(Douze heures douze minutes)
Le
Président (M. Bachand) : À l'ordre, s'il vous plaît! Bienvenue. Ayant constaté le quorum, je
déclare la séance de la Commission des institutions ouverte. Je vous souhaite, bien sûr,
la bienvenue encore une fois. Et je demande à toutes les personnes
présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils
électroniques.
La commission
est réunie afin de poursuivre les audiences publiques dans le cadre des consultations particulières sur le projet
de loi n° 64,
Loi modernisant des
dispositions législatives en matière de protection des renseignements
personnels.
Avant de débuter, Mme la secrétaire, y a-t-il
des remplacements?
La
Secrétaire : Oui, M. le Président. M. Fontecilla
(Laurier-Dorion) sera remplacé par M. Nadeau-Dubois (Gouin) et
M. LeBel (Rimouski), par M. Ouellet (René-Lévesque).
Le Président (M.
Bachand) : Également, est-ce qu'il y a des droits de vote par
procuration?
La
Secrétaire : Oui, M. le Président. M. Lafrenière (Vachon)
pourra voter pour Mme Lachance (Bellechasse) et Mme Lecours
(Les Plaines).
Auditions (suite)
Le
Président (M. Bachand) :
Merci beaucoup. Ce midi, nous allons entendre la Ligue des droits et libertés.
Alors, je vous souhaite la bienvenue. Un
très grand plaisir de vous avoir avec nous ce midi. Alors, comme vous savez,
vous avez 10 minutes de présentation, et après on aura un échange
avec les membres. Alors, je vous invite à prendre la parole d'abord en vous
identifiant. Merci beaucoup.
Ligue des droits et libertés
Mme Pineau
(Anne) : Oui, merci, M. le
Président. Anne Pineau, je suis membre la Ligue des droits et libertés,
et mon collègue, Dominique Peschard, qui
siège au conseil d'administration de la Ligue des droits et libertés. Je peux
enchaîner?
Le Président (M.
Bachand) : S'il vous plaît.
Mme Pineau (Anne) : Donc, merci pour
cette invitation à commenter le projet de loi n° 64.
Il va sans dire que les lois d'accès à
l'information et la Loi sur la protection des renseignements personnels dans le
secteur privé, qui remontent aux
années 80, 90, ont un urgent besoin de mise à jour. Tout le monde en
convient. C'est des lois qui ont été adoptées avant l'ère numérique,
avant Internet, avant Google, avant Facebook. Donc, une mise à jour, c'est
certain, c'est essentiel.
Mais le
projet de loi n° 64 introduit plusieurs éléments du Règlement
général sur la protection des données, le règlement européen, comme la
portabilité, l'effacement, le déréférencement, le profilage, le traitement
automatisé de décision. C'est des concepts encore peu ou pas débattus dans le
grand public au Québec, alors qu'ils font l'objet de discussions depuis au moins
2012 en Europe.
On modifie
tant la loi d'accès que la loi privée. On modifie aussi 19 autres lois,
notamment la Loi électorale. Donc, c'est
énormément, c'est beaucoup pour un seul projet de loi. Et il nous semble
impossible, à nous comme aux parlementaires, d'approfondir l'ensemble de ces questions dans le cadre d'un projet de
loi de 60 pages et d'une commission parlementaire d'à peine quelques jours. Il est urgent de
réformer les lois, mais il faut le faire correctement, sans précipitation et au
terme d'une réflexion impliquant l'ensemble de la société. Et, en même
temps que c'est trop, on trouve que c'est trop peu dans la mesure où le projet de loi omet toute la
question des enjeux collectifs attachés à l'industrie ou l'économie de
données.
Maintenant,
j'enchaîne avec le consentement. La ligue rejette l'idée d'un consentement
implicite et favorise le modèle du consentement actif, «opt-in». Les
lois de protection des données devraient aussi énoncer clairement qu'un renseignement qui n'est pas nécessaire ne peut être recueilli même avec le
consentement de la personne concernée. Par son projet de loi, le
gouvernement dit vouloir redonner aux citoyens le plein contrôle de leurs
renseignements.
Pourtant, il
libéralise l'utilisation et la communication des données personnelles sans
consentement des personnes, ce que
nous déplorons. Il permettra l'utilisation d'un renseignement sans consentement
à des fins compatibles avec celles pour
lesquelles il a été recueilli, lorsque c'est manifestement au bénéfice de la personne,
à des fins d'étude, de recherche si dépersonnalisé.
La communication,
elle, sera autorisée sans consentement dans le cadre d'une transaction
commerciale, d'un incident de
confidentialité, si cette communication est nécessaire à l'exercice d'un mandat
ou à l'exécution d'un contrat d'entreprise ou au bénéfice d'un conjoint ou d'un
proche parent décédé. Il permet, en outre, l'échange de renseignements sans consentement entre organismes publics. Tous
ces changements contredisent l'idée même d'un meilleur contrôle du
citoyen sur ses renseignements.
Destruction ou
anonymisation. Le consentement est en lien avec une fin précise. Une fois
celle-ci réalisée, le renseignement doit
être détruit. Le projet de loi altère substantiellement ce principe de base en
permettant de conserver indéfiniment un renseignement en l'anonymisant.
Nous nous opposons à un tel changement. À quelles nouvelles fins seraient utilisées ces données? Seraient-elles
vendues, utilisées par leurs dépositaires ou par des tiers pour des recherches
de toutes sortes? Cela apparaît d'autant plus inadmissible que l'anonymisation
est un procédé faillible.
Profilage.
Le projet de loi introduit quelques éléments de transparence dans l'utilisation
de technologies permettant d'identifier,
de localiser ou de profiler les individus. C'est bien. On informe les gens. Il
faut aller plus loin, selon nous, et s'assurer que ces systèmes seront
désactivés par défaut et ne fonctionneront qu'avec le consentement de la
personne concernée. Il faut aussi interdire le profilage discriminatoire.
Quant aux décisions
fondées sur un traitement automatisé, il était essentiel de pouvoir s'opposer à
ce type de traitement là et d'assurer aux gens qui y seront... qui accepteront
de s'y prêter un droit de contestation.
Études,
recherches et statistiques. Actuellement, la communication de renseignements à des fins d'études est sous contrôle de la CAI. On abolit cette permission-là,
ce pouvoir d'autoriser, pour le remplacer par un modèle d'entente entre
l'organisme et le chercheur, et, là aussi on s'objecte à cette modification. On
veut que le rôle de la CAI soit préservé.
Notification
obligatoire d'incident de confidentialité. Il y a beaucoup de très bons éléments là-dedans. On hausse de façon importante
les sanctions pénales. On ajoute des sanctions administratives, un pouvoir d'ordonnance provisoire. Mais ça répond quand même en partie seulement au
problème dans la mesure où ça laisse sans indemnisation les personnes
qui sont victimes de fuites et de vol
d'identité. Alors, on suggère qu'on envisage des méthodes d'indemnisation pour
les gens qui sont victimes de fuites de renseignements. Dominique.
• (12 h 20) •
M. Peschard (Dominique) : Oui. Une autre préoccupation que l'on a face aux
renseignements personnels, c'est la décision
récente du gouvernement de faire appel au secteur privé pour la gestion de
données d'organismes publics et de ministères. On pense que cela
comporte des risques pour des renseignements qui sont très sensibles. Ces
risques sont particulièrement élevés si les entreprises en question sont
étrangères.
La protection, dans
le projet de loi, c'est que ce serait protégé par une entente contractuelle.
Or, ces ententes contractuelles n'ont aucune
valeur face à des lois nationales d'autres pays, en particulier aux États-Unis,
qui seraient, un lieu privilégié,
compte tenu des entreprises, pour ce genre d'opération. Avec les lois
américaines, le CLOUD Act, le PATRIOT Act, et tout ça, le gouvernement
américain peut saisir n'importe quelle donnée que détient une de ces compagnies
dans le plus grand secret.
Une
autre préoccupation en termes de protection de la vie privée, c'est le
développement des technologies biométriques,
en particulier de la reconnaissance faciale. C'est une technologie qui est
extrêmement abusive, sur laquelle il
y a présentement peu de contrôle, comme l'ont démontré l'expérience de
Clearview et le fait que les forces policières, malgré des... sont très
peu transparentes, par exemple, sur l'utilisation de cette technologie.
Les
commissaires à la vie privée du Canada et de plusieurs provinces, d'ailleurs,
se penchent là-dessus parce qu'ils jugent que c'est très important.
Alors, nous, en attendant d'avoir des balises claires et des... pour contrôler
l'usage de cette technologie, nous demandons qu'il y ait un moratoire sur
l'utilisation de la reconnaissance faciale.
Le
projet de loi aborde aussi la question du déférencement et du droit à l'oubli.
C'est une question très... assez complexe,
et les délais de ce projet de loi, là, de consultations, ne permettent pas
d'aborder correctement cette question. Ce n'est pas juste une question individuelle, des préjudices de
l'information que... des informations... des préjudices qu'un individu pourrait avoir face à des informations
dans les... publiques. C'est aussi... Ça concerne le droit à
l'information en général, la liberté d'expression. Et donc nous n'avons pas de
position... Nous n'avons pas eu le temps d'élaborer une position complète sur
cette question-là.
Cependant,
nous sommes fermement opposés à ce
que la décision de retirer des informations du domaine public soit laissée aux entreprises comme Google et
Facebook, qui n'ont aucun compte à rendre au public sur la manière dont
elles prennent ces décisions. Pour
l'instant, on serait prêts à admettre qu'un droit à l'oubli devrait être
accordé aux enfants. On pourra revenir là-dessus à la période des
questions.
Finalement, et c'est
peut-être le point principal, c'est que le projet de loi passe à côté peut-être
de ce qui est l'essentiel dans la
conjoncture présente. Le problème de la protection des renseignements
personnels, vie privée, ce n'est plus
un problème de protéger l'individu dans une relation contractuelle avec une
entité publique ou privée, comme ça pouvait
l'être dans les années 80. On est passés à une société où les entreprises
privées ont... des grandes entreprises privées ont établi un système de surveillance des populations et où tous les
objets, téléphones, objets connectés, etc., servent à amasser des
données sur tous les aspects de notre vie.
Et
ces données sont ensuite utilisées dans des algorithmes qui sont tout à fait
opaques pour profiler et cibler des populations. Elles sont aussi
utilisées dans un... à des fins de contrôle béhavioral comme... et pas seulement
dans le domaine de la consommation. On l'a
vu, avec l'affaire Cambridge Analytica, comment ce genre de système pouvait
être utilisé pour manipuler des électeurs et influencer le résultat
d'élections.
Donc,
il y a là des enjeux collectifs qui dépassent le cadre des discussions qu'on
avait habituellement autour de la vie privée, renseignements personnels,
il y a 30 ans. Il y a ici des enjeux collectifs. Il faut discuter des
actions de ces grandes corporations par
rapport... dans le domaine des données. Il faut exiger de la transparence dans
l'utilisation des algorithmes, et qui sont utilisés pour faire ce genre
d'opération.
Alors,
on pense que, malheureusement, le projet
de loi n° 64 puis le cadre de la
consultation ne permettent pas d'aborder
correctement ces grands enjeux de société et de démocratie qui sont causés
présentement par ces pratiques et cet état de fait. Merci.
Le Président (M.
Bachand) : Merci beaucoup pour votre exposé. M. le ministre,
s'il vous plaît.
M.
Jolin-Barrette : ...M. le
Président. Madame, monsieur, bonjour. Merci d'être présents en commission
parlementaire aujourd'hui.
J'aimerais
qu'on revienne sur la question du consentement. Vous, vous souhaitez
véritablement, là, un consentement individualisé,
si je peux dire. Et puis, à chaque fois qu'on partage une donnée personnelle,
il faudrait consentir. Il y a
des groupes, hier, qui sont venus nous
dire : Bien, on devrait avoir soit des consentements en bloc ou pas
nécessairement des consentements sur
chacune des données qui sont transmises. On parlait d'un préjudice à la donnée,
supposons, à catégoriser l'importance
de la donnée. Qu'est-ce que vous pensez, là, de tout ça, là? Parce que, les
intervenants qu'on a entendus hier, ils sont à un bout du spectre, et
vous, vous êtes à l'autre bout du spectre. Alors, je voudrais vous entendre
là-dessus.
Mme Pineau
(Anne) : Merci. On comprend,
là, que, dans le projet de loi, on ajoute la notion, là, de renseignements sensibles, qui était déjà prévue à la loi, à des fins, là, de sécurité des
données. Donc, on avait des obligations
éventuellement plus grandes en fonction de
la sensibilité du renseignement. Ici, donc, on veut distinguer des types de
renseignements, renseignements sensibles
puis les autres, mais le problème, c'est qu'on parle d'un consentement qui doit
être manifeste, et on vient nous dire
que, dans le cas du renseignement sensible, il faut qu'il soit exprès, et, de
ça, on peut tirer l'idée qu'il pourrait y avoir des consentements
implicites, manifestement implicites ou...
En tout cas,
on trouve qu'on ouvre la porte à cette sphère de consentement qui soit plus ou
moins démontrable. Et un des exemples qu'on donne ici... Si vous
naviguez sur Internet et que vous aboutissez sur un site que vous voulez
consulter, on va souvent vous dire, et on le voit de plus en plus : Si
vous continuez sur ce site, nous collecterons des données. Et, de plus en plus, ce qu'on voit, c'est «accepter», et sinon
c'est écrit en dessous «paramétrer» ou ça va être écrit — encore plus, disons, difficile à
comprendre — «en
savoir plus». Alors, vous cliquez sur «en savoir plus», et là vous avez
la liste de tout ce qui est collecté, et là on va vous demander si vous refusez
ou si vous acceptez.
Or, on est
dans un système où, si vous n'avez pas fait ça, si vous n'êtes pas allé voir
«en savoir plus», vous allez vous ramasser avec plein de données qui
vont être collectées. Vous ne serez pas allés voir derrière ça. Et ce qu'on
estime nécessaire, c'est d'inverser ce processus-là, c'est de dire : Pour
ce qui n'est pas nécessaire, par défaut, si je continue sur ce site, vous ne devriez pas collecter aucune autre donnée,
à moins que moi, j'accepte d'aller cocher que, oui, ça, ça va, ça, ça va, profilage ou... C'est dans cette optique-là
qu'on parle d'un système où, par défaut... et qui semble rejoindre l'article 9.1 qu'on intégrerait à
la loi privée, qui est de concevoir des systèmes qui prévoient une
confidentialité par défaut. Alors, je ne sais pas si ça répond à votre
question.
M. Jolin-Barrette : Donc, on change le paradigme. Vous êtes en faveur de changer le paradigme pour
dire : On ne récolte pas de
données, puis, si on en récolte... Le principe général, c'est : On ne
récolte pas de données. Ça va en opposition complètement avec ce qu'on
nous disait hier, et on nous disait : Bien, écoutez, on va récolter des
données puis, lorsque ça sera nécessaire, on va demander le consentement
ou on va l'avoir par bloc. Donc, je comprends que c'est à l'opposé.
Restons un
peu dans ce domaine-là, là. Vous avez abordé la question du droit à l'oubli, notamment
avec les moteurs de recherche importants. Comment est-ce qu'on devrait
l'encadrer adéquatement, là, ce droit à l'oubli là, ce droit au déférencement?
M.
Peschard (Dominique) : Bien,
premièrement, on peut concevoir que... Bon, on distinguerait,
premièrement, la situation des enfants et des mineurs... Puis là ça reste à déterminer éventuellement,
une limite d'âge où le droit à l'oubli devrait
être reconnu de facto. On conçoit que des jeunes sont des personnes en
évolution qui n'ont pas la même responsabilité
par rapport à des gestes ou des paroles qu'ils ont posés que des adultes, c'est
reconnu dans d'autres domaines du
droit, donc, qui ne devraient pas... Un individu ne devrait pas traîner toute
sa vie le stigmate de choses qu'il aurait pu faire dans sa jeunesse.
Bon, l'autre...
Maintenant, pour des personnes adultes, on est... Bon, je répète ce que j'ai
dit tantôt. On n'a pas eu le temps,
compte tenu des délais, à la Ligue des droits et libertés, de prendre une
position globale sur toute cette question-là, qui, comme je l'ai dit
tantôt, est très complexe. Ce qu'on peut dire pour l'instant, c'est qu'on
trouve... on est... très problématique,
c'est le moins qu'on puisse dire, que l'on confie aux entreprises qui
accumulent toutes ces données-là et les
rendent disponibles le soin de décider qu'est-ce qui va être retiré sur la
simple demande d'une personne. Ces entreprises n'ont pas l'intérêt public à coeur, c'est leurs propres intérêts. Elles veulent
se faciliter la vie. Le plus simple, c'est de retirer l'information si
ça leur pose des difficultés.
Alors, nous,
on... S'il y a un mécanisme éventuel
pour retirer des informations, il faut qu'il y ait des balises claires
et il faut qu'il y ait des instances qui
sont habilitées, en fonction de l'intérêt public, à décider ce qui peut être
retiré ou pas. Et c'est tout ce débat-là qu'on n'a pas eu le temps de
faire dans le cadre du projet de loi qui nous est présenté puis des délais qui
sont impartis.
• (12 h 30) •
M. Jolin-Barrette : Je comprends que
vous n'avez pas eu le temps de faire le débat, mais je voudrais juste comprendre, là. Sur votre dernière intervention,
vous dites : Nous, on a une crainte que, lorsqu'il y a une demande de
retrait, de droit à l'oubli qui est formulée
par une personne physique... que l'entreprise ou le moteur de recherche dise :
Bien, moi, O.K.,
vous faites une demande, donc j'enlève tout. Donc, vous craignez qu'il y ait
une disparition de l'ensemble des informations. Est-ce que c'est bien
ça?
M. Peschard (Dominique) :
Effectivement, on pense que ces entreprises-là sont devenues les instruments d'information de la population. On voit bien la difficulté qu'ont les médias
traditionnels à faire concurrence... Donc, de leur laisser le soin de
décider qu'est-ce qui va être retiré ou pas, on trouve cela très problématique.
M. Jolin-Barrette : Le rôle de la
Commission d'accès à l'information, comment le voyez-vous?
M. Peschard (Dominique) : Pour...
M. Jolin-Barrette : À la recommandation que vous avez dans votre
mémoire, vous souhaitez vraiment, je crois, lui confier davantage de
pouvoirs de surveillance. Vous souhaitez véritablement qu'elle soit renforcée.
M. Peschard (Dominique) : Oui.
M. Jolin-Barrette : O.K., de quelle manière? Est-ce que les
dispositions qu'on a dans le projet de loi sont à votre satisfaction ou
vous voulez qu'on aille encore plus loin?
Mme Pineau
(Anne) : Merci. Bien, une
chose essentielle pour nous, c'est toute la question de la
supervisation des demandes de recherche,
études et statistiques. Le pouvoir d'autorisation de la Commission d'accès à l'information, selon nous,
doit être conservé. On comprend qu'il
y a des critiques qui ont été émises
par des chercheurs, notamment, à cause des délais que pouvait prendre la commission à autoriser des demandes de recherche. Et on est
très conscients qu'effectivement des
délais de plus d'un an, c'est sans doute inadmissible, mais je pense qu'il y a
des modifications qu'il est possible d'apporter.
Depuis 2002, déjà, la
Commission d'accès avait évoqué l'idée qu'on en vienne à un
guichet unique en matière de demandes de recherche, études, statistiques.
C'est-à-dire qu'actuellement le procédé consiste à faire une demande d'autorisation à la commission, mais ensuite l'organisme intervient aussi, ce
qui allonge de beaucoup les délais, d'autant que l'organisme peut refuser, qu'il bénéficie d'une discrétion.
Ensuite, il y a une partie des délais qui sont dus au
temps que va prendre l'organisme pour extraire les données. Donc, je pense
qu'on peut jouer sur ces variables-là, mettre plus de financement pour assurer qu'il
y ait la supervision de la commission,
mais... Donc, ça, pour nous, ça demeure un outil important, qu'il y ait
une supervision de ce qui est permis comme donner des renseignements personnels nominatifs à des fins de recherche.
Maintenant,
pour ce qui est de ce que prévoit le projet
de loi, on le dit, on est très
contents qu'il y ait des pouvoirs d'ordonnance
provisoire qui soient accordés à la commission. Qu'il y ait des pouvoirs, pour la commission, d'entreprendre elle-même des poursuites pénales, c'est un
avancement. C'est important aussi qu'on ait aussi les sanctions pénales,
qu'on prévoie aussi des sanctions administratives, des pouvoirs aussi
d'intervention, là, dans un cas de fuite ou d'incident de confidentialité. Donc, il y a des bons éléments, mais on ne doit pas,
selon nous, retirer l'aspect autorisation en matière de recherche.
M. Jolin-Barrette : Bien, je vous
remercie. M. le Président, je pense, je vais céder la parole à mes collègues
qui veulent intervenir.
Le Président (M.
Bachand) : M. le député de Vachon.
M.
Lafrenière : Merci beaucoup. Merci pour votre présentation. Je vais
vous avouer, je vais faire du pouce sur l'intervention du ministre tout à l'heure, je suis un petit peu surpris
pour le déréférencement. Puis là je vais y aller dans le pointu un peu. Présentement, on est sur une
commission spéciale sur l'exploitation sexuelle de mineurs. On a traité
aussi le volet adulte. Et je dois vous
avouer que nous, on voyait ça très positivement, la capacité, pour des
victimes, de retirer des vidéos qui ont été référencés, exemple, sur
YouTube ou des endroits comme ça.
Alors, je
comprends votre position. J'ai bien entendu ce que vous avez dit tout à
l'heure. Vous comprenez pourquoi j'étais
surpris, cependant, parce que je voyais ça vraiment comme une possibilité
incroyable, pour nos victimes, pour faire en sorte que ces vidéos-là qui
les hantent longtemps... Tantôt, vous avez fait référence à des mineurs. Je
vous dirais qu'il y a même des adultes pour
qui ces vidéos-là restent dans le temps, et ça devenait difficile pour elles de
les faire retirer.
Ça fait que
je sais que vous nous avez dit tout à l'heure que vous n'avez pas vraiment eu
la capacité ou le temps de faire
votre recherche là-dessus. Je veux vous avouer, bien honnêtement, j'ai été
surpris de votre commentaire. Là, je le comprends un peu mieux, mais j'ai été surpris. Mais vous ne trouvez pas
que, pour des victimes, même, adultes, c'est une capacité de justement
retirer ce qui peut leur nuire pendant très longtemps...
Mme Pineau
(Anne) : Si vous me...
merci. Écoutez, il faut voir que, justement, ça met en lumière la
complexité de la question. Vous avez tout un
mouvement qui a eu lieu cet été, de dénonciation d'agressions, #metoo. Ça
aussi, il y a des gens qui estiment
qui sont victimes d'une atteinte à la réputation dans ce contexte-là, et ils
pourraient s'adresser... utiliser ce mécanisme-là pour faire cesser les
vagues de dénonciation.
Donc, vous
voyez qu'il n'y a pas qu'un seul côté de la médaille. Et c'est ce pour quoi on
estime que c'est un débat essentiel. C'est un débat qui porte sur la
liberté d'expression et aussi sur le droit à la vie privée et la dignité. Il y
a des enjeux énormes.
Et on estime qu'il faut entendre tous les points de vue pour se faire une idée
correcte de la situation avant de
décider qu'on importe totalement ce modèle-là ici. Et c'est ça que ne permet
pas actuellement le dépôt d'un projet de loi. Vous avez tellement de matières et des choses complexes, des choses qui sont discutées en Europe depuis au moins
2012, et, tout à coup, on nous dit : Bien,
voilà... Puis on est dans un cadre de commission particulière. Ce n'est même
pas une commission générale où les gens pourraient tous venir
dire : Non, mais voici comment...
Donc, on comprend tout à fait ce que vous dites,
et c'est ce pour quoi on ne ferme pas la porte. Nous, on dit : Prenons le temps de faire ce débat-là à fond,
d'entendre tous les points de vue, et on se positionnera à ce moment-là. Mais, pour le moment, ce
n'était pas possible pour nous, parce qu'il ne faut pas oublier qu'il y en a
aussi, de la dénonciation du côté des...
M.
Lafrenière : Mais vous
comprenez aussi mon point de vue que, dans cette commission-là, on a entendu
des gens, on a entendu des choses horribles.
Et le déréférencement, c'est une chose. Le droit à l'oubli, du côté européen,
c'est une chose complètement différente. On va beaucoup plus loin. Mais, pour ces victimes-là, elles se
rattachaient sur cette possibilité-là d'un jour faire cesser l'intimidation qui est
faite aussi par les vidéos, parce qu'il faut comprendre que, pour des proxénètes, utiliser ces vidéos-là, de faire
chanter les victimes en disant : On va les rendre publics, bien qu'elles
soient adultes, ce sont des conséquences qui
sont incroyables. Ça fait que j'entends votre point de vue. Je pense que vous
comprenez le mien aussi.
Mme Pineau
(Anne) : Oui, si je peux me
permettre, c'est sûr aussi que, bon, il y a quand même tout un
arsenal d'autres actions possibles, là. Il y
a des recours au niveau civil. Il y a des recours au niveau même de la
rectification de dossiers. Il y a des
recours aussi au niveau criminel. Donc, c'est tout ça qu'il faut mettre en
balance pour voir quelle est la meilleure solution, et c'est pour ça
qu'on n'estimait pas possible de...
Le Président (M.
Bachand) : M. le député de Vachon, oui.
M.
Lafrenière : Juste sur ce
que vous venez de dire très précisément, j'ai fait des démarches avec YouTube.
Après trois ans, je n'ai toujours
pas eu de réponse. Ça fait que juste vous dire... Peut-être que ça existe, mais,
dans les faits, ça ne s'applique pas beaucoup. Merci beaucoup de votre
témoignage aujourd'hui.
Le Président (M.
Bachand) : M. le député de Saint-Jean,
s'il vous plaît.
M. Lemieux : Merci beaucoup, M. le
Président. Pour combien de temps encore?
Le Président (M.
Bachand) : Deux petites minutes.
M.
Lemieux : Oupelaïe! D'accord, merci. Mme Pineau, vous... Je
trouve la formule très belle : C'est trop, et c'est trop peu, mais
encore...
Parlons
justement de ce qui se passe en Europe, ce qui s'est décidé en Europe et des
lois qui ont été adoptées en Europe.
Je vous amène à la page 15 de votre mémoire, point 6 :
«Communication de renseignements personnels à l'extérieur du Québec.» Je fais la parenthèse pour dire que je comprends
très bien vos réserves par rapport à l'hébergement des données au Québec, là, nuagique,
éventuellement, mais, nonobstant ce problème-là que vous identifiez, pour ce
qui est des communications de renseignements
personnels à l'extérieur du Québec, il me semble que ce n'est pas une
copie conforme, mais ça va dans le sens et
dans l'esprit de ce qui n'est pas juste discuté, mais décidé en Europe aussi.
Là-dessus, vous êtes d'accord, sauf, comme je le disais, sur où on
héberge quoi, là.
Mme Pineau
(Anne) : Bien, si je peux me
permettre, effectivement, il faut voir que le modèle du régime juridique équivalent... Quand on
sait que les gros joueurs, pour faire du «cloud» ou, tu sais, du stockage
nuagique, c'est des entreprises américaines,
bien, je veux dire, les craintes qu'on entretient quant au fait qu'on va
utiliser des entreprises qui vont
être assujetties aux lois américaines... et là l'Europe vient de dire :
Bien, le bouclier, oubliez ça, là, ça ne fonctionne plus.
• (12 h 40) •
M.
Lemieux : Ce que j'essayais
de dire, c'est qu'on est plus du côté européen de la vision et de la façon de
faire. Pour le reste, ce n'est pas un autre
débat, mais c'est un débat parallèle, disons-le comme ça. Et je voulais vous
demander aussi... Par rapport à cette vision de ce tiers pays sûr, appelons-le comme ça, là, par rapport aux données personnelles, c'est une belle analogie que vous faites, d'ailleurs, là-dedans,
ce n'est pas évident au départ, là, c'est... Il y a comme un saut dans le vide avec ça, parce qu'une fois qu'on établit ça, c'est à revoir
constamment, c'est à réévaluer constamment. C'est un peu se donner de
l'ouvrage, dans le fond, et d'en imposer beaucoup à beaucoup de monde, là, mais
vous y tenez, à ce bout-là? C'est ça que je voulais savoir.
Le Président (M.
Bachand) : S'il vous plaît, oui, M. Peschard, oui.
M.
Peschard (Dominique) : Non.
Bon, premièrement, on ne sait pas quels seront les pays qui seront jugés
tiers pays sûrs dans le cadre du projet...
de l'application du projet de loi, mais on juge que c'est très problématique.
Je ne vois pas un grand pays sûr
présentement, je pense. Notre position, c'est que les données détenues par...
les données colligées par les organismes publics et les ministères
devraient être gérées au Québec par le gouvernement, point à la ligne.
Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, pour
13 min 36 s, s'il vous plaît.
M. Tanguay :
...M. le Président. Alors, merci pour votre présence, Mme Pineau, M.
Peschard. Merci beaucoup. J'aimerais souligner également...
D'entrée de
jeu, Mme Pineau, vous avez dit qu'effectivement ça aurait mérité peut-être
plus qu'un projet de loi. Moi, j'ai
toujours vu le dossier comme étant trois pans, le public, le privé et la Loi
électorale, les partis politiques, un débat essentiel — vous
avez dit — un débat
complexe. Vous avez même dit, M. Peschard, que vous auriez aimé avoir plus
de temps pour aborder des questions de
droits et libertés... pour vous mentionner qu'hier on a souligné le fait que...
excusez du peu, mais la Protectrice du
citoyen, le Barreau du Québec, la commission des droits de la personne et de la
jeunesse ont tous trois dû se désister parce
qu'ils manquaient de temps pour pouvoir venir nous éclairer. Alors, je tiens à
reprendre la balle au bond et à vous souligner effectivement que c'est
excessivement préoccupant.
Donc, projet
de loi qui aborde énormément d'angles, de sujets, d'impacts, et tout ça en un
seul projet de loi, en 165 articles.
J'aimerais que vous expliquiez rapidement le danger, sous l'angle perte de
contrôle, du CLOUD Act, puis du Foreign
Intelligence Surveillance Act, et du PATRIOT Act. Quel est... Si vous avez... À
celles et ceux qui nous écoutent à la maison,
en quelques... en peu de temps, si vous aviez à exprimer en quoi, de façon
tangible, il y a un danger là de perte de contrôle si on envoie nos
données se faire stocker aux États-Unis, par exemple...
M.
Peschard (Dominique) : Bien,
je veux dire, ces lois sont assez explicites. D'ailleurs, ça, c'est de la
surenchère d'une loi à l'autre parce qu'elles se démultiplient, mais
essentiellement le gouvernement américain s'est doté des pouvoirs de saisir dans la... en anglais, c'est «any
tangible thing», toute chose tangible. Donc, ils ont le pouvoir de saisir toute
donnée détenue par une entreprise américaine, point à la ligne. Donc, c'est sûr
que, pour des individus et des institutions, ça représente un réel problème.
Je veux donner un exemple. Par exemple, Google
s'est imposé dans la gestion des données, par exemple, des universités, et l'association canadienne des
professeurs d'université a essayé de mettre un frein à ça parce que cela
veut dire que les données sur le personnel
des universités, les recherches par les universités, tout ça est hébergé par
Google et tout ça est accessible au
gouvernement américain sans restriction, avec les conséquences que ça peut
avoir sur des personnes. On connaît les profilages qui ont eu lieu
envers certaines communautés.
Donc, c'est
tout ça qui est en jeu. Alors, c'est une menace autant pour les individus,
quand ils confient leurs données à
Google, que pour les institutions. Alors, à tout le moins, on demande au
gouvernement du Québec de prendre les mesures appropriées pour mettre
les données qu'il détient sur les Québécois à l'abri de ce genre de saisie.
M. Tanguay :
Sur ce débat-là, faisons un pas en avant et allons sur l'angle qui a lancé un
débat et a mis, je pense, en face de tout le monde un risque tangible
dans ce contexte-là. Oui, on parle de stockage, mais on parle aussi...
ultimement, qui dit stockage, perte de contrôle, utilisation...
«...déclaration
récente du ministre de l'Économie et de l'Innovation [...] disant vouloir — et vous le citez, ouvrez les guillemets — "attirer quelques pharmas pour venir
jouer dans nos platebandes" — fermez les guillemets — a suscité de vives réactions et mis à
jour la nécessité et l'urgence d'un large débat de société sur le partage des
données et la recherche au service du bien commun.»
Donc, on ne
parle pas ici de perte de contrôle non volontaire, ce qui est le risque que
vous venez d'étayer, mais, ici, que, carrément, le gouvernement
l'envisage sans qu'il n'y ait une réflexion, et vous soulignez et vous
proposez : «Un chantier de réflexion s'impose sur cette nouvelle économie
des données.» J'aimerais vous entendre là-dessus, sur l'importance, la nécessité de faire ce chantier de réflexion là, de un,
et, de deux, si vous pouviez aussi déborder sur les risques de
discrimination, s'il vous plaît.
M.
Peschard (Dominique) : Bon,
bien, effectivement, ça réfère à une intervention qu'Anne a faite.
Présentement, on pense que ces données-là,
ce sont des données qui sont, en fait, une propriété collective des Québécois,
qui... et dont l'utilisation est
sensible. Et c'est pour ça qu'on pense qu'elles pourraient être accessibles à
la recherche, tout à fait, mais sous contrôle
de la Commission d'accès à l'information. Donc, ce n'est pas que l'on exclut
l'utilisation de ces données-là, mais elles
doivent être... elle doit... L'utilisation doit être faite dans l'intérêt des
Québécois, et sous un contrôle d'un organisme qui juge de la validité de l'utilisation qui va en être faite, et
qu'elle sera faite conformément à la protection qu'on s'attend.
M. Tanguay :
Est-ce qu'il faudrait avoir... Je pose la question pour avoir votre opinion,
là. Je ne suis pas en train d'émettre
une opinion personnelle, mais est-ce que vous iriez jusqu'à dire que l'on ne
devrait pas permettre l'accès à des entreprises
qui ont des fins commerciales exclusivement? Est-ce que vous iriez jusqu'à dire
qu'on ne devrait carrément pas leur
donner accès à ces données-là parce que, par exemple, certains pourraient
prétendre qu'une compagnie d'assurance pourrait
décider de modifier ses couvertures de risque basées sur des analyses
populationnelles ou même des pharmaceutiques pourraient décider, parce que le jeu n'en vaut pas, économiquement, la
chandelle, de faire tel type de médicament basé sur des analyses populationnelles? Diriez-vous...
Parce que je veux préciser... Je veux connaître votre pensée. Quand vous
dites : Sous contrôle du chien de garde de la Commission d'accès à
l'information, est-ce que ça irait jusqu'à limiter ou interdire — je
veux vous entendre là-dessus — l'accès à des entreprises qui ont
vocation de faire du profit?
Mme Pineau
(Anne) : Bien, écoutez,
nous, là, on reprend notamment ce que M. Quirion, le Scientifique en
chef, disait dans le cadre, là, d'une
réforme sur comment accélérer l'accès aux données de recherche. Il parlait de
changer la culture pour une plus grande ouverture à la recherche
publique, encadrée par les comités de pairs et d'éthique. Pour nous, cette recherche-là,
en fonction du bien commun, oui, pas une recherche fondée sur le profit et...
Donc, effectivement, on parle d'une recherche encadrée éthiquement par
des chercheurs financés publiquement. C'est de ça qu'on parle.
M. Tanguay : Et ça, cette
balise-là, la retrouvez-vous dans le projet de loi n° 64?
Mme Pineau (Anne) : Non, pas du
tout.
M. Tanguay :
O.K. Et j'aimerais... Merci. Je fais un pas en arrière, sur les dangers de
perte de contrôle de stocker des
renseignements à l'extérieur du Québec. Comment jugez-vous... Dans le projet de
loi, puis je vais vous en faire
la lecture, vous n'avez pas besoin d'y aller
si vous n'avez pas le texte sous la main, à la page 19 du projet de loi, l'article 27 qui
introduit l'article 70.1 à la loi... accès aux documents, organismes
publics, et je cite : «Avant de communiquer à l'extérieur du Québec un renseignement personnel, un organisme public
doit procéder à une évaluation des facteurs relatifs à la vie privée.» Là, il en nomme quatre :
sensibilité du renseignement, finalité de son utilisation, mesures de
protection dont le renseignement
bénéficierait et le régime applicable dans l'État où ces renseignements
seraient communiqués. Ça, trouvez-vous
suffisant cette autorégulation-là de l'organisme public, qui procéderait à
l'évaluation, qui jugerait puis qui le ferait ou qui ne le ferait pas en
bout de piste?
Mme Pineau
(Anne) : Bien, c'est un peu
comme pour la recherche. L'évaluation, là, des facteurs de vie privée,
s'il n'y a personne qui contrôle comment
c'est fait, dans quel... avec quel souci, avec quel sérieux on fait ces
évaluations-là, pour nous, c'est un problème
majeur, c'est laisser, au fond, en fonction du sérieux que tel ou tel organisme
voudra bien mettre à... et de
l'entreprise voudra bien mettre à faire son exercice... Il nous semble qu'il
faut prévoir un contrôle extérieur pour s'assurer que ces évaluations-là
seront faites, effectivement qu'elles seront faites dans les règles de l'art et
que...
Souvent, on
peut penser que plusieurs de ces entreprises-là n'ont même pas l'expertise pour
faire une évaluation des facteurs de
vie privée, parce que ce n'est pas quelque
chose qui est nécessairement si simple qu'on le croit. On a ça pour la recherche. On remplace la Commission d'accès par une évaluation des facteurs de vie
privée, mais, je veux dire, comment ça
sera fait, cette évaluation-là? Qui va s'assurer... On peut penser qu'éventuellement, s'il y a un problème, la commission finira par être avisée, mais il sera trop tard à ce moment-là, parce
qu'à ce moment-là les renseignements seront dans la nature.
• (12 h 50) •
M. Tanguay : Et, ici, considérant qu'on parle des organismes
publics, trouvez-vous, basé sur votre évaluation du projet de loi n° 64, que l'on serait suffisamment transparents
quant à l'organisme concerné, le type d'information dont on parle et son évaluation? Trouvez-vous, de un, que
vous adhériez au principe que la plus grande transparence, rendre
publics ces éléments-là, devrait être mise de l'avant? Et trouvez-vous que le projet
de loi y pourvoie suffisamment?
M.
Peschard (Dominique) : Bien,
comme Anne a mentionné, ça prend une expertise puis ça prend un regard
indépendant. Un organisme a beau être public, on sait, par exemple, qu'il peut
y avoir des intérêts de financement de certaines
recherches, des choses comme ça, qui font que le recul et, disons, entre
guillemets, l'objectivité nécessaire par rapport à l'évaluation de
transmettre ces renseignements-là n'est peut-être pas ce qu'elle devrait être.
Donc, ça prend absolument un regard
indépendant et expert pour juger du caractère approprié du transfert ou non des
renseignements. C'est ça qu'on essaie de...
M. Tanguay : Merci. J'aimerais maintenant que l'on parle de la notification
obligatoire d'incident de confidentialité des données. Vous dites que vous... «Cela [étant] dit, le projet de loi
comporte une réserve importante. Une personne concernée par l'incident n'a pas à être avisée tant que cela
[sera] susceptible d'entraver une enquête en vue de détecter ou réprimer
le crime[...]. [...]L'enquête sur une fuite
ou un vol de renseignements peut s'avérer longue : priver les personnes
intéressées du droit d'être informées est difficilement justifiable.»
Ça, c'est une
réserve importante, donc, du projet de loi. Vous, voyez-vous des réserves
justifiables, quelconques, à la notification obligatoire? Est-ce qu'il
peut y avoir des réserves justifiées, selon certains cas que vous pourriez
m'identifier ou non, que, dans tous les cas d'espèce, il faudrait notifier
obligatoirement dans les cas de fuite?
M.
Peschard (Dominique) : Bien,
disons qu'on est... La manière dont c'est mis dans le projet de loi, que...
nuire à l'enquête, je n'ai pas les mots
exacts, là, c'est très vague. Dans toutes sortes de domaines, entre autres,
policiers, les informations ne sont
pas données sous prétexte que l'enquête est en cours. C'est un argument qui est
trop... trop facilement être invoqué
pour retarder d'aviser la personne du bris de confidentialité face à ses
données. Alors, on peut comprendre qu'il
se peut que, dans des cas très spécifiques, ça puisse... on puisse retarder la
divulgation de l'information, mais il faut que ce soit l'exception. Puis la manière dont c'est fait dans... dont
c'est formulé dans le projet de loi ne nous rassure pas quant au fait
que cette disposition puisse ne pas servir de manière un peu abusive,
dire : Bon, bien, il y a une enquête en cours, donc on n'a pas divulgué
l'information.
M. Tanguay : Et j'ai peut-être deux questions en rafale, vous
dites... pour moins que la minute qu'il me reste. «Le législateur
devrait songer à établir un mécanisme d'indemnisation des victimes...» Et vous
proposez, je pense, à même le fruit des
amendes, du côté pénal... Donc, vous plaidez pour un régime public
d'indemnisation, le cas échéant, des victimes de fuite de données
personnelles, de vol d'identité, ainsi de suite. Je vous ai bien compris?
Le Président (M.
Bachand) : ...s'il vous plaît. Merci.
Mme
Pineau (Anne) : Oui, effectivement. Écoutez, là encore, on n'a pas eu le temps, là,
d'élaborer. On a juste voulu mettre en lumière le fait que, des amendes
et des sanctions administratives, ça n'amène pas, pour les victimes, une
indemnisation.
M. Tanguay : O.K., merci
beaucoup.
Le Président (M.
Bachand) : Merci. M. le député de Gouin, s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, monsieur, madame. Merci d'être ici avec
nous en commission aujourd'hui.
Je veux
revenir sur la question du déréférencement ou du droit à l'oubli, parce
qu'il y a peut-être un... Je
crois percevoir, peut-être,
une incompréhension ou un malentendu quant à votre position. Si je lis bien
votre mémoire, il n'y a aucune opposition, par principe, à la Ligue des droits et libertés, à cette idée qu'il
puisse exister, dans certaines circonstances, un droit au déréférencement ou un droit à l'oubli. Ce que je lis, par contre,
dans votre mémoire, c'est que vous ne souhaitez pas que ce soient des entreprises privées, notamment
Google ou Facebook, par exemple, qui
soient les juges de ce qui doit être oublié puis de ce qui ne doit pas
l'être, ce qui doit être référencé et ne doit pas l'être.
Moi, ce que
je lis dans votre mémoire, c'est une invitation à aller plus loin puis à
réfléchir à ce que ce soit un tiers indépendant,
par exemple, une cour de justice, qui puisse trancher cette question-là,
parce que je comprends
l'exemple du député de Vachon, qui nous dit : Une victime d'exploitation
sexuelle, il faudrait être capable de lui reconnaître ce droit-là. Moi, je n'ai pas l'impression que c'est ce genre
de déréférencement-là que vous souhaitez empêcher, mais plus... Puis je vais prendre un autre exemple
hypothétique, un P.D.G. d'une grande multinationale qui serait indisposé
par un billet de blogue d'un groupe
citoyen qui vient mettre en cause ses pratiques corporatives, on ne voudrait
pas qu'un acteur comme celui-là puisse appeler son bon ami chez Google
ou Facebook pour dire : Aïe! T'enlèverais-tu ça, ça ne fait pas mon affaire. Ce que vous voulez protéger, c'est la
liberté d'expression, la liberté de circulation de l'information puis
trouver un équilibre entre cette liberté-là puis le droit à la vie privée. Est-ce
que je comprends bien l'essence de votre position?
M. Peschard (Dominique) : C'est exactement
ça, mais ce qui reste à discuter, c'est les modalités qui fassent comment...
c'est ça, qu'on n'a pas eu le temps de faire adéquatement...
M.
Nadeau-Dubois : C'est ce que
j'avais compris de votre position. Donc, ce n'est pas une opposition
à la notion qu'on puisse faire
retirer quelque chose, par
exemple, d'une recherche sur le Web,
mais plus qui va être le juge de ce qui doit être retiré puis de ce qui ne doit pas être retiré. Puis vous
dites : Attention de ne pas donner ce pouvoir-là, qui est un grand pouvoir, hein, à l'ère d'Internet,
de décider ce qui circule ou pas comme information. L'avertissement que vous
nous faites, c'est attention de ne
pas donner ce grand pouvoir, qui est, au fond, pratiquement un pouvoir de
censure, là, à des entreprises privées qui ont des intérêts commerciaux.
Peut-être qu'il y a d'autres acteurs, dans la société, mieux placés pour faire
l'équilibre coût-bénéfice de ce qui doit circuler ou non comme information.
Je veux vous
amener sur un autre sujet, parce que vous avez dit : Il y a
la question du consentement, mais vous nous invitez à aller au-delà de
la question du consentement. Puis c'est madame qui disait : Au-delà de ce
qu'on peut consentir ou non à donner... à transmettre comme données personnelles,
il faut peut-être réfléchir à mettre des limites objectives à ce que les entreprises peuvent même demander comme données
personnelles. Êtes-vous capables d'aller plus loin dans cette idée-là
puis de nous donner des exemples concrets de ce dont pourrait avoir l'air une
limite comme celle-là qu'on viendrait inscrire
dans le projet de loi? Quel type de limite il faudrait mettre à la capacité des
entreprises de même récolter des données personnelles?
Le
Président (M. Bachand) :
...manquer du temps. Alors, écoutez, je veux juste vous remercier de votre participation
en commission.
Une voix : ...
Le
Président (M. Bachand) :
Oui, mais c'est ça... mais, rapidement,
si vous voulez donner une réponse
rapide, s'il vous plaît.
M. Nadeau-Dubois : De consentement
pour une réponse brève, oui.
Mme Pineau
(Anne) : Bien, merci. Écoutez,
nous, ce qu'on réclame, c'est un débat justement,
parce qu'est-ce qu'on peut se permettre de tout collecter? Je vous
donne un exemple. Il y a eu, là, l'an passé ou l'année d'avant, la question
des jouets connectés. Or, on apprenait qu'il y avait
des jouets, O.K., qui récoltaient plein d'informations, qui écoutaient les enfants
et qui récoltaient tout ça, ces informations-là., et les gens étaient heureux de donner ça
sous l'arbre de Noël, mais ils ne
savaient pas que, pendant ce temps-là, la poupée Barbie récoltait de l'information qui était envoyée sur les réseaux
ou sur les... les gens qui vendent ces produits-là. Et, bon, si vous me
dites : On peut les déconnecter, O.K., mais est-ce que c'est suffisant?
Est-ce qu'on
devrait permettre ce genre de jouet là, qui, d'une façon ou d'une autre, va
permettre de collecter des informations auprès des enfants? On a des
lois qui interdisent la publicité aux enfants, mais on permet que des jouets comme ça soient sur le marché pour collecter ce
type d'informations là, pour en faire quoi? Et ça pose aussi la
question de qu'est-ce
qu'on fait ensuite avec ces données-là du côté des entreprises
qui utilisent ces données-là. C'est toute la question des algorithmes qui sont utilisés, de la transparence nécessaire, le fait de s'assurer qu'il n'y a pas de biais tendancieux ou discriminatoire dans les algorithmes
qui sont utilisés. C'est ça, le genre de débat...
Le Président (M.
Bachand) : Merci beaucoup, Mme Pineau,
parce que...
Mme Pineau (Anne) : Ah! excusez-moi.
Le Président (M.
Bachand) : Merci infiniment de votre participation.
La commission suspend ses travaux jusqu'à
15 heures. Merci.
(Suspension de la séance à 13 heures)
(Reprise à 15 h 02)
Le Président (M. Bachand) : À
l'ordre, s'il vous plaît! Merci beaucoup et bon début d'après-midi. La Commission
des institutions reprend ses travaux. Comme
vous le savez, je demande à toutes les personnes présentes dans la salle
de bien vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission
est réunie afin de poursuivre les auditions publiques dans le cadre des
consultations particulières sur le
projet de loi n° 64, loi modernisant des dispositions légales en matière de protection des
renseignements personnels.
Cet
après-midi, nous allons recevoir l'Office de la protection du consommateur, le
Pr Vincent Gautrais, et quelqu'un
qui était avec nous il n'y a pas tellement longtemps, au mois d'août, alors,
M. Steve Waterhouse, qui était ici pour un autre dossier. Alors, vous connaissez les règles :
10 minutes de présentation; après ça, échange avec les membres de
la commission. Merci d'être ici cet après-midi. La parole est à vous. Merci.
M. Steve Waterhouse
M. Waterhouse (Steve) : M. le Président, merci. Membres députés, merci beaucoup
de l'invitation.
Le gouvernement du Québec est bel et bien en
voie d'accomplir sa mise à niveau technologique, accompagnée des aspects
judiciaires plus que maintenant nécessaires. Le présent projet de loi devrait
motiver aussi l'entreprise privée à emboîter
le pas dans la prévention de fuites de données, devenue un enjeu sérieux au
XXIe siècle, comme tout le monde a été témoin récemment.
Le rapport
d'IBM sur le coût des brèches de données de 2020 précise que 52 % des
brèches sont causées par des attaques
malicieuses, 23 % par des erreurs humaines et 25 % par des erreurs
système. 80 % des incidents impliquent des compromissions
d'informations personnelles nominatives. Le Canada, dans ce rapport, s'affiche
au troisième pays qui a eu le plus de brèches déclarées, au moment... au
montant de 4,5 millions U.S. par incident à régler en moyenne.
Et, quand je
dis, j'emphase là-dessus, «déclarées», il y a beaucoup d'incidents qui ne sont jamais
déclarés pour toutes sortes de
raisons, ce qui fait en sorte que l'interprétation d'un chiffre de
4,5 millions, c'est vraiment petit, quant à moi et d'autres dans l'industrie. Donc, l'industrie
qui est la plus perdante... sont le secteur des soins de la santé, comme
qui est... présente situation, présentement,
en COVID, envers les chercheurs et les hôpitaux, suivi du secteur de
l'énergie, des finances et des pharmas.
Afin d'éviter
ces situations, les entreprises, les fonctionnaires et les particuliers
seraient avantagés de développer et adopter
une culture de la sécurité de l'information qui se veut d'être définie comme
suit : un, intégrer une culture d'entreprise plus large composée d'actions quotidiennes
encourageant les employés à prendre des décisions réfléchies et
conformes aux politiques de sécurité; deux,
exiger du personnel qu'il connaisse le risque de sécurité et les processus
permettant de l'éviter, là, on peut
voir ça dans de la sensibilisation; et, trois, mettre en place et appliquer un
processus de fonctionnement des tâches qui
assure la sécurité de l'entreprise soit par des rétroactions ou des exercices
dirigés d'équipes bleues, d'équipes rouges, appelées, dans le jargon,
«blue team, red team».
Cette approche
culturelle implique une combinaison de saines connaissances et du suivi des
tâches quotidiennes. Découlant d'une
solide évaluation des menaces et de risques, qui est souvent la base qui mène
justement à sécuriser les organisations
correctement, mais qui est souvent négligée, les priorités de travail sont
établies par l'importance accordée aux manquements
à corriger et sont mises de l'avant tout en gardant en vue les menaces
émergentes. Cette façon de faire est certainement
plus accessible pour les grandes entreprises et les gouvernements par accès à
du personnel dédié, alors que les PME typiques sont... se doivent
d'engager des consultants externes, si ce n'est d'improviser un tel support,
qui, souvent, laisse plus de vulnérabilité.
J'ai été témoin de cette approche gagnante lors
d'une visite en Israël en début de 2020. Quoique ce pays soit constamment sur le qui-vive de menaces
terroristes, les autorités ont apporté cette philosophie constante
d'anticipation de la menace dans un monde
informatique. Bien sûr, le marchand de légumes du coin ne s'en fait pas trop
parce qu'il n'accepte pas les
paiements en argent... que les paiements en argent, pardon, mais les autres entrepreneurs autour le sont certainement... contre la fraude, mais
aussi la perte de données, qui pourraient se retrouver dans les mauvaises
mains.
Avec le RGPD, le règlement
général de la protection des données personnelles, l'Europe a débuté, depuis deux ans, une intensive promotion de la protection
des renseignements personnels avec l'utilisation des technologies afin de protéger les échanges même par
courrier électronique en encourageant l'utilisation de courriels chiffrés,
comme avec le leader
mondial Proton Mail, et donc ça, ça se veut d'utiliser, donc, une ressource
extérieure que des ressources gouvernementales... qui sont fiables et
éprouvés.
Donc,
les exigences du présent projet de
loi apporteront des défis importants
afin d'adresser la conformité de ces PME,
ce qui, selon moi, laissera des vulnérabilités dans la mise en pratique de la loi. Tous les
entrepreneurs avec qui j'ai conversé
récemment, et je converse sur le sujet de fuites de données, sont unanimes.
Tous sont pour une bonne vertu, mais signifient qu'il y a des limites à
combien qu'ils dépenseront pour la protection des données personnelles. C'est
mon interprétation qu'ils éclipsent l'impact réel des fuites d'information, souvent, en l'absence de connaissance des menaces en cours contre le vol d'informations personnelles
versus les dépenses de conformité qu'ils doivent engager et maintenir,
sans compter la mise en place d'une possible réserve de fonds en cas
d'incident.
Il
n'en demeure pas moins que les entreprises et les organismes publics possédant
un nombre élevé, qui serait à déterminer comme nombre élevé qu'on veut dire ici, d'informations
personnelles qui, selon... qu'il leur soit obligatoirement exigé une journalisation des accès et transferts
de données sur les systèmes d'entreposage de données, tel que proposé
dans la norme ISO 27001. Avec un système
de surveillance en bonne et due forme, cette mesure aidera grandement à
prévenir la consultation non autorisée des données et leur exfiltration
telle qu'observée en 2019, lors de la fuite massive d'informations
client chez une importante institution financière au Québec.
Tous
gardent espoir qu'au moment où une inévitable fuite de données frappe les
services policiers sauront être disponibles
à prêter assistance, documenter le cybercrime et à réussir à traduire en
justice les cyberbandits. Comme j'en fais état dans le mémoire, c'est un travail en voie de développement, mais le temps presse et les corps policiers doivent rattraper le temps perdu à reconnaître le cybercrime dans
son importance et former rapidement une relève solide de cyberenquêteurs et de patrouilleurs à l'affût de la réponse à
apporter aux citoyens et aux entreprises aux prises avec des
cyberincidents.
Merci à nouveau pour
cette opportunité. Je suis maintenant disponible à répondre à vos questions.
Le
Président (M. Bachand) : Merci infiniment. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette : Oui, bonjour, M. Waterhouse. Merci d'être présent aujourd'hui
pour témoigner devant la commission.
D'entrée
de jeu, là, peut-être que j'aimerais qu'on puisse bénéficier de votre
expertise, là, pour expliquer un peu aux
gens qu'est-ce qui arrive à partir du moment où il y a une fuite d'information,
où il y a une brèche dans un système. C'est
quoi, les conséquences potentielles? Qu'est-ce que les gens qui récupèrent ces
données-là peuvent faire? Qu'est-ce que
ça a comme impact concret dans la vie des gens? Puisque vous être un expert
dans ce domaine-là, juste expliquer pour la population, savoir qu'est-ce qui arrive, là. À quoi ils sont sujets,
potentiellement? Une fuite de données personnelles, à quoi ça peut
servir?
• (15 h 10) •
M. Waterhouse
(Steve) : Un contexte de fuite de données débute généralement sans que
ceux et celles qui possèdent ou entreposent
les données le sachent, qu'ils ont été infiltrés. Infiltrer, ça veut dire qu'il
y a des gens qui ont accès à un
ordinateur, ont pu se connecter, ont pu gagner l'entrée à l'intérieur d'un
système ou d'une organisation et ont pu, à ce moment-là, mettre en place
des moyens techniques pour être capables de capter l'information et l'extraire
à l'extérieur pour l'amener sur le marché noir et potentiellement aller la
revendre, cette information-là.
Bien
souvent, aussi, sans être possible de la revendre, ça peut être exploité pour
créer des fausses identités et aussi peut-être des stratégies ou de la
propriété intellectuelle, comme c'est souvent le cas avec des États-nations
comme la Chine, qui viennent en pays ici,
ramassent l'information colligée ou bien travaillée, documentée par nos
chercheurs, et ramènent ça, eux
autres, dans leurs économies. Et c'est nous qui en sont perdants, parce que
c'est souvent des brevets qui ne sont pas mis en exploitation, et c'est
eux qui en ont la récolte.
Et,
pour le particulier, bien, c'est, encore une fois, des données personnelles qui
sont exploitées. Les vols d'identité, des
fois, on en voit. Il y en a... J'en ai eu beaucoup qui sont venus me voir comme
clients et qui ont eu de la difficulté. Ils ont une perte de cellulaire, perte d'informations financières,
dédoublement d'identité, tout ça dans un avenir assez rapproché... qu'ils vont avoir de la difficulté à pouvoir
récupérer de ça, si ce n'est jamais, pour la simple et unique raison que,
dans cinq ans, 10 ans d'ici, il y en a toujours un qui va remettre la main
sur l'information qui a déjà fui et pouvoir s'en servir à s'identifier au nom d'une autre personne, contracter des
services et biens. Et, à ce moment-là, la personne qui en est victime, bien, c'est elle qui a le fardeau à
toujours présenter la preuve que c'est toujours bel et bien elle
physiquement, la vraie personne, et non pas celle qui a contracté le bien
fraudé.
M. Jolin-Barrette : Il y a des gens qui sont venus nous dire hier, surtout des
regroupements d'entreprises... qui nous
ont dit : Écoutez, il ne faut pas que ça soit trop lourd pour les entreprises,
là, l'encadrement, là, nous, on se sert des données, mais il ne faut pas donner un fardeau
supplémentaire aux entreprises. À la lumière de ça, les conséquences pour les
citoyens sont quand même importantes. Donc,
vous nous invitez à faire quoi, à écouter davantage les regroupements
d'entreprises nous dire... ne pas rajouter
de fardeau supplémentaire ou plutôt de dire : On devrait renforcer la loi
pour la protection des données pour s'assurer que, bien, les citoyens
soient pleinement protégés?
M. Waterhouse (Steve) : Je dirais, les deux, M. le ministre, parce
que c'est une responsabilité autant individuelle que collective. L'individu a toujours le choix de donner de
l'information ou pas. Souvent, ça va être : s'il ne donne pas l'information requise pour consommer biens et
services, il n'y a pas accès. Ça fait que les gens obtempèrent à l'effet
qu'ils n'ont pas de deuxième choix.
Sinon, aussi,
l'entreprise, bien, il faut qu'elle... Et les lois sont écrites comme ça, et,
surtout, j'espère que le projet de
loi n° 64 va emphaser là-dessus, c'est-à-dire de demander qu'un minimum
d'information, et non pas de l'information complémentaire, comme on voit souvent le cas...
dans un but de faire une collecte et, après ça, s'en servir à d'autres
fins, de marketing et, si ce n'est pas... donc, de revente aussi
d'informations.
Maintenant,
quand on va, après ça, avec les grandes entreprises, les gros «data» de ce
monde, bien, eux, ils s'en servent
justement pour faire de la modélisation, pour faire, encore une fois, de
l'analyse comportementale d'achats, si ce n'est d'aller qu'à l'épicerie du coin avec la carte fidélité, qui, à ce
moment-là... est analysé les habitudes de consommation. C'est tout ça que, les gens, il faut qu'ils
prennent conscience, donc, comme citoyens, à quoi servent ces cartes
fidélité là. Ça sert à vous documenter,
premièrement. Et, s'il y a fuite d'information, comme qui est arrivé récemment
avec IGA, bien, c'est là que vos
informations personnelles, bien, encore une fois, sont compromises. Est-ce que
vous aviez le choix de ne pas les
déposer et d'utiliser ça? Il y en a qui vont dire : Bien non, je n'avais
pas le choix, parce que, sinon, je n'aurais pas la petite surprise, à la
fin de la semaine, qui vient avec.
Bien, ça, c'est, encore une fois, un choix, et,
souvent, les gens ne sont pas bien éclairés sur les conséquences potentielles en donnant leurs informations
personnelles. Mais il revient aussi à l'entreprise de montrer patte blanche
et de dire : Avez-vous pris toutes les
mesures et les dispositions nécessaires pour protéger cette information-là?, ce
qui n'est pas le cas. Et il n'y a pas
personne, justement, qui est présentement affecté à venir valider quelles sont
les dispositions de sécurité pour protéger cette information
personnelle.
M. Jolin-Barrette : Donc, dans
chacune des entreprises, oui à l'utilisation de ces données-là s'il y a un
libre consentement et un consentement
éclairé du consommateur, ce qui, manifestement, n'est pas tout le temps le cas, parce qu'on voit... Il
y a beaucoup... En fait, on nous
demande tout le temps notre consentement. Puis il y a...
bien, en fait, pour la majorité des
gens, moi y compris, quand on va sur une page Web ou quoi que ce soit, on ne
lit pas tout le contrat. On ne lit pas tous les caractères associés,
puis on dit «j'accepte», puis la transaction se poursuit ou l'information
se poursuit.
Alors, sur la question du consentement, là,
vous, vous êtes dans une approche de dire : Bien, on ne doit pas permettre de récolter les renseignements qui ne sont pas nécessaires. Mais, sur le consentement lui-même, est-ce que vous feriez des consentements en bloc ou un consentement à chaque fois qu'on
demande une information de nature personnelle?
M.
Waterhouse (Steve) : Les
choses telles qu'elles sont présentement, autrement
dit, les lois, de la façon
qu'elles sont écrites... Je veux dire, on le
voit, il y a beaucoup d'études qui l'ont prouvé, les gens ne liront pas
avant de se commettre à utiliser un
service. On prend une nouvelle application qui sort, un nouveau logiciel. Ils
sont... Les gens, ils ont l'engouement de s'en servir, l'installent.
Après ça, il y aurait 25 pages de petits caractères à lire pour, justement,
comprendre dans quoi ils s'embarquent.
Et c'est là
aussi que ça devrait être révisé et exigé des compagnies, et je crois qu'il y a
beaucoup de groupes, à travers le monde, à caractère de défense du droit du citoyen, qui en
font la demande aux compagnies de réduire ce fardeau-là aux consommateurs, de pouvoir être capables de
résumer ça en quelques paragraphes essentiels pour qu'ils comprennent justement
qu'est-ce que ça prend et qu'est-ce que ça comporte, se servir du bien ou du
service, et, après ça, ça devient l'éclairage nécessaire...
Mais, le citoyen, il ne faut pas qu'il se
dédouane en disant : Je n'ai pas eu le temps de lire, ce n'est pas de ma
faute, etc., alors qu'il y a une responsabilité que, tous et chacun, on se doit
de prendre connaissance dans quoi on s'embarque.
Ça fait qu'à votre question, c'est encore une fois un travail des
deux parties pour qu'elles soient capables à ce moment-là de... que les deux démontrent que, un, il y a une bonne foi
qui est démontrée d'un côté, mais, de l'autre, la personne, à ce moment-là, prend le temps nécessaire
de s'éduquer, et je dis bien le mot «s'éduquer», sur la technologie
qu'elle va utiliser.
M. Jolin-Barrette : Puis quel
devrait être le rôle de la Commission d'accès à l'information là-dedans?
M.
Waterhouse (Steve) : Un rôle
présent, parce que ça fait 26 ans que la Commission d'accès à l'information, c'est un organisme, quant à moi, qui est fantôme et qui ne fait pas le
travail nécessaire pour aviser, si ce n'est pas d'éduquer, la population quant à quoi est la sécurité de
l'information. C'est eux qui sont supposés être les gardiens, au Québec, de ce service-là. Au Canada, on a le commissaire à la commission
de la vie privée, mais, pour le Québec, c'est le rôle de la CAI. Et la CAI reste renfermée sur ses positions, a un
très mauvais site Web pour amener les gens à aller le consulter.
Pourtant, il y a beaucoup de ressources très intéressantes, mais le site Web
est tellement mal fait que ce n'est pas attrayant d'aller lire l'information
là-dedans.
Ça fait que,
si la CAI doit être mise à contribution à travers de ça, et j'en répète souvent
son rôle à travers mon mémoire, bien,
c'est d'en faire un... d'un rôle d'éducateur à la population tant qu'à
l'entreprise, et si ce n'est pas aussi de composer des ressources pour être capable de faciliter à l'entreprise à
contribuer justement à rapporter les incidents. Je vous mets au défi, M. le ministre, d'aller
chercher le formulaire pour faire... pour rapporter un incident de sécurité sur
le site de la CAI. Vous allez avoir besoin d'une journée de congé au
complet pour juste trouver ça, sérieux.
M.
Jolin-Barrette : O.K. Je
vous remercie, M. Waterhouse. Et je sais que j'ai des collègues
qui veulent intervenir.
Le Président (M.
Bachand) : Le député de Saint-Jean, s'il
vous plaît.
M.
Lemieux :
M. Waterhouse, vous avez utilisé l'exemple de la carte fidélité pour
exprimer et illustrer un peu comment,
dans le fond, il faut protéger le citoyen ou le consommateur de lui-même plus
qu'autre chose. Il y a plein de monde
qui voudrait mettre la main sur ces données, mais le consommateur ou le citoyen
les laissent aller assez allègrement. On n'a qu'à penser aux concours dans lesquels on
s'inscrit. C'est écrit gros comme ça qu'ils vont faire ce qu'ils veulent
avec nos données, mais on y va, des fois qu'on gagnerait un chapeau.
Bon, alors,
il y a un peu de ça dans la discussion. Et pourtant l'industrie s'ajuste. Pas
plus tard que cette semaine, un des
gros fournisseurs de services, Apple pour ne pas le nommer, a installé son
nouvel IOS, l'IOS 14, puis là on a vu toutes sortes de boutons apparaître. C'est comme s'ils
nous aidaient à nous défendre, mais on ne comprend pas nécessairement.
La loi va faire ça? Ce que vous voyez, ce que vous lisez, là, on va aider le
consommateur, le citoyen à se protéger, d'abord, de lui-même aussi ou, ça, on
ne sera jamais capables quoiqu'on fasse?
M.
Waterhouse (Steve) : J'ai malheureusement à vous dire que ça n'arrivera pas si les gens ne s'aident pas.
Et ça, ça passe encore une fois par le terme
«éducation». Dans n'importe quoi... On demande à nos jeunes de faire de
l'école, présentement, à distance, à partir
de chez eux, mais ils ne savent même... les professeurs ne savent même pas, en
général, comment opèrent et quels sont les
intrants et tenants de l'interface avec lesquelles ils utilisent... Puis, après
ça, on l'a vu, maints exemples qu'il y a des intrus qui s'insèrent
là-dedans puis mettent le bordel.
Bien, tout ça
pour dire que ça revient justement à être encore une fois informés
correctement, c'est quoi, l'outil, comment
qu'il fonctionne. Mais, après coup,
la loi, de la façon que je la vois, aidante, bien, c'est justement de faire
réaliser aux deux parties, parties, encore
là, entreprenantes versus consommateurs, qui, à ce moment-là... Les deux ont
des responsabilités. Et, les gens, ce
n'est pas vrai qu'ils vont toujours s'en sortir en disant : Je m'en sers,
mais je m'en sers juste en le prenant et ne considérant pas autre chose.
C'est
toujours le choix de la personne de dire : J'accepte les risques et je
prends le temps de m'en servir, de telle application ou outil, peu importe. Mais, si jamais les gens prenaient le
temps de lire, ils verraient qu'il y a des conséquences au moment où est-ce qu'ils vont dire... ils vont
déclarer... Et ils ont le pouvoir, après ça, d'affronter... pas affronter,
mais questionner cette entreprise-là et
demander le retrait d'informations qui sont cumulées à son insu ou en
connaissance de cause. Mais les gens,
malheureusement, ne savent pas ces droits qu'ils ont et que ça n'a même pas
rapport avec la loi n° 64 encore. Mais j'espère juste que cette loi, le
projet de loi n° 64, va amener en avant-plan et emphaser ces
droits-là du citoyen.
M. Lemieux : C'est bon d'entendre
ça. Revenons-y, au projet de loi n° 64. Il y a un
principe derrière ça qui, malheureusement,
est en anglais ou en latin, mais je ne suis pas certain, c'est d'être capables
de penser qu'on est, par défaut, confidentiels, là, quand... Ils appellent ça «privacy
by default».
M. Waterhouse (Steve) : «Privacy by design», oui.
M.
Lemieux : Ça, c'est un principe. Est-ce que vous appréciez la façon
dont le p.l. n° 64 nous présente la carte avec laquelle on
travaille pour protéger les données et protéger la vie privée? Est-ce que les
principes sont bons?
• (15 h 20) •
M. Waterhouse
(Steve) : Bien, oui, parce
qu'il y a sept principes fondamentaux, puis le premier de ces principes-là,
c'est être proactif et non réactif. Ça fait que, si, dans tout l'ensemble de la
philosophie du «privacy by design», donc, conception
par confidentialité... qui est appliquée vraiment dans son essence, bien, ça va
être : Wow! Mais il faut que tout le
monde embarque, par exemple, dans ce projet-là. Même affaire pour le deuxième,
la confidentialité, donc, «privacy», par réglage, par défaut. Si on met
tout ça en avant-plan et non pas après coup que tout un projet a été fait et
ficelé à 98 % puis il reste un 2 %...
Il faut
penser à la sécurité puis à la protection des données. C'est là que ça déraille
puis ça ne marche pas, parce que, là,
ça devient une composante à part du processus complet et c'est souvent là que
se retrouvent les vulnérabilités, alors que programmeurs ou peu importe
le... que concepteurs ou bien bâtisseurs de quoi que ce soit, s'ils mettent la
sécurité à l'intérieur... Puis parlons-en
d'un point de vue construction. Si on pense à des moyens de protéger le
bâtiment ou mettre des matériaux qui
sont inflammables puis, après ça, on pense juste à ça à la fin, il va falloir
déconstruire beaucoup d'étapes dans
ce projet de construction là. Donc, dans cette étape-là, je vous le dis, le
«privacy by design», il va faire en sorte que ça devrait aller dans la
bonne direction par après, oui.
M. Lemieux : Aidez-moi, M. le
Président. Il y en a d'autres, oui?
Le Président (M. Bachand) :
Oui. M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Merci, M. le
Président. Merci, M. Waterhouse, pour votre présentation.
Moi, je vais
y aller sur un autre volet qui est les bases de données. De ce que j'ai lu dans
votre position au niveau du nuagique,
malgré le fait que ce soit hébergé à l'extérieur, vous sembliez favorable à ça.
Il y a un groupe, ce matin, qui sont venus
nous voir, qui nous ont parlé, selon eux, du danger du PATRIOT Act, par exemple. Je voudrais savoir quelle est votre position, parce que je l'ai
lue puis j'ai vu que vous étiez favorable, mais qu'est-ce qui vous amène à être
favorable à ça comparativement à ce qui a été fait avant ça, dans les
différents ministères, d'avoir ces données-là qui étaient archivées à différents
endroits?
M.
Waterhouse (Steve) : Bien, premièrement, il faut prendre en considération qu'il n'y a pas beaucoup d'outils de bureautique, aujourd'hui, qui ne vont pas
en infonuagique. Je prends en exemple la suite Microsoft O 365. Il y
a encore une portion qu'il est
possible de garder localement, mais la majorité de la plateforme, elle est
désignée pour être en mesure de tout stocker en infonuagique. Basé
là-dessus, la façon de travailler, le chiffrement impliqué pour garder
l'information confidentielle, elle
est telle que ça peut garder l'information, justement, confidentielle pour les
besoins de tous les jours de bureautique.
Quand on
parle d'informations plus croustillantes, à caractère plus confidentiel, comme
secrets d'entreprises, etc., là, on
pourrait prendre des moyens plus spécifiques, puis là, à ce moment-là, ça
devient un produit à part que de la suite bureautique Office. Gardant ça en esprit, de stocker ça en infonuagique,
ça permet justement d'avoir un point central, mais, en même temps, les normes qu'ont les entreposeurs,
si je peux utiliser ce terme-là, donc, pour être capables de stocker l'information, ils ont des normes très strictes,
internationalement reconnues et qui, eux... Je n'ai aucun doute, de
stocker de l'information chez un fournisseur d'infonuagique, que ça va être
sécuritaire.
La partie non
sécuritaire va être, moi, quand je la mets dedans, est-ce que c'est de l'information que, si jamais elle fuit,
parce qu'il faut toujours se garder ce scénario-là en tête... va avoir un
préjudice grave pour moi, l'organisation, ma réputation?
Et, si c'est le cas, bien, il y a des moyens de chiffrer l'information avant de l'envoyer chez cet hébergeur-là puis garantir que c'est
juste moi qui y a accès.
Quand on
parle du PATRIOT Act, oui, depuis 2001, les États-Unis se sont donné une
loi. Évidemment, on pense aussi que
tous les hébergeurs de grosses organisations,
on parle de Gmail, Apple, Microsoft,
puis tout ça, ils ont tous leurs centres de données principaux aux États-Unis. Donc, sur une...
Ce n'est pas, encore là, sur un
«figment» imaginaire, que les autorités
ont accès à cette information-là. Il faut qu'ils documentent le besoin, et,
après ça, oui, avec moins de difficultés judiciaires, ont accès à cette information-là
entreposée aux États-Unis. Ça, ça va de soi.
Puis, après
ça, le CLOUD Act, aussi, est venu rectifier quelques lignes pour être capable
d'amener les autorités à comprendre qu'il y a
des informations internationales qui s'y rapprochent, mais ce
n'est pas... Encore là, il ne faut pas croire
que les autorités vont toujours aussi montrer patte blanche en disant :
Regardez, on va vous aviser, demain matin, on s'en va dans votre compte puis on a reçu une demande du FBI pour
aller faire une enquête. Ils ne le diront pas. Ça garde certains secrets parce que c'est des secrets
d'enquête. Et, à ce moment-là, si jamais c'est les autorités canadiennes
qui font la même demande, on ne le saura pas plus.
Ça fait que
ce n'est pas nécessairement un problème américain... plus qu'un problème
judiciaire de la façon qu'il a été, quant à moi, préparé. Et, en même temps, si les services sont toujours
donnés selon l'entente, mais, encore là, il faut lire ces ententes-là, dans quoi on s'embarque, parce que c'est
légalement décrit qu'ils peuvent donner, sous mandat, accès au système d'information
sans qu'on soit, nous, consommateurs ou clients, avisés de cette demande-là.
M. Lafrenière : Question très
courte. Donc, puis sans vous prêter de réponse, si je compare à ce qui se fait présentement
dans les différents ministères, est-ce que vous jugez que c'est aussi
sécuritaire de le mettre dans le nuagique, de ce que vous connaissez?
M. Waterhouse (Steve) : De l'information
de niveau qui peut causer un préjudice grave à la personne, c'est sécuritaire de le faire, mais, aussitôt que ça va
tomber dans... Il faut mesurer deux choses. Il faut mesurer justement la sensibilité de l'information qui est mise dans le nuage, mais aussi, après
coup, l'impact. Comme je disais, donc, dans le cas d'une fuite d'information,
quel est l'impact.
Ça fait que,
si on dit qu'on met tout l'ensemble de la liste électorale ou, peu importe, de
l'information collective des citoyens dans l'infonuagique,
et qu'il y a une fuite d'information, que c'est... évidemment, ce ne sera jamais la faute de
personne, mais que, l'information, elle a fui quand même, bien, c'est quoi,
l'impact? Est-ce qu'à ce moment-là c'est récupérable
ou pas? Les données ne sont pas récupérables. Mais est-ce que les gens vont
avoir un impact, encore là, suite à d'autres
fuites d'information qu'ils vont vivre, avec ce résultat-là, le restant de
leurs jours? C'est là qu'il faut mesurer, donc, est-ce qu'il faut mettre tous nos oeufs dans le même panier ou
non. Et, si oui, est-ce qu'on peut rajouter une couche de confidentialité, donc, de sécurité, par de la
cryptographie pour protéger cette information-là? La réponse, pour moi,
c'est oui. En mettant d'autres mesures comme ça, ça va assurer que
l'information n'ira pas dans les mauvaises mains.
M. Lafrenière : Merci beaucoup.
Le Président (M.
Bachand) : Mme la députée de Notre-Dame-de-Grâce, s'il
vous plaît.
Une voix : ...
Le Président (M.
Bachand) : Vous avez du temps, minimum 13 minutes.
Mme Weil : O.K., plusieurs
questions. Bonjour, M. Waterhouse, plaisir de vous avoir avec nous.
Alors, le
Québec compte 1 131 municipalités qui ont des systèmes informatiques
qui contiennent beaucoup d'informations
personnelles des citoyens, et, cette année, par exemple, Châteauguay a été
victime d'un piratage informatique. Selon vous, est-ce que nos
municipalités du Québec sont bien équipées pour protéger les renseignements
personnels de leurs citoyens?
M.
Waterhouse (Steve) :
Mme la députée, moi, j'ai pour dire que n'importe qui... on peut... tant
qu'il n'arrive pas d'incident, se
croit justement à l'abri de tout... de n'importe quoi qui peut leur arriver. Il
y a beaucoup de municipalités, des commissions
scolaires, des universités, des cégeps qui en sont victimes sur une base quasi
régulière. Ils apprennent avec le temps,
et corrigent la situation, et ils espèrent évidemment que ça ne revient pas. Et
ça, c'est partout sur la planète. Ce n'est pas juste un cas, comme on
sait, là, local, ici. C'est propre, c'est inhérent à la technologie.
À votre question, je me dis :
Tant qu'encore une fois il n'y a pas d'incident, les gens ne font pas de
vérification. Autrement dit, les
municipalités, tout comme les gouvernements, font rarement des exercices pour
valider si jamais la sécurité est bonne ou mauvaise. À titre d'exemple,
quand on était plus jeunes, à l'école primaire, à chaque mois de septembre ou octobre, il y avait l'exercice
d'incendie, d'évacuation, pour savoir, un, c'est quoi, le signal d'alarme,
deux, par où sortir, trois, se rassembler dehors, etc.
On ne le fait pas
avec l'informatique. Ça fait que, donc, quand il n'y a pas d'exercice pour être
capable de déterminer c'est quoi,
l'incident, comment ça peut se passer... Comme, souvent, des fois, je donne un
type d'exemple, un mandat que j'ai
déjà eu, on veut vérifier s'il y a de la redondance... Donc, on va être
capables de continuer à travailler, mais avec un lien d'un autre fournisseur de télécommunications. Est-ce qu'on
est... Avec le client, j'ai dit : Quand vous êtes prêts, vous me le dites. On a signé les papiers légaux.
On est prêts, 3-2-1, j'ai débranché tout simplement les modems, il a dit :
Qu'est-ce que vous faites là? Bien, je ne
vois pas de batterie de secours. On simule une panne électrique. Plus rien ne
marchait.
Donc, c'est dans cet
ordre d'idées là que, si on ne simule pas des situations pour être capables de
se préparer, ça va arriver.
Mme Weil :
Selon vous, est-ce que ça prendrait, donc, comment dire, un genre de programme
pour toutes les municipalités qui ont un
modèle quand même semblable, hein, pour tout le Québec? Parce que, j'imagine,
surtout les petites municipalités,
elles seraient vraiment mal équipées, un peu comme les PME, puis ça sera
peut-être une autre question si j'ai le temps. Ils demandent de l'aide
pour être capables de jouer le rôle qu'ils ont, l'obligation qu'ils ont de
protéger les renseignements personnels. Ils
sont vraiment mal équipés, mal informés. C'est une course contre la montre, là,
pour être capables, de, hein, rester à flot dans ce domaine-là.
Pensez-vous que ça
pourrait être utile, donc, pour les municipalités qui... Quand on y pense,
bien, c'est un gouvernement, et, partout,
ils détiennent des renseignements personnels sensibles, importants, comme le
Directeur général des élections nous en a parlé hier. Comme les partis
politiques détiennent des informations très personnelles, l'âge et résidence, l'adresse, etc., pensez-vous que ça
pourrait... Comment verriez-vous une stratégie pour faciliter la tâche
aux municipalités?
M. Waterhouse (Steve) : Bien, ça découle, premièrement, d'une stratégie
de cybersécurité au niveau national, donc,
comme c'est déjà commencé. Et, après coup, il faut que ça découle dans les organisations subordonnées. Puis je peux faire
très facilement la relation que... Lorsque j'étais à la Défense nationale, ça
partait évidemment d'une entité du Conseil du trésor
et, après ça, à chaque ministère, descendait jusqu'après ça à l'unité de réserve
dans chacune des localités qu'il y a
ici, au Québec, par
exemple, et, après coup, n'ont pas
les ressources pour le faire, mais c'est le quartier général supérieur
qui s'en occupait.
Donc,
je verrais très bien les MRC, qui auraient des ressources nécessaires, parce
qu'ils ont des budgets supérieurs aux municipalités, et qui, après ça, pourraient voir les
différentes municipalités sous leur chapeau... à venir en aide
avec ces problématiques-là... pas
problématiques, mais avec la prévention qu'ils peuvent faire, que ça soit de
l'éducation pour le personnel, après
ça de la vérification de conformité. Et ça, ça pourrait rentrer facilement dans
un programme de certification et d'accréditation,
permettant, à ce moment-là, à chaque municipalité de montrer patte blanche,
qu'elles ont fait le minimum nécessaire.
Et,
s'il arrive malencontreusement un incident de sécurité, bien, ça part d'une
base commune avec laquelle ils vont
pouvoir faire les vérifications, parce que, très souvent, je vais voir de la
clientèle et la première affaire que je leur demande à leur documentation : Donnez-moi une topologie de votre
réseau, et elle date de voilà 10 ans. Ça fait que, donc, c'est pour faire face justement
à connaître qu'est-ce qu'il en est... des choses réelles, et, après ça, ça va
être facile... que ça soit aussi, là,
les sites Web des municipalités, qui sont souvent hébergés chez l'ami de
l'ami, après ça, qu'ils ont eu un bon prix
pour le faire, mais que l'architecture en arrière est déficiente, ça fait peur.
Bien, c'est de cette façon-là que, s'il y a des normes minimales, oui,
ça aiderait les municipalités.
• (15 h 30) •
Mme
Weil : Tantôt, vous parliez de l'importance de la Commission
d'accès à l'information puis le rôle
qu'ils pourraient jouer... et de travailler à éduquer la population sur les enjeux
de protection de renseignements personnels. Il y a quelques années, la CAI a
mené une tournée sous l'impulsion de notre ex-collègue Rita de Santis, et la
tournée s'appelait Ce que tu publies,
penses-y, afin de conscientiser les jeunes dans les écoles à la réalité. Il
y avait une tournée, dans toutes les
écoles, bien, beaucoup d'écoles, sur la réalité et les dangers des médias
sociaux. Selon vous, est-ce que l'on devrait y aller de façon beaucoup
plus présente et active, avec les moyens qui devront suivre, évidemment, pour
que la CAI joue ce rôle beaucoup plus proactif?
M. Waterhouse
(Steve) : Vous souvenez-vous de quelle année que cette tournée-là a
été faite?
Mme Weil :
C'était en 2016, à peu près, 2015‑2016.
M.
Waterhouse (Steve) : Bien, c'est drôle. J'étais
président d'un comité de parents à l'école secondaire de ma fille. Je
n'ai jamais entendu parler d'un tel programme. Ça vous montre à quel point que
la CAI travaille en vase clos et n'informe
pas de façon grandiose la population. Et c'est ça que je dénonce de plus en
plus, c'est que c'est un organisme qui est
pourtant mature. Après 26 ans, j'espère qu'ils savent qu'est-ce qu'ils
font. Bien, moi, je peux vous dire qu'ils ne l'ont pas, le côté communication. Ça fait qu'il faudrait
qu'ils se rééduquent de ce côté-là, qu'ils se rééquipent de ce côté-là,
puis, après ça, qu'ils fassent une autre tournée de ce type-là, aller éduquer
autant la jeunesse... mais que les parents qui sont en arrière, pour, après ça,
répondre aux questions des jeunes, parce qu'il n'y en a pas.
Cependant, ils vont se ruer... Bien,
les gens ne se rueront pas à leurs réunions parce que les gens, souvent,
pour les rejoindre, bien, ils sont submergés
de tâches et ils arrivent le soir : Ah non! Pas une réunion à 7 heures
à soir avec la CAI. Ça fait que quand
est-ce que serait le bon moment d'aller interpeler le parent? Ça, c'est l'autre
question qui serait quand même assez
intéressante à débattre, parce qu'il y a le besoin... Le parent veut savoir
comment aider son jeune. Le professeur veut
en savoir davantage. Mais, en même temps, le jeune, il est capable de figurer
bien des affaires. Cependant, il faut l'éduquer
aussi sur les conséquences d'aller s'afficher sur une plateforme de média
social et comprendre, des fois, qu'il y
a des pas fins en arrière, puis voici comment qu'ils se présentent, pour qu'ils
réalisent que ça leur arrive au quotidien.
Mme Weil :
Donc, vous êtes d'accord qu'une initiative importante, mais beaucoup plus...
bien, profonde, et élargie, et constante...
M. Waterhouse
(Steve) : Présente, oui.
Mme Weil :
...mais avec les moyens, évidemment, pour le faire... J'imagine que les moyens
étaient limités à ce moment-là.
C'était un genre de projet pilote pour commencer... mais, comme vous dites, ce
n'était pas en continu. Puis, finalement,
c'est un projet qui a duré un certain temps, publication d'un petit livre, et
puis, après ça, bon, je ne sais pas ce qui s'est produit.
M. Waterhouse (Steve) : Vous apportez un point important, Mme la députée,
et c'est... Qu'est-ce qu'on parle aujourd'hui,
surtout le projet de loi n° 64, j'espère que tous... est conscient que ce
n'est pas quelque chose qui est immuable une fois qu'il sera adopté, c'est quelque chose... La technologie dans
laquelle on baigne, les médias sociaux, etc., c'est en mouvement constant. Mais juste cette semaine, là,
je pense, tout le monde a réalisé aussi que la plateforme Facebook vient
de changer, là. Personne n'a été avisé, par exemple, que ça leur tentait de
changer ça.
Ça
fait que la journée que les grosses plateformes comme ça changent leur modèle,
changent leurs façons de faire, ils
n'avisent personne, et c'est qui, encore une fois, qu'il faut qu'ils
réapprennent à s'en servir? Bien, c'est tous et chacun, alors qu'on est pris à déjà maîtriser cette
base-là. Après ça, il faut aller plus loin et comprendre les changements qui
viennent d'être apportés et comprendre, des
fois, d'autres nouvelles fonctionnalités, mais qui, souvent, vont ouvrir des
brèches. Et c'est là que le problème est toujours répétitif.
Ça
fait que c'est pour ça que je vous rejoins en disant : Il faut que la CAI,
dans son rôle d'éducation, bien, qu'ils le fassent de façon cyclique. Et, le mois d'octobre, c'est le mois de la
cybersécurité. Je n'ai rien vu encore de préparé pour ça.
Mme Weil : Il me reste encore un peu de temps. Hier, on a eu
des échanges avec des organismes qui... représenter le milieu des entreprises. Le défi que
représente... tous d'accord, évidemment, sur l'importance de protéger les renseignements personnels, mais que les PME,
surtout, et une collègue avait parlé de PPME, n'ont vraiment
pas les moyens pour s'occuper ou engager un expert en la matière pour
qu'ils puissent respecter la loi. Ils ont évoqué les peines qui sont prévues
dans la loi, etc.
Donc, ils ont parlé d'accompagnement, et sans
donner trop de détails, mais qu'eux auraient besoin d'accompagnement.
Moi, il me semble que cette notion d'accompagnement, évidemment, pour aider
tous ceux qui devront absolument se conformer à la loi, là, il n'y aura pas de
choix. C'est un enjeu tellement sérieux, tellement important, mais on peut comprendre qu'ils n'ont pas les moyens.
Connaissez-vous des modèles de ce genre où il y a vraiment
un accompagnement d'entrée de jeu ou peut-être
même un partage de ressources humaines et technologiques pour faire en sorte
que plusieurs puissent bénéficier de cette... sans avoir l'expertise
eux-mêmes, mais compter sur quelqu'un qui s'assure que... Oui, il y a des consultants,
là, mais je pense que, même pour eux... C'est quel modèle vous verrez pour les
aider?
M. Waterhouse (Steve) : Il existe ce que vous mentionnez, des compagnies
qui vont être capables d'avoir des ressources
humaines, comme moi je le fais, pour
être en mesure de venir assister peu
importe le type d'organisation, OSBL, entreprise, peu importe le niveau, pour être capables de se débrouiller puis pour comprendre
aussi l'aspect de qu'est-ce qu'ils ont à faire, que ce soit un aspect
d'installation, de nouvelles façons de faire, de comprendre la suite Office,
comment elle fonctionne, etc. Il y a
plusieurs compagnies au Québec qui ont l'expertise de le faire, et, tous et
chacun, on est débordés tellement qu'on est peu à rencontrer le besoin.
Il
y a des gens, là, que... J'ai une liste d'attente avec laquelle, là... je les
appelle pour leur dire : Je ne vous ai pas oublié, je vais vous rappeler. Puis ça prend des mois parce qu'on est
peu. Et, après ça, les problèmes se multiplient plus vite que se multiplie le nombre d'experts ou de
compétents... de gens compétents dans le domaine, et ça... On a les
universités qui ont des programmes de... qui, tranquillement, pas vite, sont
matures pour former les gens à ce qu'ils aient les connaissances minimales, mais ça n'apporte pas automatiquement
l'expérience nécessaire pour être capables de faire le travail, et il y
en a besoin. L'expérience joue pour beaucoup justement dans ces
interventions-là.
Alors, le modèle
qu'on jase ici, bien, ça en est un, oui, de service-conseil, mais il faut qu'il
soit, encore là, un service-conseil
abordable. Puis, malheureusement, quand je vous dis : De l'expérience et des connaissances, bien, souvent, dans le marché, c'est des connaissances de pointe
qui sont quand même relativement dispendieuses. Malheureusement,
il faut souvent aller s'exproprier aux États-Unis, dans le sens que... pas s'exproprier, mais s'expatrier, pour être
capable d'aller chercher la connaissance,
alors que, bien, il y a... l'industrie n'est pas... voulu de l'offrir ici à prix égal.
Ça fait que c'est pour ça que c'est
malheureux, mais il n'y aura pas de... S'il y a des connaissances à
rabais dans ce domaine-là, il faut questionner... parce qu'il y a...
Quand c'est trop beau pour être vrai, peut-être que ce n'est pas vrai aussi.
Mme Weil : M. le
Président, est-ce que j'ai le temps pour...
Le
Président (M. Bachand) : Oui, bien sûr, bien sûr, allez-y.
Mme Weil : Hier, on a beaucoup parlé... Puis vous
avez beaucoup de connaissances en la matière. Alors, je
pense que vous serez une bonne personne pour
répondre à la question. Ils ont aussi amené un dilemme, c'est-à-dire que... bien, un souhait ou
une recommandation que le gouvernement attende, que le gouvernement fédéral apporte
ses modifications à sa propre
loi et aussi que certaines provinces, aussi, amènent des modifications à leurs lois. Ils ont dit que, si on a une panoplie de lois qui vont dans des sens différents, ça va
être extrêmement difficile pour nous. Il n'y a pas de frontière
dans le travail qu'on fait. Normalement,
le Québec n'attend pas. Le système fédéral n'est pas fait
comme ça. On s'inspire des uns des autres,
mais on n'attend pas que l'autre juridiction aille de l'avant quand on a une obligation,
hein, de protéger nos propres citoyens. Qu'est-ce
que vous dites par rapport... Je dois vous dire... Je n'ai jamais vraiment
trop saisi... Je peux comprendre les
complexités, mais, en même temps, il faut avancer. On n'est pas comme l'Europe. Ce
n'est pas l'Union européenne, la fédération canadienne. Comment vous
voyez ça?
M.
Waterhouse (Steve) : Bien,
je vois ça... que, les élus, ils ne font pas le travail nécessaire
pour donner les pouvoirs qui sont
requis par les commissaires à la vie privée. M. Therrien, comme commissaire à la vie privée du Canada, maintes
et maintes fois, année après année, demande des pouvoirs et des façons de faire qui vont être, à ce moment-là,
plus coercitifs, pour ne pas dire qui vont
lui donner le pouvoir nécessaire et surtout l'autonomie nécessaire
pour être capable d'enforcer qu'est-ce qui est le respect de la vie privée et
surtout d'être capable d'accuser si nécessaire... Moi, c'est de même que je le verrais, son rôle, au même titre qu'ici,
au Québec, la CAI pourrait bénéficier de cette même confiance-là de la
part des élus pour qu'ils aient un rôle
complètement indépendant et qu'ils puissent à ce moment-là faire le travail
d'usage, parce que...
Je donne
comme exemple toujours l'enquête sur les caméras de reconnaissance faciale. On
attend toujours, après deux ans, un
rapport du commissaire à la vie privée de l'Alberta et du Canada sur
l'utilisation des caméras de reconnaissance faciale en milieu public. Et
là ça se multiplie, ça, à une vitesse grand V. On en retrouve partout. Tout le
monde veut utiliser cette technologie-là, mais il n'y a pas de ligne
directrice. La CAI a émis des lignes directrices ici, au Québec, fantastique, mais les rapports... Elle est
inspirée de bonnes pratiques, mais les rapports de l'Alberta et du Canada ne
sont toujours pas sortis. Alors, pourquoi,
s'ils n'ont pas assez de ressources, ils ne sont pas capables de produire
rapidement un résultat d'enquête qu'on a besoin là et non pas dans trois ans
d'ici, alors que ça va être étendu partout et ça va être quasi impossible à
retirer?
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M. le
Président. Pouvez-vous me...
Le Président (M. Bachand) :
3 min 24 s
M. Nadeau-Dubois :
3 min 24 s? Bonjour, M. Waterhouse, toujours un plaisir de
discuter avec vous en commission
parlementaire. J'ai raté votre
présentation puis les premiers échanges. Donc, vous m'excuserez si je
pose des questions que vous avez abordées.
Mais j'ai bien lu votre mémoire puis je trouve intéressant que vous
reconnaissez d'entrée de jeu quelque
chose que je pense que tout le monde reconnaît ici, c'est-à-dire que, si on modernise, comme on souhaite le
faire, le cadre légal qui protège les
renseignements personnels, ça va représenter des responsabilités
supplémentaires pour les entreprises.
Certains disent un fardeau, certains disent de la paperasse. Moi, je préfère
dire des responsabilités supplémentaires.
J'aimerais
vous entendre en tant qu'expert en matière de sécurité sur un argument qui nous
a été présenté hier. Hier, il y a
certains représentants qui, on va se le dire, viennent du milieu des affaires,
qui nous ont dit, grosso modo : Faites attention, si vous êtes trop sévères, si vous êtes trop exigeants, si
vous êtes trop stricts au niveau de la protection de la vie privée, vous
allez faire fuir des entreprises dans le domaine de la technologie, vous allez...
ou rendre les entreprises québécoises moins
compétitives dans ce marché-là. Et on nous a invités, parfois directement, parfois indirectement, à, disons,
niveler vers le bas les protections, à rendre... On nous a dit : Il faut
rendre les données accessibles, quand
même, il faut... mais il faut les rendre accessibles quand même.
Donc, il y
avait tout un discours qui nous incitait à peut-être diminuer les exigences pour ne pas, disait-on,
brimer l'innovation. Vous êtes dans le domaine depuis longtemps.
Vous êtes un expert de la sécurité. Qu'est-ce que vous pensez de ce discours-là? Est-ce que vous êtes d'accord?
Êtes-vous pas d'accord? Qu'est-ce que vous pensez de ces arguments-là
qu'ils nous ont présentés et qui nous invitent, nous, les législateurs, disons,
à baisser les exigences par rapport à l'état actuel du projet de loi?
M.
Waterhouse (Steve) : Bien,
j'ai pour dire qu'il n'y a pas de demi-mesures en sécurité, parce qu'aussitôt que vous abaissez
certaines normes... et, les normes, il faut les établir, et il faut y aller
avec les normes les plus strictes, et peut-être
les adapter, mais de dire : Il faut réduire... Après ça, il y a des
exigences pour satisfaire certains besoins. Ça va être contre-productif et ça va jouer doublement contre
les entrepreneurs en province. Pourquoi? Parce que, si, à l'extérieur du
pays, les normes sont plus élevées, bien,
ici, pour satisfaire une certaine... un certain marché, pardon, certains
marchands, il faut les mettre plus basses, bien, ils ne seront pas compétitifs
à l'extérieur parce que, là, il va falloir qu'ils redoublent d'efforts
lorsqu'ils vont aller à l'extérieur pour faire affaire.
Donc, c'est
dans cet ordre... dans cet aspect-là que je ne suis vraiment pas d'accord avec
cette évaluation-là, et, pour que ça soit réaliste, bien, il faut qu'on
se mette aussi à un niveau mondial. Est-ce qu'on veut juste faire aussi du marché local ou on veut
aller à l'extérieur? Si c'est l'extérieur, comme je parle... beaucoup
d'entrepreneurs veulent faire, expandre
leurs marchés, bien, il faut aller à ce moment-là à parts égales, au même
niveau d'échange avec le restant de la communauté
et de s'assurer qu'on soit aussi avant-gardistes, parce que, si on est toujours
à la remorque du minimum, bien,
désolé, il y en a qui vont prendre davantage sur ceux qui sont en avant et qui
sont justement avant-gardistes sur le marché, avec leurs nouvelles
normes.
• (15 h 40) •
Le Président (M.
Bachand) : ...
M. Nadeau-Dubois : Oui, très
rapidement, vous parlez de la nécessité de l'accompagnement. Je pense qu'on y est tous. Qu'est-ce que vous pensez des amendes?
Vous nous parlez, dans votre mémoire, beaucoup de la carotte, aider les
entreprises. Pensez-vous que c'est aussi nécessaire qu'il y ait un fort volet
punitif?
M. Waterhouse (Steve) :
Malheureusement, l'humain étant l'humain, c'est nécessaire pour être capable de
comprendre jusqu'où les gens peuvent aller...
utiliser d'une certaine liberté ou d'une certaine latitude. S'ils voient
qu'il n'y a aucune conséquence comme c'est
le cas présentement... On le voit, il y a des organismes qui ont eu... Ils ont
fait fi d'un minimum d'efforts à mettre en
place pour protéger l'information personnelle qu'ils avaient dans leurs
responsabilités, et, résultat, ils ne sont
pas punis, puis «life goes on», la vie continue. Alors, oui, il faut qu'il y
ait, à ce moment-là, coercition pour être en mesure de faire respecter
ça.
Et,
malheureusement, comme on le voit avec le RGPD depuis deux ans, il y a des cas
types qui se sont dessinés. Il y a
des grosses amendes qui ont été versées pour, souvent, des incidents de fuite
d'information qui avaient de l'air bénins. Puis, là-dessus, je pense à
British Airways, qui ont eu une amende de 300 millions de dollars pour des
centaines de milliers de dossiers de
clients. C'est quand même disproportionné. Il y en a qui vont dire : Mais
il y a quand même des normes qui
commencent à s'établir. Il y en a qui vont dire : Bien, ça va être
1 000 $ du nom, ça va être l'amende ou ça va être un montant
global, basé sur les revenus annuels, etc.
Ça fait que,
oui, il faut qu'il y ait des paramètres sur lesquels s'aligner, parce que,
sinon, s'ils n'ont pas cet acte de droit là sur lequel savoir jusqu'où
qu'ils peuvent tasser, bien, tout le monde va pogner le clos à un moment donné.
Le Président (M.
Bachand) : M. Waterhouse, merci beaucoup de votre
contribution aux travaux. Vous êtes toujours le bienvenu à la Commission des
institutions.
Alors, sur ce, je suspends les travaux quelques
instants. Merci beaucoup.
(Suspension de la séance à 15 h 44)
(Reprise à 15 h 48)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission
reprend ses travaux.
Alors, il
nous fait plaisir d'accueillir les gens de l'Office de la protection du consommateur. Alors, vous connaissez les
règles, un petit 10 minutes de présentation, échange avec les membres par après. Alors, je
vous invite à débuter, d'abord, en vous présentant. Puis merci d'être
ici cet après-midi.
Office de la protection du consommateur
Mme Champoux
(Marie-Claude) : Alors,
bonjour. Mon nom est Marie-Claude Champoux. Je suis présidente de l'Office
de la protection du consommateur. Et je suis accompagnée de Marjorie Théberge,
qui est vice-présidente de l'office. Alors,
je vous remercie de me permettre de m'adresser à vous aujourd'hui relativement au projet de loi
n° 64.
Tout de suite, avant d'aller plus loin, je tiens
à vous rappeler que le rôle de l'Office de la protection du consommateur consiste, entre autres, à veiller à l'application de la Loi sur la protection du consommateur. Cette loi régit les relations consommateurs-commerçants. En tant que
présidente de l'organisme, je souhaite préciser que nous ne sommes pas, à l'office, des spécialistes de la Loi sur la
protection des renseignements personnels dans le secteur privé, soit l'une des lois
que viendrait modifier le projet de loi n° 64. C'est évidemment
la CAI qui a la responsabilité de surveiller l'application de cette loi.
Il reste que,
malgré tout, plusieurs consommateurs s'adressent à nous en ce qui
concerne la protection des renseignements personnels, et même si la question ne relève pas de nos
lois. Nous en profitons, donc, pour les guider quand l'occasion se présente, car plusieurs
situations de tous les jours, dans la vie d'un consommateur,
peuvent l'amener à fournir ses renseignements personnels. Je pense à des choses qui nous semblent aussi
banales que s'inscrire à un programme
de récompenses ou faire un achat sur Internet.
À l'office,
nous agissons en prévention. Nous invitons les consommateurs à faire preuve de
prudence. Protéger adéquatement le NIP de sa carte de crédit, se méfier des
courriels non sollicités et vérifier son dossier de crédit de temps à autre afin de voir si les renseignements qui s'y trouvent sont exacts et à jour sont des exemples
de nos interventions en amont.
• (15 h 50) •
Relativement
à la protection des renseignements
personnels, nous sommes aussi
confrontés à ce que j'appellerais des
appels à l'aide. Nous sommes bien au fait qu'une fuite de données peut avoir
des répercussions majeures dans la vie d'un
consommateur. Nous savons particulièrement quelles peuvent en être les conséquences sur son
dossier de crédit. Je peux l'affirmer avec certitude, quand ce dossier comporte une
inscription qui ne devrait pas s'y trouver, le consommateur fait face à
des difficultés vraiment importantes. J'y reviendrai.
Bref,
je tenais à rapidement mettre en lumière ce que nous faisons au
quotidien à l'office, parce qu'aujourd'hui, dans le contexte de la consultation, je vais m'en tenir à des commentaires généraux sur des modifications qu'il est proposé d'apporter à la Loi sur la protection
des renseignements personnels dans le
secteur privé. Les différents spécialistes
qui ont été invités à participer à cette consultation pourront sans doute y
apporter un éclairage plus précis.
Mais,
juste avant, j'aimerais revenir sur la participation récente de l'office à la consultation particulière dans le cadre des travaux sur le projet de
loi n° 53,
projet de loi qui vise notamment à mieux protéger les consommateurs dans un
contexte où ils risquent de faire l'objet
d'un vol d'identité. La consultation sur le projet
de loi n° 53
a été, pour nous, à l'office, l'occasion
de démontrer à quel point, dans la vie d'un consommateur, aussi bien de le
dire, dans la vie de tous les Québécois, le dossier de crédit est un
élément fondamental.
J'ai
glissé un mot à ce sujet tout à
l'heure et je le répète, une note
défavorable au consommateur, une inscription qui se trouve à tort dans son dossier de crédit peut lui nuire énormément.
Demander une carte de crédit, emprunter de l'argent ou obtenir du financement pour un achat
devient alors plus que compliqué. Le consommateur peut se retrouver avec
des conditions moins avantageuses, un prêt à
un taux de crédit plus élevé, notamment. Dans le pire des cas, il pourrait aussi
faire face à un refus, pas d'accès au financement, ce qui voudrait aussi dire,
si nous transposons le tout dans une situation concrète, pas de voiture pour se
rendre au travail.
Lors de cette
consultation, le 25 août dernier, je me suis permis de faire des
suggestions à propos de certaines mesures de
protection. Je pense notamment au gel et à l'alerte de sécurité. J'ai mis de
l'avant plusieurs propositions qui, à notre
avis, à l'office, favoriseraient l'efficacité
de ces mesures de protection. L'office a, entre autres, suggéré un accès
continu et sans frais au dossier de crédit et l'envoi, aussi, gratuitement de
notifications aux consommateurs.
En
effet, il demeure primordial, du point
de vue de l'office, que le
consommateur puisse être informé sans délai quand certains événements se produisent dans son dossier de crédit, comme
la baisse de sa cote ou l'inscription d'une nouvelle créance. Ainsi, le consommateur est non seulement en mesure de constater rapidement qu'une anomalie figure dans son dossier de
crédit, mais il peut aussi agir rapidement.
Devant la commission,
j'ai aussi partagé les préoccupations de l'office à l'égard du fardeau qui pèse
sur le consommateur quand vient le temps de contester une note à son dossier de
crédit s'il est victime d'un vol d'identité, notamment, une note qui, même contestée, a une incidence
sur la cote de crédit d'un consommateur, et ce, jusqu'à ce qu'il fournisse des preuves. Une telle démarche de
contestation se révèle ardue pour le consommateur et, j'oserais dire,
frustrante, quand nous savons qu'un commerçant, de son côté, peut inscrire une
note dans un dossier de crédit sans même avoir à démontrer qu'elle est justifiée.
Je
souhaitais revenir brièvement sur tout cela parce que je comprends que le projet de loi n° 64 vient protéger... compléter, pardon, le projet de loi n° 53. Les mesures qu'il contient pourraient
contribuer à éviter la survenance d'incidents ayant des conséquences graves sur les consommateurs, comme les
fuites que nous avons connues dans la dernière année. Et, dans les cas
où ces situations malheureuses auraient tout de même eu lieu, le projet de loi
n° 64 viendrait en limiter les conséquences.
Dans
le contexte numérique dans lequel nous évoluons aujourd'hui, avec toutes les
technologies de l'information que
nous connaissons maintenant, et par lesquelles nos renseignements transitent,
la protection de ces données est de plus en plus d'actualité. Les différents épisodes que nous avons connus dans les
derniers mois démontrent, selon moi, l'importance d'agir pour protéger les renseignements personnels
des consommateurs, des renseignements que recueillent, utilisent et
communiquent les organismes publics et les entreprises.
Le
projet de loi n° 64 propose d'introduire de nouvelles mesures qui
responsabiliseraient davantage les entreprises en matière de protection des renseignements personnels, ceux qu'elles
détiennent sur les consommateurs. Les mesures concernent, entre autres, les incidents de confidentialité. Elles
exigeraient que les personnes concernées par un incident soient avisées quand il présente un risque de
préjudice sérieux. Un tel ajout serait sans doute susceptible de
contribuer à ce que les consommateurs
concernés aient l'information rapidement. Conséquemment, ils pourraient, dans
les plus brefs délais, utiliser les
mesures de protection relatives à leur dossier de crédit dont il est question
dans le projet de loi n° 53.
(Interruption) C'est un
chat, ce n'est pas la COVID. Nous notons également que des modifications
seraient apportées aux sanctions auxquelles s'exposent les contrevenants. Ces modifications
nous paraissent être un incitatif efficace pour amener les entreprises à
agir en tout respect des règles.
Nous
constations, de plus, que des modifications apportées à la Loi sur la
protection des renseignements
personnels dans le secteur privé concernent
le consentement. Le consentement est un élément central dans la Loi sur la protection du consommateur. Il l'est tout autant en matière de protection des renseignements personnels. La Loi sur la protection des renseignements personnels dans le secteur privé s'intéresse, en effet, au
consentement du consommateur à la cueillette de renseignements
personnels, à leur utilisation et à leur communication.
À
propos de la cueillette, une entreprise qui recueille des renseignements personnels auprès d'un consommateur doit lui livrer plusieurs informations, dont les
raisons pour lesquelles ces renseignements sont recueillis. Ces
informations doivent être fournies au moment de la collecte. Ayant à l'esprit
l'approche retenue dans la Loi sur la protection du consommateur, nous nous
demandons si les informations nécessaires à un consentement éclairé ne
devraient pas être fournies au consommateur
de façon préalable, soit avant la collecte. Nous nous demandons même si la
façon de fournir ces informations de
la plus haute importance au consommateur ne devrait pas être davantage
encadrée. Nous pourrions ainsi nous assurer qu'elles sont portées
expressément à la connaissance du consommateur d'une façon claire, nette et
sans équivoque. Elles sont, après tout, indispensables dans sa prise de
décision.
Par ailleurs, de nos jours, des renseignements
peuvent être recueillis grâce à des moyens technologiques. Le projet de loi
prévoit que le consommateur serait, au préalable, informé du recours à une
telle technologie, ce qui nous semble tout à fait
souhaitable. Toutefois, le consommateur saurait-il, au préalable, quels
renseignements à son sujet pourraient être recueillis? Je me permets de poser
la question car le projet de loi semble flou à ce propos.
Le projet de loi prévoit également qu'une entreprise pourrait utiliser un renseignement personnel à une fin différente de celle pour laquelle elle l'a recueilli. Une
telle utilisation serait admissible dans certains cas en l'absence du
consentement du consommateur, notamment si l'entreprise est d'avis que cette
autre utilisation est manifestement au bénéfice du consommateur. À l'office, il
nous semble que cette exception laisse une grande discrétion à l'entreprise.
J'aborde la
communication des renseignements maintenant. La loi actuelle prévoit des exceptions qui
permettent à une entreprise de communiquer des renseignements personnels à un
tiers sans que le consommateur y ait consenti. Je comprends que le projet de
loi vient ajouter d'autres circonstances où un tel partage d'information serait
autorisé, par exemple si la communication
est nécessaire à l'exécution d'un contrat de services que
l'entreprise confie à un tiers. Cette entreprise
serait alors tenue de conclure une entente avec ce tiers. Elle préciserait les
obligations du tiers relatives à la protection
des renseignements personnels qui lui sont communiqués. Une question nous est
venue à l'esprit. Quelles seraient les
sanctions applicables si l'entreprise, elle, respecte son obligation de
conclure une telle entente, mais que le tiers, lui, ne respecte pas les
termes de l'entente?
Le projet de loi suggère aussi d'éliminer la possibilité qu'une entreprise utilise sans
le consentement des personnes concernées
une liste nominative à des fins de prospection commerciale ou qu'elle
communique cette liste à un tiers. Je salue cette initiative. La
modification nous apparaît être une amélioration des règles actuelles.
Je poursuis,
juste avant de terminer, en parlant du fait que certaines décisions des entreprises sont rendues sur la base d'un traitement automatisé des renseignements
personnels. Le projet de loi aborde cet aspect. Il est prévu que l'entreprise informe les personnes concernées
lorsqu'une décision est fondée exclusivement sur un tel traitement.
Cette mesure a suscité quelques questions au sein de notre organisation. Je les
partage avec vous.
Nous nous
demandons pourquoi cette obligation d'information se limite-t-elle aux cas où
la décision est fondée exclusivement
sur un traitement automatisé. Le consommateur pourrait être informé dès que ses
renseignements personnels sont utilisés
pour prendre une décision, peu importe le type de traitement qui en est fait.
Le consommateur ne devrait-il pas aussi
être informé si l'utilisation de ses renseignements personnels fait en sorte
que des conditions moins favorables lui sont proposées? Enfin, selon nous, la façon dont l'information est
fournie à la personne concernée aurait avantage à être encadrée afin
qu'elle soit portée à sa connaissance de façon appropriée.
J'aborde un
dernier point avant de conclure. Nous notons que des modifications ont été
apportées à des articles qui s'intéressent
à l'accès des personnes à leurs renseignements. Il semble bien que des frais
puissent continuer à leur être exigés pour
la transmission de leurs renseignements personnels. Nous réitérons donc le
commentaire formulé dans le cadre des travaux
relatifs au projet de loi n° 53. À notre avis, le consommateur devrait pouvoir
accéder à son dossier sans frais et en tout temps. Les renseignements
qui s'y trouvent lui appartiennent.
J'espère sincèrement que les commentaires que
j'ai partagés et que les questionnements que j'ai soulevés ici contribuent aux travaux de la commission. Des
règles en matière de protection des renseignements personnels fondées
sur la transparence ne pourront que mieux protéger les consommateurs québécois.
Je vous remercie.
Le Président (M.
Bachand) : Merci beaucoup, Mme la Présidente. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette : Merci, M. le Président. Mme Champoux,
Mme Théberge, bonjour. Merci d'être à l'Assemblée nationale aujourd'hui au nom de l'Office de la
protection du consommateur pour témoigner. Je pense que vous êtes en
terrain connu aussi avec la députée de Notre-Dame-de-Grâce, aussi, que je crois
que vous connaissez.
Alors, bien,
écoutez, d'entrée de jeu, je... peut-être vous poser des questions
opérationnelles, là, pour l'OPC. Le consommateur,
là... Quand il y a des fuites de données, là, j'imagine qu'il y en a beaucoup
qui cognent à la porte de l'Office de la protection du consommateur pour
dire : J'ai eu un vol de données, qu'est-ce que je fais?, et puis ils
doivent s'adresser à vous.
Mme Champoux
(Marie-Claude) : Ça arrive, effectivement. C'est sûr que nous ne
sommes pas responsables de l'accès à
l'information puis la protection des renseignements personnels. Donc, ce n'est
pas... Souvent, on peut les référer à la
CAI, mais aussi en amont. Comme je le disais un petit peu plus tôt, on essaie
de bonifier notre information. On a parlé de sites Web un peu plus tôt. Le site de l'office est très, très, très
fréquenté. Alors, souvent, on y va question-réponse puis on essaie, en
amont, de donner l'information au consommateur.
• (16 heures) •
M. Jolin-Barrette : Mais, exemple, là, sur le plan gouvernemental, là...
parce que, pour connaître tous les rôles, là, de la CAI puis l'OPC, le citoyen, là, pour lui, sa première réaction, ça
peut être l'OPC. Comment est-ce que vous pensez qu'on pourrait, comme, au niveau
de l'État, là, faire de la pédagogie avec les citoyens pour dire : Si
vous avez une problématique, ça va
être à la Commission d'accès à
l'information puis pas à l'OPC? Et est-ce qu'il y aurait lieu d'avoir des liens à développer entre l'OPC et la Commission
d'accès à l'information?
Mme
Champoux (Marie-Claude) : Effectivement, il n'y a pas vraiment de lien, puis ça pourrait être tout à fait intéressant de développer des liens. C'est certain que, si, à la suite
de l'adoption du projet de loi, il y a des outils d'information qui sont
développés par la CAI ou par le secrétariat, ça nous ferait plaisir, nous, d'en
faire la promotion, de les mettre sur notre
site, puis effectivement de... parce
qu'on n'aime pas ça référer, là, les
consommateurs. Quand on est capables de leur répondre directement puis
de leur donner de l'information, ne pas les envoyer un peu partout au sein de
l'appareil, certainement, ces collaborations-là peuvent être développées, là.
M.
Jolin-Barrette : ...que, dans le fond, le citoyen qui a des informations
dans des entreprises privées, des entreprises
commerciales, bien souvent, c'est parce
qu'il est un consommateur. Dans le
fond, que ça soit dans les institutions
financières, que ça soit les données qu'on donne, on va s'acheter un
ordinateur, on remplit la garantie, toutes les informations de nature
personnelle qu'on donne, bien, c'est intrinsèquement lié aussi un peu en sa
qualité de consommateur.
Puis ce n'est
pas la même chose que lorsqu'il donne des données à l'État, supposons, où, là,
c'est, supposons, des données de
nature fiscale ou des données de nature personnelle, relativement à l'entièreté
de la donnée que l'État détient sur le
citoyen, le chapeau est un petit peu différent aussi. Ça fait que ce serait peut-être
intéressant de vous intégrer dans la réflexion
avec la Commission d'accès à
l'information pour voir comment est-ce qu'on peut faire les ponts entre les deux.
Est-ce que...
Puis peut-être vous ne pourrez pas me répondre là-dessus
parce que l'accès à l'information, c'est la Commission d'accès, sauf que, dans les pratiques que vous observez au niveau,
là, des affaires, des commerces, est-ce
que vous voyez que les pratiques
commerciales font en sorte de récupérer beaucoup de données, beaucoup
plus que ce qui est nécessaire à l'exercice de l'activité commerciale
des entreprises?
Mme
Champoux (Marie-Claude) : On
n'a pas fait d'étude là-dessus. Je n'ai pas de données précises là-dessus. J'aurais tendance à vous dire : Oui, intuitivement, là, on peut
penser qu'effectivement il y a beaucoup d'information
qui est demandée au consommateur qui n'est peut-être
pas toujours nécessaire dans les circonstances. Mais on n'a pas de
données là-dessus, là. Je ne peux pas vous donner une opinion éclairée.
M.
Jolin-Barrette : Puis,
souvent, avec l'OPC, ce qu'on constate, puis je sais... où vous intervenez,
c'est quand il y a une pratique abusive, supposons, une pratique
commerciale abusive, et où le consommateur se retrouve un peu dans une
sorte de contrat d'adhésion, puis les clauses sont là, puis il y a un débalancement,
puis là, bon, l'OPC peut intervenir, conseiller,
tout ça. Est-ce que vous pensez qu'en matière de protection des
renseignements personnels ou de... En fait, le fait de donner ces renseignements, c'est un peu la même pratique, où est-ce que
le consommateur, dans le fond, quand il veut acheter son bien ou quand il veut accéder au service qui est offert
par l'entreprise... Bien, dans
le fond, il ne consent pas vraiment,
là. Il clique «oui», il clique «j'accepte», puis ce n'est pas nécessairement
un consentement éclairé. Est-ce qu'on peut faire le parallèle entre ça puis le consentement qui est donné en matière de consommation, bien, en fait, le
contrat d'adhésion, là, si on peut dire?
Mme Champoux (Marie-Claude) : Je vais
demander à Me Théberge de vous répondre si ça vous va.
Mme
Théberge (Marjorie) : Si
vous me permettez, je ferais peut-être un parallèle. Au dernier projet de loi sur lequel on a eu le privilège de travailler, on avait encadré un peu, par rapport
à la capacité de remboursement du consommateur,
les informations que le consommateur ou le commerçant devait
requérir. Donc, par le biais de notre loi et de notre compétence, on essaie de circonscrire ce que le commerçant peut
exiger, des éléments importants et essentiels pour arriver au but qu'il souhaite, et puis, d'un autre
côté, par rapport au consommateur, qu'il en soit bien informé et de
savoir ce qu'il doit donner et non pas nécessairement qu'il est obligé de le
faire. Donc, on croit encore que, oui, un cadre légal peut bien aider, mais la
pédagogie, l'éducation demeureront quand même un outil essentiel pour le
consommateur.
M. Jolin-Barrette : Puis la notion
de consentement, là, avec la LPC, tout ça, là, comment est-ce qu'elle... pouvez-vous nous renseigner sur comment est-ce
qu'elle est... elle est abordée comment? Comment est-ce qu'on exprime un consentement valide en matière de droit de la consommation? Peut-être ça pourra nous inspirer pour rendre
accès...
Mme
Théberge (Marjorie) : On va
souhaiter l'obtenir au moment de la conclusion du contrat. Bien entendu,
le tout doit être expliqué et déterminé, et
le consentement doit être valide, donc, et éclairé. On ne peut
pas le déduire. Le consommateur doit
l'exprimer de manière... qu'il en soit bien informé et que ce soit... qu'il
l'ait bien exprimé au moment où il contracte.
M.
Jolin-Barrette : Puis les
groupes qui vous ont précédés nous ont dit souvent, là : Bien, tu sais, le
consommateur, il ne prend pas le
temps de lire les différents éléments puis il coche, là, quand même, là. Dans le fond, c'est un consentement, théoriquement, exprès parce qu'il y a une
manifestation positive. Ça, qu'est-ce que vous en pensez?
Mme
Théberge (Marjorie) : Bien,
c'est surtout... On essaie... Encore là, il y a un volet, beaucoup, d'éducation. On essaie de mentionner au consommateur : Oui,
c'est bien beau, dans un endroit où on arrive pour conclure un contrat...
Donc... peut-être quelques domaines. On peut parler de l'automobile, on peut
parler de vente itinérante, mais que le consommateur
ait le choix de réfléchir, il n'est pas obligé de consentir dans l'immédiat.
Donc, c'est important qu'il le sache.
Bien entendu, il y a certaines situations où il peut avoir
une certaine pression, mais on essaie que le consommateur soit bien au
fait de ses droits.
M.
Jolin-Barrette : O.K.
J'aimerais ça qu'on revienne sur les dossiers de crédit. Dans le fond, vous dites : Bon, bien,
l'entreprise qui a pour objet le prêt d'argent, elle, dans le cadre de la loi qu'on a déposée,
elle a certaines obligations. Mais
vous dites : Il y a plein de gens qui vont ou plein d'entreprises qui vont
consulter le dossier de crédit, donc, puis qui vont récolter des renseignements de nature personnelle. Donc, vous
dites : Eux aussi devraient être visés par l'article de la loi, là,
je pense, l'article 19.
Mme
Théberge (Marjorie) : On souhaiterait que, tout comme... Bien, c'est
surtout que le consommateur puisse y
avoir accès et soit informé immédiatement quand il y a un changement à son
dossier de crédit. Souvent, le commerçant peut y ajouter des informations, et le consommateur ne le sait pas
nécessairement, et c'est pourtant lui qui aura, après ça, à se débattre
et à chercher à faire corriger si l'information qui a été inscrite est
inexacte.
M.
Jolin-Barrette : O.K., donc,
qu'il soit avisé en temps réel de l'inscription à son dossier de crédit, parce
que, dans le fond, supposons qu'il arrive un
litige avec un commerçant ou quoi que ce soit, le commerçant peut inscrire
un message défavorable sur la cote de
crédit, sur le dossier de crédit, et là le consommateur, lui, il n'a pas
nécessairement de notification. Il l'apprend
deux, trois ans plus tard, lorsqu'il fait un prêt, un contrat de crédit ou
quelque chose comme ça.
Mme Théberge (Marjorie) :
Exactement.
Mme
Champoux (Marie-Claude) : Si
vous me permettez, plus encore, le consommateur, s'il considère que cette indication-là est injuste, il faut qu'il se batte
pour essayer de la faire enlever. Puis, pendant ce temps-là, sa cote de
crédit est quand même influencée négativement même s'il conteste
l'indication, alors que le commerçant, lui, n'a pas à se justifier. Il
l'a tout simplement inscrit. Il n'a pas à se justifier.
M. Jolin-Barrette : Peut-être, M. le
Président, que les collègues...
Le
Président (M. Bachand) :
Merci. Je me tourne vers la banquette... M. le député de Saint-Jean,
s'il vous plaît.
M. Lemieux : Oui, merci beaucoup, M.
le Président. Bonjour, mesdames. On s'est fait dire ce matin qu'avec 60 articles le projet de loi n° 64,
c'était trop puis, en même temps, trop peu. Pourtant, on se retrouve, si j'ai bien
compris, dans les ligues majeures. C'est-à-dire qu'il y a des règles qui doivent être aussi fortes que ce
qu'il y a en Europe pour qu'on soit capables de travailler avec l'Europe et on va
s'organiser pour être capables de suivre un peu ce qui se passe sur la
planète. Donc, c'est un peu le tiers pays sûr, mais dans le monde des renseignements
personnels.
Est-ce que
vous avez l'impression que, malgré que le consommateur, vous l'appelez
le consommateur, le citoyen soit, au mieux, distrait, le plus souvent, quand il va en ligne puis
qu'il fait ses affaires... qu'au lendemain de ce que vous voyez dans le projet de loi on est rendus ailleurs? C'est-à-dire, on a modernisé,
mais pas seulement modernisé au sens de refaire la loi, mais au sens de ce qu'on vit tous les jours maintenant.
Juste avec des applications qu'on n'avait pas il y a un an, on se rend compte aujourd'hui que ça change
tout par rapport à ce qu'on communique à plein de monde sans le savoir. Est-ce que vous avez l'impression qu'avec ça on a au moins une mesure suffisante pour que,
même si le consommateur ne s'en occupe pas, il a la protection minimum
qu'il devrait avoir?
• (16 h 10) •
Mme
Champoux (Marie-Claude) :
Nous ne somme pas des spécialistes, à l'office, pour savoir si c'est
suffisant ou si... Ce qu'on note, puis c'est
vraiment... on le voit comme un... on le reçoit
positivement, on note que c'est vraiment une amélioration pour la protection. Effectivement, on parle toujours
des consommateurs, mais c'est une déformation. Chez nous, les citoyens sont des consommateurs. Alors, on le reçoit très positivement, mais on n'est pas des
spécialistes. Est-ce que c'est... On n'est pas capables de vous dire si,
pour nous, c'est assez ou trop. Ça, on... mais on le reçoit
positivement.
M.
Lemieux : On n'est pas des
spécialistes, personne, sauf celui, peut-être, qui vous précédait tout à l'heure et quelques autres. Il y a quand
même, dans cette loi-là, des dents. À l'Office de protection du consommateur,
vous êtes toujours très près des citoyens qui ont des recours et
vous savez jusqu'à quel point le recours qu'ils ont peut-être pris
au sérieux par quelqu'un
qui aurait des pénalités. Dans ce projet
de loi là, il y a des amendes qui
sont, je ne sais pas, je voulais vous laisser les qualifier,
costaudes, raisonnables, ambitieuses, baveuses?
Mme Champoux (Marie-Claude) : Je ne
les qualifierai pas. Je vais vous dire que je trouve, effectivement, intéressant qu'il y ait des conséquences, parce
qu'on a aussi, à l'Office de la
protection du consommateur, des
conséquences quand les gens ne respectent
pas... Alors, oui, c'est intéressant, mais est-ce que... Encore là, je ne
qualifierai pas le montant.
M. Lemieux : Ce sont des sanctions
qui sont à prendre au sérieux, disons-le comme ça.
Mme
Champoux (Marie-Claude) : À
l'évidence, mais je repose peut-être la question que j'ai posée lors de mon allocution.
C'est peut-être la sanction sur les entreprises tiers, là, qu'on n'a pas vue. Je
ne sais pas si ça a été prévu.
M.
Lemieux : Oui. Il y a
les mesures de protection à l'égard des
renseignements personnels. Quand on ne le sait pas, comme consommateur, qu'on est en train de donner ses informations,
c'est une chose. Quand on est pris dans des fuites, ou dans des banques de données, ou des bases
informatiques de compagnies qui ont été violées, où, là, on devient vite
inquiets... Vous, vous avez 160 000 appels ou de requêtes par années,
de ce que j'ai lu. J'imagine que, depuis une couple d'années, vous avez plus de
demandes à cet égard-là. C'est ça qui vous fait dire qu'on a besoin de plus de
littératie informatique, plus de programmes qui vont aider les gens à
savoir que, quand ils pèsent sur «enter», c'est plus grave qu'ils pensent?
Mme Champoux (Marie-Claude) : Je
n'ai pas de statistiques sur l'augmentation du nombre d'appels ou de plaintes chez nous. Ceci dit, à l'office, on a
constaté qu'effectivement plus on fait d'information, d'éducation, puis
d'ailleurs on a un
programme d'information et
d'éducation à l'office, c'est toujours à l'avantage des consommateurs. Alors, on a toujours fait la promotion d'une
meilleure communication, d'une meilleure information.
Le Président (M.
Bachand) : Oui, M. le député de Vachon.
M.
Lafrenière : Bonjour,
mesdames. Mes collègues de Saint-Jean et de Gouin vont comprendre mon entêtement. Je vais revenir sur une question
qui m'apparaît importante dans ce projet
de loi, c'est le déréférencement. Je ne sais pas si vous avez eu la chance de regarder ce qu'on appelle, en Europe, le droit
à l'oubli, c'est-à-dire de permettre à un citoyen qu'on oublie quelque
chose qui aurait pu être posté sur les médias sociaux, qui le concerne, ce
qu'on appelle ici le déréférencement.
Je veux vous
entendre, parce qu'on a entendu un autre groupe ce matin qui nous
amenait... qui nous levait un petit drapeau.
Je pense qu'ils nous ont levé un drapeau en disant : Écoutez...
faire attention aussi pour ne pas faire
en sorte que les personnes
soient libres arbitres de ce qui va être retiré des médias sociaux ou non, des
plateformes... je devrais dire, des cyberplateformes.
Est-ce que vous, vous avez eu la chance d'étudier cette
partie-là? Je sais que c'est costaud comme projet de loi. Je
sais qu'il y a plusieurs volets. Puis mon but, ce n'est pas
de vous mettre en boîte, c'est vraiment de... J'ai un entêtement, parce que, je dois vous avouer, comme président
de la Commission spéciale sur l'exploitation sexuelle des mineurs, c'est un enjeu qui est important
pour nous, on l'a entendu de la part
de plusieurs victimes, pour
retrouver, vous comprenez, son identité numérique et faire disparaître
des choses qui ont laissé des traces. Alors, tout ce grand laïus pour
savoir : Est-ce que vous avez regardé ce volet-là?
Mme Champoux (Marie-Claude) :
Ce volet-là n'a pas été regardé du côté de l'Office de la protection du consommateur.
M.
Lafrenière : Bien, je pense
que je vais limiter ma question à celle-là pour vous. Merci beaucoup. Merci de votre présence.
Le Président (M. Bachand) : Merci
beaucoup, M. le député de Vachon. Mme la
députée de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil : Merci, M. le
Président. Alors, bonjour. Bienvenue à vous.
Si on recule
un peu, comment... Surtout, au fur et à mesure des années, puis qu'on voit à
quel point ça devient complexe... Et
vous êtes ici parce que la protection du consommateur, c'est au coeur de
votre mission. Et, oui, on est tous des
consommateurs, et là on est des consommateurs qui sont pris dans un genre
d'engrenage que personne ne comprend trop
bien, et on est débordés, et on accepte toutes sortes de choses sans bien lire nécessairement
les conditions, etc. Il y a la
question de cybersécurité en tant que telle. Il y a la question
de consentement, toutes sortes d'éléments qui affectent le consommateur, carrément, parfois, dans un contexte
de consommateur, littéralement, là, d'acheter un produit quelconque, etc.,
avec toutes sortes de renseignements personnels qui sont attachés à notre
inscription à quelque part.
Maintenant,
votre rôle est directement en protection par rapport à une transaction
du consommateur, mais est-ce que vous,
dans votre réflexion, puisque vous êtes là, vous réfléchissez à comment vous
vous inscrivez? C'est sûr qu'il y a
le commissaire à la protection de l'information tant au niveau fédéral, provincial, mais comment les agences...
puis, si, dans d'autres... parce qu'on voit... Aux États-Unis, on voit
l'office de protection du consommateur, au niveau fédéral, qui joue un
rôle dans tout ce qui concerne la cybersécurité.
Comment vous
voyez, peut-être, dans les prochaines
années ou actuellement, votre réflexion par rapport au mandat
que vous pourriez vous donner, disons, pour vraiment vous inscrire là-dedans,
soit par l'éducation, peut-être, dans un premier
temps... et peut-être
si vous avez regardé d'autres modèles ailleurs qui jonglent avec ce défi
énorme? Là, il y a un projet de loi. Vous venez dire : Ça a l'air vraiment bien et intéressant pour protéger justement ce consommateur.
Mais, vous, quel rôle vous... Est-ce que vous avez pensé à ça, réfléchi à tout
ça, le rôle que vous pourriez jouer?
Mme
Champoux (Marie-Claude) : Je
pense que le rôle qu'on peut jouer, c'est encore en information puis en éducation, effectivement, en prévention, étant donné qu'il y a,
comme disait M. le député, 150 000 appels par année, chez nous, pour toutes sortes de sujets. Alors, c'est
sûr qu'on est une référence. Donc, ça va nous faire plaisir de
collaborer avec toute organisation pour pouvoir mieux éduquer et informer les consommateurs.
C'est vraiment le rôle que je pense qu'on peut mieux jouer.
Mme Weil : Et est-ce
que vous... Avez-vous une
perspective... Je sais que, souvent, au fil des années, l'office de protection a ciblé les jeunes, hein, les jeunes de
tout âge, finalement, qui peuvent être victimes de quelque chose qui se produit... dans ce
qu'il a vu, puis, bon... et des ados et des jeunes adultes, au crédit... c'est
pour s'assurer que, comment dire, ils
ne sont pas exploités à ce niveau-là. Est-ce
que vous verriez... parce que, c'est
vrai, il va falloir que vous priorisez, avec le mandat que vous avez,
qui est quand même très large, et le nombre d'appels que vous avez... Est-ce
que vous avez regardé d'autres modèles
ailleurs, là? Et, si oui, quelle serait la tranche de la population
que vous considérez, là, peut-être, votre cible, s'il y en avait une?
Mme
Champoux (Marie-Claude) :
Pour le dossier de la protection des
renseignements personnels, non, on
n'a pas fait de vérifications avec d'autres organisations ou d'autres juridictions. Au risque de me
répéter, comme ce n'est pas dans notre mission, puis nous, on s'intéresse à
l'impact que des fuites peuvent avoir, par
exemple, sur le dossier de
crédit d'un consommateur ou sur la vie du consommateur, mais on n'a pas fait d'études pour voir comment ça se passait
ailleurs parce que ce n'est pas notre
mandat. Et je réitère que, si on veut... Si on souhaite qu'on collabore avec la
Commission d'accès à l'information, nous le ferons avec plaisir et enthousiasme,
mais ça va être, encore là, plus en prévention puis en amont, pas...
Sinon, ce n'est pas dans notre mission.
Mme
Weil : Donc, cette question...
Quand vous dites : Bien, justement, des gens qui sont... Quand on est...
Quand on achète un produit, justement,
puis peut-être qu'on n'a pas tout compris... Est-ce que votre
inquiétude, c'est plus au niveau du crédit, ce n'est pas par rapport à l'usage de l'information personnelle qui serait utilisée, comment ces
informations pourraient être utilisées à
d'autres fins, c'est vraiment la transaction d'achat, d'une relation de consommateur directe?
Mme
Champoux (Marie-Claude) :
L'impact, évidemment, sur le dossier de crédit, que ça soit un vol
d'identité ou de l'information demandée abusivement, là... mais c'est sûr que c'est vraiment
l'impact sur le dossier du consommateur qui nous interpelle.
Mme
Weil : Très bien. Donc, ce n'est pas... oui, donc, sécurité,
dans ce sens-là... vol d'identité, évidemment, c'est un vaste domaine
qui a des ramifications un peu partout, mais, dans votre cas, c'est l'impact
sur le dossier de crédit, oui. Très bien. Merci.
Le
Président (M. Bachand) : M. le député de Gouin, s'il vous
plaît.
• (16 h 20) •
M.
Nadeau-Dubois : Bonjour. Merci d'être ici. J'ai d'abord une question
sur la question de consentement puis je vais en avoir une seconde
ensuite. Ça fait qu'on va essayer d'aller rapidement.
Vous parlez de
l'importance de bien éduquer, outiller, informer les gens sur ce à quoi ils
consentent ou non. Est-ce que vous avez une
réflexion sur l'exigence que... le fardeau que ça peut représenter pour les
gens de devoir fournir un consentement
comme celui-là? Il y a une étude, en 2017, qui a démontré qu'un Américain
moyen, là, s'il prenait le temps de lire chacun des contrats de service
qu'il signe, c'est l'équivalent de 250 heures par année. Donc, ça, c'est
10 jours, 24 heures par jour, à ne
faire que ça. C'est un fardeau, pour les consommateurs, qui est complètement
ridicule, et, même le consommateur le plus éduqué et le plus
conscientisé au monde, c'est un fardeau qu'il ne pourrait pas rencontrer. Ça fait qu'il y a la question de l'éducation, mais avez-vous
des réflexions sur comment pourrait-on encadrer les pratiques
commerciales pour faire en sorte que le fardeau du consentement soit le plus
réaliste possible?
Mme
Champoux (Marie-Claude) : On n'a pas fait d'étude là-dessus. Chose
certaine, c'est une préoccupation, je pense, de nous tous quand on
encadre les informations qui doivent se retrouver sur un contrat. C'est sûr
que, si on dit qu'il y a un déluge
d'information, on est bien conscients que les consommateurs ne seront pas
capables d'en... de tout... Alors, la
question est beaucoup sur la pertinence, l'importance, qu'est-ce qui est
essentiel pour s'assurer que la lecture soit relativement facile à faire, même si on sait que ça peut être quand même
pesant puis lourd, mais... Alors, c'est vraiment sur la pertinence des
informations puis qu'elles soient essentielles.
M.
Nadeau-Dubois : Est-ce qu'il y a des législations qui ont encadré ça
davantage que nous? Parce que, surtout si c'est consécutif... C'est bien
un contrat, mais, s'il y en a quatre dans la journée, ça devient complètement
illusoire de penser que les gens, même les
plus sensibilisés du monde, vont vraiment se prêter à l'exercice. Il y a-tu des
législations qui ont encadré davantage que nous cette question spécifique?
Mme Champoux
(Marie-Claude) : Je ne pourrais pas dire... Je n'ai pas... On n'a pas
fait cette étude-là. On pourrait probablement le vérifier, mais on ne l'a
pas... Je n'ai pas cette information.
M. Nadeau-Dubois : O.K., merci. Maintenant, si on va au-delà de la
question du consentement... Vous avez dit tantôt : On
essaie parfois de forcer les entreprises
à distinguer qu'est-ce qui est un
renseignement qu'elles doivent absolument collecter, puis qui est
essentiel, puis qu'est-ce qui n'est pas essentiel, qu'est-ce qui est superflu.
Comment définir ce qui est essentiel puis comment le distinguer de ce qui est
superflu comme renseignement personnel collecté par une entreprise?
Mme Théberge
(Marjorie) : ...me permettre certains exemples qu'on a eus par rapport
à des projets de loi antérieurs. On a
défini, par la loi, ce qui était, pour nous, jugé essentiel. Donc, on vient
restreindre l'information qui peut être
demandée. Donc, c'est à l'aide d'un cadre législatif ou réglementaire, et, dans le règlement, souvent, on va s'assurer tout à l'heure de se donner un certain formalisme dans lequel on va travailler, de
plus en plus, c'est quelque
chose que vous êtes au fait puisque
vous faites de la législation, avec un langage clair, qui est simple, justement
pour que le consommateur ne se retrouve pas dans des dédales et des
grands termes qui, malgré une bonne connaissance...
M.
Nadeau-Dubois : Seriez-vous
en mesure de nous donner un exemple d'un renseignement qui a déjà été défini comme étant superflu?
Mme Théberge
(Marjorie) : On y est allés plutôt à l'inverse. On a établi ce qui
était exigé et le reste...
M. Nadeau-Dubois : Pouvez-vous nous
donner un exemple concret?
Mme
Théberge (Marjorie) : Bien, écoutez,
comme... pour une capacité de remboursement, on va demander l'actif des gens, donc, puis ça se dépeint... Donc, son
actif, ça va être sa maison, ses biens, son passif et puis sa rémunération,
mais ça s'arrête là. Donc, on ne va pas...
Ils peuvent demander... mais, dans le formulaire qui s'enjoint de ça, c'est
limité à ça.
M.
Nadeau-Dubois : Est-ce qu'on pourrait demander, par
exemple, le statut migratoire d'une
personne, le statut de citoyenneté d'une personne?
Mme
Théberge (Marjorie) : À mon avis,
pour une demande de crédit, ne devrait pas être pertinent... Est-ce qu'elle est demandée? Peut-être.
Est-ce que certains outrepassent-ils ce qui est prescrit? Peut-être.
M. Nadeau-Dubois : Puis là on aurait
un exemple d'une demande, selon vous, qui serait superflue.
Mme
Champoux (Marie-Claude) : Ce ne serait peut-être pas, je dirais,
nécessaire pour les fins de la transaction.
M. Nadeau-Dubois : O.K. Est-ce que,
oui, on a du temps? Parfait. Est-ce que vous jugez que le projet de loi actuel... Parce qu'on l'a entendu de représentants
du milieu économique. Est-ce que c'est un projet de loi qui est trop
sévère, selon vous, sur le plan des amendes,
sur le plan des mesures punitives? Ça nous a été plaidé par certains
représentants du milieu des affaires.
Mme
Champoux (Marie-Claude) : Comme j'ai dit tout à l'heure, je ne suis
pas en mesure de qualifier la hauteur des amendes. Chose certaine, qu'il
y ait des sanctions, ça nous apparaît extrêmement intéressant.
M.
Nadeau-Dubois : Sur la transmission à un tiers, vous avez semblé
émettre des inquiétudes, c'est-à-dire, une entreprise qui collecte des données d'un consommateur et qui, ensuite,
les transmet à une autre entreprise. J'ai cru entendre, tout à l'heure, de votre part, des inquiétudes sur
ce qui est dans le projet de loi, à l'heure actuelle, sur cette question-là.
C'est quoi, les meilleures pratiques en
cette matière-là? Qu'est-ce que devrait faire l'Assemblée nationale pour
s'assurer que, quand une entreprise
collecte des données, elles sont aussi bien protégées entre ses mains qu'entre
les mains de, disons, ses partenaires éventuels?
Mme
Champoux (Marie-Claude) : On
va revenir au concept de consentement,
là. Nous, ce qu'on préconise, c'est que le consommateur donne son consentement le plus largement possible, alors qu'il y ait de moins
d'exceptions possibles pour la transmission de ses renseignements personnels.
M.
Nadeau-Dubois : Donc, par exemple, que, si je donne mes renseignements
à un organisme, une entreprise X, elles
doivent me demander mon consentement avant de l'utiliser à d'autres fins... de
le transmettre à une autre entreprise,
pardon.
Mme Champoux (Marie-Claude) : Bien,
dans... Il y a... L'exception, dans
le projet de loi, qui parle... qui transmet à un tiers pour...
sous-traitant, par exemple, là, l'interrogation qu'on avait, ce n'était pas
à l'effet que ce n'est pas une bonne idée de le faire, c'était si le sous-traitant ne respecte pas l'entente... on
était d'accord avec l'entente, mais, si le sous-traitant ne respecte pas l'entente, quelles étaient les
sanctions, puis ça, c'était vraiment une question qu'on avait. On ne voyait
pas...
M.
Nadeau-Dubois : O.K. Je
vais vous donner un exemple concret. Il a été révélé, dans les médias,
récemment, que des compagnies de montres
d'exercice, là, donc, qui collectent des données biométriques sur le rythme
cardiaque, collectaient ces données-là et
les vendaient à des entreprises d'assurance dont on peut imaginer l'intérêt
pour ce type de données biométriques.
Ça, c'est un exemple qui a été documenté dans les médias récemment. Est-ce
qu'on est, là, devant un exemple
d'abus où il devrait y avoir une action du législateur pour venir réglementer
strictement ce genre de transfert là d'une entreprise à l'autre?
Mme Champoux (Marie-Claude) : Je ne suis pas en mesure de le commenter, là.
J'avais l'impression que le transfert
de listes, comme ça, à des fins
commerciales, était enlevée, la... cette possibilité-là était enlevée dans le projet de loi, mais...
M. Nadeau-Dubois : Merci.
Le Président (M.
Bachand) : Merci beaucoup d'avoir
participé à la commission. C'est très apprécié.
On suspend les travaux quelques instants. Merci encore
une fois. Merci beaucoup.
(Suspension de la séance à 16 h 26)
(Reprise à 16 h 32)
Le
Président (M. Bachand) :
Alors, à l'ordre, s'il vous plaît! La commission reprend ses travaux. Il nous fait plaisir d'accueillir le Pr Gautrais. Alors,
Pr Gautrais, vous avez 10 minutes de présentation et après vous
avez... On aura un
échange avec les membres de la commission. Alors, je vous invite formellement à vous
présenter et à débuter votre exposé. Merci beaucoup, M. le professeur.
M. Vincent Gautrais
M.
Gautrais (Vincent) : Merci beaucoup à vous de cette opportunité. Je suis très honoré d'exercer cet
exercice démocratique. Mon nom est Vincent
Gautrais et je suis professeur à l'Université
de Montréal, où je suis titulaire
d'une chaire de recherche en droit du
commerce électronique, et je travaille... Ça fait 20 ans, en fait, que je
prétends ne pas être un spécialiste
de vie privée, en fait, mais ça fait 20 ans que je m'intéresse à comment
la vie privée est modifiée par les technologies. Alors, je mets mon
minuteur pour respecter mon 10 minutes.
Ce projet de loi n° 64 est une merveilleuse opportunité, me semble-t-il, pour remettre le Québec, en fait, à
l'avant-plan sur la question
de la vie privée, cette province qui, dans les années 90, vous le savez, a été
l'une des toutes premières à avoir un
texte applicable, notamment dans le secteur privé. Ce texte, donc, projet de loi n° 64, est vraiment
intéressant, très intéressant même, dans la mesure où il prend la protection
des renseignements personnels au sérieux. Il densifie les obligations des parties prenantes, augmentant les obligations de la plupart des intervenants dans le processus quant à la gestion de telles données.
Alors, évidemment,
un peu comme un médecin, que je ne suis pas, là, mais, les avocats, on fait un
peu la même chose, je vais me
concentrer sur le pathos, sur peut-être les éléments plus... qui sont peut-être
source d'une irritation, même si, encore une fois, de manière générale, le projet est très intéressant. Je ferai cette
identification d'éventuelles améliorations possibles au regard de deux
approches.
La première,
c'est qu'il me semble important de considérer les spécificités culturelles, économiques,
juridiques, bien sûr, du Québec. Dans cette noble institution, vous connaissez
tous l'adage qui est sur le fronton du parlement de Québec, Je me souviens,
cette phrase que l'on associe à l'architecte Eugène-Étienne Taché, qui
correspond au fait que je me souviens
que né sous le lys, je croîs sous la rose, qui nous rappelle notre biculture,
notre biculture juridique, entre droit civil
et common law. Ensuite, il est aussi important, et je crois que, sur plusieurs
points, c'est déjà le cas... mais de prendre conscience de la
révolution numérique que nous subissons et comment cette révolution est en
train d'altérer le droit.
Alors, mon
presque... mon plus tout à fait 10 minutes, en fait, j'aimerais l'entourer
autour de trois points, le premier étant la notion de consentement qui...
j'ai écouté une partie des audiences hier, qui a été un élément qui a été
souvent rapporté, ce consentement, en fait,
qui est le principe quant à l'utilisation des données, son absence étant l'exception.
Et on trouve cette solution même surexposée
dans des hypothèses comme le traitement automatisé,
l'article 20, comme le profilage,
l'article 18, à mon avis, où même la capacité d'expliquer ce qu'on fait
avec les données est pour le moins hasardeuse.
Alors, même
avec les efforts tout à fait louables de renforcer le caractère explicite de
consentement, j'ai bien des doutes
sur cette capacité véritable que le commun des mortels peut avoir, donc, pour
prendre le contrôle de ses données. En effet,
ces dispositions sur le consentement impliquent que l'usager
s'intéresse, qu'il lise, qu'il comprenne et même que, souvent, l'utilisation des données soit
explicable. C'est une chimère, me semble-t-il, d'ailleurs, qui a été... dans
lequel le règlement européen, le RGPD, se drape bien volontiers et
que, malheureusement, je trouve, le projet n° 64 copie-colle encore avec une déférence un
peu dommageable.
Une étude,
certes ancienne, montrait que ça prend 20 heures par semaine pour un
usager moyen d'Internet de lire toutes
les politiques de vie privée. Une étude montre que la politique
d'Airbnb est plus compliquée que la Critique de la raison pure, d'Emmanuel Kant. Une étude montre que la capacité de lecture est bien
moindre sur un écran que sur du papier.
Une étude montre que le fait d'obliger, par exemple, en cochant dans
un formulaire... pour s'assurer de la prise de conscience du lecteur, ça
augmente le taux de lecture de 0,36 %.
Donc, le
consentement est, me semble-t-il, un merveilleux outil de dédouanement tant des
entreprises que de l'État. L'État demande, donc, à l'individu de se
prendre en charge. Et c'est aussi la solution souhaitée par Facebook, dont le leitmotiv est : Usager, prends le contrôle de
tes données. Ça fait 20 ans, 20 ans où... Ça ne fait pas 20 ans
que Facebook existe, mais, depuis le tout début, il veut offrir le
meilleur contrôle possible aux usagers.
Donc,
derrière ces critiques, je pense peut-être qu'il y a trois alternatives que je
pourrais vous proposer. Il y en a une que
je vais juste citer, parce qu'elle a été notamment traitée par Me Gratton,
sur le fait qu'il faut créer des exceptions, notamment dans le domaine du travail. J'ai beaucoup aimé, parce
qu'encore une fois c'est une tradition, notamment, de la loi sur l'accès. L'étendue... On a étendu, en
fait, les hypothèses d'ententes de partage qui existaient déjà depuis 2006,
depuis le dernier changement sur la loi sur
l'accès, des ententes de partage, justement, où on peut s'exonérer du
consentement au préalable des individus.
Actuellement,
donc, il y en a dans le domaine de la collecte et des communications, les
articles 66, 67, 68. Et là, avec
le projet de loi, on vient l'étendre notamment à deux situations, en matière de
recherche et en matière d'information communiquée
à l'étranger. Les modalités de ces ententes sont assez simples, en fait, c'est
que l'intéressé doit déposer, auprès de la CAI, un cadre de régulation
qui explique comment les données seront utilisées, et, après la CAI, il y a la possibilité de faire des... de demander des
ajustements, voire, éventuellement, d'interdire. Donc, nous voyons d'un
très bon oeil, minimalement, dans ces deux
hypothèses-là qui seront ajoutées, où on peut utiliser les données sans
consentement. Mais je crois même, en fait,
qu'on pourrait étendre cette hypothèse-là dans d'autres situations où le
consentement est, pour le moins, difficile à obtenir.
La
troisième voie, et j'irai très vite, toujours en matière de consentement, c'est
un principe un peu à la mode, mais que je crois intéressant, qu'on
aperçoit, qu'on entrevoit vaguement dans le RGPD, mais à peine, qui est le
principe d'explicabilité, c'est-à-dire, notamment, quand on parle d'intelligence artificielle, de
forcer les concepteurs de réfléchir sur comment les données sont utilisées, parce que, très souvent, les
concepteurs n'ont même pas conscience de quelles données ils utilisent et de la
manière dont ils le font. Donc, peut-être, pour information, le commissaire fédéral l'a récemment proposé dans le cadre de sa propre réflexion sur sa
propre loi sur la PRP.
Ça,
c'était mon premier point, sur le consentement. Le deuxième, peut-être
un peu plus vite, c'est sur la charge des obligations,
en fait, sur la distribution des obligations entre les différents acteurs.
En premier lieu, on voit que, quand on lit que l'entreprise, et le ministère,
et organisme, je dirais, paient, si vous me permettez l'expression, avec une multiplication de nouvelles charges,
où il faut renforcer sa responsabilité, où il faut renforcer son obligation de... où il faut créer un
gestionnaire de vie privée, et bien d'autres... Et c'est très bien. C'est
dans la nature du temps. C'est la manière de
gérer le numérique, me semble-t-il, qu'il faille, donc, imposer de nouvelles
obligations comme ça a été fait.
• (16 h 40) •
La deuxième, c'est
l'usager. Comme je vous l'ai dit, via le consentement, notamment, mais aussi
par la tonne d'informations qu'il se doit de digérer, l'usager, me semble-t-il, a beaucoup
d'efforts sur les épaules, un peu trop, selon moi, du fait de son
inexpérience et de son inintérêt à bien des égards.
Le
troisième grand joueur, c'est l'État. Et, quand on pense, sur un sujet comme celui-ci,
au rôle de l'État, bien, comme disait
une autrice étatsunienne, Clare Dalton, dans les années 80, il y a deux grandes
fonctions de l'État, c'est soit la sanction...
son rôle de sanction et son rôle de guide. Alors, sur le rôle de sanction, il y a
des prérogatives nouvelles qui sont offertes à la CAI, qui sont allouées
à la CAI, la CAI qui exerce, en effet, un travail remarqué et remarquable
sur... et c'est tout à fait normal, en fait, que ce rôle lui soit attribué.
Malgré
tout, vous comprendrez bien qu'avec ces nouvelles obligations il y a aussi des ressources augmentées
qui devront lui être attribuées au moins
pour trois raisons. La première, c'est... On l'a vu, ça a été dit hier aussi,
les hypothèses d'intervention sont multipliées. Également, il y a des
hypothèses de contrôle a posteriori, notamment les ententes de communication dont je parlais, notamment, puis
c'est également le cas pour les données biométriques qui exigent une
réactivité, il me semble, tout à fait accrue de sa part, notamment suite à un
délai de 30 jours après le dépôt des règles déposées par les entreprises,
et les ministères, et organismes.
À
titre d'exemple, ce cadre-là a manqué dans le feu projet COVI, personnellement,
pour lequel j'avais une certaine attirance,
parce qu'en fait ce projet n'a... Si on prend la comparaison qui a eu lieu en
France, par exemple, en un mois, l'équivalent
de la CAI a rendu trois décisions pour valider le processus qui avait été fait.
Actuellement, on n'a pas cette réactivité dans le processus de contrôle
et de sanction de la part de la CAI.
Enfin,
dans la mesure où les sanctions sont désormais énormes après avoir été... et
sont incroyablement faibles, je ne
vois pas comment une instance d'un budget, je pense, c'est tombé hier, le
budget de la CAI, qui est de 7 690 000 $, pourrait
batailler contre une multinationale qui craint de se voir imposer une sanction
de 2 % ou 4 % de son chiffre d'affaires mondial.
Ça,
c'est sur le premier rôle de... où, encore une fois, la CAI va devoir avoir
quelques aides, mais il y a aussi ce rôle
d'animation normative, qui, il me semble, sur pas mal de points, dans le projet
de loi, manque. C'est-à-dire, que ce soit
la CAI ou une autre institution, je ne sais pas, mais il y a véritablement un
besoin de préciser les meilleures pratiques généralement reconnues comme le projet de loi le réfère, notamment sur
la question d'anonymisation. Et, ça, je pense qu'il y a un réel besoin, de la part de l'industrie, de
la part des ministères et organismes, d'avoir... parce que, des normes,
il y en a, il y en a beaucoup même, mais il faut savoir faire le tri entre le
bon grain et l'ivraie de tous ces éléments-là.
Donc,
vous l'avez compris, sur ce second point, et mon troisième sera beaucoup plus
rapide, il y a vraiment une question
d'argent, de traiter la vie privée de manière XXIe siècle, ça coûte cher.
Et je ne dis pas que c'est transposable, mais je veux simplement mettre à la connaissance de cette noble Assemblée
qu'il y a un modèle financier qui existe en Grande-Bretagne, où il y a une taxe. Il y a une taxe sur
les données, «data protection fee», et ce n'est peut-être pas pour rien
que ce soit l'ICO britannique qui a été
peut-être l'un des rares, avec le FTC aux États-Unis, de vaincre le... enfin,
d'investiguer si le projet de, comment, Cambridge Analytica... toutes des
données qui auraient transité par Facebook pour infléchir les comportements des
usagers.
Mon
temps est écoulé. Il est juste de 10 minutes. Peut-être, dans le cadre des
questions... Les deux éléments sur lesquels
j'avais quelques doutes, c'étaient les questions de portabilité et de droit à
l'oubli, mais... Dans la mesure où je pense qu'il y a pas mal de flous, je ne dis pas que c'est forcément mauvais
comme principe, mais je pense que c'est importé d'ailleurs. Et je pense que, sur l'applicabilité de ces notions-là, ça
reste encore difficile. Mais peut-être que j'aurai l'occasion de
répondre à vos questions dans le cadre de vos interrogations. Merci beaucoup de
votre attention.
Le
Président (M. Bachand) : Merci, M. le professeur. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette : Bonjour, M. Gautrais. Merci d'être présent aujourd'hui à
l'Assemblée, de contribuer aux travaux.
Bien, justement, parlons de la portabilité de la donnée. Quels sont vos commentaires
relativement à ça et à ce qui est présent dans le projet de loi?
M.
Gautrais (Vincent) : C'est drôle, parce qu'hier j'écoutais le débat
ici, enfin, pas dans cette salle, mais avec d'autres intervenants, et, en même temps, il y avait le Federal Trade
Commission qui avait... qui faisait une conférence d'une journée exactement sur ce point-là, parce
que, dans la loi californienne, il y a un projet qui... pas de la
portabilité, comme les Européens, mais plus
un droit d'accès, et on évoquait beaucoup cette question-là, et plusieurs
intervenants trouvaient ça intéressant, mais
il y avait beaucoup de doutes sur la manière de réaliser ça. Quel format on
utilise? Quel type d'information? Est-ce qu'il faut sectoriser des
secteurs plutôt qu'un autre?
Il y a un
autre aspect qui m'apparaît peut-être, sans doute, problématique, c'est qu'à
mon avis c'est une donnée plus de
confort que de protection, hein? Quand on parle de PRP, c'est protection des
renseignements personnels. Là, on veut offrir la possibilité à l'usager, bien, de
transporter ses données pour aller les mettre ailleurs. Ça m'apparaît
presque... plus une question de confort et peut-être... et là je vais sur un
champ que je maîtrise mal, mais peut-être plus une question de concurrence que de vie privée, ce qui, forcément, nous amène à d'éventuels problèmes applicatifs sur le
plan constitutionnel, mais sur lequel je
n'ai pas de prétention de bien maîtriser la question. Donc, je trouve que c'est
une avenue intéressante, mais j'ai beaucoup de doutes en lisant
l'article correspondant sur l'applicabilité d'un tel principe.
M.
Jolin-Barrette : Dans le
cadre du projet de loi, on s'inspire beaucoup de ce qui est fait en Europe,
avec l'Union européenne. Hier, il y a
des acteurs qui sont venus nous dire : Bien, écoutez, vous devriez prendre
davantage en contexte le contexte
nord-américain, ce qui est fait dans les États limitrophes du Québec, au
Canada, aux États-Unis également. Comment vous voyez ça? Est-ce que vous pensez qu'on devrait être moins ambitieux
que ce que nous présentons présentement ou on devrait maintenir la ligne
et dire : Bien, on va être des précurseurs en Amérique du Nord?
M.
Gautrais (Vincent) : Je ne pense pas qu'il faut baisser la ligne en
termes de l'ambition. Je pense juste qu'il faut s'assurer que notre loi soit conforme à ce que nous sommes. Et puis
je me permets de rebondir là-dessus. Moi, je suis un immigrant. Ça fait 30 ans que je suis au
Québec. Donc, j'ai la prétention de bien connaître un petit peu les deux
côtés, et c'est étonnant comme, à certains égards, on ne fonctionne pas de la
même manière. La vie privée est une donnée éminemment culturelle.
Donc, je pense, c'est important d'intégrer ces
distinctions, à mon avis, qui se traduisent, par exemple, dans le droit à l'oubli, où on n'a pas... On pourrait très
bien avoir exactement le même article que le droit au déréférencement.
Je peux vous assurer que, par le biais des
politiques internes, par le biais de la jurisprudence, on aura une application
qui sera différente parce que notre culture
est distincte. Donc, il ne s'agit pas de baisser les ambitions. Il s'agit, je
pense, de s'assurer que notre projet de loi, nos lois soient en
conformité avec ce que nous sommes.
M.
Jolin-Barrette : Juste pour
bien vous suivre, là, vous dites : Ça pourrait être la même chose, mais,
de toute façon, de la façon dont ça
va être interprété par les tribunaux, bien entendu, ça ne sera pas interprété
de la même façon eu égard aux cas aussi qui vont être présentés devant
eux.
M.
Gautrais (Vincent) : Je vais vous donner un exemple, si vous voulez
bien, quand la décision européenne... L'affaire
Google, en 2014, qui a créé... donc, par... de la cour de justice européenne,
qui a créé cette décision qui a amené, ensuite,
le RGPD à intégrer le déréférencement, Google a essayé, en fait, de dire :
Bien, écoutez, on va prendre les parties prenantes, on va négocier et on va essayer de mettre des politiques pour
savoir, par exemple : Un article de Wikipédia qui dit quelque chose sur un homme politique ou une
femme politique, est-ce que j'ai le droit de le déréférencer? Et les
cours, l'équivalent de la CAI ou l'équivalent des commissaires, ont refusé de
parler à Google en disant : On ne négocie pas.
Ça, c'est une
différence, assurément, qui serait différente ici. Nous, on négocie. Le
commissaire fédéral, avec une loi
totalement édentée, une loi Mickey Mouse, que je me plais à dire, a réussi à infléchir certaines manières de faire de Facebook, en 2009 notamment, parce qu'on négocie avec les partenaires. Et
négocier, ce n'est pas flancher, ce n'est pas baisser nos ambitions. Donc, ça, c'est une manière de faire qui, encore
une fois, ne se traduit pas forcément dans la loi, mais dans les manières de faire, qui, me
semble-t-il, sont assez... sensiblement différentes, au moins, de l'Europe
continentale. Je ne sais pas si j'ai été clair.
M.
Jolin-Barrette : Oui, bien,
dans le fond, ce que je comprends, c'est qu'on est beaucoup plus souples dans
les moyens, mais on est fermes sur les objectifs ici, tandis qu'en Europe c'est
plus rigide. Donc, le cadre est plus rigide et il y a moins de négociations.
Est-ce que je comprends?
M.
Gautrais (Vincent) : Je ne sais pas si c'est exactement ça. Je crois
juste qu'on a un rapport au droit qui est un peu différent. On a un rapport à la vie privée qui est un peu différent.
Et tout ça nous amène à des... face à une situation donnée, à des
traitements qui sont un peu distincts.
M.
Jolin-Barrette : Mais je
vous ramène, tout à l'heure, à ce que vous avez dit. L'État a deux rôles, soit
un rôle de régulateur ou... quel rôle...
M. Gautrais (Vincent) : De guide.
M. Jolin-Barrette : Pardon?
• (16 h 50) •
M. Gautrais (Vincent) : Un rôle de
guide.
M.
Jolin-Barrette : De guide,
c'est ça. Donc, lequel devrait-on favoriser? Et le projet de loi que nous
avons, le projet de loi n° 64, est-ce que vous
pensez qu'il fait la part des deux?
M.
Gautrais (Vincent) : Avec égards, je crois qu'on pourrait augmenter
l'aspect guide. Je pense qu'on pourrait mettre en place, que ce soit par la CAI ou par une autre institution, je
ne sais pas... mais un pouvoir d'identifier les normes applicables.
Encore une fois, des normes ISO, en matière de gestion des données
personnelles, il y en a déjà, mais on pourrait
avoir une instance qui va taguer... excusez-moi, vous êtes responsable de la
langue française aussi, mais identifier les bonnes
pratiques. Comme le dit, d'ailleurs, le projet de loi en matière
d'anonymisation, il faut qu'on soit capables d'identifier les meilleures
pratiques du... ce n'est peut-être pas du marché, meilleures pratiques qui s'opèrent
sur un...
Vous savez,
le droit des technologies nécessite, comme vous êtes en train de le faire, en
fait, des principes qui apparaissent
dans les lois, mais, après, dans la mise en application, très souvent, il faut
référer à des normes plus techniques, mais qui ont un rôle. Et,
actuellement, que ce soit dans le domaine de la vie privée, que ce soit dans le
domaine de la sécurité, malheureusement, ces
normes techniques ont trop tendance à passer sous le radar du droit. Elles sont
imposées par des ingénieurs, par des informaticiens. Mais je pense qu'il y a un
regard qui doit être opéré, et notamment par les représentants des citoyens que
vous êtes.
M.
Jolin-Barrette : O.K. Je
vous ramène au début, début de votre intervention. Vous disiez : Bon, la
longueur des contrats ou, bien, en fait, du
consentement, sur le Web, dans le fond, il n'y a pas de limite, là. Les
contrats ont des pages, ont des
pages, ont des pages. Ça a pour effet, dans le fond, que le citoyen, un, ne lit
pas, et consent, et il ne sait pas à quoi il consent. On a eu des
intervenants qui nous ont dit : Bien, écoutez, vous devriez demander le
consentement à toutes les fois d'une
façon expresse. Le milieu des affaires dit : Bien, vous ne devriez pas
demander tout le temps le consentement, juste lorsque c'est vraiment nécessaire. D'autres, ils
disent : C'est par bloc. Comment on fait, là, pour s'assurer que les
citoyens sachent véritablement à quoi ils
consentent? Comment est-ce qu'on fait
pour changer la structure aussi, de dire : Bien, vous ne devriez pas pouvoir emmagasiner toutes les
données des citoyens si ce n'est pas nécessaire de le faire, là? Comment
est-ce qu'on trace la ligne, là, à travers ça?
M.
Gautrais (Vincent) : Alors,
je ne pense pas qu'il y ait une solution universelle. Par exemple, dans le domaine de la santé,
parce que ça nous intéresse directement, souvent, les
citoyens ont un intérêt véritable à savoir ce à quoi ils consentent. Mais, dans des situations classiques,
d'utilisation d'un site classique ou d'une plateforme classique, effectivement,
les rajouts que l'on trouve dans les
propositions, où on dit : À chaque fois, pour chaque fin, nouvelle fin, il
faut un nouveau consentement, je crois
que c'est une perte de temps... ah! c'est une perte de temps, c'est-à-dire, c'est une illusion, effectivement, que les personnes vont
véritablement lire tout ça.
Alors,
effectivement, on peut avoir un peu de souplesse. Et je sais que vous allez
l'entendre, je pense, la semaine prochaine.
Mon collègue Pierre Trudel, par
exemple, considérait qu'on devait
reconsidérer la notion de finalité, qui est une base dans les principes de vie privée. Pour lui, on pourrait, en fait,
élargir la notion de finalité dès lors que la finalité est conforme aux intérêts de l'individu ou n'est pas
contraire, plutôt, à ses intérêts. Il y a des moyens peut-être
de moduler. Je ne suis pas tout à fait persuadé, un peu comme
Pierre Trudel, que le fait d'identifier fin par fin soit un élément qui va
aider à s'assurer...
Donc, il y a ces éléments-là. Et puis, je vous
dis, c'est, encore une fois, parce que le Québec a déjà utilisé ces processus... Moi, je pense qu'il faut améliorer...
enfin, augmenter, pardon, les hypothèses où le consentement n'est pas requis, comme les ententes de communication
l'autorisent déjà. Et le projet de
loi rajoute... J'ai identifié deux
nouvelles situations, la recherche et les
données qui vont à l'étranger, mais je pense qu'il y a d'autres situations où,
notamment, quand le consentement est illusoire, on pourrait rajouter
cette hypothèse-là. Ça, c'est une solution très concrète.
Peut-être que... Assurément, la CAI sera en mesure
de vous répondre, parce que je ne sais pas comment ça se module, comment eux reçoivent ces éléments-là, comment ils gèrent ces
éléments-là. Mais, actuellement, dans le droit actuel, les hypothèses, donc, sous ces ententes de communication sont vraiment
des éléments qui sont beaucoup trop précis. En fait, c'est des hypothèses qui sont très circonstanciées et qui, dans
le fait, ne touchent pas la majorité des fois où les personnes signent de tels contrats. Donc, je pense
que les ententes de communication, c'est une voie, en lisant les lois
actuelles et en lisant le projet de loi, qu'on pourrait étendre dans un plus
grand nombre de situations.
Le Président (M.
Bachand) : M. le député...
M. Gautrais (Vincent) : Sinon...
Le Président (M. Bachand) :
Allez-y, M. le professeur.
M.
Gautrais (Vincent) : Si vous
permettez, puis ça peut paraître très farfelu, mais l'Europe, dans les
premières versions du RGPD, avait développé
l'idée des contrats images ou des contrats sons, donc, de rajouter des images
dans des contrats. Et moi, j'ai déjà travaillé sur un projet de recherche pour
appliquer ça dans le domaine de la consommation. Personnellement, j'y crois, surtout au regard du taux d'analphabétisme, malheureusement, qui sévit. C'est une idée toute bête. Un auteur américain
prétend d'ailleurs que l'écran est un support qui va très bien aux images et beaucoup
moins au texte.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Saint-Jean, s'il
vous plaît.
M. Lemieux : Oui, avec combien de
temps, M. le Président?
Le Président (M.
Bachand) : Six minutes.
M.
Lemieux : Merci. C'était passionnant, la partie sur le droit de
l'informatique, mais je vais rester dans la ligne du ministre, parce que je relisais, avant que vous
arriviez, des extraits de ce que vous avez dit aux Affaires, où vous
disiez que «le
consentement — c'est de
ça dont on parlait — représente
un mauvais outil de protection des données personnelles, car il suppose que les individus peuvent tous
comprendre ce qu'ils acceptent, ce qui est loin d'être le cas». Et, un peu
plus loin, vous expliquez que c'est vraiment avec des sanctions importantes
pour les entreprises qu'on peut arriver à avoir un équilibre.
Ma question,
M. Gautrais. Est-ce qu'on a l'équilibre, dans le projet de loi n° 64, par rapport à ce qu'on demande aux entreprises, pour ce qu'on
a de besoin que les individus, les citoyens, les consommateurs puissent obtenir
sans même le savoir ou le vouloir?
M.
Gautrais (Vincent) : Alors, si vous m'amenez sur la question des
sanctions, j'ai trouvé que 2 %, 4 % était un trop grand copier-coller du règlement européen.
Mais, en revanche, l'idée de sanctionner davantage, je ne me souviens
plus des montants qui existent actuellement, ça, ça m'apparaît évident. Et
puis, vous savez, 2 %, 4 % me faisait sourire dans le sens... Je trouvais que c'était vraiment un copier-coller, mais,
je pense, c'est 10 millions ou 25 millions. Ça m'apparaît
raisonnable.
Encore une fois,
ce projet de loi prend la vie privée au sérieux. Et je sais que ça a été un
débat, hier, avec certains partenaires
de l'industrie, même l'hypothèse d'avoir une sanction de 25 millions n'est
pas quelque chose qui va faire partir les
entreprises dans d'autres juridictions. Donc, je pense que, sur le plan des
sanctions, l'importance qui est mise sur le fait qu'en fait, comme toute loi, qui dit infraction dit punition, ça
m'apparaît dans la logique des choses. C'était plus sur le 2 %,
4 % que j'avais quelques doutes, mais, sur les 10 et 25 millions, je
n'ai pas... ça m'apparaît très bien.
M.
Lemieux : De toute façon, on
pourrait probablement dire, si on oublie que, depuis six mois, on est
devenus hyperlocal, que, dans le monde
global dans lequel on vit, tout ce qu'on fait, c'est qu'on ramène la barre pas
mal tout le monde à la même place,
là. D'ailleurs, c'est un des principes du projet de loi, où on dit qu'on va
avoir une sorte de tiers pays sûrs
avec lesquels on va pouvoir avoir de l'échange d'informations, puisqu'ils vont
respecter ce que nous, on promet aussi de
respecter. Donc, la finalité de l'histoire, c'est quelqu'un qui dirait qu'on en
fait trop, ou que ça va trop loin, ou que c'est trop comme sanctions.
Bien, dans le fond, on ne sera pas mieux ni pire que le reste de la planète.
M.
Gautrais (Vincent) : Si vous
permettez, je vais faire une comparaison avec le droit de la consommation,
la Loi sur la protection du consommateur, qui est une loi aussi qui vise à protéger un type
d'individu. Le processus... Donc, les gros changements qui ont eu lieu dans la LPC, en 2006 et en 2009, ont été le
fruit d'une collaboration pancanadienne qui a eu lieu en 2000‑2001. Il y a eu une trame générale qui a été faite,
qui a été globalement copiée par toutes les provinces, mais, après, le
Québec garde ses spécificités.
Et, par
exemple, il y a toujours une interdiction... Je prends cet exemple-là, mais
parce que c'est propre au Québec. Il
y a une interdiction sur la publicité destinée aux enfants, une spécificité
québécoise qu'on ne trouve pas dans les autres provinces. Mais, malgré tout, par exemple, la rétrofacturation, on la
trouve dans la plupart des autres provinces parce que, justement, c'est
des modalités reliées au paiement, où, là, on touche à l'industrie, où c'est
très intégré.
Donc, il y a
des éléments qu'on peut... sur lesquels on peut s'accoter, et notamment avec
nos partenaires du reste du Canada.
Après, je pense qu'il ne faut pas non plus se pervertir et, encore une fois, il
faut que... C'est du Montesquieu, hein? Il faut que nos lois nous ressemblent. Il faut qu'une loi soit en
conformité avec... L'élément qui me vient toujours en tête, c'est notre culture, la culture prend... prise en
sens très, très large. Et donc je pense que le fait qu'on ait quelques
distinctions avec le droit européen
n'empêchera pas, me semble-t-il, qu'il y ait un avis de conformité qui soit un
peu plus explicite que...
Ça a été cité
dans le mémoire de Me Gratton. En 2015, il y a eu un avis qui, à mon avis,
n'était pas un refus de conformité,
mais la Commission européenne avait émis un rapport assez condescendant, à mon
avis, vis-à-vis du droit québécois
actuel. Et je pense que, même si l'Europe est forcément un partenaire
important, même si l'Europe établit un standard... je pense qu'il faut
quand même garder un lien avec nos spécificités et, notamment, le fait qu'on
est moins sensibles sur certains aspects, qu'on est prêts à fonctionner de
manière différente.
Donc, c'est
une question un peu entre les deux... dont je vous réponds. Je pense, c'est
intéressant. Le droit comparé, assurément,
est une voie qu'il faut considérer, mais... Et puis, vous savez, Facebook est
capable de distinguer des manières de
faire. Vous allez aux États-Unis, c'est possible d'avoir la reconnaissance faciale
sur les sites Facebook. Ce n'est pas possible en Europe. Donc, à bien
des égards, il est possible aussi de demander à ces plateformes... Puis ce
n'est pas compliqué, là, l'idée du monde
global, c'est vrai, mais le droit, ça reste une prérogative qui vous
appartient. Je pense que c'est important de savoir qui nous sommes et
qu'est-ce qu'on veut.
• (17 heures) •
Le Président (M.
Bachand) : Merci beaucoup. Mme la députée
de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil :
Merci, M. le Président. Je vais
vous amener justement sur cette question puis ensuite... des
questions plus générales. Vous dites que la
reconnaissance faciale était interdite en Europe, donc, avec les grands du Web.
Alors, pouvez-vous nous expliquer... Et,
quand vous dites... Ça ne veut pas dire qu'on... C'est-à-dire qu'on pourrait
imaginer nous aussi aller dans ce sens-là? C'était ça, votre intervention?
M.
Gautrais (Vincent) : Oui,
c'est qu'on est... Même une entreprise mondialisée comme Facebook, multinationale
qui vaut je ne sais pas combien de centaines
de milliards ou de milliers de milliards, on est capables de leur demander d'avoir des traitements qui soient distincts d'une
juridiction à une autre. Donc, ça se
fait déjà. Puis je ne veux pas rentrer dans le détail, parce que c'est une donnée que
j'ai lue il y a quelques semaines ou mois, plutôt mois, mais
effectivement les Européens ne veulent pas
que, quand on... Quand je... Je n'ai pas de compte Facebook, mais, si je mets
une photo d'un ami
et de moi, bien, qu'on reconnaisse la photo de l'ami, alors que... Google
l'autorise. Moi, j'ai un compte Gmail où il reconnaît la face de mes enfants. Eh bien, il y a
des possibilités de dépluguer ça dans des juridictions données...
dépluguer, excusez-moi, enfin, débrancher ce type de service.
Mme Weil : Bien, je trouve ça intéressant. Non, j'ai été
surprise quand, à un moment donné, soudainement, je voyais mon visage, ils ont
tiré ça de partout, et de deux de mes filles, parce qu'ils ont vu la
ressemblance, et, sans qu'on demande, c'était juste là. Donc,
vous dites qu'ici... Est-ce qu'en Amérique
du Nord il y a
des juridictions qui l'ont empêché?
M. Gautrais (Vincent) : Je...
Mme Weil : Vous ne le savez pas. Parce que
vous êtes, donc, directeur d'un centre de recherche, c'est peut-être intéressant de vous poser des
questions plus vastes, un peu... L'applicabilité d'un projet de loi qui est
ambitieux, évidemment, comme on l'a toujours été, mais d'avoir l'adhésion et la
compréhension de tous les acteurs, qui devront comprendre ce qu'on est en train de faire pour les protéger... Je pense
que les consommateurs, déjà, sont... bien, on a parlé de consommateurs... les citoyens et les utilisateurs de l'Internet, etc., les
gens sont débordés. On a beaucoup parlé de ça hier, justement, puis... débordés,
savent pas trop comment se protéger quand on leur pose des questions,
puis, pour aller vite, on accepte,
mais on ne sait pas ce que ça veut dire, d'accepter, puis on procède. Et qu'est-ce que ça prend... et qu'est-ce
que l'Europe a fait pour essayer d'aller
chercher, justement, une compréhension de... parce que
c'est complexe, et la volonté... une
volonté commune de se protéger, mais ce qui veut dire qu'il faut aussi qu'on
soit acteurs dans cette protection. On ne peut pas être passifs.
Donc, il y a
un minimum d'efforts qu'il faut faire, j'ai l'impression, pour être capables de
se protéger. Est-ce que vous avez réfléchi à tout ça? Parce que
c'est très technique, ce qu'on est en train de faire. On comprend... parce qu'il y a eu des vols de données dans des cas, vraiment, de criminalité, essentiellement, et c'est très préoccupant, et les gens qui ont eu leur identité volée, bon, ils savent les
conséquences de ça, mais, sinon, c'est complexe et c'est sans cesse en évolution.
Alors, c'est comme tellement
énorme, ce défi-là, qui sont... Donc, je vous pose la question un peu comme ça. C'est un peu
philosophique, mais, au-delà de ça, c'est l'application d'une loi dans ce
contexte...
M.
Gautrais (Vincent) : Écoutez, je suis directeur d'un centre, mais je
suis professeur et, forcément, je crois à l'éducation, l'éducation, d'ailleurs, qui n'est pas au niveau
universitaire, qui est, sans doute, au niveau scolaire. Moi, j'ai trois garçons qui ont des approches très, très
différentes par rapport aux technologies. Certains sont très prompts,
d'autres... Mais je suis étonné qu'au
secondaire, où ils sont, il y a très peu d'enseignement, en fait, sur ces
éléments-là. Donc, je pense qu'il y a un élément culturel qui est
évident.
Je pense
qu'il y a une sensibilité, quand même, qui est croissante, et puis le projet de
loi y participe. Je crois aussi que...
Encore une fois, je disais tout à l'heure que l'usager avait beaucoup d'efforts
sur les épaules, mais il fait partie du processus, donc, d'où l'intérêt... Moi, j'origine du domaine du droit de
la sécurité, et, dans la sécurité, il y a un élément qui est récurrent,
c'est que tout le monde est responsable, tout le monde a un rôle à jouer. En
matière de carte de crédit, il y a la banque
qui a un rôle à jouer, mais aussi le titulaire de la carte qui a un rôle à
jouer. Donc, il y a une répartition des responsabilités qui doit être bien établie. Il y a une sensibilité, par
l'éducation, qui m'apparaît très importante. Et puis, bien, les
parlementaires ont un rôle à jouer, à mon avis, dans les innovations à
proposer.
J'entends
parler... Je ne connais pas bien le dossier, mais je sais... Je travaille beaucoup,
en ce moment, notamment parce que je
représente le Canada, sur un groupe de travail ...(/dt :6718) en matière
d'identité numérique. Je pense qu'on est en 2020 et effectivement on a
besoin, comme semble... Et, comme le Québec semble avoir un rôle de leader sur
ces questions-là, je pense qu'on a besoin de passer à des identifiants un peu
plus robustes.
Je suis assez
vieux. Moi, j'étais en doctorat à la fin des années 90 et, je me rappelle,
c'était Jacques Parizeau, à l'époque,
qui avait voulu faire un identifiant unique pour chaque Québécois. Pour des
raisons de coût, ça n'a pas été fait, mais je pense que, 25 ans
plus tard, quand on parle de vol d'identité... Quand on parle de Desjardins, le
problème de Desjardins, c'est qu'on peut ouvrir un compte avec un NAS, qui est
un outil éminemment peu sécuritaire.
Donc, je
crains que ma réponse était elle aussi très éclatée, mais, assurément, c'est à
tous les étages... Donc, toutes les
parties prenantes que j'ai évoquées, me semble-t-il, ont un rôle à jouer dans
une société plus numérique, parce que je suis... J'adore mon sujet d'étude. C'est un... Malgré toutes les choses
mauvaises qui tournent autour de ça, nous vivons une époque formidable.
Nos enfants vivent une époque formidable, donc, mais c'est un partage qui doit
se faire. Le numérique est transversal. Tous les ministères sont concernés.
Mme Weil : J'aimerais vous poser une question sur... C'est-à-dire, les entreprises qui sont venues, je ne sais pas si vous avez pu suivre les discussions, qui représentaient, je vous dirais, surtout les
petites et moyennes entreprises, qui ont réagi aux peines, les sanctions et de... pour dire que, écoutez,
premièrement, le défi d'être capable de bien protéger, on n'est pas équipés pour faire ça, on n'a pas la formation,
etc., et donc plaidé pour un genre d'accompagnement, d'accompagnement pour mieux comprendre, pour les aider à remplir
leur engagement. Est-ce que... Je ne sais pas si vous connaissez
d'autres systèmes de... si vous êtes capable
de comparer. Comment vous réagissez? Comment vous voyez cette notion d'accompagnement? C'est sûr que la réaction, un
peu, ici, c'est que, oui, mais la loi, ce sera la loi, de toute façon,
d'une manière ou d'une autre, mais que l'accompagnement pourrait être une idée
pour les amener à niveau.
• (17 h 10) •
M.
Gautrais (Vincent) : C'est un petit peu la fonction de guide que
j'évoquais dans mon deuxième point tout à l'heure. C'est peut-être un aspect que je trouve manquant dans ce projet
de loi. Donc, l'aspect sanction est présent, mais l'aspect accompagnement, guide est effectivement
moins présent. Alors, comment il se matérialise? Encore une fois, la CAI
le fait un peu, mais, du fait de ressources qui ne sont pas infinies... Et
donc, régulièrement, la CAI fait des lignes directrices en matière de
biométrie, par exemple. Donc, ça pourrait être la CAI, à mon avis, qui pourrait
proposer des contrats types, des politiques types, identifier les normes qui
seraient possibles à suivre.
Pour
avoir travaillé avec plusieurs ministères, et
puis c'est complètement apolitique, ce que je vous dis là, depuis 20 ans, les gouvernements sont très frileux à
se commettre en disant : Telle norme est bonne, telle... Je pense qu'il
faudrait un peu... N'ayez pas peur, comme
disait Jean-Paul II. Je pense à... Ce serait bien d'identifier, de se
commettre un tout petit peu en disant : Écoutez, cette norme est
une norme... quand elle est suivie, est intéressante.
Le
problème des normes techniques, si je peux me permettre, aussi, c'est que,
souvent, elles sont payantes, mais il y
a quand même certaines normes qui sont quand même bien suivies et sur
lesquelles on pourrait avoir, associé à la CAI ou pas... mais des instances qui identifieraient des politiques types,
le type de politique qu'il faudrait avoir en accès libre, ça pourrait... donc, une sorte de travail... La
loi demande aux entreprises de documenter. Bien, pourquoi on n'aurait pas un
rôle de création de documentation
type qui pourrait être offert, dépendamment de la grosseur des entreprises? Ça
m'apparaît...
Et
puis, sur les peines, c'est vrai que 2 %, 4 %, c'est énorme, mais
faisons confiance à l'intelligence des juges, là. J'aurais une PME, là, ils ne vont pas leur donner
10 millions d'un coup, là. Donc, moi, sur cet aspect-là, le 10,
25 millions, encore une fois, ne m'effraie pas.
Mme Weil :
Oui, dernière petite question. Est-ce qu'il y a des modèles en Amérique du Nord
qui pourraient nous inspirer par
rapport à l'accompagnement sur cet enjeu-là, je ne sais pas, dans vos études
soit aux États-Unis, soit au Canada, soit au niveau fédéral?
M. Gautrais
(Vincent) : Alors, vous avez beaucoup d'organisations, mais
marchandes, généralement, qui offrent des
contrats types. Surtout aux États-Unis, il y a des organisations qui offrent
des modèles qui sont un peu plus précis, moi, que j'utilise ou j'analyse des fois, mais, c'est ça, il n'y a pas de
lien direct ou indirect, au meilleur de ma connaissance, avec l'État.
Mme Weil :
Très bien. Merci beaucoup.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Gouin,
s'il vous plaît.
M. Nadeau-Dubois :
Bonjour. D'abord, un retour sur un truc que vous avez dit plus tôt... Bien,
merci d'être avec nous. Un retour sur
un truc que vous avez dit plus tôt, qui m'a beaucoup intéressé. Vous avez
dit : C'est possible, pour des juridictions, d'imposer même à des
entreprises qui nous apparaissent géantes et inflexibles... c'est possible,
pour des juridictions, donc, d'imposer
certaines normes, certains changements. Et vous avez donné l'exemple de
l'Europe et de Facebook. Ces
plateformes-là peuvent se plier à certaines modifications légales. Est-ce que
vous diriez que c'est possible même pour une juridiction de la taille du
Québec?
M. Gautrais
(Vincent) : Alors, dès qu'on parle de Facebook, Google, et autres, bien, encore une fois, il y a tout
l'aspect constitutionnel, là. Dans la mesure où on est dans l'international, je
ne sais pas dans quelle mesure ça peut s'appliquer
au Québec au regard d'une simple question
constitutionnelle, encore une fois, que je ne maîtrise pas. Ceci dit, en
faisant ma préparation, il y a eu, dans le
cadre d'unobiter, une décision de la CAI qui affirme que oui... que le Québec
a la capacité d'agir sur les entreprises multinationales qui font affaire aussi
au Québec.
M.
Nadeau-Dubois : Parfait.
Merci. Sur la question du consentement, vous avez déroulé une série de
statistiques, certaines que je connaissais,
d'autres qui... dont vous m'avez appris l'existence, qui sont assez troublantes
puis assez claires sur le caractère parfois illusoire du consentement. Puis
j'ai trouvé ça intéressant quand vous avez dit : Ça sert un peu
de... c'est un peu une stratégie pour se
décharger des... Puis il y a plein d'acteurs qui se déchargent de leurs
responsabilités sur l'individu en
disant : Ah! mais il y a consentement, alors qu'on voit bien que, dans
l'effectivité réelle des choses, c'est un consentement qui, en majorité
du temps, est purement factice, purement formel, mais qui n'a aucune
effectivité.
On a parlé de
consentement avec les intervenants précédents qui venaient de l'Office de la
protection du consommateur puis qui nous
parlaient beaucoup de consentement dans un contexte de transaction commerciale.
Or, il y a beaucoup de consentements
qui sont accordés dans des contextes qui ne sont pas des contextes de
transaction commerciale, notamment
les médias sociaux. Notamment, le fait d'aller simplement visiter un site
Internet, ce n'est pas une transaction. Pourtant, il y a des
consentements qui sont demandés aux utilisateurs et il y a récolte de données
personnelles.
Comment on encadre le
consentement dans ces contextes spécifiques où on n'est pas dans une situation
de transaction commerciale? Par exemple, moi, si je fais une recherche Google,
Google collecte des données sur où je suis dans l'espace pendant que je fais
cette recherche, sur quel lien je clique, jusqu'où je descends dans la page,
etc.
M. Gautrais
(Vincent) : Parce que vous avez accepté.
M.
Nadeau-Dubois : Parce que,
soi-disant, en tout cas, formellement, on dit que j'ai accepté. Comment on
encadre par le droit ce type de consentement là?
M. Gautrais (Vincent) : J'ai
critiqué le droit européen. En droit français, sur la base des clauses
abusives, plusieurs contrats de médias
sociaux ont été... ou de fournisseurs d'accès Internet ont été complètement
refaits. Donc, le bon vieux Code civil, à mon avis, serait susceptible de s'appliquer en
sachant que, puis ça, j'imagine, les gens de l'OPC vous l'ont déjà dit, on a déjà eu des jugements
qui considéraient, en fait, que, même si Facebook n'a rien à vendre, ça
reste une relation de consommation, et donc
les dispositions applicables sont susceptibles de s'appliquer. Donc, il y a...
Il peut... On peut contraindre par le
droit, par les clauses abusives, par les clauses qui sont incompréhensibles,
1436 du Code civil, mais, dans une certaine mesure, je crois qu'à date
les meilleurs résultats ont été faits via des négociations, et comme
un petit peu l'a fait le commissariat fédéral, où certaines clauses qui étaient
problématiques ont été négociées.
Donc, à
certains égards, c'est presque plus une réponse politique, si je puis dire, de négociation des organismes de contrôle avec ces multinationales qui ont des...
Le problème, actuellement, c'est qu'avec nos juridictions, puis ce n'est
pas uniquement le Québec, mais nos
juridictions centrées sur le consentement, eh bien, c'est exactement ce que
Facebook veut entendre. Donc, ça impliquerait un changement de paradigme assez
conséquent, qui ne devrait évidemment pas être uniquement la voix du Québec. Il faudrait que ce soit quelque chose de
pas mal plus... Alors, je dirais, sur le plan juridique,
malheureusement, c'est long, c'est des processus qui sont compliqués.
M.
Nadeau-Dubois : Et l'idée d'utiliser les incitatifs financiers pour
peut-être contraindre certaines pratiques de collecte abusive, si ce n'est pas le droit, la réponse, est-ce que ça
peut être par, en fait, des désincitatifs financiers qu'on pourrait restreindre certaines pratiques
commerciales abusives... bien, certaines pratiques de collecte de données qui
sont abusives ou qui ne sont pas nécessaires?
M. Gautrais
(Vincent) : Je ne sais pas, sans doute. Si je peux me permettre, dans
les années 80, et c'est une prof de l'Université
Laval qui avait négocié, si je puis dire, avec des gens de l'OPC, avec des gens
de l'industrie, avec les banques et Mme
L'Heureux, on avait négocié... On avait offert des contrats types en matière de
cartes de crédit. Les cartes de crédit arrivaient
sur le marché. Et, au départ, c'est moins vrai maintenant, mais toutes les
clauses... tous les contrats de cartes de crédit, quelles que soient les banques, étaient basés sur cette même
structure. On avait un contrat type qui faisait une page et qui était... Il y avait eu une approche
collective, en fait, à une relation contractuelle entre une banque et un
titulaire de carte. Je ne sais pas dans
quelle mesure on serait en mesure de faire ça. Encore une fois,
l'internationalité de ces structures rend cette négociation un peu
complexe.
M. Nadeau-Dubois : Est-ce que vous...
ah!
Le Président (M.
Bachand) : Pr Gautrais, malheureusement, c'est tout le
temps qu'on a. Pr Gautrais, merci beaucoup d'avoir été avec nous cet
après-midi.
Sur ce, la commission ajourne ses travaux
jusqu'à demain, 24 septembre, à 12 h 10. Merci beaucoup.
(Fin de la séance à 17 h 18)