vais
laisser mon collègue <finir la…
M.
Caire
: …
est-ce
que vous maintenez qu'on devrait l'aborder dans la loi ou, à la lueur de ce que
je vous dis, de le mettre dans une politique de cybersécurité vous apparaît
être une pratique qui est respectueuse de l'objectif, qui est d'avoir
effectivement, collectivement, une meilleure cyberrésilience?
M. Dupont (Benoît) : Je
vais laisser mon collègue >finir la réponse, mais le début de ma
réponse, ce serait que je pense que ça devrait figurer dans la loi, parce que
ça confierait au chef gouvernemental de la sécurité de l'information des
responsabilités non pas uniquement de protection, limitées à la protection,
mais qui commencent aussi par la préparation et qui finissent par l'adaptation
aux nouvelles menaces. Et donc on aurait un mandat qui serait un mandat plus
large qui, à mon avis, serait un mandat qui assurerait une meilleure protection
in fine des systèmes, de l'information et des données personnelles des
Québécois.
Mais je vais laisser mon collègue Cuppens,
qui a mené des recherches sur la cyberrésilience, finir de répondre aussi.
M. Cuppens (Frédéric) :
Alors, effectivement, côté cybersécurité, effectivement, cybersécurité, c'est
plus large que sécurité de l'information, et notamment ça inclut la cyberrésilience,
ce qui n'est pas le cas de la sécurité de l'information.
Et la cyberrésilience, effectivement, part
du principe, qu'on n'intègre pas quand on raisonne protection ou défense, que
la sécurité n'existe pas à 100 %. Et, en raisonnant en cyberrésilience,
justement, ça oblige, dans la réflexion, à penser, effectivement, ce qui se
passe en cas, effectivement, de violation de la politique de sécurité. Et ça,
c'est essentiel, quand on conçoit, effectivement, un projet de cybersécurité,
de prévoir dès le départ et pas a posteriori, quand la crise arrive, mais
vraiment de prévoir dès le départ, effectivement, ce qui se passe en cas
d'incident, en espérant que cet incident ne va pas aboutir à une crise, et
prévoir, effectivement, comment on va gérer l'incident. Et ça, c'est effectivement
tout à fait essentiel parce que c'est la réalité aujourd'hui.
Malheureusement, on ne peut pas parler de
cybersécurité sans, effectivement, voir tous les incidents qui se passent.
Alors, effectivement, on peut dire que les incidents viennent d'un défaut de
sécurité, mais, dans la pratique, c'est beaucoup plus compliqué que ça.
Malheureusement, on ne sait pas tous les éviter, ces défauts de sécurité. Et,
c'est ça, c'est cette façon de penser qui est intégrée dans la cyberrésilience.
M.
Caire
: Mais
ce que j'entends, c'est que les lignes directrices pourraient être incluses
dans la loi. Mais, si on parle, plus terre à terre, des procédures
opérationnelles, bien, quelles sont les réactions à avoir, quelles sont... la
diffusion de l'information, etc., là, comment on réagit à une attaque, en
amont, en aval?
Ça, c'est plus un document administratif,
donc on pourrait le garder au niveau de la politique de cybersécurité. Par
contre, les responsabilités, les prérogatives, c'est ça que vous souhaitez voir
apparaître dans la loi. Est-ce que j'ai bien compris le sens de votre
intervention?
M. Cuppens (Frédéric) : Le
sens de mon intervention, c'est qu'effectivement il y a une partie de la
cyberrésilience qui est opérationnelle. Et, je suis tout à fait d'accord, c'est
des mesures pratiques qu'effectivement les opérateurs qui sont en charge de la
cybersécurité vont devoir prendre.
Mais il y a toute une partie de la… qui
est en amont. Nous, c'est ce qu'on appelle la cyberrésilience par conception.
Et toute cette partie-là de la cyberrésilience par conception doit être <prévue…
M. Cuppens (Frédéric) :
…c'est des mesures pratiques qu'effectivement les opérateurs qui sont en charge
de la cybersécurité vont devoir prendre. Mais il y a toute une partie de la…
qui est en amont. Nous, c'est ce qu'on appelle la cyberrésilience par
conception. Et toute cette partie-là de la cyberrésilience par conception doit
être >prévue, anticipée et, à mon avis, a tout à fait la place dans un
projet de loi comme celui-ci.
M.
Caire
: Dans
la loi.
M. Cuppens (Frédéric) :
Voilà.
M.
Caire
: Est-ce
que vous aurez… Parce que vous avez parlé d'un certain nombre de
recommandations. Est-ce que ce que vous nous dites là va faire partie des
recommandations que vous pourriez transmettre à la commission? Parce que moi,
je vais être extrêmement intéressé, là, de voir comment vous jonglez avec ces
concepts-là puis quel est le meilleur endroit pour disposer des différents
concepts, là, soit la loi, soit la politique.
M. Cuppens (Frédéric) : Tout
à fait. On peut effectivement, dans le document qu'on peut vous transmettre,
intégrer ces éléments de réflexion sur, effectivement, la place de la
cyberrésilience dans un tel projet de loi. Tout à fait, oui, et ce sera avec
grand plaisir.
M.
Caire
:
Merci. Je comprends aussi, dans votre analyse du projet de loi, que le principe
d'avoir un chef gouvernemental de la… bien, de la sécurité de l'information, qu'on
pourra appeler un chef gouvernemental de la cybersécurité, si je comprends bien
le propos que vous nous tenez, et donc d'avoir des chefs délégués de la
cybersécurité... Cette organisation-là qui est d'un type assez militaire, au
sens où il y a une entité centrale qui prend des indications... qui donne,
bien, en fait, des indications à ses sous-entités, comment vous voyez ça?
Est-ce que vous pensez que c'est la bonne forme à mettre en place? Est-ce que
vous pensez que cette structure-là qui est très... excusez l'anglicisme, là, mais
«top-down», c'est la bonne façon d'aborder la question de la cybersécurité pour
une organisation comme le gouvernement du Québec?
M. Dupont (Benoît) : Je vais
peut-être commencer à répondre. Je pense que cette idée de centralisation me
semble louable parce que ça évite qu'on ait une fragmentation excessive, avec
des ministères ou des organismes qui ont des capacités très inégales... et qu'on
ait des données qui soient beaucoup mieux protégées que d'autres selon quel est
le ministère qui les détient. Donc, pour nous… Moi, je vois ça moins comme une structure
militaire qu'une structure centralisée et mieux coordonnée.
Et d'ailleurs, pour poursuivre, une des
questions ou des échanges avec M. Gambs, je pense que ça inclut aussi tous
les sous-traitants privés qui vont conclure des contrats en TI avec divers
ministères, parce que le chef gouvernemental de la sécurité de l'information va
pouvoir s'assurer que tous les ministères concluent des ententes ou des
contrats de sous-traitance avec des critères en matière de sécurité qui soient
uniformisés et cohérents à l'échelle gouvernementale.
M.
Caire
: Bien,
si je peux apporter une précision là-dessus, il est important de savoir que les
entreprises de consultants qui font affaire avec le gouvernement sont tenues
aux mêmes règles que les employés du gouvernement. Donc, à ce niveau-là, ils
sont tenus aux mêmes obligations, aux mêmes règles, et donc à la même
hiérarchie.
M. Dupont (Benoît) :
<Mais…
M.
Caire
: ...je
peux apporter une précision là-dessus, il est important de savoir que les entreprises
de consultants qui font affaire avec le gouvernement sont tenues aux mêmes
règles que les employés du gouvernement. Donc, à ce niveau-là, ils sont tenus
aux mêmes obligations, aux mêmes règles, et donc à la même hiérarchie.
M. Dupont (Benoît) : >Mais,
si je peux poursuivre, en fait, je faisais moins allusion aux règles qu'au
degré d'expertise technique qui est requis pour la signature de certains
contrats... et comprendre la sécurité.
Par exemple, l'infonuagique est le gros
casse-tête, actuellement, de tout le monde en matière de cybersécurité. Et c'est
bien qu'on ait un chef gouvernemental de la sécurité de l'information qui ait
des équipes capables de soutenir des ministères ou des organismes qui ont moins
de ressources pour conclure ce type d'entente et s'assurer que les contrats
contiennent des dispositions en matière de sécurité qui sont bien comprises,
d'une façon... avec l'expertise requise.
• (17 h 40) •
M.
Caire
: Bien,
c'est M. Waterhouse, je pense, ce matin, là, qui nous a adressé ce commentaire-là.
Donc, je prends bonne note.
Et, Pr Cuppens, vous m'avez fait rire
avec la ligne Maginot parce que, dans les faits, l'histoire ne dit pas si la
ligne Maginot était pénétrable ou impénétrable puisqu'elle a été contournée. C'est
ça qui me...Et donc essayons de faire du gouvernement du Québec une ligne de
défense qui ne pourra être contournée.
Et, dans ce sens-là, vous parliez de
mesures à prendre, de règles et de directives, là, qui doivent être mises en
place. Est-ce qu'il y a des normes de bonnes pratiques? Est-ce qu'il existe des
standards auxquels... Parce que je posais cette même question-là précédemment. Ça
existe au niveau... Bon, il y a les normes ISO qui existent, il y a les normes
SOC qui existent en matière de stockage de données, mais, en matière de
cybersécurité et de cyberdéfense, à votre connaissance, est-ce qu'il y a des
normes internationales qui existent? Est-ce qu'il y a des... L'espèce de petit
catéchisme, si vous me passez l'expression, de la cyberdéfense, est-ce que ça,
ça existe?
M. Cuppens (Frédéric) : Non.
Je ne sais pas si tu veux répondre par rapport à ça, Benoît...
Bien, la référence en termes de
cybersécurité aujourd'hui, c'est effectivement les normes ISO et toute la
famille des normes 27000, qui imposent effectivement tout un tas de
règlements.
Donc, il y a la 27001... Je fais court
là-dessus, mais... je vais vous épargner un cours sur les différents standards
ISO 27000, mais effectivement l'un des documents, c'est effectivement la
norme 27004, qui est un référentiel de bonnes pratiques qui est
effectivement nécessaire, ensuite, pour appliquer le référentiel 27005,
qui parle d'analyse de risques et qui est le référentiel international par
rapport à tout ce qui est méthodologie d'analyse de risques. Tout ça pour
arriver à la 27001, qui est effectivement le référentiel en termes
d'accréditation par rapport à un organisme pour effectivement être accrédité
27000. Donc, c'est une accréditation sur trois ans, mais avec une nécessité
d'audit annuel. Et donc, effectivement, <l'organisme...
M. Cuppens (Frédéric) :
…
qui est effectivement le référentiel, en termes d'accréditation par
rapport à un organisme, pour effectivement être accrédité 27 000. Donc, c'est
une accréditation sur trois ans, mais avec une nécessité d'audit annuel. Et
donc, effectivement, >l'organisme, bien qu'accrédité pour trois ans,
doit prendre, effectivement, des mesures d'audit tous les ans pour vérifier qu'effectivement
les mesures de sécurité mises en oeuvre sont toujours en conformité avec le
standard 27000. Donc, effectivement, ça, c'est un standard. C'est un standard
international qui, effectivement, s'applique très bien à des organismes privés
mais aussi à des organismes publics.
D'où ma question, effectivement, par
rapport à l'audit associé à ce genre de chose, par rapport au projet de loi :
Est-ce que c'est un audit interne qui serait prévu, auquel cas la 27000 ne
marche pas, ou c'est un audit externe, mais, à ce moment-là, il faut effectivement
identifier les organismes qui seraient amenés à faire cet audit externe pour
vérifier qu'effectivement le projet de loi n° 95 est correctement
déployé et ensuite correctement mis à jour, régulièrement, pour effectivement
maintenir l'accréditation initiale?
M.
Caire
: Et
vous, avec l'expertise que vous avez, Pr Cuppens, Pr Dupont,
diriez-vous que le gouvernement du Québec devrait s'astreindre à ces normes
internationales là, et donc aller dans le sens de l'audit externe, nécessairement,
là? Diriez-vous que, cette pratique-là, vous la recommanderiez?
M. Cuppens (Frédéric) :
Benoît, tu aimerais répondre?
M.
Caire
: ...pas
tous en même temps, là.
M. Dupont (Benoît) : Le défi,
avec l'adoption de ces normes, c'est qu'on tombe très souvent dans des
catalogues interminables de mesures à mettre en place, et donc ça peut devenir
un piège si on tombe dans une espèce de conformité pour le seul objectif de
cocher des cases. Et je pense que ce sont des sources d'inspiration très
précieuses, mais qu'il y a probablement moyen d'ajuster et de s'en inspirer
d'une façon plus flexible que de s'enfermer dans des normes et des standards. Mais
ce sont certainement des points de départ.
Il en existe aussi en Amérique du Nord, à l'institut
national des standards et des technologies américain, qui sont aussi adaptés,
parce que ça… ils viennent d'une aire géographique avec laquelle on interagit beaucoup
plus aussi.
Donc, peut-être, de s'astreindre à ce que
tous les organismes publics adoptent la norme ISO 27000, ça, c'est une
décision peut-être qui revient au gouvernement, mais, en tout cas…
M.
Caire
: Mais
que vous ne recommanderiez pas, si je comprends bien, là.
M. Dupont (Benoît) : Pas dans
un premier temps, directement, non. Pas de façon rigide.
M.
Caire
: Mais,
en même temps, Pr Dupont, entre ces normes-là, dont vous dites qu'elles
sont très rigides, et une politique maison, comment on s'assure de la qualité
de ce qu'on fait? Parce que vous parlez d'audit externe, puis je vous avoue que
je suis sensible à ce commentaire-là, mais, cet audit-là, il faut qu'il soit
basé quand même sur des critères objectifs.
Le Président (M. Simard) : En
conclusion.
M.
Caire
:
L'audité <doit…
M.
Caire
:
...une
politique maison, comment on s'assure de la qualité de ce qu'on
fait? Parce que vous parlez d'audit externe, puis je vous avoue que je suis
sensible à ce
commentaire-là, mais cet audit-là, il faut qu'il soit basé
quand même sur des critères
objectifs.
Le Président (M. Simard) :
En conclusion.
M.
Caire
:
L'audité >doit savoir sur quoi on va l'auditer. Donc, comment on établit
ces critères-là, objectifs, pour être audité correctement?
M. Dupont (Benoît) : Une
mesure intéressante est celle qui est mise en place par le gouvernement
australien, qui vise justement à procéder à des audits non...
Le Président (M. Simard) : Très
bien.
M.
Caire
: Mais
ça va se faire sur le temps de l'opposition officielle, M. le Président, là.
Le Président (M. Simard) :
Non, non, je ne crois pas que ça va marcher comme ça, malheureusement.
M.
Caire
: Bien.
Merci beaucoup, messieurs.
Le Président (M. Simard) : Je
cède la parole au député de La Pinière, qui dispose de
12 min 25 s parce que nous avons réparti le temps, bien sûr, qui
était imparti au député de René-Lévesque. M. le député de La Pinière, à
vous la parole.
M. Barrette : Merci, M. le
Président. Alors, je suis quand même intéressé à la réponse.
M. Dupont (Benoît) : Alors, la
réponse, c'était de... Je poursuis ma réponse. Donc, le gouvernement australien
procède à des audits dans lesquels les organismes audités ne sont pas avertis
de ce qui va leur être opposé comme type d'audit ni des tests de pénétration.
Et l'idée, ce n'est pas de les piéger, mais l'idée, c'est de reproduire ce qui
se passe dans la réalité, de la part d'attaquants, et de reproduire le
comportement d'attaquants réels pour voir s'ils sont réellement prêts à se
confronter à la dure vie des cyberrisques ou si, au contraire, ils sont tout à
fait préparés à se conformer aux standards, mais que, ces standards-là ayant
pris du retard sur les pratiques réelles, finalement, ça n'a plus trop, trop de
sens.
Donc, je pense que c'est une source
d'inspiration qui pourrait être intéressante. Il ne s'agit pas, encore une
fois, de piéger les gens, il ne s'agit pas de les humilier, mais il s'agit
d'essayer de reproduire au maximum la réalité plutôt que des listes de critères
et de normes qui sont parfois un petit peu en retard sur les pratiques des
attaquants.
M. Barrette : Bien, moi, je
trouve ça très bien, comme idée. Et, en Australie, c'est un organisme
indépendant? Comment ça fonctionne?
M. Dupont (Benoît) : C'est
l'auditeur général australien qui procède à ces tests-là, qui a des unités
spécialisées. Ce sont des autorités régulatrices. On retrouve aussi ce type de
pratique en Angleterre, en Hollande, au Danemark. Ce sont des autorités
régulatrices qui se voient confier ce type de mandat.
M. Barrette : Donc, ça veut
dire que c'est sous l'autorité du Vérificateur général. Et donc le Vérificateur
général a, dans sa loi, j'imagine, cette fonction-là et, consécutivement, a les
budgets pour le faire.
M. Dupont (Benoît) :
Absolument.
M. Barrette : On est loin du
Québec.
Vous faites bien de ne pas commenter. Mais
il n'en reste pas moins que c'est très intéressant. Donc, c'est la formule qui
est la plus efficace. C'est ce que vous nous dites, là.
M. Dupont (Benoît) : Je pense
que c'est la formule qui permet le meilleur apprentissage. À travers les
organismes, c'est la formule qui permet de rehausser de la façon la plus
efficace le niveau de tout le monde, parce qu'à la fin de l'année les
résultats...
Évidemment, ce n'est pas tous les
organismes qui peuvent être audités en profondeur à chaque année, donc on en <sélectionne...
M. Dupont (Benoît) : …
Je
pense que c'est la formule qui permet le meilleur apprentissage à travers les
organismes, c'est la formule qui permet de rehausser de la façon la plus
efficace le niveau de tout le monde, parce qu'à la fin de l'année les
résultats... évidemment, ce n'est pas tous les organismes qui peuvent être
audités en profondeur à chaque année, donc on en >sélectionne trois ou
quatre par ans. Les résultats sont publics, et ça permet à tous les autres organismes,
justement, d'apprendre de ces résultats-là et d'adapter leurs propres
pratiques, sachant que, dans les années à venir, ils risquent eux-mêmes d'être
confrontés à ce type de démarche.
M. Barrette : Et est-ce qu'on
a des données probantes qui indiquent que la donnée est plus sécuritaire dans
ces environnements-là que dans les environnements classiques, je dirais, là?
M. Dupont (Benoît) : Ça fait seulement
deux à trois ans que cette pratique a été mise en oeuvre, donc, pour l'instant,
ça devient difficile de… encore, c'est un peu trop tôt, peut-être, pour voir
si… Parce que ce sont des bureaucraties, des grands ministères, des grands
organismes, là. L'adaptation prend quand même quelque temps à se mettre en oeuvre,
mais je pense que c'est prometteur, on peut dire. Si ce n'est pas probant,
c'est au moins prometteur.
M. Barrette : Bien, ça
m'apparaît tomber sous le sens, surtout… Évidemment, tout ça dépend de la
compétence et du budget de fonctionnement qu'ont ces unités spéciales là, mais,
sur le principe, là, j'ai tendance à pencher dans cette direction-là.
Je pense que vous vous êtes inscrit un peu
en opposition aux commentaires de M. Gambs pour ce qui est de la
centralisation. Est-ce que je vous ai bien compris?
• (17 h 50) •
M. Dupont (Benoît) : Non,
bien, je pense que M. Gambs a raison, dans la mesure où un seul entrepôt
de données qui réunit l'ensemble des renseignements personnels québécois de
tous les ministères, traités par tous les ministères, me semble être un point
de défaillance assez risqué à proposer.
Je pense qu'une centralisation raisonnée,
mais qui ne soit pas consolidée en un seul lac de données, comme on dit dans
certains organismes, peut être un bon compromis, avec une fragmentation
accessible. Donc, je pense que quelque chose à mi-chemin pourrait être certainement
envisageable, ce qui me semble être l'esprit de la loi, avec les sources de
données.
Donc, je ne pense pas que M. Gambs et
moi sommes en désaccord. Je suis assez d'accord avec lui sur le fait qu'un seul
réservoir de données serait assez désastreux s'il était compromis.
M. Barrette : Oui, mais est-ce
qu'un réservoir qui fait office de redondance... vous allez dire : Ça
cause le même problème pour un bris, là, j'imagine, là, mais ça pose un
problème ou non, à votre avis?
M. Dupont (Benoît) : Un
réservoir qui pourrait… qui serait une source de redondance, s'il était hors
ligne la majorité du temps, serait probablement moins risqué que s'il était la
source principale, là, des données.
M. Barrette : O.K.
M. Cuppens (Frédéric) : Il
est essentiel... Par rapport à ça, c'est d'éviter ce qu'on appelle les «single
points of failure», en bon français, et, effectivement, que ce soit en termes
de gestion des données <elles-mêmes ou…
Une voix
: ...
des
données.
M. Barrette :
O.K.
M. Cuppens (Frédéric) :
Il est essentiel...
Par rapport à ça, c'est d'éviter ce qu'on appelle
les «single points of failure», en bon
français, et,
effectivement,
que ce soit
en termes de gestion des données >elles-mêmes ou de
sauvegarde, pour effectivement assurer la redondance, pour préserver les
données en cas d'attaque. Dans les deux cas, il faut éviter ces «single points
of failure», sachant que les attaquants s'adaptent, hein?
Ce qu'il faut bien voir, c'est que les... Pour
prendre comme exemple, les premiers rançongiciels qui attaquaient directement
les données pour les chiffrer, aujourd'hui, se sont adaptés. Aujourd'hui, un
rançongiciel, c'est comme une APT sophistiquée qui va d'abord explorer le système
pour voir notamment s'il n'y a pas des systèmes de sauvegarde, et, s'il y a des
systèmes de sauvegarde, avant de chiffrer des données, il va attaquer ces systèmes
de sauvegarde. Et effectivement, en général...
C'est ce qu'on a vu avec Ryuk. Ça marche,
hein? Ryuk a quand même impacté plusieurs organismes et entreprises au Canada.
Ryuk, c'est exactement ça. Les entreprises s'étaient... pensaient s'être
protégées contre les attaques par rançongiciel en achetant des systèmes de
sauvegarde pour créer des redondances, mais, au bout du compte, les
rançongiciels attaquent aussi ces systèmes-là. Et donc effectivement ça, ça met
le doigt sur le fait que centraliser les données ou centraliser la redondance
associée à ces données, par rapport aux cyberattaques, ça ne convient pas comme
solution.
Alors, effectivement, comme le dit Benoît,
tout distribuer, ça pose des problèmes en termes de gestion, mais il faut avoir
quand même le bon compromis, parce qu'à un moment donné, quand on est attaqué,
on est bien content de pouvoir revenir à la normale et redonner... dans un
système où on a retrouvé nos données, donc.
M. Barrette : Je pense
que vous avez écouté M. Waterhouse ce matin...
M. Cuppens (Frédéric) :
Pas en ce qui me concerne, non.
M. Dupont (Benoît) : Oui,
en partie. En partie seulement.
M. Barrette : En partie.
Bien, écoutez, simplement, sur l'aspect de la catégorisation en plusieurs
niveaux, est-ce que vous avez des commentaires à faire là-dessus?
M. Dupont (Benoît) : Je
suis moins un expert de la catégorisation que mon collègue Cuppens, alors je
vais le laisser répondre là-dessus.
M. Cuppens (Frédéric) :
Alors, c'est gentil de me passer la parole. Alors, j'ai effectivement noté dans
la loi qu'il y avait une obligation de définir, effectivement, un modèle de
classification de données. Alors, comme Benoît, je ne suis pas spécialiste de
l'existant, et donc ça m'a interrogé. Je me suis dit : À quoi on fait
référence par rapport à cette obligation de définir un modèle de classification
des données et surtout aussi une obligation de vérifier que ce modèle est
correctement mis en oeuvre?
Donc, j'ai essayé de voir, par rapport à
ce que j'avais en tête, qu'est-ce qui pourrait exister. Effectivement, des
modèles de classification, il en existe, que ce soit pour le secret défense, le
secret industriel ou le secret commercial. Donc, je me suis dit : Est-ce
que c'est à ça qu'on fait référence? Auquel cas, si c'est à ça qu'on fait
référence, pourquoi définir un nouveau modèle? Donc, ça, c'est une question que
je me suis posée. Je n'ai pas trouvé la réponse.
Mais effectivement le <fait...
M. Cuppens (Frédéric) :
…
que ça soit pour le secret défense, le secret industriel ou le secret
commercial. Donc, je me suis dit : Est-ce que c'est à ça qu'on fait
référence? Auquel cas, si c'est à ça qu'on fait référence, pourquoi définir un
nouveau modèle? Donc, ça, c'est une question que je me suis posée. Je n'ai pas
trouvé la réponse, mais effectivement le >fait qu'il y ait effectivement
besoin de classer les données, de considérer qu'effectivement des données, que ce
soit pour la confidentialité, l'intégrité ou la disponibilité, n'ont pas les
mêmes besoins en termes de sécurité, ça, c'est pertinent, savoir, effectivement,
quel modèle appliquer.
Des modèles, il en existe, donc je pense
qu'il faut d'abord, effectivement, regarder les modèles existants, voir ceux
qui s'appliquent correctement. Et, à ce moment-là, effectivement, si on
s'aperçoit qu'il y a des besoins spécifiques à explorer... je ne suis pas sûr
qu'ils existent, mais, si, effectivement, il y a des besoins explicites et
spécifiques, alors, à ce moment-là, voir s'il y a besoin d'un modèle
particulier pour traiter cela.
Mais là je pose plus de questions, hein? Comme
Benoît, je n'ai pas la réponse, mais je me suis questionné, effectivement, sur
ces deux articles qui mentionnaient ce problème de classification des données.
À creuser. Si j'ai une réponse à donner, je dirais : Pour le moment,
restons prudents, creusons le problème et voyons effectivement le besoin pour, effectivement,
le traiter correctement.
M. Barrette : Bien, écoutez,
je vous posais la question, parce que, dans l'architecture de sécurité
présentée par M. Waterhouse, c'était le socle, essentiellement, sur lequel on
bâtit tout le système de sécurité.
Et là je vais vous poser, à ce moment-là,
une question qui est un peu une connexion entre ce qu'on vient de parler et ce
dont vous avez parlé précédemment. Moi, j'écoute tout le monde, là, aujourd'hui,
là, et je vous écoute, vous.
Pour avoir une sécurité appropriée, donc
maximale, il y a aussi un enjeu selon lequel tout le monde doit marcher au même
pas et tout le monde doit être tout le temps au même niveau de sécurité, peu
importe sa catégorie et peu importe l'organisme ou le ministère. Là, c'est vraiment…
Vous, vous parlez de «point of failure». Moi, j'ai l'impression qu'on pourrait
aussi simplement utiliser l'expression du «talon d'Achille». Si tout le monde
n'est pas en même temps, il y aura forcément un talon d'Achille qui peut être
catastrophique.
M. Cuppens (Frédéric) : C'est
sûr, c'est sûr. Et, pour reprendre ce problème de classification... Et puis, pour
faire référence au secret défense, hein, qui n'a probablement rien à voir en
termes de classification, mais c'est juste pour donner un travers de ces
modèles de classification, ce qui se passe dans les modèles de défense où on
essaie de classer confidentiel défense, secret défense, très secret défense, au
bout du compte, ce qui se passe, c'est que les utilisateurs, ils
surclassifient. Pour se protéger, ils vont tout mettre tout en haut.
Et donc c'est souvent le travers de ce
genre de modèle de classification, hein? Pour ne pas avoir de problèmes, on
nuit complètement à la disponibilité des données, mais, pour se protéger contre
la sécurité, on pense que c'est pertinent de tout classer tout en haut, ce qui
est complètement ridicule. Mais c'est souvent le travers qu'on voit apparaître
par rapport à ce genre de modèle de classification.
Donc, <effectivement…
M. Cuppens (Frédéric) :
…de classification, hein? Pour ne pas avoir de problème, on nuit complètement à
la disponibilité des données, mais, pour se protéger contre la sécurité, on
pense que c'est pertinent de tout classer tout en haut, ce qui est complètement
ridicule, mais c'est souvent le travers qu'on voit apparaître par rapport à ce
genre de modèle de classification. Donc, >effectivement, déjà, avoir un
modèle de classification binaire où on identifie les données à risque, c'est déjà,
effectivement, je pense, essentiel. Donc, pas besoin d'avoir plus de
deux niveaux, à mon avis.
Et, à partir du moment où on a,
effectivement, défini et identifié les données à risque, effectivement, définir
les bons moyens de sécurité pour les protéger, bien, c'est ça qu'il faut faire.
Déjà, si on arrive à ça... et éviter, effectivement, la référence au talon
d'Achille, effectivement. C'est la démarche qu'il faut adopter par rapport aux
besoins de sécurité à traiter par rapport à des données comme les données
gouvernementales, et les données à caractère personnel, et les données
publiques.
M. Barrette : M. le
Président, j'imagine qu'il me reste 10 secondes?
Le Président (M. Simard) : Ah!
23, pour être bien précis.
M. Barrette : C'est bien
gentil. Bien, écoutez, merci. Merci d'être venus aujourd'hui. C'était très
éclairant. Merci beaucoup.
Le Président (M. Simard) :
Merci à vous. M. le député de Rosemont, vous disposez de
4 min 10 s.
M. Marissal : Merci,
M. le Président. M. Dupont, M. Cuppens, merci d'être là, d'autant
que c'est agréable. M. Dupont, je ne sais pas si on vous l'a déjà dit,
mais, quand vous parlez, ça sonne comme l'accent de Francis Cabrel. Alors,
c'est très agréable pour finir la journée. C'est de la musique à mes oreilles.
Ce qui en est moins, par contre, puis qui
m'inquiète, puis ce n'est pas vous qui m'inquiétez, c'est l'état des lieux de
la cybersécurité au gouvernement du Québec en ce moment. Ça a été dit, et redit,
et redit depuis des années : On n'est pas au sommet de ce que l'on
pourrait espérer.
D'abord, il y a une pénurie de
main-d'oeuvre. Il manque de monde puis il y a un gros roulement, il n'y a pas
de rétention. Ça commence d'ailleurs par le directeur principal de l'information,
qui a changé, je crois, quatre fois en quelques années.
Vous enseignez. Vous êtes dans des
institutions qui forment des gens qui pourraient venir travailler pour le
gouvernement, par exemple, ou vous tournez autour de ce problème-là qui est
récurrent au gouvernement du Québec. Quelle évaluation vous faites?
Parce que là vous nous proposez de faire
une course parfaite, là, un marathon, 42,2 kilomètres, à un rythme de
4 minutes du kilomètre sans coup férir, puis on va finir sans une goutte
de sueur. Moi, je pense qu'on n'est même pas équipé pour courir un 10 kilomètres,
en ce moment, au gouvernement du Québec, puis que peut-être qu'on va finir en
boitant.
Alors, pouvez-vous nous dire où est-ce
qu'on en est, par rapport à ce que vous nous proposez, qui serait l'idéal, là,
qui serait probablement le meilleur qu'on pourrait souhaiter?
• (18 heures) •
M. Dupont (Benoît) : Tout d'abord,
peut-être, merci pour le compliment sur mon accent. Je chante beaucoup moins
bien que M. Cabrel.
Ce qu'on propose, ce n'est pas un marathon
sans douleur et sans sueur. La cyberrésilience, certains la définissent comme
le fait de pouvoir survivre sur un régime de <fruits…
>
18 h (version révisée)
<17867
M.
Marissal : …le meilleur qu'on pourrait souhaiter.
M. Dupont (Benoît) : Tout
d'abord,
peut-être, merci pour le compliment sur mon accent. Je chante
beaucoup
moins bien que M. Cabrel.
Ce qu'on propose, ce n'est pas un
marathon sans douleur et sans sueur. La cyberrésilience, certains la
définissent comme le fait de pouvoir survivre sur un régime de >fruits
et de légumes empoisonnés. C'est quelque chose de très douloureux. C'est
l'entraînement à la résistance, à la douleur et à la capacité de continuer à
offrir des fonctions gouvernementales dans un environnement très, très hostile.
Donc, on ne pense pas qu'on vit dans un monde de bisounours ou d'ours en peluche.
Mais ce que ça va prendre, je pense, et je
laisserai mon collègue terminer, ça va être une alliance ou une collaboration beaucoup
plus serrée entre les organismes gouvernementaux, le secteur privé, les
universités, ce qu'on appelle la triple liste, c'est-à-dire trois secteurs
qui ne peuvent pas se passer l'un de l'autre, pour essayer de résoudre ce problème
de sécurité qui, à mon avis, avec les changements climatiques… sont les
principaux problèmes auxquels nos sociétés contemporaines sont confrontées. Et
c'est des problèmes quasiment insolubles, là.
Donc, rassurez-vous, le gouvernement du
Québec n'est pas le seul à être en mauvaise posture. Tous les gouvernements et
toutes les entreprises, malheureusement, découvrent avec effroi que ce qu'elles
pensaient être des niveaux adéquats de protection sont insuffisants et vont
devoir être repensés radicalement. Frédéric, si tu veux...
M. Marissal : ...
M. Cuppens (Frédéric) : Par
rapport à l'état des lieux, oui, je voudrais faire une remarque. La
cybersécurité, c'est un peu comme le nuage de Tchernobyl, ça ne s'arrête pas
aux frontières, d'accord? Donc, par rapport à ça, bien, effectivement, il faut
faire un état des lieux, ça, c'est sûr, mais ça ne doit pas être un état des
lieux, je dirais, ciblé sur, effectivement, tel domaine. Le problème de la
cybersécurité, ça ne va pas se limiter à tel ministère plutôt que tel autre. Il
faut, effectivement, avoir cette vision globale déjà interministérielle…
Le Président (M. Simard) :
Très bien.
M. Cuppens (Frédéric) : …ça,
c'est essentiel, mais aussi faire, effectivement, comme le dit Benoît, le lien
entre les problèmes au niveau gouvernemental et aussi au niveau entreprise
privée. Tout ça est global. Et, par rapport à ça, comme l'a dit Benoît dans sa …
Le Président (M. Simard) :
Très bien.
M. Cuppens (Frédéric) : Je
dois m'arrêter? Bon, je m'arrête. Excusez-moi, je n'avais pas entendu.
Le Président (M. Simard) :
Très bien. Alors, Pr Dupont, Pr Cuppens, merci à vous deux pour la
qualité de votre présentation, en espérant vous revoir sous peu dans les
travaux de notre commission.
Nous allons suspendre quelques instants,
le temps de faire place à nos prochains invités. Merci à nouveau.
(Suspension de la séance à 18 h 03)
(Reprise à 18 h 06)
Le Président (M. Simard) :
Chers collègues, nous sommes donc en mesure de reprendre nos travaux. Nous
recevons nos derniers invités mais non pas les moindres. Nous sommes en
présence de deux représentantes du Fonds de recherche du Québec. Mesdames,
bienvenue parmi nous. Auriez-vous d'abord l'amabilité de vous présenter?
Fonds de recherche du Québec (FRQ)
Mme Jabet (Carole) : Oui.
Bonjour. Merci de nous recevoir, M. le Président, Mmes, MM. les députés. Mon
nom est Carole Jabet, je suis directrice scientifique du Fonds de recherche
Québec — Santé. Emmanuelle, peut-être peux-tu t'introduire?
Mme Lévesque (Emmanuelle) :
Oui. Bonjour. Mon nom est Emannuelle Lévesque, je suis avocate et conseillère à
l'éthique de la recherche au Fonds de recherche du Québec.
Le Président (M. Simard) :
Alors, vous disposez de 10 minutes.
Mme Jabet (Carole) : Merci. Merci
beaucoup et merci de nous entendre dans le cadre des travaux de cette commission
relatifs au projet de loi n° 95, donc, Loi
modifiant la Loi sur la gouvernance et la gestion des ressources
informationnelles des organismes publics et des entreprises du gouvernement et
d'autres dispositions législatives. Plus sérieusement, nous intervenons aujourd'hui
pour les trois fonds de recherche, donc le fonds Santé mais aussi le fonds Société
et culture et le fonds Nature et technologies.
Donc, tout d'abord, pour celles et ceux
qui ne seraient pas familiers des FRQ, nous sommes des organisations
gouvernementales, qu'on nomme aussi, dans notre milieu, des agences
subventionnaires, dont le mandat est de soutenir et de développer la capacité
de recherche au Québec. Donc, nous investissons ainsi annuellement près de
230 millions de dollars dans le développement de talents, dans le soutien
aux regroupements de recherche et dans des projets à haute valeur ajoutée pour
la société québécoise qui ont la capacité également de nous faire rayonner à
l'international.
Nous intervenons dans tous les secteurs
d'activité. Alors, il peut s'agir de santé, d'éducation, d'alimentation,
d'agriculture, de transport, d'énergie, de développement urbain, de numérique,
de culture. Bref, à peu près tous les domaines. Tous ces domaines ont un point
commun : la capacité à générer une nouvelle connaissance.
La capacité à produire de l'innovation,
qu'elle soit technologique ou qu'elle soit sociale, s'appuie sur les données.
On ne peut pas faire de recherche si nous n'avons pas les données pour la faire,
et, dans plusieurs domaines aussi diversifiés que tous ceux que j'ai
mentionnés, les données qu'on doit utiliser sont des renseignements personnels,
c'est-à-dire des renseignements qui permettent d'identifier éventuellement les
individus, contrairement aux renseignements anonymes.
Alors, ce dossier, dans notre domaine de
la recherche, il est quand même bien connu. On l'appelle l'accès aux données.
Il mobilise les FRQ depuis plusieurs années maintenant. Nous avons produit
plusieurs mémoires qui montrent l'importance… qui démontrent l'importance
d'avoir une stratégie de valorisation des données qui inclut la démarche de
recherche. Et le Scientifique en chef, Pr Quirion, a émis et appuyé
plusieurs <recommandations…
Mme Jabet (Carole) :
...nous
avons produit plusieurs mémoires qui montrent l'importance… et
qui démontrent l'importance d'avoir une stratégie de valorisation des données
qui inclut la démarche de recherche. Et le Scientifique en chef, Pr Quirion, a
émis et appuyé plusieurs >recommandations qui visent à doter le Québec
de mécanismes qui sont compétitifs tout en étant responsables pour la
valorisation de l'information.
Comme vous le savez, il y a deux types
de... deux façons, en recherche, d'obtenir des renseignements personnels. On
peut utiliser la voie du consentement, un consentement des individus qui sont
concernés, mais, quand ce n'est pas faisable, il y a une deuxième voie qui est
la voie des mécanismes légaux qui remplacent le consentement, et c'est dans ce
cas de figure que nous intervenons aujourd'hui.
• (18 h 10) •
Également, et ça, c'est important, notre
propos concerne la recherche académique, c'est-à-dire effectuée par des
chercheurs d'organismes publics que sont les universités, les collèges, les établissements
de santé ou autres. Dans ce cadre, les FRQ reçoivent très favorablement les
efforts qui se multiplient en soutien à la Stratégie de transformation
numérique et qui visent une plus grande mobilisation des données numériques gouvernementales.
Cela dit, si on veut vraiment bénéficier de cette transformation et de ses
avantages, nous devons nous assurer que les processus d'accès pour la recherche
académique sont efficaces et sécuritaires.
Bien sûr, l'enjeu, c'est la compétitivité
de la recherche québécoise, la compétitivité de nos équipes de chercheurs ou
encore l'attraction de talents, mais l'enjeu est d'abord et avant tout de
s'assurer que notre démarche de recherche, parce qu'elle a accès à de
l'information qui nous est spécifique, va apporter des réponses qui
correspondent aux besoins de la population québécoise.
Ça veut dire quoi dans la vraie vie?
Prenons un exemple dans mon domaine, qui est le domaine de la santé. Par
exemple, organiser les calendriers de rendez-vous d'un service de
radio-oncologie peut être un véritable casse-tête. Il faut alterner les
nouveaux patients avec les patients déjà en traitement, qui ont des cycles de
traitement qui diffèrent. Et chaque minute qu'on va utiliser est importante,
parce que ce sont des patients qui ont accès à des soins.
L'apprentissage profond, qu'on connaît
aussi comme intelligence artificielle, peut apporter des solutions à ce
casse-tête. Pour faire ça, il faut entraîner des algorithmes, il faut entraîner
des algorithmes sur des données. Si on n'a pas accès aux données de nos
établissements, les chercheurs vont aller chercher les données ailleurs, dans
des hôpitaux en Ontario, dans des hôpitaux au Royaume-Uni, puis ils vont les
entraîner, les algorithmes, et on va gagner de l'efficience. Des patients vont
bénéficier de cette efficience, mais ce seront les patients des hôpitaux en
Ontario, au Royaume-Uni, et pas les patients sur notre territoire, parce qu'on
n'aura pas entraîné les algorithmes avec notre réalité d'organisation des soins
et <services...
Mme Jabet (Carole) :
…
et on va gagner de l'efficience. Des patients vont bénéficier de cette
efficience, mais ce seront les patients des hôpitaux en Ontario, au Royaume-Uni
et pas les patients sur notre territoire parce qu'on n'aura pas entraîné les
algorithmes avec notre réalité d'organisation des soins et >services de
santé. Voilà l'enjeu.
Dans ce cadre, il y a deux objectifs
du projet de loi n° 95 qui nous semblent pouvoir améliorer la situation de
recherche et l'accès à l'information. D'abord, la proposition de mécanismes qui
permettent de favoriser la mobilité et la valorisation des données numériques
gouvernementales et, notamment, la possibilité pour le gouvernement de désigner
des organismes publics pour agir comme sources officielles de données
numériques gouvernementales. Bon point.
Le deuxième objectif qui nous paraît aider
la situation : établir une gouvernance globale et concertée en matière de
sécurité de l'information avec une notion de surveillance des mécanismes mis en
oeuvre.
Avec ces deux objectifs, on s'inscrit
dans un nouveau paradigme où les renseignements personnels détenus par les
organismes publics peuvent être valorisés par la recherche, cette fois-ci dans
un encadrement adéquat qui met l'accent sur le contrôle rigoureux de
l'utilisation au lieu de mettre l'accent, comme on pouvait le faire, sur la
limitation, voire l'interdiction d'un accès aux données.
Cela dit, il nous semble, et c'est ce qui
est mentionné dans notre mémoire, que des points mériteraient d'être clarifiés
pour assurer une même compréhension de la… du texte qui est amené. D'abord, il
faut clarifier que les sources officielles de données numériques
gouvernementales qui sont prévues dans le projet de loi permettront d'utiliser
les renseignements personnels qu'elles contiennent à des fins de recherche et
de développement académique — ce mot, selon nous, manque — donc,
pour les chercheurs universitaires, collégiaux dans les établissements de
santé.
On pense également qu'il faut clarifier
les conditions auxquelles ces renseignements qui sont détenus par les sources
officielles vont pouvoir être utilisés à des fins de recherche et s'assurer que
ce sont tous les types de recherche académique qui seront équitablement traités,
que ça bénéficie aux services publics, aux citoyens, à la mission de l'État ou
autres.
Et finalement, le troisième point,
s'assurer que le mécanisme d'utilisation des renseignements personnels pour
fins de recherche soit harmonisé aux autres projets de loi et mécanismes,
notamment le projet de loi n° 64, actuellement à l'étude et qui vise les
modifications de la Loi sur l'accès. On ne peut pas se retrouver dans une
situation avec des mécanismes d'autorisation qui sont complexes et différents,
et dont on ne comprendrait pas quelle serait clairement la portée.
En conclusion, quel est le risque de ne
pas bonifier et clarifier le projet de loi n° 95 par rapport aux points
que nous venons de soulever? Trois risques : entretenir une certaine
confusion, créer possiblement plus de lourdeur que <d'efficacité…
Mme Jabet (Carole) :
…
quelle serait clairement la portée.
En conclusion, quel est le risque de ne
pas bonifier et clarifier le projet de loi n° 95 par rapport aux points
que nous venons de soulever? Trois risques : entretenir une certaine
confusion, créer possiblement plus de lourdeur que >d'efficacité... Ce
risque augmente celui de la perte de talents parce que les chercheurs, ils se
découragent. Ils utilisent les données d'ailleurs, ils vont aussi aller
travailler ailleurs. En cascade, on impacte la compétitivité du Québec en
recherche. Mais le plus grand risque n'est aucun de ces trois risques-là. Le
risque le plus grave serait de ne pas se donner les moyens d'améliorer les
services publics et les autres bénéfices pour la population et la société
québécoise.
Je vous remercie de votre attention. Voici
un peu le message que l'on avait à communiquer. Et nous répondrons, bien sûr, à
vos questions avec plaisir et au mieux de nos connaissances. Merci.
Le Président (M. Simard) :
Alors, merci à vous, Mme la directrice scientifique. Je cède maintenant la
parole à M. le ministre, qui dispose d'environ 17 minutes.
M.
Caire
: Merci
beaucoup, M. le Président. Mme Jabet, Mme Lévesque, merci beaucoup de
votre participation. À mon tour de sympathiser avec l'heure à laquelle on vous
impose cette prestation-là, mais sachez que nous sommes solidaires, tous les
députés présents, parce que nous-mêmes nous y employons depuis ce matin.
Présentation extrêmement intéressante, et
j'avoue que vous abordez un sujet qui est préoccupant. De longue date, je
dirais que le Scientifique en chef fait une cabale pour sensibiliser les élus
au fait que la donnée est plus ou moins accessible pour les projets de
recherche et qu'il était temps de s'attaquer à ce problème-là, surtout que le Québec… Et
là-dessus je sais que le député de La Pinière et moi avons une vision qui
est assez semblable, surtout que le Québec dispose non seulement d'une quantité
de données impressionnante, mais d'une qualité de données qui est extrêmement
intéressante pour les chercheurs, du fait du profil de la population québécoise
et de l'opportunité que ça offre de faire des évaluations quantitatives et
qualitatives sur une durée de temps assez longue.
Je vous dirais que je vais répondre à vos
trois préoccupations. Je pense que les réponses se trouvent dans le projet de
loi. Mais, d'abord, vous me permettrez un commentaire personnel. Et je vous en
remercie, parce que vous avez abordé la notion du danger de ne pas améliorer
les services publics, et je dois vous dire que vous êtes… Puis je ne veux pas
méjuger, on a eu des groupes très intéressants qui ont amené des commentaires
qui étaient très intéressants, qui vont faire cheminer, j'en suis <convaincu…
M.
Caire
: …
vous
avez abordé la notion du danger de ne pas améliorer les services publics. Et je
dois vous dire que vous êtes… Puis je ne veux pas méjuger, on a eu des groupes
très intéressants qui ont amené des commentaires qui étaient très intéressants,
qui vont faire cheminer, j'en suis >convaincu, le travail des
parlementaires, mais le principal objectif du projet de loi n° 95, puis je
ne dirais pas : Son objectif exclusif parce qu'il y a un objectif de
sécurité, évidemment… mais c'est une amélioration significative des services à
la population et de l'efficience du gouvernement du Québec dans la prestation
de services à la population. Merci de l'avoir souligné, ça m'apparaît
effectivement être un danger, dans l'analyse du projet de loi n° 95... D'occulter
cet élément-là m'apparaît être un danger parce qu'effectivement, au-delà de
toutes les autres considérations dont je ne veux pas diminuer l'importance,
celle-là n'en est pas moins importante.
Sur l'utilisation de renseignements
personnels, je pense que vous l'avez bien cadré, Mme Jabet, c'est effectivement
le projet de loi n° 64 qui va adresser cette situation-là de façon législative.
Donc, vous me permettrez peut-être d'être un peu plus discret sur ce volet-là,
parce que le projet de loi n° 64, comme je le dis, je pense, a été fait à
la satisfaction… ou, en tout cas, donne satisfaction aux milieux de recherche
quant au qui et au pourquoi on accède à des renseignements personnels sans le
consentement des citoyens. Les articles qui traitent de ça ont été adoptés par
la Commission des institutions. Donc, je pense que, là-dessus, la commission
avance, et les réponses à vos questions se trouvent là.
• (18 h 20) •
Sur la notion des types de recherche,
bien, effectivement, le fait de ne pas préciser le type de recherche permet d'inclure
tous les types de recherche. Donc, est-ce que les recherches académiques sont
incluses? Absolument. Vous allez trouver votre réponse à l'article 12.3 du
projet de loi, qui va faire en sorte, effectivement, que le gouvernement du
Québec, en désignant une source de données, va être en mesure de désigner les
fonds ou les projets de recherche qui pourraient bénéficier de la mobilité de
la donnée. Et donc, comme on ne précise pas, comme on parle de recherche, on
parle de tout type de recherche. Donc, nécessairement, la recherche académique
est incluse dans cette situation-là. Donc, cette question-là que vous nous
apportez, je pense qu'elle est adressée de cette façon-là.
Bon, évidemment, aussi,
l'article 12.19 peut fixer les conditions par lesquelles les
renseignements qui sont détenus par une source officielle de données vont
pouvoir être transmis aux différents projets de recherche. Donc, à ce <moment-là…
M.
Caire
: ...l'article 12.19
peut fixer les conditions par lesquelles les renseignements qui sont détenus
par une source officielle de données vont pouvoir être transmis aux différents
projets de recherche. Donc, à ce >moment-là, je pense que vous aurez
accès, dans le fond, à l'ensemble des informations dont vous aurez besoin, toujours,
évidemment, dans le respect de la loi n° 64.
Et ça, ça m'amène à votre deuxième point.
Quand vous parlez d'harmoniser les deux projets de loi, je vous dirais que 95
n'est pas harmonisé au projet de loi n° 64, il y est soumis. Et ça, c'est extrêmement
important, parce que je le sais que ça a été une préoccupation qui a été
soulevée par la Commission d'accès à l'information. Il est très important de
comprendre que le projet de loi n° 95 est soumis non seulement à la loi
d'accès à l'information et la protection des renseignements personnels, mais à
toutes les lois, tous les régimes de protection particuliers.
Et donc, de ce fait, l'avantage que les
sources de données vont avoir, c'est de vous permettre d'avoir une donnée de
qualité, parce qu'en ayant l'inventaire de la donnée... Vous le disiez, là,
vous êtes souventefois obligés d'aller chercher vos données ailleurs. Bien, en
ayant un inventaire de la donnée, ça nous permet de vous donner une donnée qui
est de qualité, qui est intègre, évidemment, mais, je devrais dire... mais
évidemment sous réserve que la loi d'accès à l'information et de la protection
des renseignements est respectée puis, quand on parle de données de santé, que
les régimes, les différents régimes de protection, particulièrement de santé,
sont respectés, que la directive en matière de sécurité est respectée.
Donc, est-ce que ça va être nécessairement
plus simple? Oui. Mais est-ce que ça va être un bar ouvert? Il ne faut pas vous
attendre à ça, parce que le p.l. n° 95, comme je
le dis, ne s'harmonise pas aux régimes de protection ou à la loi, il s'y
soumet. Ça, c'est... Je sais que ça, ça a été un élément qui vous a... qui
interpelait beaucoup les Fonds de recherche et pour lequel, je pense, vous avez
votre réponse.
Maintenant, justement, sur cet aspect-là,
puis vous l'avez amené, vous avez dit : Le grand danger, ce serait de ne
pas avoir accès à ces données-là, j'aimerais ça que vous nous décriviez un peu…
Parce que, pour les parlementaires, c'est toujours intéressant de savoir, oui,
le projet de loi n° 95, il fait quoi, mais ce qui est important, c'est quelle
est la situation actuelle. On part d'où exactement, Mme Jabet? Puis en
quoi 95 vient répondre à des préoccupations qui sont vraiment les vôtres, qui,
au quotidien, font en sorte que nos Fonds de recherche ne peuvent pas
travailler aussi bien, aussi efficacement que si on n'avait pas... En fait, si
on n'a pas 95, c'est quoi, la situation actuelle, puis en quoi la situation
actuelle est <corrigée par...
M.
Caire
: ...puis
en quoi 95 vient répondre à des
préoccupations qui sont
vraiment
les vôtres, qui, au quotidien, font en sorte que nos Fonds de recherche ne
peuvent pas travailler aussi bien, aussi
efficacement que si on n'avait
pas... En fait, si on n'a pas 95, c'est quoi, la
situation actuelle,
puis en quoi la
situation actuelle est >corrigée par 95? Vous
m'excuserez si mes questions sont un peu désordonnées. Je pense que, comme mes collègues,
l'heure finit par jouer sur moi aussi.
Mme Jabet (Carole) : Bien, d'abord,
merci beaucoup, M. le ministre, pour les informations que vous avez
communiquées puis la clarification qui est signifiée ici. Je pense qu'elle est extrêmement
bien reçue. Parce que, c'est ça, c'est peut-être parfois le défaut qu'on va
avoir en recherche : quand on n'a pas qualifié quelque chose, on a peur
que ce ne soit pas intégré. Et, pour nous, c'est vraiment important qu'on ait
tous la même compréhension, notamment au niveau de la recherche académique.
Je vais répondre tout de suite à votre question,
quelle est la situation actuelle. La situation actuelle est une situation que
je décrirais de silos. Donc, il y a eu des améliorations qui ont été faites. On
a apporté le guichet d'accès aux données pour la recherche, qui permet
d'accéder à certaines données gouvernementales de façon différente. Cela dit,
là, la grande image, c'est qu'en ce moment, si on veut faire un projet de
recherche, par exemple sur la santé des enfants, qui nécessite d'accéder à des
données de santé, à des données administratives, à des données d'éducation,
bien, très probablement, on va taper à trois portes, quatre portes, cinq
portes, dépendamment de la cohorte qu'on veut gérer. Il n'y a pas cette
mécanique d'organisation de la donnée et de mécanisme bien balisé pour accéder
à la donnée.
Ce que nous, on voit comme un avantage,
dans le p.l. n° 95, c'est cette capacité à créer des
sources officielles de données numériques gouvernementales, parce qu'à ce
moment-là nous avons des interlocuteurs qui connaissent le contenu des bases de
données et qui connaissent les variables, qui ont les mécanismes pour être
capables de répondre à notre projet de recherche et avec lesquels on peut
travailler, dans le respect des lois, ça, on va tous être d'accord avec ça.
Je pense que le milieu de la recherche a
beaucoup évolué, au cours des dernières années, pour se doter des bons
mécanismes de contrôle d'une saine utilisation des données. Mais je dirais que
c'est cette organisation de sources officielles de données numériques
gouvernementales qui nous intéresse, avec la gouvernance des données à
laquelle... qui y est associée, là. Ce n'est pas juste : Demain matin, je
donne accès à des fichiers Excel ou à des entrepôts. Ce n'est pas ça. C'est
vraiment la gouvernance qui y est associée puis la valorisation de données qui
y est associée.
En ce moment, parce que la question, elle
était extrêmement précise, ça peut prendre deux ans, trois ans, de <réussir...
Mme Jabet (Carole) :
...
qui y est associée, là. Ce n'est pas juste, demain matin, je donne
accès à des fichiers Excel
ou à des entrepôts. Ce n'est pas ça, c'est
vraiment la gouvernance qui y est associée, puis la valorisation de données qui
y est associée.
En ce moment, parce que la question,
elle était extrêmement précise, ça peut prendre deux ans, trois ans de >réussir
à faire un projet de recherche tel que celui que j'ai mentionné. C'est de ça qu'on
parle. Et c'est ce délai-là qu'il faut réussir à raccourcir, tout en augmentant
le bassin de données qu'on peut utiliser aussi. Voilà ce qui serait ma réponse.
M.
Caire
: Je me
permets une question, Mme Jabet, par rapport... puis je ne sais pas si
vous avez l'information, mais par rapport à vos collègues des autres provinces
ou des autres États dans le monde qui font de la recherche et qui ont besoin de
ces informations-là. On parle d'un délai de combien de temps avant d'avoir
accès aux données dont ils ont besoin pour faire avancer le projet, par rapport
au Québec? Puisque, là, vous me dites : Au Québec, la situation, c'est
deux ans. Ça peut nous paraître long, mais, n'ayant pas d'étalon de mesure, là...
Si vous étiez en Ontario, ou aux États-Unis, ou en Europe, on parlerait d'un
délai de combien de temps avant de pouvoir aller de l'avant avec un projet qui
nécessite d'obtenir des renseignements comme ceux-là?
Mme Jabet (Carole) : Je
n'ai pas les délais exacts, donc je ne voudrais pas induire les parlementaires
en erreur. Cela dit, donc, sur le projet précis, là, de deux ans chez nous, est-ce
que c'est un an en Ontario? Je n'irais pas là, mais les mécanismes d'accès aux
données et d'utilisation de la donnée sont plus simples dans beaucoup d'autres juridictions.
On a l'habitude de citer le Royaume-Uni,
puis ça fait 15 ans qu'ils travaillent leur stratégie de valorisation des
données dans le secteur qui nous préoccupe le plus, qui est celui de la santé,
mais il y a d'autres juridictions. On va souvent parler des pays d'Europe du
Nord, Danemark, Suède, qui ont une stratégie de valorisation des données. Je
dirais que l'exemple que j'aime... Il y a deux exemples que j'aime utiliser en
ce moment : Manitoba, mais Alberta, plus sûrement, c'est une plus petite
province, mais ils mobilisent leurs données plus rapidement, mais la France. La
France s'est dotée d'une stratégie de valorisation numérique, et ils ont fait
des transformations rapidement, et ils sont en train de bouger très rapidement
avec des accès aux données qui sont... qui deviennent de plus en plus
efficaces.
Alors, je n'ai pas le chiffre, de vous
dire : De deux ans, on passe à un an, mais ce que je sais, c'est que j'ai
beaucoup de chercheurs dans notre communauté qui aiment beaucoup mieux
travailler avec les entités prescrites en Ontario ou les juridictions comme la
France ou l'Angleterre plutôt que de travailler ici parce que c'est devenu
beaucoup trop long.
• (18 h 30) •
M.
Caire
: Puis,
par rapport à ce qu'on fait dans 95 et dans 64, parce qu'effectivement les deux
ont des <missions...
>
18 h 30 (version révisée)
< Mme Jabet (Carole) :
…avec les entités prescrites en
Ontario ou les
juridictions comme
la France ou l'Angleterre,
plutôt que de travailler ici, parce que c'est
devenu
beaucoup trop long.
M.
Caire
:
Puis
par rapport à ce qu'on fait dans 95 et dans 64, parce qu'
effectivement
les deux ont des >missions respectives qui se complètent, est-ce que
vous diriez qu'on va rejoindre ce que vous retrouvez ailleurs? Vous parlez de
l'Alberta, vous parlez de l'Ontario, vous parlez de la Grande-Bretagne. Est-ce
qu'on va rejoindre ces standards-là en termes de simplicité, pour les
chercheurs, à recevoir les données dont ils ont besoin pour leurs projets de
recherche ou on est encore loin?
Mme Jabet (Carole) : Bien, je
pense qu'on s'en va vraiment dans une direction qui est une direction intéressante
puis une bonne direction, parce que ce qu'on fait dans 64 et dans 95 en créant...
où des personnes qui sont vraiment responsables du traitement du renseignement
personnel et qui sont plus proches de la donnée, plus proches du terrain, où,
quand on crée des sources, encore une fois, de données numériques, des sources
officielles de données numériques, comme on le dit, ce qu'on vient faire, c'est
qu'en quelque part on décentralise un petit peu notre mécanisme d'accès aux
données. Puis ça ne veut pas dire qu'on le rend moins robuste et puis qu'on le
rend moins sécuritaire, mais, au moins, il y a plus d'individus qui sont capables
de manipuler de la donnée, qui sont capables de croiser de la donnée dans des… encore
une fois, dans des sphères qui sont bien contrôlées.
Je pense que l'autre chose sur laquelle je
mettrais l'accent, puis je l'ai dit dans la courte introduction, c'est que, si
on met vraiment en application ce qu'on lit dans ces projets de loi, on change
le paradigme. Pendant longtemps... Puis c'est ça aussi. Au-delà de l'accès aux ressources,
parce qu'il y a quand même des organisations qui ont manqué de ressources, puis
il faut reconnaître ça... Mais on a beaucoup traité la sécurité de la donnée en
limitant l'accès à la donnée. Ce qu'on fait avec ces projets de loi, c'est de
dire : On crée des entités, des structures où on contrôle l'utilisation de
la donnée, mais on donne accès. Donc, tu ne peux pas faire n'importe quoi avec,
mais j'autorise quand même que cette donnée-là soit mobilisée. Puis ça, c'est vraiment
important, y compris avec les techniques et les démarches de recherche qu'on a maintenant,
comme l'intelligence artificielle.
M.
Caire
: Bien,
écoutez, je vois mon temps qui file. Je veux vous entendre. Une dernière question.
Là, je regarde le président du coin de l'oeil parce que je sens qu'il va
m'interrompre. Mais ce que je comprends, c'est que non seulement le
gestionnaire de données, les sources de données vous facilitent la vie, mais ce
que vous dites, c'est que toute la sécurité, donc le chef gouvernemental de la
sécurité de l'information, est un ajout important...
Le Président (M. Simard) : En
conclusion.
M.
Caire
: ...au
sens où il va s'assurer, quand même, qu'on respecte des standards d'utilisation.
On va utiliser, mais on va respecter des standards d'utilisation qui vont
sécuriser la donnée. Est-ce que j'ai bien compris votre commentaire?
Mme Jabet (Carole) : Oui,
vous avez bien compris. À la condition que les standards d'utilisation <respectent…
M.
Caire
:
…de l'
information est un ajout
important...
Le Président (M. Simard) :
En
conclusion.
M.
Caire
:
...au sens où il va s'assurer
quand même qu'on respecte des standards d'
utilisation.
On va utiliser, mais on va respecter des standards d'
utilisation qui
vont sécuriser la donnée.
Est-ce que j'ai bien compris votre
commentaire?
Mme Jabet (Carole) :
Oui, vous avez bien compris, à la condition que les standards d'
utilisation
>respectent la recherche.
Le Président (M. Simard) :
Merci, Mme Jabet. Merci beaucoup.
M.
Caire
:
Merci.
Le Président (M. Simard) :
J'ai un rôle très ingrat, Mme Jabet, qui est celui de, comment dire,
contrôler le temps. Je cède maintenant la parole au porte-parole de l'opposition
officielle, le député de La Pinière, qui dispose de
12 min 45 s.
M. Barrette : Merci, M. le
Président. Alors, Mme Jabet, Mme Lévesque, bien, bienvenue. Alors, évidemment,
avec moi, vous êtes en terrain conquis, et les questions que je vais vous poser,
essentiellement, c'est pour avoir des réponses qui éclairent mes collègues, là.
Je connais pas mal les réponses. Et je vais vous poser des questions sur quelques
éléments que vous n'avez pas eu la chance d'aborder, dont le dernier, que vous
n'avez pas pu élaborer, sur celui... à condition que ça respecte la recherche.
Alors là, lâchez-vous lousse. Vous avez une occasion que vous n'aurez pas
deux fois.
Mme Jabet (Carole) : Bien, je
pense que... puis je demanderai après, peut-être, à Emmanuelle de compléter mon
propos, mais nous comprenons parfaitement la nécessité d'avoir des processus de
gouvernance et d'encadrement d'utilisation des données qui soient robustes, qui
soient bien encadrés, etc., puis qui respectent la sécurité du renseignement
personnel. Je veux dire, à un moment donné, des citoyens font aussi confiance
au milieu de la recherche pour utiliser ces données-là à bon escient.
Maintenant, les processus de gouvernance.
Si on ne veut pas se retrouver dans des impasses ou dans des délais, il faut qu'on
soit capable de les développer en collaboration. Puis c'est ça que je voulais
vraiment dire. Dans le milieu de la recherche, les personnes qui sont
spécialistes des données développent plusieurs principes, qui sont les
principes FAIR, en anglais, de transparence, d'accessibilité, de réutilisation
des données, pour le bien public. Ce sont des principes qu'on devrait
probablement faire davantage vivre dans l'ensemble des organisations et dans
l'ensemble des missions qu'on veut… auxquelles on veut répondre, puis à ce
moment-là on saura que tout le monde respecte les mêmes règles.
Puis c'est là que je dis qu'il y a une
capacité à vraiment bonifier la façon dont on procède, y compris en
gouvernance, si on consulte et si on s'appuie sur des principes de recherche.
Emmanuelle, je ne sais pas si tu veux compléter.
Mme Lévesque (Emmanuelle) :
Oui, bien, je préciserais que l'actuelle situation où on voit qu'il y a un
mécanisme d'accès aux données pour la recherche dans le projet de loi
n° 95... et qu'on voit qu'il y a un mécanisme d'accès aux données pour la
recherche qui est différent dans le projet de loi n° 64 fait en sorte que,
pour les chercheurs, il y a une certaine dualité qui est difficile à opérer,
aussi, à comprendre, à s'adapter, à voir quels mécanismes, est-ce <que…
Mme Lévesque (Emmanuelle) :
...d'accès
aux données pour la recherche dans le projet de loi
n° 95 et qu'on voit qu'il y a un mécanisme d'accès aux données pour la
recherche, qui est différent dans le projet de loi n° 64, fait en sorte
que, pour les chercheurs, il y a une certaine dualité qui est difficile à
opérer, aussi à comprendre, à s'adapter, à voir quels mécanismes, est-ce >que
les deux existent.
Donc, quelque chose qui est bien fait pour
la recherche va éviter cette confrontation-là d'avoir des critères différents
selon les mécanismes utilisés puis va offrir vraiment une harmonisation des
conditions d'accès pour que les chercheurs et chercheuses aient toujours
quelque chose d'uniforme comme critères, peu importe à quelle porte ils vont
aller cogner pour avoir les données dont ils ont besoin.
M. Barrette : Donc, pour vous,
là, sur le plan quotidien, là, vous voyez un enjeu légal qui est causé par une
espèce de dichotomie, involontaire, j'en suis convaincu, entre 64 et 95.
Mme Jabet (Carole) : Vas-y,
Emmanuelle, c'est vraiment ton domaine.
Mme Lévesque (Emmanuelle) :
Oui, effectivement, parce que, dans le projet de loi n° 95,
actuellement, on voit qu'il y a... puis c'est vraiment prévu, là, qu'on peut
utiliser les données pour la recherche et le développement, on a prévu ça, on
voit qu'il y a un mécanisme d'accès qui passe avec un décret, qu'il y a des
conditions, et, en même temps, ce qu'on comprend, c'est que la Loi sur l'accès,
elle est là, elle est au-dessus de ce projet de loi là, et la Loi sur l'accès a
son propre mécanisme pour l'accès pour la recherche, les données qu'on utilise
pour la recherche qui proviennent des organismes publics. Donc, on se retrouve
pour... Devant les chercheurs... Si les textes ne changent pas, actuellement, il
y a vraiment une dualité, on a cohabitation de deux mécanismes, puis c'est vraiment
nécessaire d'avoir une clarification pour qu'on sache qu'est-ce que le
législateur entend, qu'est-ce qu'il souhaite prioriser, puis, ultimement, vraiment
viser une harmonisation.
Dans le projet de loi n° 64,
les représentations qui avaient été faites par le Fonds de recherche, c'était que
c'était en grande partie approprié et adéquat pour les chercheurs. Donc, l'idée
de revenir à un mécanisme avec ces conditions-là, c'est très, très approprié. Puis
ça évite aussi d'avoir... si on passe par décret, d'avoir peut-être des
conditions qui vont être moins standardisées, plus discrétionnaires, à des... On
ne veut pas avoir une situation où on va viser des projets particuliers de
recherche, mais on veut une situation où on va viser vraiment des conditions
générales pour tous les chercheurs et chercheuses du Québec, comme on a dans le
projet de loi n° 64.
M. Barrette : O.K. Bien, c'est
très important, évidemment. C'est noté, là, ce que vous venez de dire là. Mais
je comprends bien ce que vous voulez dire. Il y a un enjeu réel, là,
effectivement.
Je suis surpris, par exemple, que vous
préfériez 64, mais j'y reviendrai dans un instant. Bien, je suis surpris... Attention,
là, tu sais, c'est correct, là, mais je pensais que vous alliez en demander
plus encore, de liberté de l'accès. Allez-y...
Mme Jabet (Carole) : Je pense
que... Non, non, mais je pense que... Bien, c'est sûr qu'on veut de la liberté
d'accès. C'est... <dans...
M. Barrette : …mais j'y
reviendrai dans un instant…
Bien, je suis surpris, attention, là, tu
sais, c'est correct, là, mais je pensais que vous alliez en demander plus
encore, de liberté de l'accès. Allez-y...
Mme Jabet (Carole) :
Je pense que... Non, non, mais je pense que... Bien, c'est sûr qu'on veut de la
liberté d'accès. C'est >Dans un monde idéal, hein, on veut vraiment que,
quand il y a des sources de données, qu'elles soient des sources de données de
recherche ou des sources de données gouvernementales... qu'on puisse faire le maximum
d'analyse et d'exploitation avec ces données parce que les résultats qui vont
en découler sont des résultats qui font avancer non seulement les connaissances,
mais aussi l'innovation. Donc, c'est sûr qu'on veut ça.
Et je pourrais aller dans des exemples où
on ne veut pas se retrouver dans des situations où, parce que j'utilise un type
de données d'une source de données gouvernementales, bien, c'est un organisme
et juste cet organisme-là qui peut manipuler la donnée, puis, nous, chercheurs,
il faut qu'on attende après ça ou c'est juste cet organisme-là qui fait
l'arrimage des données qu'on a besoin de faire, parce qu'encore une fois on
mélange des données. Donc, on ne veut pas se retrouver dans cette situation.
C'est là qu'on a besoin d'agilité et de
flexibilité. En échange de cette agilité et cette flexibilité, ce qu'on dit,
c'est : On n'a pas de problème à se plier à des mécanismes de contrôle, à
des mécanismes d'audit, à des mécanismes qui viennent vraiment encadrer la façon
dont on travaille nos données. Donc, c'est l'idéal, pour nous. C'est l'idéal…
• (18 h 40) •
M. Barrette : Non, non, je
comprends très bien. Et, toujours pour le bénéfice de tout le monde, là, vous,
là, dépendamment du FRQ, parce qu'il y en a trois, évidemment, il y a plein de situations
où vous avez à croiser des données quantitatives et qualitatives en grande
quantité entre différentes sources. Et évidemment, là...
Mme Jabet (Carole) : Bien...
M. Barrette : Oui?
Mme Jabet (Carole) : ...
M. Barrette : Et évidemment, aujourd'hui,
là, quand vous arrivez à un projet de recherche qui croise beaucoup de
différentes sources, bien là, c'est un mur pour vous, là, c'est vraiment
compliqué, alors que, là, on veut le simplifier, là. Ça, c'est important pour
vous, là. C'est clair. Il faut que ce soit clair pour tout le monde que... S'il
y a un gain, il y a deux gains… bien, il y en a plus que deux, là, mais vous
avez deux fins. Il y a la quantité d'accès que vous pouvez avoir, qui, là, est
très limitée — moi, deux ans... je pense que vous auriez pu dire
trois ans dans certains cas, et ça aurait été vrai — et, de l'autre côté,
il y a, même si c'est court, la difficulté qui nous amène à deux ans parce
qu'on croise. Alors, c'est important, là, ça, là. On met le doigt sur quelque
chose, là.
Mme Jabet (Carole) : Vous
avez tout à fait raison. Puis on croise des données de sources différentes,
puis, ça, je pense que ça aussi, c'est très, très important. On peut...
M. Barrette : Oui, c'est ce
que je…
Mme Jabet (Carole) : C'est ça,
hein? Donc, oui, tout à fait d'accord.
M. Barrette : Et ça, ce qui
est dans 64, ça ne vous inquiète pas? Pour cet aspect-là, vous ne trouvez pas
que… Parce que, là, vous regardez 95 comme étant potentiellement un… pas un
double standard, là, <mais…
Mme Jabet (Carole) :
...important. On peut...
M. Barrette : Oui, c'est ce
que je…
Mme Jabet (Carole) :
C'est ça, hein? Donc, oui,
tout à fait
d'accord.
M. Barrette : Et ça, ce qui
est dans 64, ça ne vous inquiète pas? Pour cet aspect-là, vous ne trouvez pas
que… Parce que, là, vous regardez 95 comme étant potentiellement un… pas un
double standard, là, >mais une mécanique qui pourrait amener un frein
parce que c'est une deuxième chose, alors que 95, lui, par définition, veut le
faire, le croisement, certainement pour la recherche. On a eu plein de gens
aujourd'hui qui sont passés et qui ne veulent pas le faire, le croisement. Mais,
pour la recherche, écoutez, là, si 95 ne sert pas à ça, là, ne réussit pas à
régler ça, on n'a rien fait, là.
Mme Jabet (Carole) : Puis
donc tout à fait d'accord, ce croisement est absolument essentiel pour nous,
puis c'est le bénéfice qu'on y voit. La façon dont on lisait p.l. n° 64,
avec justement la notion d'avoir des responsables de renseignements personnels
qui soient mieux répartis auprès des différentes sources de données, nous
permettait de dire qu'on a peut-être un gain ici, pour justement croiser de la
donnée, parce qu'à ce moment-là on a des autorisations qui sont plus rapides.
Mais on serait certainement intéressés,
puis je vais laisser Emmanuelle compléter ma réponse, à voir quels sont... où
sont les autres enjeux qu'on pourrait avoir. Emmanuelle?
Mme Lévesque (Emmanuelle) :
Bien, sur le croisement des données, c'est certain que la science, aujourd'hui,
a vraiment besoin de faire ça, mais il y a des façons de le faire où on peut
protéger le plus possible les renseignements personnels. Donc, parfois, on
va...
Les chercheurs, maintenant, ils
travaillent en équipe, hein? Ce n'est plus des chercheurs tout seuls dans leur
bureau. Donc, ce sont de vastes équipes de recherche qui ne sont pas nécessairement
toutes situées dans la même université, le même collège. Donc, les gens sont
distribués un peu partout et doivent évidemment s'échanger des informations
pour avancer la recherche.
Donc, quand on veut faire du croisement de
données entre deux sources, mais qu'on veut protéger au maximum les individus,
on peut envoyer les données à un chercheur, dans un organisme public, qui, lui,
va effectuer le croisement, va créer son nouveau jeu de données, et, par la
suite, il peut rendre ça anonyme, d'une façon où il peut partager avec ses collègues
des renseignements qui, maintenant, sont anonymes mais ont quand même croisé
deux banques de données. Puis ça peut sortir de l'organisme public avec des
mesures de protection exemplaires pour s'assurer qu'on a toujours le même
niveau de protection. On peut même penser à sortir aussi de la juridiction
québécoise. La loi prévoit qu'on doit évidemment toujours avoir une protection
suffisante.
Donc, il y a des moyens de faire ça pour
que ce soit sécuritaire aussi, mais qu'on n'empêche pas le croisement de
données. Puis c'est important que le croisement de données puisse être fait par
le chercheur lui-même, qu'on sorte la donnée de l'organisme et qu'on ne
permette pas uniquement les situations où c'est l'organisme public qui fait
lui-même le croisement et qui l'envoie parce qu'il y a des situations où c'est
tout à fait <inapproprié...
Mme Lévesque (Emmanuelle) :
…de données.
Puis c'est important que le croisement de données puisse
être fait par le chercheur lui-même, qu'on sorte la donnée de l'organisme et
qu'on ne permette pas uniquement les situations où c'est l'organisme public qui
fait lui-même le croisement et qui l'envoie, parce qu'il y a des situations où
c'est tout à fait >inapproprié.
Le chercheur, par exemple, peut avoir une
base de données qu'il a bâtie depuis de nombreuses années puis il veut rajouter
une information de plus qui vient d'un organisme public. Il doit lui-même faire
le croisement des données, sinon il ne peut pas continuer d'enrichir sa banque
de données, qui est très précieuse, qui suit des gens depuis longtemps, qui
apporte des réponses importantes. Donc, c'est important que ces mécanismes-là
soient tous possibles.
Et, dans le projet de loi n° 64, il y
a des conditions en place pour vérifier : Est-ce qu'on a vraiment besoin
d'envoyer des renseignements personnels? Est-ce qu'on a besoin de faire telle
chose avec? Donc, c'est certain qu'on met toujours le plus de protection
possible. Puis, à partir du moment où on n'a plus besoin d'avoir le renseignement
sous une forme qui permet d'identifier les gens, bien, évidemment, le
renseignement est transformé comme ça, puis on continue de l'utiliser.
M. Barrette : M. le Président?
Le Président (M. Simard) :
Oui?
M. Barrette : Il me reste
combien de temps?
Le Président (M. Simard) :
10 secondes, cher ami.
M. Barrette : Bien, merci
beaucoup. Puis j'espère vraiment qu'on va aller au bout de ça pour vous
permettre de fonctionner à la hauteur de ce qui se fait sur la planète, parce
que, des bons chercheurs, au Québec, il y en a, et nos bases de données sont
excellentes mais mal utilisées.
Le Président (M. Simard) :
Merci. Je cède maintenant la parole au député de Rosemont, qui dispose de
4 min 25 sec.
M. Marissal : Oui. Merci, M.
le Président. Mme Jabet, Mme Lévesque, merci d'être là. On va finir
comme ça. On n'est pas personne, je pense, ici, contre la recherche, là,
surtout si elle sert le bien public, mais vous comprendrez que, moi, mon
problème avec ça, là, c'est de la façon dont ça a été présenté. C'est peut-être
que ça a été juste mal présenté. Peut-être que ça cache autre chose aussi. Je
n'ai pas de… Je n'ai pas de… Je ne suis pas complotiste, là, rassurez-vous, là,
mais ça a été dit notamment par le ministre de l'Économie et de l'Innovation,
qui est responsable aussi, là, notamment, du Scientifique en chef, que c'est
une mine d'or, qu'on va donner ça aux Big Pharma puis que ça va être
extraordinaire. Ça va être «winner», même. C'était ça, l'expression. Bon, ça,
c'est la politique entre nous et lui, là, puis on pose des questions là-dessus.
Mais, vous, là, quand vous dites qu'il
manque, par exemple, le mot «académique», là, dans la loi — moi, je
suis prêt à explorer ça, là — ça veut dire quoi? Ça exclut quoi? Puis
vous en faites quoi de la mine d'or «winner» pour les Big Pharma? Parce que les
gens sont en droit de poser des questions, puis vous êtes en droit de demander
d'avoir un meilleur accès. Mais je repose la question, donc : Vous en êtes
où là-dessus, vous? Merci.
Mme Jabet (Carole) : Merci
pour la question, M. le député. Nous, notre organisme a pour fonction de
soutenir la recherche académique et la capacité de recherche académique dans
nos établissements <publics…
M. Marissal : …merci.
Mme Jabet (Carole) :
Merci pour la question, M. le député. Nous, notre organisme a pour
fonction de soutenir la recherche académique et la capacité de recherche
académique dans nos établissements >publics. Donc, c'est vraiment ce sur
quoi on se concentre. Et ce qui nous préoccupe beaucoup, c'est tout l'échange
qu'on vient d'avoir, de s'assurer que cette recherche académique a les
meilleurs outils possible pour développer la connaissance et l'innovation.
En ce qui concerne la recherche... ou
l'accès aux données pour de la recherche faite avec l'entreprise privée,
personne n'est sans savoir que le débat est un débat qui est complexe. Alors,
il y a des choses, par contre, sur lesquelles on est assez clairs, au Fonds de
recherche. Une donnée ne se vend pas. C'est un vocabulaire qu'on entend souvent.
Ce n'est pas quelque chose qui est perçu de cette façon-là, utilisé de cette
façon-là. Donc, ça, déjà, moi, je ne voudrais pas rentrer dans ce débat d'aller
vendre les données. Ce n'est certainement pas dans cet esprit-là qu'on
développe notre recherche.
Maintenant, est-ce qu'on peut collaborer
avec le secteur privé? On a beaucoup de recherche au Québec qui se fait en
partenariat public-privé, puis qui se fait bien, puis qui est encadrée, qui est
encadrée par des contrats dont on connaît les tenants, les aboutissants puis
les obligations des différentes parties.
En ce qui concerne les données, la
question est vaste. Elle a des enjeux juridiques, légaux, éthiques. Devant ce
constat-là, ce qui a été fait, c'est que le Scientifique en chef a confié mandat
à la commission d'éthique, science et technologie de nous aiguiller sur cette
réponse.
• (18 h 50) •
M. Marissal : Je vous arrête
juste une seconde là-dessus, Mme Jabet. Ça nous a été dit. C'est parce que
ça nous a été dit tout à l'heure. Je ne veux tellement pas être impoli, là...
Mme Jabet (Carole) : O.K.,
O.K. Pas de problème.
M. Marissal : ...puis
grossier, mais je n'ai tellement pas de temps. Je suis obligé quand même de… Je
voudrais juste vous spécifier que le ministre de l'Économie n'a jamais dit :
Vendre les données. Il a toujours dit : Donner les renseignements
personnels notamment contenus dans les fichiers de la RAMQ. Je ne suis pas sûr
que c'est beaucoup mieux, là. Bon, ça enlève la valeur marchande de la chose, mais,
à la fin, ça sert les pharmaceutiques ou la population?
Mme Jabet (Carole) : O.K.
Puis je ne mettais pas le mot «vendre» dans la bouche du ministre mais
davantage dans ce qu'on peut entendre dans le secteur général.
Je pense que les données, ça doit servir
l'ensemble des gens qui développent de la connaissance et puis de l'innovation.
Puis, en ce qui concerne l'accès aux
données par le secteur privé, je pense que, l'ensemble des législateurs, vous,
les députés, êtes dans une position où vous allez, à un moment donné, décider
qu'est-ce qui est faisable, pas faisable, éclairés par la position que des
fonds peuvent avoir et notamment par le rapport qu'on aura de la CEST.
Encore une fois, moi, je reviendrais…
Le Président (M. Simard) :
Très <bien…
Mme Jabet (Carole) :
...des législateurs, vous, les députés, êtes dans une position où vous allez, à
un moment donné, décider qu'est-ce qui est faisable, pas faisable, éclairés par
la position que des fonds peuvent avoir et notamment par le rapport qu'on aura
de la CESTV.
Encore une fois, moi, je reviendrais…
Le Président (M. Simard) :
Très >bien.
Mme Jabet (Carole) : ...sur
le fait que c'est ça dont on a besoin.
Le Président (M. Simard) : Merci
beaucoup.
M. Marissal : Merci.
Le Président (M. Simard) : Alors,
cela met fin à notre période d'échange. Alors, Mme Jabet, Mme Lévesque,
toutes deux du Fonds de recherche du Québec, merci de votre présence parmi nous
ce soir.
Sur ce, compte tenu de l'heure, nous
allons ajourner nos travaux. Et on se donne rendez-vous demain, le mercredi 26,
après les affaires courantes. Au revoir.
(Fin de la séance à 18 h 52)