Journal des débats de la Commission des institutions
Version préliminaire
42e législature, 1re session
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
mercredi 12 mai 2021
-
Vol. 45 N° 148
Étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Bachand, André
-
Caire, Éric
-
Tanguay, Marc
-
-
Bachand, André
-
Caire, Éric
-
Tanguay, Marc
-
Lemieux, Louis
-
Nadeau-Dubois, Gabriel
-
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Bachand, André
-
-
Bachand, André
-
Caire, Éric
-
Nadeau-Dubois, Gabriel
-
Lemieux, Louis
-
Tanguay, Marc
-
-
Bachand, André
-
Caire, Éric
-
Nadeau-Dubois, Gabriel
-
Lemieux, Louis
-
Barrette, Gaétan
-
-
Bachand, André
-
Barrette, Gaétan
-
Caire, Éric
-
Nadeau-Dubois, Gabriel
-
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Bachand, André
-
Barrette, Gaétan
-
Lemieux, Louis
-
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
-
Nadeau-Dubois, Gabriel
-
Bachand, André
-
Caire, Éric
-
Lemieux, Louis
-
Barrette, Gaétan
-
-
Caire, Éric
-
Bachand, André
-
Barrette, Gaétan
-
Nadeau-Dubois, Gabriel
-
Lemieux, Louis
-
-
Caire, Éric
-
Barrette, Gaétan
-
Bachand, André
-
Lemieux, Louis
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Barrette, Gaétan
11 h (version révisée)
(Onze heures dix-sept minutes)
Le Président (M. Bachand) :
Bon matin. Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte. Avant de débuter les travaux de la commission, je vous
rappelle que le port du masque de procédure est obligatoire en tout temps
hormis au moment de prendre la parole durant nos travaux.
La commission est réunie afin de
poursuivre l'étude détaillée du projet de loi n° 64, Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M. le
Président. M. Birnbaum (D'Arcy-McGee) est remplacé par M. Barrette
(La Pinière); M. Zanetti (Jean-Lesage), par M. Nadeau-Dubois (Gouin);
et Mme Hivon (Joliette), par M. Ouellet (René-Lévesque).
<N-1>Étude détaillée (suite)
Le Président (M. Bachand) :
Merci. Je vous rappelle qu'il avait été convenu de suspendre le titre des amendements
visant à introduire l'article 36.1 proposé par le ministre. Nous avions
également suspendu les articles 78 à 85 inclusivement et 93 du projet de
loi.
Lors de l'ajournement de nos travaux,
hier, nous venions d'adopter l'amendement visant à introduire le nouvel article 94.1.
Donc, M. le ministre, je vous invite donc à lire l'article 95 du projet de
loi.
M.
Caire
:
Oui. Merci, M. le Président. Écoutez, j'espère que vous êtes patient, parce que
celui-là, il est assez costaud. Donc, l'article 95 : Cette loi est
modifiée par l'insertion, après l'article 3, de la section <suivante :
«Section...
Le Président (M. Bachand) :...visant à introduire le nouvel
article 94.1.
Donc,
M. le ministre, je vous invite donc à lire
l'article 95
du
projet de loi.
M.
Caire
:
Oui.
Merci, M. le Président.
Écoutez, j'espère que vous êtes
patient, parce que celui-là, il est assez costaud. Donc,
l'article 95 :
Cette loi est modifiée par l'insertion, après l'article 3, de la section >suivante :
«Section I.1.
«Responsabilités relatives à la protection
des renseignements personnels.
«3.1. Toute personne qui exploite une
entreprise est responsable de la protection des renseignements personnels
qu'elle détient.
«Au sein de l'entreprise, la personne ayant
la plus haute autorité veille à assurer le respect et la mise en oeuvre de la
présente loi. Elle exerce la fonction de responsable de la protection des
renseignements personnels; elle peut déléguer cette fonction par écrit, en tout
ou en partie, à un membre du personnel.
«Le titre et les coordonnées du
responsable de la protection des renseignements personnels sont publiés sur le
site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles
par tout autre moyen approprié.
«3.2. Toute personne qui exploite une
entreprise doit établir et mettre en oeuvre des politiques et des pratiques
encadrant [la] gouvernance à l'égard des renseignements personnels et propres à
assurer la protection de ces renseignements. Celles-ci doivent notamment prévoir
l'encadrement applicable [...] la conservation et [...] la destruction de ces
renseignements, prévoir les rôles et les responsabilités des membres de son
personnel tout au long du cycle de vie de ces renseignements et un processus de
traitement des plaintes relatives à la protection de ceux-ci. Elles doivent
également être proportionnées à la nature et à l'importance des activités de
l'entreprise et être approuvées par [les responsables] de la protection des
renseignements personnels.
«Ces politiques sont publiées sur le site
Internet de l'entreprise ou, si elle n'a pas de site, rendues accessibles par
tout autre moyen approprié.
«3.3. Toute personne qui exploite une
entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée
de tout projet de système d'information ou de prestation électronique de
services impliquant la collecte, l'utilisation, la communication, la
conservation ou la destruction de renseignements personnels.
«Aux fins de cette évaluation, la personne
doit consulter, dès le début du projet, son responsable de la protection des
renseignements personnels.
• (11 h 20) •
«La personne doit également s'assurer que
ce projet permet qu'un renseignement personnel informatisé recueilli auprès de
la personne concernée soit communiqué à cette dernière dans un format
technologique structuré et couramment utilisé.
«3.4. Le responsable de la protection des
renseignements personnels peut, à toute étape d'un projet visé à l'article 3.3,
suggérer des mesures de protection des renseignements personnels applicables à
ce projet, telles que :
«1° la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection des renseignements personnels;
«2° des mesures de protection des
renseignements personnels dans tout document relatif au projet;
«3° une description des responsabilités
des participants au projet en matière de protection des renseignements
personnels;
«4° la tenue d'activités de formation sur
la protection des renseignements personnels pour les participants au projet.
«3.5. Une personne qui exploite une
entreprise et qui a des motifs de croire que s'est produit un incident de
confidentialité impliquant un renseignement personnel qu'elle détient doit
prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit
causé et éviter que de nouveaux incidents de même nature ne se produisent.
«Si l'incident <présente...
M.
Caire
:
... et qui a des motifs de croire que s'est produit un incident de
confidentialité impliquant un renseignement personnel qu'elle détient doit
prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit
causé et éviter que de nouveaux incidents de même nature ne se produisent.
«Si l'incident >présente un
risque qu'un préjudice sérieux soit causé, elle doit, avec diligence, aviser la
Commission d'accès à l'information instituée à l'article 103 de
la Loi sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels (chapitre A-2.1). Elle doit
également aviser toute personne dont un renseignement personnel est concerné
par l'incident, à défaut de quoi la commission peut lui ordonner de le faire.
Elle peut également aviser toute personne ou tout organisme susceptible de
diminuer ce risque, en ne lui communiquant que les renseignements personnels
nécessaires à cette fin sans le consentement de la personne concernée. Dans ce
dernier cas, le responsable de la protection des renseignements personnels doit
enregistrer la communication.
«Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête faite par
une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir,
détecter ou réprimer le crime ou les infractions aux lois.
«Un règlement du gouvernement peut
déterminer le contenu et les modalités des avis prévus au présent article.
«3.6. Pour l'application de la présente
loi, on entend par "incident de confidentialité" :
«1° l'accès non autorisé par la loi à un
renseignement personnel;
«2° l'utilisation non autorisée par la loi
d'un renseignement personnel;
«3° la communication non autorisée par la
loi d'un renseignement personnel;
«4° la perte d'un renseignement personnel
ou toute autre atteinte à la protection d'un tel renseignement.
«3.7. Lorsqu'elle évalue le risque qu'un
préjudice soit causé à une personne dont un renseignement personnel est
concerné par un incident de confidentialité, la personne qui exploite une
entreprise doit considérer notamment la sensibilité du renseignement concerné,
les conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables. Elle doit également consulter son
responsable de la protection des renseignements personnels.
«3.8. La personne qui exploite une
entreprise doit tenir un registre des incidents de confidentialité. Un
règlement du gouvernement peut déterminer la teneur de ce registre.
«Sur demande de la commission, une copie
de ce registre lui est transmise.»
Donc, M. le Président, petite
explication à tout ça. Donc, l'article introduit les
articles 3.1 à 3.8 à la Loi sur la protection des renseignements
personnels dans le secteur privé. Cet article prévoit que toute
personne qui exploite une entreprise est responsable de la protection des
renseignements personnels qu'elle détient. Il prévoit aussi que la personne
ayant la plus haute autorité au sein de l'entreprise veille à y assurer le
respect de la loi et y exerce les fonctions de responsable de l'accès aux
documents et celle de responsable de la protection des renseignements
personnels en plus de prévoir que ces fonctions peuvent être déléguées.
Cet article prévoit que toute personne qui
exploite une entreprise doit mettre en oeuvre des politiques et des pratiques
encadrant la gouvernance à l'égard des renseignements personnels et propres à
assurer la protection de ces renseignements en plus de prévoir le contenu de
celles-ci. Cet article prévoit qu'une personne qui exploite une entreprise doit
procéder à une évaluation des facteurs <relatifs à la vie...
M.
Caire
:
...
déléguées.
Cet article prévoit que toute personne
qui exploite une entreprise doit mettre en oeuvre des politiques et des
pratiques encadrant la gouvernance à l'égard des renseignements personnels et
propres à assurer la protection de ces renseignements en plus de prévoir le
contenu de celles-ci. Cet article prévoit qu'une personne qui exploite une
entreprise doit procéder à une évaluation des facteurs >relatifs à la
vie privée de tout projet de système d'information ou de prestation
électronique de services impliquant la collecte, l'utilisation, la
communication, la conservation ou la destruction de renseignements personnels.
Il prévoit également qu'aux fins de cette
évaluation le responsable de la protection des renseignements personnels, prévu
à l'article 3.1 de la loi, doive être consulté. Il exige enfin que tout
nouveau système d'information de prestation électronique de services permette
qu'un renseignement personnel informatique recueilli auprès de la personne
concernée soit communiqué à cette dernière dans un format technologique
structuré et couramment utilisé.
Cet article prévoit que le responsable de
la protection des renseignements personnels prévu à l'article 3.1 de la
loi peut, à toute étape d'un projet de système d'information ou de prestation
électronique de services, suggérer des mesures de protection des renseignements
personnels applicables à ce projet.
Cet article prévoit qu'une personne qui
exploite une entreprise et qui a des motifs de croire qu'il s'est produit un
incident de confidentialité impliquant un renseignement personnel qu'elle
détient doive prendre les mesures raisonnables pour diminuer les risques qu'un
préjudice soit causé et éviter que de nouveaux incidents de même nature ne se
produisent. Il prévoit également que, si l'incident présente un risque qu'un
préjudice sérieux soit causé, l'entreprise doit, avec diligence, aviser le
Commission d'accès à l'information ainsi que toute personne dont le
renseignement personnel est concerné par l'incident.
Cet article définit ce que l'on entend par
un incident de confidentialité. Cet article prévoit ce qui doit être considéré
par une personne qui exploite une entreprise lorsque celui-ci évalue le risque
qu'un préjudice soit causé à une personne dont un renseignement personnel est
concerné par un incident de confidentialité. Cet article prévoit qu'une
personne qui exploite une entreprise doive tenir un registre des incidents de
confidentialité.
M. le Président, j'ai aussi des
amendements à présenter à cet article. Je ne sais pas, M. le Président, si vous
souhaitez que je les lise maintenant. Je pourrais lire les amendements en
question.
Le Président (M. Bachand) :
Un amendement à la fois.
M.
Caire
:
Un amendement à la fois. Je vous épargnerai mes talents de chanteur.
Le Président (M. Bachand) :
Mais, juste avant d'aller plus loin, parce que l'article est très, très, très
long, il fait miroir des dispositions légales, ça fait que je ne sais pas s'il
y aurait peut-être une discussion plus générale avant d'aller à l'amendement.
M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci, M. le Président. Juste au niveau de l'organisation de nos travaux, la
dernière fois, cet article-là, quand on l'avait vu dans le contexte des
organismes publics, on l'avait abordé quand même de façon un peu plus
systématique, 3.1, 3.2. Dans le cas-ci, ça serait les... Est-ce que les
amendements du ministre... Parce que je peux voir qu'il y en a un à 3.1. Donc,
je ne sais pas pour mon collègue de Gouin, je ne veux pas l'empêcher de parler,
s'il veut parler de façon générale, mais on pourrait peut-être y aller, là,
3.1, puis y aller de façon systématique sur ces amendements. Mais peut-être une
question d'abord, puis c'est ce que je faisais avec Sophie, là, on a adopté... On
a eu de grandes discussions à l'époque, qui était l'article 1, de grandes
discussions, puis il y a eu des amendements qui ont été adoptés. Est-ce que le
ministre peut nous confirmer que ces <amendements sont...
M. Tanguay
: ...
sur
ces amendements. Mais peut-être une question d'abord, puis c'est ce que je
faisais avec Sophie, là, on a adopté... On a eu de grandes discussions à
l'époque, qui était l'article 1, de grandes discussions, puis il y a eu
des amendements qui ont été adoptés. Est-ce que le ministre peut nous confirmer
que ces >amendements sont... et reprennent l'entièreté des amendements
qui avaient été adoptés précédemment?
M.
Caire
:
Bien, essentiellement, oui. Parce que, notamment, là, sur les évaluations des
facteurs relatifs à la vie privée, là, on fait un effet miroir par rapport à ce
qu'on a vu au privé. On va aussi moduler, là, quand on parlait de tout projet
pour parler de projets qui sont plus de nature d'une refonte, un nouveau projet
ou... Donc, essentiellement, les amendements reprennent... Bien, l'article en
tant que tel est pas mal un miroir de ce qu'on a fait au niveau du public.
Le Président (M. Bachand) :...amendement à 3.1. M. le ministre, s'il vous plaît.
M.
Caire
: Puis
je suis d'accord, mais en pleine gorgée de café, M. le Président. Donc,
l'article 3.2 de la Loi sur la protection des renseignements personnels
dans le secteur privé, proposé par l'article 95 du projet de loi,
remplace le deuxième alinéa par le suivant :
«La personne qui exploite une entreprise
doit rendre accessibles, par un moyen approprié et en termes simples et clairs,
des informations détaillées au sujet des politiques et des pratiques encadrant
sa gouvernance à l'égard des renseignements personnels.»
Donc, ces modifications visent à ajuster
l'exigence de transparence concernant les règles de gouvernance à l'égard des
renseignements personnels. Une entreprise devra rendre accessibles, en termes
simples et clairs, des informations détaillées au sujet de celle-ci. Ceci
facilitera la compréhension par les citoyens des politiques et des pratiques
adoptées par l'entreprise. Ces modifications laissent également une liberté aux
entreprises de choisir le moyen de diffuser des informations concernant les
règles de gouvernance, par exemple, elles pourraient publier les informations
sur leur site Internet et elles pourraient également offrir des brochures, des
affiches, etc.
Le Président (M. Bachand) :
M. le ministre, peut-être... Vous avez lu l'amendement à 3.2. Alors
donc, il faudrait peut-être...
M.
Caire
:
Est-ce que j'ai erré, M. le Président?
Le Président (M. Bachand) :
(S'exprime en espagnol). Alors donc, j'allais dire «in concreto», mais ça, je le
laisse, là, au député de LaFontaine. Donc, c'est tout simplement de, peut-être,
de lire 3.1.
M.
Caire
: ...complètement
largué. Je me suis dit bon, bien... Non mais je... 3.1? Non, non, mais
pourquoi? Je n'ai pas d'amendement à 3.1, moi.
Une voix
: ...
M.
Caire
:
Bien, écoutez, est-ce qu'on peut suspendre quelques instants?
Le Président (M. Bachand) :
Oui, on va suspendre quelques instants. Merci beaucoup.
(Suspension de la séance à 11 h 29)
11 h 30 (version révisée)
(Reprise à 11 h 38
)
Le Président
(M. Bachand) :À l'ordre, s'il vous
plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
:
Oui. Merci, M. le Président. Donc, cette pause salutaire, gracieuseté du gouvernement
du Québec, m'a permis de retrouver l'amendement à l'article 3.1, que je
vous lis à l'instant et qui se lit comme suit :
Remplacer, dans le deuxième alinéa de
l'article 3.1 de la Loi sur la protection des renseignements
personnels dans le secteur privé, proposé par l'article 95 du projet de
loi, «un membre du personnel» par «toute personne».
Donc, la modification au deuxième alinéa
vise à permettre, en plus de la délégation qui peut être faite à un membre du
personnel, d'utiliser les services d'une personne externe. Cela permettrait,
par exemple, à un regroupement d'entreprises de désigner une seule personne
responsable. Cette approche peut permettre l'utilisation des services d'une
personne spécialisée en protection des renseignements personnels. Par
conséquent, les entreprises bénéficieront d'une plus grande souplesse en ce qui
concerne la délégation.
Le Président (M. Bachand) :
Des interventions sur l'amendement? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui. Je
pense que c'est une bonne chose, parce qu'effectivement «souplesse» est le bon
mot, et c'est du cas par cas. Puis, si l'entreprise veut déléguer, bien, c'est
ça, elle va payer une <ressource externe. Puis tant mieux...
M.
Caire
:
...par conséquent, les entreprises bénéficieront d'une plus grande souplesse en
ce qui concerne la délégation.
Le Président (M.
Bachand) : Des i
nterventions sur
l'amendement?
M.
le député de
LaFontaine,
s'il vous plaît.
M. Tanguay
:
Oui.
Je pense que c'est une bonne chose,
parce qu'effectivement
«souplesse» est le bon mot, et c'est du cas par cas. Puis, si l'entreprise veut
déléguer, bien, c'est ça, elle va payer une >ressource externe. Puis
tant mieux s'il y a des spécialisations qui se développent et des gens qui sont
à la fine pointe, entre autres, on le demande, là : Soyez à la fine
pointe. Alors, je n'ai pas de problème. Puis je pense même que c'était miroir
avec ce qu'on avait fait aux organismes publics, il me semble qu'ils pouvaient
aller à l'extérieur.
M. Caire
: Oui. En
fait, ce qu'on avait dit, c'est que plusieurs organismes publics pouvaient...
• (11 h 40) •
M. Tanguay
: 172.
M. Caire
: Mais c'est-à-dire
que c'était une personne qui était interne à l'organisme mais que plusieurs
organismes pouvaient partager cette même...
M. Tanguay
:
Ressource.
M.
Caire
: ...ressource,
c'est ça. Mais on avait parlé, à ce moment-là, plus du volet MRC ou... Parce
qu'évidemment, au niveau du gouvernement du Québec, on est dans une autre
dynamique, là.
M. Tanguay
: Mais
je pensais qu'on avait eu la conversation... Ils pouvaient aller à l'extérieur
pour...
M. Caire
: Pas
pour le responsable des renseignements personnels. C'était pour les... Comme
membres du comité sur la protection des...
M. Tanguay
: Oui,
oui, oui, qu'ils pouvaient avoir un spécialiste...
M. Caire
: ...là,
on pouvait avoir... Mais comme... le responsable des renseignements personnels
dans un organisme public doit être un membre interne à l'organisme.
M. Tanguay
: Je
comprends. Moi, je n'ai pas d'autre intervention sur l'amendement.
Le Président
(M. Bachand) :...M. le député de...
M. le ministre.
M. Caire
: Bien,
M. le Président, je veux juste être sûr, là, qu'au niveau de... Juste un petit
signe de tête.
M. Tanguay
: On
peut suspendre, peut-être.
M.
Caire
:
Sur cet amendement-là, est-ce qu'il y avait des enjeux ou est-ce qu'on peut
l'adopter?
Le Président
(M. Bachand) :Mais il y aura
toujours possibilité pour le député de Gouin de revenir avec un
sous-amendement. De toute façon, l'article n'est pas fermé, là, encore, là,
donc il n'y a pas...
M. Caire
: O.K.
Parfait.
Le Président
(M. Bachand) : S'il y a lieu, là.
M. Caire
: Alors,
ça va, M. le Président.
Le Président
(M. Bachand) : C'est beau?
M. Tanguay
: C'est
beau.
Le Président
(M. Bachand) : Donc, s'il n'y a pas d'autre intervention, nous
allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M. Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président
(M. Bachand) : Abstention. Donc, l'amendement est adopté.
Donc, on revient, tel que discuté plus tôt, sur la sous-section 3.1. M. le
député de LaFontaine.
M. Tanguay
: À 3.1,
comme vous dites, M. le Président, on n'est pas forclos. Si, des fois, il dit :
Ah... Là, on passe à 3.2, on pourra revenir, puis tout ça. Parce que je pense
que, pour l'ensemble de l'article, là, on aurait trois jours, techniquement, de
possibles si on voulait faire du temps, mais c'est une idée qui, depuis 2012, ne
m'est jamais passée par l'esprit.
«Toute personne qui exploite une
entreprise est responsable de la protection des renseignements personnels
qu'elle détient.» J'essaie de faire les analogies, mais je le sais, qu'il faut
que j'en prenne puis que j'en laisse, parce que public n'est pas privé, et vice
versa.
Et après on parle de «au sein de
l'entreprise, la personne ayant la plus haute autorité veille à assurer», ça,
je comprends ça. La personne de la plus haute autorité, au sein du privé, ça,
je comprends ça. Et c'est comme ça qu'on commençait l'article 1 du projet
de loi n° 64, l'article 8, pour les publics : «La personne ayant
la plus haute autorité...»
Le petit bout qu'on met au départ, là, me fait me questionner : «Toute personne qui
exploite une entreprise est responsable de la protection des renseignements
personnels qu'elle détient.» Qui on vise, là, qui ne serait pas suffisant
uniquement en commençant avec le deuxième alinéa, en disant : Bien, dans
le privé, c'est la plus haute autorité <qui est responsable...
M. Tanguay
: …
me
fait me questionner : «Toute personne qui exploite une entreprise est
responsable de la protection des renseignements personnels qu'elle détient.»
Qui on vise là, qui ne serait pas suffisant uniquement en commençant avec le
deuxième alinéa, en disant : Bien, dans le privé, c'est la plus haute
autorité >qui est responsable?
M.
Caire
:
Bien, je vais laisser Me Miville-Deschênes compléter ma réponse, mais j'en
comprends que, par exemple, une entreprise qui serait le fait d'un
actionnariat, à ce moment-là, peut-être… Bien, mettons… Je veux dire, je ne
veux pas personnaliser mon exemple, mais on peut penser que l'actionnaire
majoritaire dans une entreprise ou d'un consortium qui a plusieurs entreprises
pourrait être désigné par le premier paragraphe, alors que le deuxième paragraphe
viserait plus le président ou le président-directeur général d'une telle entreprise,
là, de la société, à proprement parler.
M. Tanguay
: …du ministre,
M. le Président, je revirerais ça de bord.
M.
Caire
: Puis
là je me tourne vers Me Miville-Deschênes puis je ne vois pas de
convulsion, donc j'imagine que je n'ai pas dit de…
M. Tanguay
: ...j'en
ai, là, je convulse.
M.
Caire
:
Vous cachez bien ça.
M. Tanguay
: «Exploite»,
je ne pense pas que l'actionnaire exploite l'entreprise. Je pense, justement,
l'exploitant, c'est la personne qui est les deux pieds sur le… dans la bâtisse
de l'entreprise. «Toute personne qui exploite une entreprise», est-ce qu'on
peut dire qu'on vise les actionnaires?
Mon point, là, je crois, mais
détrompez-moi, qu'il aurait suffi de commencer ici comme on commençait pour les
publics : «Au sein de l'entreprise, la personne ayant la plus haute
autorité veille à assurer le respect et la mise en oeuvre de la présente loi.»
Là, on dit : «Toute personne qui exploite...» Parce que je veux savoir, «toute
personne qui exploite», je veux… Pourquoi c'est important qu'on se pose la question?
Parce que les gens devront savoir : Ça me vise-tu moi ou pas?
Alors, qui on vise ici, qu'on nécessite de
nommer ici puis que l'on ne ferait pas suffisamment oeuvre utile avec juste le
deuxième alinéa? Je ne suis pas en train de dire que je propose ça, là...
M.
Caire
:
Mais, si vous allez au registre des entreprises, celui qui exploite l'entreprise,
c'est celui qui en est le propriétaire au sens du registre des entreprises...
M. Tanguay
: Mais je
ne sais pas si, au sens légal…
M.
Caire
: ...mais
il n'est pas nécessairement le plus haut dirigeant de cette… Tu sais, quelqu'un
peut en avoir plusieurs, des entreprises, là.
M. Tanguay
: C'est
qui ça, «toute personne qui exploite»?
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait...
Le Président (M. Bachand) :
…consentement. On est au début d'une nouvelle séance. Est-ce qu'il y aurait
consentement pour donner la parole à Me Miville-Deschênes?
M.
Caire
: Oui,
c'est correct.
M. Tanguay
: Consentement,
sous réserve de la question.
M.
Caire
:
Oui, sous réserve de la réponse.
Le Président (M. Bachand) :O.K. Donc, consentement. Me Miville-Deschênes, s'il vous
plaît.
M. Miville-Deschênes
(Jean-Philippe) : Bien, dans la loi pour le secteur privé, on
utilise l'expression «personne qui exploite une entreprise» pour dire «l'entreprise»,
dans le fond. Donc, dans les articles actuels, c'est déjà comme ça, on dit :
La présente loi s'applique à l'égard de toute personne qui communique, utilise
des renseignements à l'occasion de l'exploitation d'une entreprise. Puis, dans
la loi actuelle et dans le projet de loi, quand on parle de «personne qui
exploite une entreprise», dans le fond, on parle de l'entreprise à titre
d'entité juridique.
M. Tanguay
: «Toute
personne», c'est l'entreprise, la personne morale?
M. Miville-Deschênes
(Jean-Philippe) : Oui, c'est ça.
M. Tanguay
: O.K.
Et ça exclut «personne physique»?
M. Miville-Deschênes
(Jean-Philippe) : Bien, la personne, ça pourrait être une entreprise
enregistrée, là, mais, on se comprend, si je suis incorporé, c'est la personne
morale. «Toute personne qui exploite une entreprise», c'est l'entité juridique
«entreprise», donc <personne morale ou autre type de…
M. Tanguay
: …
O.K.
Et ça exclut «personne physique»?
M. Miville-Deschênes
(Jean-Philippe) :
Bien, la
personne, ça pourrait être
une
entreprise enregistrée, là, mais, on se comprend, si je suis
incorporé, c'est la personne morale. «Toute
personne qui exploite une
entreprise»,
c'est l'entité juridique «entreprise», donc >personne morale ou autre
type de, comment dire… Ça peut être une personne seule qui exploite une
entreprise aussi, là.
M. Tanguay
: O.K. Donc :
«Toute personne qui exploite une entreprise est responsable de la protection
des renseignements personnels qu'elle détient», autrement dit, ça, c'est
l'entité juridique qui va être, dans la très, très grande majorité des cas, une
personne morale qui exploite l'entreprise. Ça va être ABC inc., ça va être
A. D. enr., ça va être avocat, société en nom collectif à responsabilité
limitée. C'est ça qu'on vise, là. Autrement dit, l'entité juridique «personne
morale qui exploite l'entreprise» est responsable.
M. Miville-Deschênes
(Jean-Philippe) : C'est exactement ça.
M. Tanguay
:
Autrement dit, ça veut dire que, moi, si j'ai une fuite de données, bien, je
vais pouvoir poursuivre, évidemment, l'entité juridique, là. C'est ça qu'on
vise, là.
M. Miville-Deschênes
(Jean-Philippe) : Exact.
M. Tanguay
: Et,
deuxième alinéa, je vais pouvoir aussi peut-être mettre dans le débat, là, la
plus haute autorité, là. Quelle est la responsabilité de la plus haute
autorité? Est-ce qu'on veut ici faire naître une responsabilité personnelle de
la plus haute autorité? Parce que la plus haute autorité, on s'entend, c'est
une personne physique, n'est-ce pas?
M. Miville-Deschênes
(Jean-Philippe) : Oui.
M. Tanguay
:
Alors, est-ce qu'on veut faire naître sa responsabilité personnelle, lever le
voile corporatif?
M. Miville-Deschênes
(Jean-Philippe) : Ce n'est pas tant l'objectif. L'objectif,
c'est de lui attribuer des fonctions, notamment de traiter les demandes d'accès
aux renseignements personnels qui sont faites par des personnes. Dans la loi,
elle a une responsabilité de traiter les demandes d'accès puis elle a aussi une
responsabilité générale, là, bien, d'assurer le respect des obligations en
matière de protection des renseignements personnels.
M. Tanguay
: Oui,
mais ça n'exclut pas que je peux la poursuivre personnellement.
M. Miville-Deschênes
(Jean-Philippe) : Bien, il va falloir démontrer une faute. Ça
ne l'exclut pas, là, mais l'objectif n'est pas de lever le voile corporatif
pour qu'elle soit responsable en lieu et place de l'entreprise, là.
M. Tanguay
: O.K.
Le Président (M. Bachand) :
…M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Avec
le consentement du ministre, juste revenir sur l'amendement qui vient d'être
adopté, sur 3.1. Là, on venait changer «membre du personnel» par «toute
personne». Peut-être juste nous expliquer, est-ce que c'est pour permettre que
ça soit sous-traité à d'autres entreprises, par exemple? Qu'est-ce que ça a
comme effet?
M.
Caire
:
C'est pour permettre, effectivement, que plusieurs entreprises puissent
partager une ressource commune, pour qu'ils puissent embaucher quelqu'un de
l'externe, un spécialiste, par exemple, en matière de protection des
renseignements personnels. Parce qu'il faut comprendre que toutes les
entreprises n'ont pas nécessairement la même taille, donc elles auront… C'est
un petit peu le débat qu'on avait eu, si mon collègue de Gouin se souvient,
avec les municipalités, où on disait : Tu sais, il y a des très petites
municipalités qui pourraient avoir besoin de partager les ressources, compte tenu de leur taille, compte tenu de leur importance
en termes de capacité financière. Donc, ça vise, oui, à pouvoir partager une
ressource et/ou engager cette ressource-là à l'externe si on n'a pas
l'expertise à l'interne.
M. Nadeau-Dubois : Puis
ça ne change en rien les obligations <des entreprises?
M.
Caire
:
Pas du tout, pas du tout.
M. Nadeau-Dubois : Ça
…
M.
Caire
:
...compte tenu de leur taille, compte tenu de leur importance en termes de
capacité financière. Donc, ça vise, oui, à pouvoir partager une ressource et/ou
engager cette ressource-là à l'externe si on n'a pas l'expertise à l'interne.
M. Nadeau-Dubois :
Puis ça ne change en rien les obligations >des entreprises?
M.
Caire
:
Pas du tout, pas du tout.
M. Nadeau-Dubois : Ça
n'affecte pas leur responsabilité légale?
M. Caire
: Pas du
tout. En fait, ce qu'on fait, justement, avec le débat qu'on a avec le député
de LaFontaine, c'est d'établir que l'entreprise est responsable, donc elle peut
déléguer la tâche, mais elle ne peut jamais déléguer sa responsabilité.
M. Nadeau-Dubois : Merci.
Le Président
(M. Bachand) :Autres interventions
sur la sous-section 3.1? Sinon, on pourrait aller peut-être avec
l'amendement à 3.2. M. le député de LaFontaine.
M. Tanguay
: Oui. Merci,
M. le Président. Est-ce qu'il y avait d'autres amendements à 8, qui était
grosso modo l'équivalent de 3.1? Quand on regarde : «Elle exerce la
fonction de responsable de la protection des renseignements personnels; elle
peut déléguer cette fonction par écrit, en tout ou en partie, à un membre du
personnel», je ne sais pas, on n'avait pas eu d'amendement là-dessus, hein?
Des
voix : ...
Le Président
(M. Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Quand
on a examiné l'article un peu correspondant dans la loi sur le public, on est
venu inscrire, par amendement, ici la notion d'autonomie, en disant qu'il était
souhaitable que la personne responsable des renseignements personnels dans les
organismes publics puisse exercer ses fonctions de manière autonome. Est-ce que
ce ne serait pas pertinent, je pose la question, là, de venir faire apparaître
cette notion-là ici aussi dans la loi sur le privé?
• (11 h 50) •
M. Caire
: J'ai
plus de difficultés à le faire au niveau du privé pour la simple raison que,
là, on est dans une gestion d'une entreprise privée. Par contre, je pense qu'on
peut se garantir que les choses seront faites du fait de responsabiliser
l'entreprise comme entité juridique, donc quelle sera la façon dont
l'entreprise va interagir avec son responsable. Parce qu'il faut comprendre que
les conséquences, pour une entreprise privée, d'une gestion chaotique des
renseignements personnels, compte tenu des articles qui vont suivre sur les
sanctions pécuniaires administratives, sanctions pénales qui sont conséquentes,
je pense que tout le monde va être d'accord, seront de nature à assurer cette
autonomie.
Dans le cas du public, bon, on peut
imposer des sanctions, c'est vrai, mais, tu sais, c'est le fonds consolidé qui
paie, là. Donc, je pense qu'il y avait une pertinence à le faire au niveau du
public. Je ne pense pas que ce soit <la même chose au...
M.
Caire
:
...
bon, on peut imposer des sanctions, c'est vrai, mais, tu sais, c'est
le fonds consolidé qui paie, là. Donc, je pense qu'il y avait une pertinence à
le faire au niveau du public. Je ne pense pas que ce soit >la même chose
au niveau du privé quant à l'autonomie.
Je pense que ce qui vient nous garantir d'une
gestion responsable des renseignements personnels va être beaucoup plus les
sanctions que nous allons voter, en tout cas, si tant est que... Évidemment, je
ne peux pas présumer du choix des collègues, là, mais j'ai cru comprendre que,
sur ces enjeux-là, on était pas mal tous à la même page. Donc, je pense que ça
est la...
Donc, il faut s'assurer que l'entreprise
est bien désignée comme responsable, qu'il n'y ait pas d'échappatoire de ce
côté-là et que les conséquences soient conséquentes de ne pas avoir une gestion
des renseignements personnels. Après ça, comment l'entreprise va décider de
gérer et d'interagir avec son responsable des renseignements personnels, je ne
pense pas qu'on ait une garantie supplémentaire d'efficacité. Puis on vient se
donner comme un droit de gérance sur une entreprise privée, puis ça, j'ai
peut-être un peu plus de difficultés avec ça, que je n'ai pas avec le public,
pour des raisons assez évidentes, là.
M. Nadeau-Dubois :
Autrement dit, si l'entreprise... s'il y a ingérence dans le travail, par
exemple, de la personne qui est responsable des renseignements personnels puis
que ça provoque un incident, bien, ce sera l'entreprise qui sera responsable,
point final.
M.
Caire
:
L'entreprise va payer. Je veux dire, l'entreprise n'a pas intérêt... compte
tenu des pouvoirs qu'on donne à la CAI, compte tenu des sanctions
encourues qui sont très sévères, l'entreprise n'a pas intérêt à entraver le
travail de son responsable des renseignements personnels, parce que les
conséquences pour l'entreprise seront importantes.
Et je rappelle aussi qu'on avait mis des
critères aussi. Au moment de déterminer les conséquences, on avait mis des
critères sur le fait que, s'il y avait eu entrave, s'il y a des gestes qui ont
été posés qui ont favorisé ça, c'est des circonstances aggravantes. Donc, je
pense qu'on peut aussi aller dans cette direction-là, mais de dire qu'il doit
être autonome... Écoutez, faites ce que vous voulez avec, puis, s'il ne fait
pas son travail, ça risque d'être à votre détriment.
Le Président (M. Bachand) :
Interventions? Alors donc, on continue. Alors, M. le ministre.
M.
Caire
:
Oui. Alors, cette fois, c'est la bonne. L'article 3.2 de la Loi sur la protection
des renseignements personnels dans le secteur privé, proposé par
l'article 95 du projet de loi, remplacer le
deuxième alinéa par le suivant :
«La personne qui exploite une entreprise
doit rendre accessibles, par un moyen approprié et en termes simples et clairs,
des informations détaillées au sujet des politiques et des pratiques encadrant
sa gouvernance à l'égard des renseignements personnels.»
Donc, comme <j'ai dit, M. le
Président, ça...
M.
Caire
:
...
remplacer le deuxième alinéa par le suivant :
«La personne qui exploite une
entreprise doit rendre accessibles, par un moyen approprié et en termes simples
et clairs, des informations détaillées au sujet des politiques et des pratiques
encadrant sa gouvernance à l'égard des renseignements personnels.»
Donc, comme >j'ai dit, M. le
Président, ça vise à modifier les exigences de transparence concernant les
règles de gouvernance à l'égard des renseignements personnels. Une entreprise
devra les rendre accessibles en termes simples et clairs... des informations
détaillées au sujet de celle-ci. Ceci facilitera la compréhension par les
citoyens des politiques et des pratiques adoptées. Mais aussi les modifications
laissent également une liberté aux entreprises de choisir le moyen de diffuser
les informations concernant les règles de gouvernance. Par exemple, elles
pourraient publier les informations sur leurs sites Internet, mais elles
pourraient également décider d'offrir des brochures, des affiches et tout autre
support pour communiquer ces informations. C'est une souplesse que les
entreprises ont...
Le Président (M. Bachand) :
Juste... M. le ministre, parce que je pense qu'on n'a pas le bon amendement.
Alors donc...
M.
Caire
: Bien
voyons, toi.
Le Président (M. Bachand) :
Juste... J'essayais de trouver le bon amendement puis je...
M.
Caire
:
Bien oui, M. le Président, vous avez bien raison. Ça va bien, mes
affaires, ce matin.
Alors, M. le Président, je vais vous
lire l'amendement qui a été déposé, effectivement. Dans le deuxième alinéa de l'article 3.2
de la Loi sur la protection des renseignements personnels dans le secteur
privé, proposé par l'article 95 du projet de loi, remplacer «Ces
politiques sont» par «Des informations détaillées au sujet de ces politiques et
de ces pratiques sont, en termes simples et clairs,».
Donc, M. le Président, j'ai
sensiblement le même commentaire que j'ai fait mais avec un libellé différent.
Le Président (M. Bachand) :
Merci. Interventions sur l'amendement? M. le député de LaFontaine.
M. Tanguay
: Oui.
Quand on parle... Le ministre pourrait, de façon générale, nous indiquer... On
a vu beaucoup la Commission d'accès à l'information. La Commission d'accès
à l'information, là, question bien, bien, bien de base, là, est-ce
qu'elle va interagir avec les entreprises?
M.
Caire
:
Oui.
M. Tanguay
: Au
même titre, avec la même force qu'elle va le faire avec les organismes?
M.
Caire
:
Au même titre. Elle a les mêmes pouvoirs, dans le respect de la loi sur l'accès
à l'information, protection des renseignements personnels et la loi sur la
protection des renseignements personnels dans le privé. Ces deux lois-là sont
sous sa juridiction.
M. Tanguay
: O.K.
Et, quand on disait... peut-être parce qu'on le voit plus loin, là, on parlait...
mais ça, c'était pour le comité, là : «L'organisme doit, dès que possible,
aviser la commission par écrit du titre [...] coordonnées [...] la date
d'entrée...» Je ne vois pas dans... Donc, sur l'organisme public, on voyait que
la Commission d'accès à l'information avait un rôle, entre autres, à
jouer avec les coordonnées des membres du comité, mais, dans la responsabilité
relative à la protection des renseignements personnels, la juridiction de la
commission, on n'a pas besoin de lui faire jouer un rôle ici quant à la
surveillance des responsabilités relatives à la protection?
M.
Caire
:
Bien non, d'autant plus qu'elle peut émettre, maintenant, des directives, elle
a un pouvoir de surveillance qui est accru. Donc, au niveau de l'entreprise
privée, la commission a toute latitude, là, pour <s'assurer que la loi...
M. Tanguay
: …
quant
à la surveillance des responsabilités relatives à la protection?
M.
Caire
:
Bien non, d'autant plus qu'elle peut émettre maintenant des directives, elle a
un pouvoir de surveillance qui est accru. Donc, au niveau de l'entreprise
privée, la commission a toute latitude, là, pour >s'assurer que la loi,
elle est respectée.
M. Tanguay
: Et la
commission n'a pas… Comme législateurs, on ne voudra pas que la commission soit
informée, le cas échéant, que la plus haute autorité, je reviens à 3.1, là, a
délégué tout ou partie de ses responsabilités? La commission n'a pas besoin de
tenir de registre à cet effet-là?
M.
Caire
:
Alors : «[Les titres] et les coordonnées du responsable de [...]
protection des renseignements personnels sont publiés sur le site Internet de l'entreprise
ou, si elle n'a pas de site, rendus accessibles par tout autre moyen...» Donc, il
y a une obligation de rendre publique cette information-là.
Le Président
(M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Sur l'amendement...
On est bel et bien sur l'amendement?
Le Président
(M. Bachand) : Oui.
M. Nadeau-Dubois : À 3.2?
Le Président
(M. Bachand) : Oui.
M. Nadeau-Dubois : Tous
au même endroit. Je perçois l'intention, qui m'apparaît être bonne, mais je me
demande s'il n'y a pas un enjeu de rédaction. C'est-à-dire, dans la version initiale
de l'article 3.2, on dit... on émet une obligation pour les entreprises de
publier les politiques en question, donc, on peut présumer, dans leur intégralité.
Je perçois, dans l'amendement du ministre, une volonté de dire qu'il faut que
ça soit de l'information qui soit simple, claire, accessible, pas un PDF qui
fait...
M.
Caire
:
18 pages.
M. Nadeau-Dubois : C'est...
Ah! oui...
M.
Caire
:
...résumé, là.
M. Nadeau-Dubois : Oui, c'est
parce que moi, j'allais dire 75, 80.
M.
Caire
:
Le sommaire exécutif fait 18 pages, là.
M. Nadeau-Dubois : Oui,
le sommaire... la table des matières, 18 pages. Non, mais, plus sérieusement...
Et là il y a un amendement qui vient dire : Mettez des informations
détaillées au sujet de ces politiques et de ces pratiques. Donc, il n'y a plus
d'obligation de divulguer la politique ou les politiques.
M.
Caire
:
Oui, exact.
M. Nadeau-Dubois : Ça
devient une obligation de donner des informations simples et claires au sujet
de la politique.
Est-ce qu'il n'y aurait pas moyen de
remplir les deux objectifs à la fois? Parce que, là, ça ouvre la porte... puis
je suis plutôt persuadé que ce n'est pas l'intention, là, et on me corrigera,
mais que, là, ça permettrait à une entreprise de dire : On a une politique
qui fait 80 pages. Sur notre site, on va seulement afficher une espèce de
résumé qu'on va rédiger nous-mêmes, où on va donner les grandes lignes, les
grandes informations principales. Et là on fait peut-être un gain de clarté, on
fait peut-être un gain de concision, mais là on a une perte de transparence
parce que la politique au complet n'est plus disponible, alors qu'il me semble
qu'on devrait viser les deux, tu sais.
• (12 heures) •
M.
Caire
: En
fait, on avait aussi un enjeu, parce que c'est des… Puis je ne vous le cache
pas, M. le député, c'est des représentations qu'on nous a faites, où on a dit :
Bien, les politiques de confidentialité, dans certains cas, pourraient nous
amener à <révéler des informations...
>
12 h (version révisée)
<16827
M. Nadeau-Dubois :
…parce que la politique au complet n'est plus disponible, alors qu'il me semble
qu'on devrait viser les deux, tu sais?
M.
Caire
: On
avait aussi un enjeu, parce que c'est des… puis je ne vous le cache pas, M. le
député, c'est des représentations qu'on nous a faites, où on a dit : Bien,
les politiques de confidentialité, dans certains cas, pourraient nous amener à >révéler
des informations, sur la nature de nos opérations, qui seraient nuisibles à l'entreprise.
Alors, c'est pour ça qu'on a choisi… parfait, on a dit : O.K., bon, si
vous le dites, mais on veut des informations détaillées, à ce moment-là, parce
qu'il faut que les citoyens connaissent la politique de l'entreprise qui les
impacte, il faut que ce soit... Puis je pense que vous l'avez bien résumé, en
termes simples et clairs, donc, on ne veut pas être noyés sous une tonne de
documentation, il faut que le responsable des renseignements personnels soit
connu, qu'on puisse le contacter, qu'on puisse interagir avec lui, qu'on puisse
le questionner.
Donc, je vous dirais que c'est un
compromis dans cette volonté de dire : Parfait, on ne veut pas nuire aux
opérations d'une entreprise en la forçant à révéler des informations qui
pourraient être nuisibles. Mais ce qui est clair, c'est que le citoyen qui
interagit avec l'entreprise doit savoir pourquoi, à quelles fins on collecte
des renseignements personnels, quels sont ses droits, ses prérogatives, comment
il peut interagir quand le tout ne se passe pas à sa satisfaction. Donc, il y a
quand même une obligation d'informer le citoyen, sans nuire à l'entreprise, et
de le faire de façon compréhensible, là, c'est-à-dire que quelqu'un qui va lire
la politique, effectivement, ne se tape pas 18 pages juste de table des
matières. Parce que ça, ça peut être aussi… Quand on veut cacher une aiguille,
on la met dans une botte de foin, là.
M. Nadeau-Dubois : Je
comprends, puis, ça, là-dessus, tu sais, j'en suis, là, de forcer les
entreprises à ne pas noyer le poisson dans des requêtes de consentement ou des
politiques qui sont tellement touffues qu'on…
M.
Caire
:
Exagérément touffues.
M. Nadeau-Dubois : ...qu'on
n'y distingue plus rien, là. Ça, j'en suis, là. Mais, comme je disais, là, il y
a un… tu sais, pour moi, on n'a pas à faire l'un ou l'autre, on pourrait avoir
le même gain d'efficience, de clarté, de simplicité, de concision et dire :
Bien, vous devez aussi rendre disponible la politique au complet.
Parce que, je veux dire, les
renseignements personnels des gens, on leur demande un… Parce que tout le
pilier… le ministre le sait, là, toute l'économie interne de ce projet de loi
là, un de ses principes fondamentaux, c'est le consentement éclairé pour qu'on
donne des renseignements personnels à une fin spécifique. Puis là tout l'édifice
est construit là-dessus. Pour que le consentement soit valide, une des
conditions, c'est que les gens savent exactement à quoi ils consentent. Puis
ça, c'est contenu, dans le cas du privé, dans la politique qu'on leur demande,
par la loi, de faire.
Moi, qu'on ait une version abrégée, une
version vulgarisée pour M., Mme <Tout-le-monde…
M. Nadeau-Dubois :
…soit valide, une des conditions, c'est que les gens savent exactement à quoi
ils consentent. Puis ça, c'est contenu, dans le cas du privé, dans la politique
qu'on leur demande, par la loi, de faire.
Moi, qu'on ait une version abrégée, une
version vulgarisée pour M., Mme >Tout-le-monde qui n'a pas le temps ou
l'intérêt de lire la politique complète, ça me… tu sais, je veux bien. Mais là
j'ai l'impression qu'il y a un petit recul, ici, par rapport à la première
version de l'article, qui disait : Vous devez… En fait, il y a une avancée
sur un plan, celui de la concision, de la clarté, de la facilité, et un recul
sur un autre, celui de la transparence, où, avant, on demandait quand même la
totalité de la politique, tu sais.
Puis, pour s'assurer que les consentements
donnés soient valides, ça m'apparaît important que ça reste possible pour les
citoyens et citoyennes, quand ils contractent avec une entreprise, de connaître
exactement la politique puis peut-être… En fait, plutôt convaincu que ce n'est
pas tout le monde qui va lire la politique complète, mais ça, ce n'est pas
grave, si, au moins, c'est possible puis c'est une information qui est
accessible. Ce n'est pas la même chose que de choisir consciemment de ne pas
lire quelque chose qui est disponible plutôt que de ne pas y avoir accès. Ça
fait que moi, je pense que ces politiques-là devraient être connues. Puis
est-ce qu'on peut atteindre les deux objectifs en même temps? Je pense que ce
serait possible.
M.
Caire
:
Bien, je ne suis pas... on n'est pas tellement loin, M. le député de Gouin et
moi. Par contre, il faut aussi, je pense, tenir compte des commentaires que les
entreprises nous ont faits, en disant : Écoutez, c'est parce qu'on ne veut
pas... ce n'est pas qu'on ne veut pas divulguer notre politique, c'est qu'on ne
veut pas se ramasser à avoir une obligation légale de divulguer des informations
qui pourraient nuire à l'entreprise.
Puis je vous ramène à la discussion qu'on
vient d'avoir, je veux dire, les obligations d'une entreprise en matière de
protection des renseignements personnels vont demeurer les mêmes. Donc, il est
de l'intérêt d'une entreprise de bien informer le citoyen, je le pense, compte
tenu des conséquences puis compte tenu du fait que ce qu'ils peuvent faire avec
un renseignement personnel... Puis je nous rappelle le débat que nous avons eu
hier avec le député de La Pinière, là, sur le fait d'avoir des dossiers
médicaux électroniques qui collectaient de l'information à l'insu et des
médecins et des patients. C'est inacceptable. Et le fait qu'une politique le
dise ou ne le dise pas ne changera rien au fait que c'est inacceptable, que
nous ne l'acceptons pas, puis, comme législateurs, je pense qu'on a le devoir
d'empêcher ça.
Donc, la politique, elle vise
effectivement à informer le citoyen, mais elle n'a pas pour objectif de
dédouaner l'entreprise — publique, privée — de ses
obligations en regard de la loi. Donc, c'est pour ça qu'on a… Puis c'est pour
ça que, bon, on a <accepté...
M.
Caire
:
…à
informer le citoyen, mais elle n'a pas pour objectif de dédouaner
l'entreprise — publique, privée — de ses obligations en
regard de la loi. Donc, c'est pour ça qu'on a… Puis c'est pour ça que, bon, on
a >accepté de dire : O.K., c'est correct, on ne veut pas nuire aux
opérations d'une entreprise, ce n'est pas l'objectif. L'objectif, c'est qu'il y
ait une responsabilisation par rapport à l'utilisation de renseignements
personnels, dans toutes ses facettes, qu'il y ait… qu'on prenne ça au sérieux
puis qu'on n'ait plus l'impression que c'est quelque chose avec lequel ont peut
jouer comme bon nous semble. C'est ça, l'objectif.
M. Nadeau-Dubois : Mais
mettons un exemple, là, d'une politique... d'une disposition dans une politique
de confidentialité ou de gestion des renseignements personnels, qui serait
préjudiciable pour une entreprise, pour ses opérations… J'essaie vraiment de… parce
que j'essaie d'examiner l'argument vraiment pour ce qu'il est, là, puis voir de
quoi est-ce qu'on parle, comme préjudice. Parce qu'ici, juste… et, en
terminant, l'exercice, ici, c'est de regarder quel est en effet,
potentiellement, le préjudice pour l'entreprise, par rapport à l'intérêt du
citoyen, de la citoyenne, de transparence, puis, pour faire ce rapport-là,
bien, j'ai besoin de comprendre c'est quoi, le risque pour les entreprises.
M.
Caire
: Et,
avec le consentement, je… parce que Me Miville-Deschênes, comme vous le
voyez, brûle du désir de s'adresser à nous.
Le Président (M. Bachand) :
Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Je ne veux pas répondre à la question, malheureusement,
je voulais juste remettre en perspective que l'article qu'on étudie, 3.2, il
vise l'obligation d'avoir un cadre de gouvernance. Les politiques de
confidentialité sont prévues à… excusez-moi, 8.2. C'est-à-dire que, puis je
vais faire la distinction, là, lorsqu'une entreprise collecte des
renseignements, elle doit donner de l'information à la personne. Ça, c'est
prévu à l'article 8 : à quelle fin je les collecte, à qui je vais les
communiquer, le droit d'accès de rectification, est-ce que ça va être
communiqué hors Québec. Donc, il y a des obligations que tu es obligé de
fournir avant la collecte. Puis la politique de confidentialité contient ces
informations-là qui ont un objectif d'information du citoyen, sont prévues à
8.2. Puis, à 8.2, pour l'instant, on dit : La politique de confidentialité
doit être diffusée.
Le cadre de gouvernance, c'est différent
parce que le cadre de gouvernance, c'est de quelle façon, à l'intérieur de
l'entreprise, elle va assurer le respect des obligations de la loi, donc de
quelle façon qu'elle va s'assurer que... exemple, qui a accès au sein de
l'entreprise, qui va avoir accès aux renseignements, de quelle façon on va
communiquer pour assurer la sécurité, quelles sont les mesures de sécurité qui
vont s'appliquer, quel type de formation qu'on va faire. Ça fait que c'est
vraiment un encadrement interne à l'entreprise sur la façon que lui va
s'assurer de respecter les exigences puis de sensibiliser son personnel.
Ça fait que c'est dans ce contexte-là où
les entreprises ont soulevé le fait qu'il y a des parties de ces cadres de
gouvernance là en matière de sécurité, comment on gère les pourriels ou les
courriels qui pourraient être malveillants, qui pourraient créer des risques à
la sécurité. Ça fait que c'est deux choses distinctes, là.
M. Nadeau-Dubois : Donc,
c'est moins…
M. Miville-Deschênes
(Jean-Philippe) : C'est pour ça que je brûlais, là.
M. Nadeau-Dubois : C'est pour
ça que vous brûliez. Parce qu'en effet, là, on vient de déplacer le débat, là.
On n'est plus sur : ça va <nous…
M. Miville-Deschênes
(Jean-Philippe) :
…de
sécurité, comment on gère les
pourriels ou les courriels qui pourraient être malveillants, qui pourraient
créer des risques à la sécurité. Ça fait que c'est deux choses distinctes, là.
M. Nadeau-Dubois :
Donc, c'est moins…
M. Miville-Deschênes
(Jean-Philippe) :
C'est pour ça que je brûlais, là.
M. Nadeau-Dubois :
C'est pour ça que vous brûliez. Parce qu'en effet, là, on vient de déplacer le
débat, là. On n'est plus sur : ça va >nous… Ce n'est pas un
préjudice… en tout cas, ce que j'entends, c'est davantage une réponse sur le
plan de la sécurité que sur le plan de : ça va nous faire perdre un
avantage avec un concurrent, on va faire moins d'argent, là. Moi, ce que
j'entends, c'est plus…
• (12 h 10) •
M.
Caire
: …je
faisais référence non plus, par exemple.
M. Nadeau-Dubois : O.K.
Bien, en tout cas, parce que là, ce que j'entends…
M.
Caire
:
Bien, je l'ai mal… je comprends que je me suis mal exprimé, mais effectivement
c'était préjudiciable pour l'entreprise dans ses opérations.
M. Nadeau-Dubois : D'un
point de vue de sécurité.
M.
Caire
:
D'un point de vue de sécurité, tout à fait.
M. Nadeau-Dubois : O.K.
J'essaie de me rappeler de la commission parlementaire… Parce qu'on a reçu des
experts en sécurité. Est-ce que c'est des préoccupations qui ont été émises
également par les experts en sécurité qui sont venus nous voir en commission?
M.
Caire
:
Bien, moi, je n'étais pas à la commission parlementaire, comme vous le savez,
là — je me permets de souligner ma propre absence — mais
c'est, oui, dans les discussions que j'ai eues suite à la prise en charge de
cette responsabilité-là. C'est des discussions que j'ai eues avec différents
organismes qui représentent, oui, les chambres de commerce, mais qui ont des
intérêts en matière de… bien — des intérêts — qui oeuvrent
dans le domaine de la sécurité, ce qui explique qu'on fait écho à la demande.
M. Nadeau-Dubois : Je
relis le 3.2, là, puis je perçois peut-être un petit hiatus entre l'explication
qu'on me fait et ce que je lis, dans la mesure où on dit : «Celles-ci — en
parlant des politiques de gouvernance — doivent notamment prévoir
l'encadrement applicable à la conservation et à la destruction de ces
renseignements...» Ça, est-ce que ce n'est pas, par exemple… Puis je continue,
là : «…prévoir les rôles et les responsabilités des membres de son
personnel — bon, ça, c'est vraiment de la gouvernance, là — tout
au long du cycle de vie de ces renseignements et un processus de traitement des
plaintes…»
Il me semble que, quand on parle de
processus de traitement des plaintes, ça peut être intéressant... pas juste
intéressant, là, c'est pertinent pour les citoyens et citoyennes de savoir, si
jamais j'ai un problème avec l'entreprise : voici comment ma plainte va
être gérée. Quand on parle, là, d'encadrement applicable à la conservation puis
à la destruction des renseignements, c'est quand même une information
pertinente pour donner notre consentement.
M.
Caire
: Bien,
je rappelle quand même au collègue, là…
M. Nadeau-Dubois :
Peut-être qu'on pourrait le dire, que ces informations-là doivent être rendues
publiques, sauf si cela met en risque… Tu sais, peut-être qu'on pourrait
l'écrire que, si l'entreprise démontre qu'il y a un risque à la sécurité… Parce
que je comprends qu'il ne faut pas, par transparence, comme, pointer du doigt
les <brèches…
M. Nadeau-Dubois :
...sauf
si cela met en risque… Tu sais, peut-être qu'on pourrait
l'écrire que, si l'entreprise démontre qu'il y a un risque à la sécurité… Parce
que je comprends qu'il ne faut pas, par transparence, comme, pointer du doigt
les >brèches potentielles ou les failles. Ça, je l'entends. Il y a aussi
un droit des citoyens, citoyennes de savoir ce qui est fait avec leurs données personnelles,
notamment sur le plan du traitement des plaintes, par exemple, là. Ça, c'est quand
même pertinent pour le monde de savoir, s'il y a un problème, qu'est-ce qu'il
va arriver.
M.
Caire
:
Je ne suis pas sûr. Je souligne au collègue, là, que ce qu'on dit, c'est que «ces
politiques»... On remplace «Ces politiques sont» par «Des informations
détaillées au sujet de ces politiques et de ces pratiques sont, en termes
simples et clairs», bon, publiées sur le site Internet, ta, ta, ta. C'est parce
que ce que je vois dans la proposition du collègue... Puis j'entends sa
préoccupation, mais je pense que, dans le libellé, on vient implicitement,
aussi, dire : Écoutez, là, il faut que vous donniez quand même des détails
aux citoyens, puis on entend votre préoccupation de sécurité.
C'est parce que, si on va sur le chemin de
dire : L'entreprise doit démontrer qu'il y a un enjeu de sécurité, avant
de dire si, oui ou non, une politique est publiée ou non — on a
combien, quoi, 200 et quelques milles entreprises au Québec — je ne
vois pas comment la Commission d'accès à l'information pourrait répondre
adéquatement à une telle demande, en plus de ses autres charges, là, on
s'entend.
Donc, je pense que le libellé qu'on a là
indique l'intention du législateur de dire : Écoutez, là, il faut que vous
informiez les citoyens sur ce qui est pertinent, à savoir, avant d'interagir,
de donner un consentement, etc., qui va dans le sens de... En plus, vous devez
l'expliquer de façon très claire, vous devez le rendre public. On amène quand
même, là... par rapport à l'existant, on amène quand même un fardeau important,
mais justifié — entendons-nous, là, je ne suis pas en train de verser
des larmes, là — important mais justifié, à l'entreprise pour qu'elle
informe correctement le citoyen.
Mais, en même temps, réalistement, tu
sais, on ne veut pas... Puis je pense que le collègue de Gouin a bien exprimé
qu'il était d'accord avec le principe qu'une entreprise n'a pas à exposer ses
vulnérabilités ou, en tout cas, à exposer des processus qui pourraient être
nuisibles à ses opérations. Je pense qu'on s'entend là-dessus.
Ce n'est pas un équilibre qui est simple à
trouver, j'en conviens, mais entre... puis ne pas non plus surcharger la
Commission d'accès à l'information, qui se fera éventuellement taxer de ne pas
être assez rapide, puis l'entreprise va dire : Bien, écoutez, moi, je veux
bien la publier, ma politique, mais je suis en attente d'une décision de la
Commission d'accès à l'information avant de la publier. Puis, bien, là, on ne <peut
pas...
M.
Caire
:
...j'en
conviens, mais entre... puis ne pas non plus surcharger la
Commission d'accès à l'information, qui se fera éventuellement taxer de ne pas
être assez rapide, puis l'entreprise va dire : Bien, écoutez, moi, je veux
bien la publier, ma politique, mais je suis en attente d'une décision de la
Commission d'accès à l'information avant de la publier. Puis, bien, là, on ne
>peut pas demander à l'entreprise de ne pas continuer ses opérations, le
temps que la commission soit capable d'évaluer si ce qu'elle publie est correct,
ou non, ou... Comprenez-vous?
Je comprends votre préoccupation, M. le
député, je pense que je vous exprime aussi que je suis d'accord. Mais j'essaie
de voir comment on peut trouver un équilibre entre le bon fonctionnement de l'entreprise,
mais son obligation envers le citoyen.
M. Nadeau-Dubois : Bien,
si l'argument, c'est la sécurité, moi, je l'entends, cet argument-là, parce
qu'en effet ce serait complètement contre-productif, par vertu de transparence,
de rendre vulnérables des entreprises et, par extension, les renseignements
personnels que les entreprises détiennent. J'en suis. Mais, admettons, le processus
de traitement des plaintes, là, ce n'est pas de la sécurité, ça.
M.
Caire
:
Non. Je suis d'accord.
M. Nadeau-Dubois : Tu
sais, il y a-tu... on peut-tu faire... travailler l'article ou envoyer,
pardonnez mon langage familier qui va hérisser les poils des juristes... mais
envoyer des choses à l'article 8? Parce qu'il y a des trucs, à l'article 3.2,
ça, c'est les trucs qu'on ne veut peut-être pas qu'ils soient 100 %
transparents, et il y a des trucs à l'article 8 qui, là, sont des choses
qu'on affirme dans la loi, que les gens doivent connaître. Et moi, j'ai, sous
les yeux, l'article 3.2 et je vois «processus de traitement des plaintes»,
je me dis : Me semble que ça, ce n'est pas dans la catégorie des choses
qui mettent en péril la sécurité des entreprises.
M.
Caire
:
Non. Je suis d'accord.
M. Nadeau-Dubois : Et ça
m'apparaît plutôt être dans la catégorie des informations pertinentes pour
exprimer un consentement éclairé, c'est-à-dire : Si jamais j'ai un
problème, ça va être quoi, mes recours au sein de l'entreprise. Après ça, il y
a des recours à la commission, là, mais je me demande... Puis je comprends
bien, là, que le principe de 3.2, c'était de dire : Les éléments de gouvernance,
on les met là puis on met les autres éléments à 8. Mais il faut trouver l'équilibre
entre la transparence puis la sécurité.
Puis moi, ce qui me saute aux yeux, là, c'est
que le processus de traitement des plaintes, ça, c'est... je ne vois pas en
quoi on affaiblit la sécurité d'une entreprise. L'entreprise dit : Si jamais
vous avez un problème, voici quel sera le processus, puis là les entreprises,
selon leur taille, auront soit des processus très timides soit des processus
plus structurés, structurants. Il y a même des entreprises qui pourraient avoir
des politiques de compensation, là, tu sais, financières. Je veux dire, je ne
sais pas, les entreprises se gouverneront comme elles veulent. Mais il me
semble que ça, ça fait plus partie de ce que les gens doivent savoir, que ce que...
ce qui représente des risques pour la sécurité.
M.
Caire
: Bien,
oui, je ne suis pas en désaccord avec le collègue sur le fait qu'un processus
de traitement de plaintes n'est pas quelque chose qui met en péril les... et
qu'il <m'apparaît que...
M. Nadeau-Dubois :
...plus partie de ce que les gens doivent savoir, que ce que... ce qui
représente des risques pour la sécurité.
M.
Caire
:
Bien, oui, je ne suis pas en désaccord avec le collègue sur le fait qu'un
processus de traitement de plaintes n'est pas quelque chose qui met en péril
les... et qu'il >m'apparaît que les informations détaillées devraient effectivement
inclure un processus de traitement de plaintes.
Par contre, le traitement du cycle de vie
de la donnée, ça, ça m'apparaît être effectivement... il y a un potentiel là
qui est plus... il y a peut-être un potentiel là de vulnérabilité sur la façon
de traiter. Ça, ça veut dire : Est-ce qu'on donne des informations sur les
systèmes?, ce qui n'est pas souhaitable. Aussi, les mesures proportionnées à la
valeur de la donnée, ça non plus, je pense qu'il ne faudrait pas aller dans un
détail, qu'est-ce qu'on a mis comme mesure de protection pour qu'on soit
proportionnels à la donnée, c'est quoi, nos politiques en cette matière. Ça
aussi, je pense qu'on peut avoir une marge de discrétion.
Sur le traitement des plaintes, je suis
d'accord avec le collègue. Ceci étant dit, est-ce que le fait qu'on parle des informations
détaillées, dans l'amendement... «au sujet de ces politiques et de ces
pratiques sont, en termes simples et clairs», est-ce qu'il tombe sous le sens
que les politiques de traitement des plaintes devraient être publiées? C'est
parce que moi, je...
M. Nadeau-Dubois : Tu
sais, moi, dans le fond, là... C'est qu'il faut faire aussi, je pense... il
faut rédiger l'article en étant conscients que, oui, la grande majorité des entreprises
vont être de bonne foi, mais qu'il faut prévoir le coup d'entreprises qui diraient :
Ah! information claire et détaillée, on va dire ce qu'on veut dire, puis il y a
des trucs, peut-être, qu'on... Peut-être que ça va être moins clair et moins détaillé
sur d'autres affaires, tu sais, c'est-à-dire, des entreprises qui pourraient,
pour rassurer les consommateurs, dorer la pilule puis présenter les
informations qui sont avantageuses puis qui ne sont peut-être pas fidèles à ce
qu'il se passe. Et donc, tu sais, comment on s'assure que ça soit juste assez
contraignant pour qu'au moins sur les éléments où il n'y a clairement pas de
risque de sécurité, bien, on ait une transparence maximale, tu sais. Parce que
je comprends que l'argument que je fais, il est comme invalidé par la question
de la sécurité sur plusieurs affaires, mais sur...
• (12 h 20) •
M.
Caire
:
Pour ne pas invalider.
M. Nadeau-Dubois : En
tout cas, il est affaibli par l'argument de la sécurité.
M.
Caire
:
Nuancé, nuancé.
M. Nadeau-Dubois : Mais, sur
d'autres éléments, là, il me semble qu'on peut se dire : Vu qu'il n'y a
pas d'enjeu de sécurité, on ne prend pas de chance, transparence maximale.
M.
Caire
:
Mais, en même temps, je vous soumets respectueusement qu'au fond c'est dans
l'intérêt de l'entreprise. Puis, ça, pour moi, c'est garant de bien des choses.
C'est dans l'intérêt de l'entreprise, sur les informations qui ne sont pas
hypothécables pour ses opérations, de les rendre publiques. Parce que la
vérité, et vous le savez comme moi, M. le député, là, le responsable de la
protection des renseignements personnels étant affiché publiquement ainsi que
ses coordonnées, si on a... cette économie de clarté qu'on a dans nos
politiques de gouvernance va nous <faire...
M.
Caire
: …et
vous le savez comme moi, M. le député, là, le responsable de la
protection des renseignements personnels étant affiché publiquement ainsi que
ses coordonnées, si on a... cette économie de clarté qu'on a dans nos
politiques de gouvernance va nous >faire dépenser du temps en
interaction avec… en tout cas, à mon avis, là, puis je ne vous dis pas que c'est
l'argument massue, là, mais notamment sur le processus des plaintes.
Moi, je veux dire, je suis insatisfait, tu
me donnes le nom et les coordonnées de ton responsable de la protection des renseignements
personnels puis je ne sais pas trop… je veux me plaindre, mais je ne sais pas
trop comment. Bien, je l'appelle puis je dis : Là, je veux me plaindre. Ça
fait que, tu sais, ce n'est pas dans l'intérêt de l'entreprise, parce qu'au
fond ce qu'ils gagnent à ne pas écrire les choses, ils vont le perdre en
téléphones, échanges de courriels, explications, et autres.
Ce qui ne veut pas dire, ceci étant, que
le fait de le rendre public et de le diffuser va empêcher le responsable en
question d'avoir des clarifications ou des questions, mais ça va peut-être
diminuer sa charge de travail. Puis un document sur internet, ça coûte moins
cher qu'un employé salarié. Donc, si je me mets du point de vue de l'entreprise
privée, je pense que mon intérêt est de fournir, si elles ne sont pas
préjudiciables à mes opérations, bien évidemment... c'est de fournir le plus
d'informations possible aux citoyens. Parce que tout ça va se traduire en
questions à quelqu'un que je paie à l'heure ou à la semaine puis qui ne fait
pas d'autre chose pendant ce temps-là.
Parce qu'il faut comprendre que, pour
beaucoup d'entreprises, le responsable de la protection des renseignements
personnels ne sera potentiellement pas quelqu'un qui va faire ça à temps plein.
C'est probablement une charge qui va être déléguée à quelqu'un qui va avoir
toutes autres tâches connexes, et donc, pendant qu'il fait ça, bien, il ne fait
pas les toutes autres tâches connexes. Donc, moi, je pense qu'on a un intérêt,
sauf dans les grandes entreprises qui auront peut-être suffisamment de volume
pour justifier des gens à temps plein. Mais, dans des plus petites entreprises,
j'ai le sentiment que cette publication-là, de toute façon, va être de nature à
servir les intérêts de l'entreprise et donc aura un intérêt à avoir plus de
détails que moins de détails.
Puis, en fait, je crois tellement à ce que
je vous dis là que ça motive le fait qu'on veut que ce soient des termes
simples et clairs, justement, parce que la crainte, à mon avis, est beaucoup
plus qu'on aille dans beaucoup trop de détails que pas assez de détails.
Le Président (M. Bachand) :
M. le député de Gouin.
M. Nadeau-Dubois : Oui.
En même temps, c'est qu'il y a un aspect préventif, là, au fait de divulguer
certaines informations pour bien informer le consentement, là. Ça fait que, tu
sais, il y a l'intérêt de l'entreprise à, oui, comme, être exemplaire, pour des
raisons qui sont très élémentaires…
M.
Caire
:
Pécuniaires.
M. Nadeau-Dubois : …et
pécuniaires. Mais il y a aussi la vertu préventive d'être le plus transparent
possible, d'entrée de jeu, pour que le consommateur fasse un choix qui est
éclairé, là. Puis ça, c'est toujours ça qui est une des conditions du
consentement, que… Peut-être suspendre quelques instants. Je vais proposer un
amendement au ministre pour peut-être faire la part des <choses.
M.
Caire
:
O.K…
M. Nadeau-Dubois : ...élémentaires…
M.
Caire
:
Pécuniaires.
M. Nadeau-Dubois : …et
pécuniaires. Mais il y a aussi la vertu préventive d'être le plus transparent
possible, d'entrée de jeu, pour que le consommateur fasse un choix qui est
éclairé, là. Puis ça, c'est
toujours ça qui est une des conditions du
consentement, que…
Peut-être suspendre quelques instants. Je vais
proposer un amendement au ministre pour
peut-être faire la part des >choses.
Le Président (M. Bachand) :
Consentement pour suspendre?
Alors, on suspend quelques instants.
Merci.
(Suspension de la séance à 12 h 24)
12 h 30 (version révisée)
(Reprise à 12 h 57)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
:
Merci, M. le Président. Donc, suite aux discussions qu'on a eues, le député de
Gouin et moi, je demande le consentement pour retirer l'amendement que j'ai
déposé à 3.2.
Le Président (M.
Bachand) :Est-ce qu'il y a consentement?
Des voix
:
Consentement.
Le Président (M.
Bachand) : Consentement. Merci beaucoup. Et, pour la suite des
choses, M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Donc, je vais déposer un amendement à l'article 95, donc :
Dans le deuxième alinéa de l'article 3.2 de la Loi sur la protection des
renseignements personnels dans le secteur privé, proposé par l'article 95
du projet de loi, remplacer «Ces politiques sont» par «Des informations
détaillées au sujet de ces politiques et de ces pratiques, notamment en ce qui
concerne le contenu exigé au premier alinéa, sont, en termes simples et clairs,».
Fin de la citation et de l'amendement.
La réflexion a évolué quelque peu, M. le
Président, au gré des discussions avec le ministre et son équipe. Dans le fond,
ce que je propose ici, c'est qu'on s'assure que les informations détaillées en question
vont couvrir l'ensemble des éléments qui sont mentionnés au premier alinéa de
l'article 3.2, pour ne pas qu'on n'échappe aucun élément du côté des entreprises
quand on publie ces informations-là détaillées.
J'ai toujours les mêmes préoccupations en ce
qui a trait à la communication la plus transparente possible des éléments du processus
de plainte pour obtenir un consentement éclairé, mais on traitera de cette question-là
un peu plus loin, quand on travaillera sur l'article 8, qui est introduit
par l'article 99. Donc, on va y aller comme ça. Comme ça, je pense qu'on
va mieux respecter la structure interne, ce qui est toujours important. Voilà.
Le Président (M.
Bachand) :Interventions sur l'amendement du
député de Gouin? S'il n'y a pas d'intervention, nous allons procéder à sa mise
aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. Donc, on
revient rapidement...
Ah! bien, vous savez quoi? Compte tenu de
l'heure, je suspends les travaux jusqu'à 14 h 30. Merci. Bon lunch.
(Suspension de la séance à 12 h 59)
14 h 30 (version révisée)
(Reprise à 14 h 36)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La Commission des institutions
reprend ses travaux. Nous poursuivons l'étude détaillée du projet de loi n° 64, Loi modernisant des dispositions
législatives en matière de protection des renseignements personnels.
Lors de la suspension de nos travaux cet avant-midi,
nous étions rendus à l'étude de l'article 95 amendé. Interventions? M. le
ministre.
M.
Caire
:
...d'amender, à l'article 95, le <3.2...
Le Président (M.
Bachand) :...
Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels.
Lors de la
suspension de nos
travaux cet
avant-midi, nous étions rendus à l'étude de
l'article 95 amendé. Interventions? M. le ministre.
M.
Caire
:
...d'amender, à l'article 95, le >3.2. Et on était à l'étape de
savoir s'il y avait des commentaires, corrigez-moi si je me trompe, de la part
de mes collègues des oppositions suite à l'amendement qu'on avait déposé, bien,
que le député de Gouin a déposé et que nous avions adopté.
Une voix
: ...
M.
Caire
:
Oui. Donc, on serait sur 3.2 tel qu'amendé.
Le Président (M. Bachand) :Est-ce qu'il y a des interventions? Sinon, on peut continuer.
M. le député de Gouin.
M. Nadeau-Dubois : Juste
me laisser le temps... Oui, c'est ça, lui, il est comme : Il n'y en a pas.
Juste me laisser le temps de me réorganiser.
Non, je pense qu'on avait fait le tour, en
effet.
Le Président (M. Bachand) :
Parfait. Donc, M. le ministre, peut-être poursuivre dans l'étude de la
section...
M.
Caire
:
Bien, si les collègues sont à l'aise, moi, je serais à l'étape de l'amendement
à l'article 3.3, M. le Président.
Le Président (M. Bachand) :
Merci. M. le ministre, s'il vous plaît.
M.
Caire
: D'accord.
Alors, il se lit comme suit : À l'article 3.3 de la Loi sur la
protection des renseignements personnels dans le secteur privé, proposé par
l'article 95 du projet de loi :
1° insérer, dans le
premier alinéa et après «tout projet», «d'acquisition, de développement
[...] de refonte»;
2° ajouter, à la fin, l'alinéa
suivant :
«La réalisation d'une évaluation des
facteurs relatifs à la vie privée en application de la présente loi doit être
proportionnée à la sensibilité des renseignements concernés, à la finalité de
leur utilisation, à leur quantité, à leur répartition et à leur support.»
Donc là, on est vraiment dans le miroir de
ce qu'on a fait au niveau du public. Parce qu'on se souvient, on avait dit
qu'une évaluation relative aux facteurs de la vie privée pour tout projet
informatique, ça devenait exagéré. On l'a accordé au public, cet
aménagement-là, donc on fait la même chose pour le privé.
Et ce qu'on avait dit aussi, ce que je
préconise, en fait, M. le Président, c'est que, cette évaluation-là, il faut
qu'elle soit proportionnée. Je prenais l'exemple de la personne qui va avoir
des contrats de déneigement et qui va avoir un nombre très, très, très limité,
un, de clients et donc, conséquemment, de renseignements personnels à qui on
demanderait de faire une évaluation des facteurs relatifs à la vie privée
exhaustive. Comme si, par exemple, Desjardins allait d'une refonte complète de
son système AccèsD, bien, on comprend que ça ne peut pas... Tu sais, ce n'est
pas les mêmes impacts, ce n'est pas les mêmes enjeux, ça ne peut pas être
traité de la même façon. Donc, M. le Président, c'est dans la même optique que
nous faisons au privé ce que nous avons fait au public.
Le Président (M. Bachand) :
Merci beaucoup. Interventions sur l'amendement? S'il n'y a pas... M. le député
de Gouin.
M. Nadeau-Dubois : Je
voulais juste prendre le temps de lire convenablement. Donc, le ministre dit :
C'est grosso modo un équivalent de ce qu'on a fait au public.
M.
Caire
: ...ce
n'est pas l'équivalent, M. le <député...
M.
Caire
:
...au
public.
Le Président (M.
Bachand) :
Merci beaucoup. Interventions sur
l'amendement? S'il n'y a pas... M. le député de Gouin.
M. Nadeau-Dubois : Je
voulais juste prendre le temps de lire convenablement. Donc, le ministre dit :
C'est grosso modo un équivalent de ce qu'on a fait au public.
M.
Caire
:
...ce n'est pas l'équivalent, M. le >député, c'est vraiment miroir de ce
qu'on a fait au public.
M. Nadeau-Dubois : Donc, encore
une fois, bon, on a eu le débat à l'époque, là, c'est sur la distinction entre
les projets qui sont déjà là, on ne veut pas forcer à tout refaire, et les
nouveaux projets.
• (14 h 40) •
M.
Caire
:
Puis c'est un commentaire qu'on a entendu et du public et du privé, là, que,
dans sa forme initiale, on avait peut-être une exigence exagérée, il fallait vraiment
mieux le cibler à quel moment. Parce que l'idée n'est pas de dire : Ne
faites pas d'évaluation des facteurs relatifs à la vie privée, mais l'idée est
de le dire : Faites-le lorsque ce que vous faites a un impact, c'est-à-dire
lorsqu'il y a une modification qui le justifie, d'une part. Et, d'autre part,
cette évaluation-là doit être proportionnelle à ce que vous avez comme renseignements
personnels, là.
Le Président (M. Bachand) :M. le député de Gouin, ça va?
M. Nadeau-Dubois : Non,
c'est bon, merci, M. le Président.
Le Président (M. Bachand) :Est-ce qu'il y a d'autres interventions sur l'amendement? S'il
n'y a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est adopté. Merci. Donc, on revient sur 3.3, la
sous-section, avec l'amendement qu'on vient d'adopter. M. le député de Gouin,
s'il vous plaît.
M. Nadeau-Dubois : À la
fin, on parle de format technologique structuré et couramment utilisé.
Qu'est-ce que ça veut dire?
M.
Caire
:
Bien, c'est...
M. Nadeau-Dubois : Non,
mais c'est-tu un vocabulaire habituel? Tu sais...
M.
Caire
:
Non, j'allais faire une blague en disant : C'est pour éliminer les fax, mais
non, en fait, c'est... Excusez-moi, la tentation était beaucoup trop forte.
Bien, c'est de s'assurer que, quand on communique des renseignements, on le
fait d'une façon où ça peut être utilisé par le citoyen, donc d'y aller... Justement,
on parle de courriel, on va parler de PDF, on va parler de ces formats-là que
tout le monde utilise et qui sont facilement accessibles.
Le Président (M. Bachand) :
...continuer comme ça, on peut aller à une autre sous-section aussi, mais,
comme je vous dis, l'article 95 est ouvert, on essaie juste d'y aller
d'une façon progressive et organisée. Donc, est-ce qu'on irait à 3.4...
interventions? M. le député de Gouin, oui, s'il vous plaît.
M. Nadeau-Dubois : À 3.4,
dans le fond, j'essaie de comprendre, on fait... on formule une obligation pour
le responsable de la protection des renseignements personnels à toute étape
d'un projet visé à <3.3...
M. Nadeau-Dubois : ...à
3.4, dans le fond, j'essaie de comprendre, on fait... on formule une
obligation pour le responsable de la protection des renseignements personnels à
toute étape d'un projet visé à >3.3. 3.3, maintenant, s'applique seulement
pour les nouveaux projets. Comment est-ce que les deux articles s'articulent
les uns avec les autres? Parce que là on vient d'amender. Dans le dernier
alinéa de 3.3, si j'ai bien... non, dans le premier, si j'ai bien compris, on a
changé «tout projet» par «tout nouveau projet».
M.
Caire
:
C'est les projets...
M. Nadeau-Dubois : Là, à
3.4, on parle : «à toute étape d'un projet». Donc, est-ce que c'est
seulement les nouveaux ou c'est tous les projets?
M.
Caire
:
Bien, en fait, c'est les projets tels que l'article... L'article étant amendé,
on va parler de quand on fait une acquisition, un développement ou une refonte.
Parce que l'idée, c'est de dire qu'en complément aux facteurs relatifs à la vie
privée, donc, vous pouvez aussi... donc, c'est en addition. Le responsable
pourrait aussi dire : Bon, bien, nommez quelqu'un qui est chargé de la protection
des renseignements personnels.
Donc, l'idée, c'est d'avoir des mesures de
protection des renseignements personnels lorsqu'un projet de système d'information
amène cette nécessité-là. Et la discussion qu'on a eue est à l'effet que ce qui
va nécessiter des mesures de protection, c'est des projets qui amènent un
changement dans la nature dont on va les utiliser, les structurer, etc. C'est
pour ça qu'on limite les évaluations des facteurs relatifs à la vie privée, et,
la prérogative de 3.4, on la limite aux projets d'acquisition, de développement
ou de refonte. Parce que, si je fais une mise à jour d'un système, je passe de
la version 2.0 à 2.1, bien... puis je suis convaincu que le député de Gouin
comprend ce que je veux dire, bien, c'est sûr que là je n'ai pas besoin de
faire une évaluation des facteurs à la vie privée.
Je vous donne un exemple. On a un produit
pour lequel une vulnérabilité a été trouvée, je vais installer une rustine,
qu'on appelle, en bon français, une patch, bien, tu sais, je ne ferai pas une
évaluation des facteurs relatifs à la vie privée. J'ai une application, il y a
une version 3. J'étais à la version 2, je suis à la version 3, donc
on comprend que c'est une version qui est plus performante, qui amène
différentes fonctionnalités supplémentaires, mais, sur le fond, c'est le même
système que j'utilise. Par exemple, au gouvernement du Québec et dans le
déploiement du système SAGIR, il y a différents modules, donc chaque module
amène, lui, par contre, une utilisation particulière. Donc là, on va faire une
évaluation des facteurs à la vie privée, mais, si je prends un système pour
lequel je fais une mise à <jour...
M.
Caire
: ...
Québec
et dans le déploiement du système SAGIR, il y a différents modules, donc
chaque module amène, lui, par contre, une utilisation particulière. Donc là, on
va faire une évaluation des facteurs à la vie privée, mais, si je prends un
système pour lequel je fais une mise à >jour, bien là, c'est le même
système, donc je n'ai pas besoin de mesurer est-ce que... mon système, est-ce
qu'il a un impact sur les facteurs relatifs à la vie privée. Bien non, je n'ai
pas changé le système, c'est le même système.
Donc, c'est un peu la même chose pour les
mesures de protection, dans le sens où je ne vais pas nommer un responsable
chargé de la mise en oeuvre de la protection des renseignements personnels,
parce que je vais dans une version plus évoluée d'un même produit. C'est un
petit peu ça, le principe. Bien, en fait, ce n'est pas un petit peu ça, c'est
ça, le principe.
Le Président (M. Bachand) :
Alors, on continue sur 3.4. M. le député de La Pinière, s'il vous plaît.
M. Barrette : ...
Le Président (M. Bachand) :
Oui, mais on peut changer, là, oui, 3.4, oui.
M. Barrette : On peut
changer, là? Écoutez, c'est une question... c'est une intervention plutôt
qu'une question qui est très, très simple. Pourquoi, à 3.4, on parle... on dit
«peut»? À 3.4, le quatrième paragraphe, là, pourquoi ce n'est pas «doit»?
M.
Caire
:
Pour...
M. Barrette : Pour la
formation?
M.
Caire
:
Oui, bien, parce qu'il faut laisser la possibilité que ce n'est pas nécessaire.
M. Barrette : Ça, je
comprends, mais on pourrait...
M.
Caire
:
Alors, si on met «doit», bien là, il n'y a plus cette notion-là pour... le
responsable de la protection des renseignements personnels n'a plus cette
latitude-là de décider : Est-ce que c'est nécessaire? Est-ce que le
contexte le justifie?
M. Barrette : Je
comprends... J'essaie de concilier les expériences récentes qu'on a vécues,
déplorables, et je ne parle pas des activités du ministre mais bien de ce que
l'on connaît. Là, je vais arrêter de les nommer, parce qu'il paraît que, quand
je les nomme, ça les vexe, ça leur fait de la peine, alors je ne nommerai
personne, alors, mais on a vécu des situations déplorables qui ont été rendues
publiques.
M.
Caire
: Comme
quoi?
M. Barrette : Hein?
M.
Caire
: Comme
quoi?
M. Barrette : Vous savez,
quand je viens, j'amène toujours de l'humour avec moi. Alors, je ne les
nommerai pas, mais je vois que le ministre sait de quoi je parle. Et il a quand
même été, sinon parfaitement, clairement établi... il a quand même très... pas
mal assez clairement établi qu'il y avait un problème de mise à jour. Alors, il
y a deux mises à jour qu'on peut avoir, évidemment, en termes de protection,
une mise à jour technologique et une mise à jour soit de formation ou soit de
gestion, là, qui est un peu la...
M.
Caire
:
D'habilité, tout à fait.
M. Barrette : Ce sont des
cousins, là, parce qu'on est dans les ressources humaines. Là, d'abord, ça
m'amène donc à deux questions. À 3.4, quatrième paragraphe, un, pourquoi ce
n'est pas «doit»? Je comprends l'argument du ministre, puis il est correct,
l'argument du ministre, mais peut-être qu'on pourrait essayer de le formuler du
genre «doit, lorsqu'il y a un changement significatif». Et, quand on dit
«formation sur la protection des renseignements personnels <pour...
M. Barrette : ...à
3.4,
quatrième paragraphe, un, pourquoi ce n'est pas «doit»? Je comprends
l'argument
du ministre, puis il est correct, l'argument du ministre, mais peut-être qu'on
pourrait essayer de le formuler du genre «doit, lorsqu'il y a un changement
significatif». Et, quand on dit «formation sur la protection des renseignements
personnels >pour les participants au projet», on parle de théorie, là,
ou on parle de pratique technologique?
M.
Caire
:
Bien, en fait, on parle de connaissance des obligations qui sont faites. On va
parler, effectivement, disons, dans un contexte où il y a une évaluation des
facteurs relatifs à la vie privée... bien, pas «si», là, mais nous sommes dans
un contexte où une évaluation des facteurs relatifs à la vie privée a été
faite. Elle amène des conclusions, ces conclusions-là devraient être
communiquées aux gens qui vont travailler sur le projet, évidemment. Donc, ça
fait partie des formations qui pourraient être requises.
Évidemment, on n'est pas... ici, compte
tenu du fait qu'on parle d'un développement de projet, on n'est pas sur
l'utilisation, parce qu'on développe le projet ou on le déploie, donc on n'est
pas dans le contexte d'utilisateur, on est dans le contexte d'un développement
d'une acquisition ou d'une refonte.
M. Barrette : Donc, on est
plus dans la théorie. Je pense que le ministre comprend où je veux aller, là.
M.
Caire
:
Oui, oui, oui, absolument.
M. Barrette : Ce n'est peut-être
pas à la bonne place, mais je ne l'ai pas vu encore, puis peut-être qu'il y a
des raisons évidentes pour lesquelles je ne l'ai peut-être pas vu, là, si c'est
en quelque part, mais l'obligation de formation, si on ne la retrouve pas là,
on va la retrouver où, dans le privé, dans l'espace... dans le projet de loi?
Parce qu'on s'entend, là...
M.
Caire
:
En fait, à ma connaissance... Puis je vous le dis, là, en ouvrant une porte,
là, d'abord parce que vous prêchez à un converti...
M. Barrette : Oui, je le
sais.
M.
Caire
: ...celui
qui vous parle a demandé à l'Académie de transformation numérique de produire
des formations et suit pas à pas l'avancement des ces formations-là au niveau
de nos employés. Parce que nous savons que, nonobstant les événements récents,
le vol de données par une introduction technologique, par un hackeur, c'est une
minorité par rapport à ce qu'il se fait. La majorité, les pirates informatiques
vont attaquer les individus, vont berner les individus, parce que c'est...
• (14 h 50) •
M. Barrette : D'où
l'importance de la formation.
M.
Caire
: D'où
effectivement le besoin de formation, ce que le gouvernement du Québec fait
présentement. Maintenant, Me Miville-Deschênes me corrigera, fidèle à son
habitude, si je me trompe, mais il n'y a pas... ce type d'obligation là n'est
pas prévu à la loi.
M. Barrette : Bien, ça
m'apparaît...
M.
Caire
:
Oh! oh! oh! Aïe! Je vais peut-être me faire corriger.
M. Barrette : Oui, bien,
alors, justement, c'est tellement un moment de grâce qu'on va le laisser
parler.
M.
Caire
:
Absolument. De toute façon, ça lui démangeait d'intervenir.
Le Président (M. Bachand) :
Me Miville-Deschênes, s'il vous plaît.
M.
Caire
:
Je pense qu'il commence à aimer ça.
M. Barrette : Prenez
votre temps, Me Miville-Deschênes, <puis...
M.
Caire
:
…ce
type d'obligation là n'est pas prévu à la loi.
M. Barrette : Bien, ça
m'apparaît...
M.
Caire
:
Oh! oh! oh! Aïe! Je vais peut-être me faire corriger.
M. Barrette : Oui,
bien, alors, justement, c'est tellement un moment de grâce qu'on va le laisser
parler.
M.
Caire
:
Absolument. De toute façon, ça lui démangeait d'intervenir.
Le Président (M.
Bachand) :
Me Miville-Deschênes, s'il vous plaît.
M.
Caire
:
Je pense qu'il commence à aimer ça.
M. Barrette : Prenez
votre temps, Me Miville-Deschênes, >puis appuyez fort.
M.
Caire
:
On vous écoute.
M. Miville-Deschênes
(Jean-Philippe) : Non, mais, dans le secteur public, il y a des
obligations. Il y a une obligation, actuellement, dans le règlement sur la
diffusion, une obligation... le sous-ministre ou le dirigeant d'un organisme
public doit veiller à la sensibilisation et à la formation des membres du
personnel...
Une voix : ...
M. Miville-Deschênes
(Jean-Philippe) : Non, excusez, c'est au public. O.K., parce que le
privé, il n'y en a pas, effectivement.
M. Barrette : Les événements
qu'on a vus étaient...
M.
Caire
:
Me permettez-vous de le taquiner, M. le député de La Pinière?
M. Barrette : Mais bien
sûr.
M.
Caire
: Parce
que vous manquez une belle game, là, on parlait des articles sur le privé.
M. Miville-Deschênes
(Jean-Philippe) : Non, je sais, mais je n'étais pas sûr si...
M. Barrette : D'ailleurs,
d'ailleurs, je me rappelle l'avoir dit.
M.
Caire
:
Puis, si jamais vous voulez en rajouter un peu, M. le député de La Pinière,
là, gênez-vous pas.
M. Barrette : Bien, oui,
je vais en rajouter. Me Miville-Deschênes, vous êtes un des rédacteurs de
la loi, comment ça que nous n'avez pas pensé à ça?
Une voix
: ...
M. Barrette : Point
d'ordre. Blague à part, on ne devrait pas avoir ça?
M.
Caire
: ...ce
n'est pas prévu d'avoir des obligations de formation sur ce qu'on pourra
appeler la cyberhygiène, là, qui est le nouveau...
M. Barrette : Oh! nouveau
mot.
M.
Caire
:
Oui, absolument. On essaie d'être créatif, mais parce que...
M. Barrette : Après, il y
a le cybersanitaire.
M.
Caire
:
Puis je vous dirais que c'est un peu... Parce qu'effectivement on le fait au
public, puis je pense que c'est correct qu'on se l'impose à nous-mêmes, de
l'imposer à l'entreprise privée...
M. Barrette : Je vais
rappeler des souvenirs au ministre, M. le Président. Dans le projet de loi
n° 14, qui était l'initial, c'était ça, oui, je me rappelle avoir fait une
intervention en disant que même... Je me rappelle exactement ce que j'ai dit,
et ce que j'avais dit, c'est : Quand je suis cet environnement-là aux
États-Unis... J'avais raconté que j'avais assisté à une conférence virtuelle où
des grandes entreprises souhaitaient que le gouvernement mette en place des
règles parce qu'eux autres mêmes constataient que... Eux autres, d'abord, les
grandes entreprises pas simplement de TI, les grandes entreprises, c'est ce que
j'avais raconté, disaient : Nous, là, dans le monde économique, là, notre
ennemi numéro un, c'est le vol de données, parce que c'est la perte de confiance
du public plus, surtout aux États-Unis, les poursuites, les coûts, et ainsi de
suite.
Et eux autres avaient dit au gouvernement
américain, dans ce colloque-là : Écoutez, légiférez, parce que nous qui
faisons bien les choses, on est pénalisés vis-à-vis ceux qui sont les mauvais
élèves, qui se font hacker, et là ça donne une mauvaise réputation, puis tout
le monde perd là-dedans. L'entreprise, elle-même disait au gouvernement :
Légiférez, mettez les règles pour nous forcer à être bons. Alors, c'est dans
cet esprit-là, moi, que j'avais dit ça à l'époque, puis je le redis encore
aujourd'hui. J'ai de la misère à concevoir pourquoi on est frileux. Là, ce que
je constate, c'est qu'on a des... ce que je souhaite au public, puis on ne le
met pas au privé. Bien, pourquoi on ne le met pas au privé?
M.
Caire
: ...va
me faire plaisir, parce que...
Le Président (M. Bachand) :
M. le <ministre...
M. Barrette : ...
cet esprit-là, moi, que j'avais dit ça à l'époque, puis je le redis encore
aujourd'hui. J'ai de la misère à concevoir pourquoi on est frileux. Là, ce que
je constate, c'est qu'on a des... ce que je souhaite au public, puis on ne le
met pas au privé. Bien, pourquoi on ne le met pas au privé?
M.
Caire
:
...va me faire plaisir, parce que...
Le Président (M.
Bachand) :
M. le >ministre, parce qu'il y a un
vote au salon bleu, alors donc on va libérer notre ami le député de Gouin.
Alors, on suspend quelques instants.
Merci.
(Suspension de la séance à 14 h 54)
15 h (version révisée)
(Reprise à 15 heures)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux.
Alors, on était sur 95, toujours. Alors, M.
le député de La Pinière.
M. Barrette : Oui. Alors,
M. le Président, avant qu'on quitte, je disais au ministre que la situation qui
est proposée, je la comprends, là. Je comprends très bien ce que le ministre
veut faire. Et je trouvais qu'il y avait un débat de faisable parce que, dans
ce qui est proposé actuellement, on a régime qui est un peu... pas deux poids,
deux mesures, ce n'est pas le bon mot, mais on a un régime qui est différent
entre le public et le privé. Or, je comprends que le public, là, c'est important,
puis c'est important, mais c'est tout aussi important du côté du privé. Puis on
met en place des règles, actuellement, au public qui sont plus fortes qu'au
privé. Et moi, c'est le débat que je fais : Pourquoi au privé, on leur leur
met des règles moins strictes, moins contraignantes qu'on le fait pour le
public? En passant, M. le Président, bon, pour ceux qui nous écoutent, ce n'est
quand même pas pire, là, c'est rassurant. Là ils apprennent, ils ont la
certitude qu'on est plus sévères au public qu'au privé. Bonne nouvelle. Mais pourquoi
pas au privé?
M.
Caire
:
Bien, en fait, ce que j'expliquais au député de La Pinière, c'est qu'au
public c'est notre entreprise. Donc, on s'impose des règles de prévention. On
laisse une flexibilité à l'entreprise privée de faire ses choix. Mais, comme
j'expliquais aussi, si l'entreprise privée a plus de latitudes sur ses choix,
elle n'en a pas plus sur les obligations et n'en a pas plus sur les
conséquences de ne pas avoir fait face à ses obligations. Donc, ce que l'on
souhaite faire, c'est, oui, donner une certaine souplesse, bien que, moi, je
crois beaucoup, comme le député de La Pinière, à la formation, j'y crois.
J'y crois tellement, comme je l'ai dit, qu'on se l'impose à nous-mêmes et on
est dans ce processus-là. Je crois que le gouvernement doit toujours avoir en
tête : Est-ce que je suis en... Bien, je veux dire, moi, je ne veux pas
gérer l'entreprise privée à la place de l'entreprise privée. Par contre, les obligations,
ça, nous sommes intraitables. Il y a des obligations sur la protection des renseignements
personnels et il y a des conséquences, puis des conséquences qui sont quand
même importantes, là, on le voit plus loin, à ne pas faire face à ses <responsabilités...
M.
Caire
: ...
les
obligations, ça, nous sommes intraitables.
Il y a des
obligations
sur la protection des
renseignements personnels et
il y a des
conséquences, puis des conséquences qui sont
quand même
importantes,
là, on le voit plus loin, à ne pas faire face à ses >responsabilités.
M. Barrette : Là, M. le
Président, pour que ce soit bien clair, là, dans l'esprit du ministre, là,
c'est une figure qui a un coût qu'il choisit de ne pas imposer à l'entreprise
privée. Ce faisant, pour ne pas l'imposer, il y va par une autre voie qui est
celle de la dissuasion due aux amendes, qui passe par les amendes.
Le Président (M. Bachand) :M. le ministre.
M.
Caire
:
Oui, on peut le voir comme ça. Oui, je pense que le député de La Pinière
résume bien.
M. Barrette : Ça fait que
là...
M.
Caire
: Si
vous n'investissez pas en formation et que, de ce fait, découle un incident et
que, de ce fait, il y a — puis on est tous dans le «si», évidemment,
là — il y avait soit des sanctions pécuniaires ou on serait plus dans
le pénal à ce moment-là, j'imagine, là, bien, l'entreprise pourra se demander
s'il n'aurait pas été mieux... s'il n'y avait pas mieux valu investir en
formation, en prévention. Mais oui, on peut le voir comme ça.
M. Barrette : Bon, ce qui
fait que deux philosophies s'opposent, la mienne et celle du ministre, alors la
mienne étant prospective, donc avant l'événement, et celle du ministre, elle
est rétrospective, parce qu'elle est après le fait.
M.
Caire
: Bien,
je veux dire...
M. Barrette : C'est deux
philosophies, là.
M.
Caire
:
Oui, bien, c'est parce que l'intention du législateur est claire sur la
protection des renseignements personnels. Puis ça, là-dessus, moi, je pense
qu'on est tous d'accord. Donc, l'objectif, pour l'entreprise publique, privée,
il est clair. Les moyens pour y parvenir peuvent être différents, mais les
conséquences de ne pas atteindre ces objectifs-là sont les mêmes aussi.
Ce que je dis, c'est juste que, pour
l'entreprise privée, comme il y a une notion de gestion, je pense que le gouvernement
ne doit pas gérer l'entreprise privée, ce que nous pouvons faire avec nos
organismes publics, et donc c'est pour ça que moi, je n'ai pas d'a priori à ce
qu'on mette ces obligations-là de formation pour nos entreprises publiques.
Parce que, moi, comme ministre, puis je suis convaincu que le collègue de La Pinière
est dans la même lignée, là, c'est ce que j'entends de son discours, je préfère
former les employés puis éviter les accidents plutôt que de prendre la chance
qu'il en arrive un puis de subir des conséquences, puis ça, pour moi, c'est
clair.
Maintenant, pour l'entreprise privée,
c'est de la gestion interne. Nous, ce qu'on dit ici, c'est que le responsable
pourrait tenir des activités de formation, il peut le faire dans le contexte, évidemment,
de 3.3, là. Là, je comprends que notre débat de départ, c'est 3.3, parce qu'on
est dans l'utilisation, au sens très large, des technologies, mais ça
s'applique quand même à 3.3. Donc, dans ce contexte-là, ils peuvent le faire,
mais entre pouvoir le faire et l'obliger, moi, je pense qu'il y a un pas à
franchir que je <préfère...
M.
Caire
:
...notre débat de départ, 3.3, parce qu'on est dans l'utilisation, au sens très
large, des technologies, mais ça s'applique quand même à 3.3. Donc, dans ce
contexte-là, ils peuvent le faire, mais entre pouvoir le faire et l'obliger,
moi, je pense qu'il y a un pas à franchir que je >préfère ne pas
franchir.
M. Barrette : Écoutez, je
vais préciser, nuancer un peu ma position, que je maintiens. Je peux comprendre
le ministre quand il nous dit que, dans une loi éventuelle, là — elle
est là, on l'étudie, on essaie peut-être de la modifier ou non — on
peut arriver et penser que : Ah! si j'impose ça, là, ça va causer plus de
tort que de bien pour une P et même une M, dans les PME. Bon, maintenant, cet
argument-là tient beaucoup moins la route, à mon sens, pour les grandes
entreprises. Et là peut-être qu'il y aurait possibilité, je ne sais pas si le
ministre serait ouvert à ça, à nuancer ça. Puis là je ne sais pas, là, je n'ai
pas d'amendement de préparé là-dessus, M. le Président, là, on en discute, là,
mais les grandes entreprises, eux autres, là, les banques, les compagnies
d'assurance, et ainsi de suite, là, mais les grandes organisations privées,
elles, on ne devrait pas faire ça?
Parce que, moi, M. le Président, là, par
déformation professionnelle, je suis toujours enclin à regarder la nature
humaine, la nature humaine, elle est faite de même, il y a toujours quelqu'un
qui prend une chance à quelque part, là. En général, les gens, pas toujours,
mais pas en général, souvent il y a des gens qui vont poser des gestes parce
qu'ils sont obligés de le faire. Puis, des fois, s'ils ne sont pas obligés, ils
ne le font pas. Alors là, est-ce qu'il y aurait moyen pour le ministre
d'envisager la possibilité d'un article ou d'un amendement qui fasse en sorte — puis
là je ne le sais pas, on ne va pas déposer des amendements pour le fun, là — de
faire en sorte que les grandes entreprises, elles, ça soit une obligation?
M.
Caire
: Bien,
en fait, le principe que j'évoquais, c'était de dire que je ne souhaitais pas
imposer un moyen que... Puis ça, c'est indépendamment de la grosseur ou de
l'importance en termes de volume d'affaires de l'entreprise, là, c'est un peu...
Je comprends ce que le député de La Pinière dit, puis c'est vrai que la
grande entreprise a probablement plus de moyens financiers de faire ça, il y a
plus d'employés aussi. À la limite, on pourrait dire : Le prix va être
proportionnel, mais je ne veux pas embarquer dans ce débat-là, parce que je
pense que ce n'est pas ça, l'essence du débat. L'essence du débat, c'est de
dire... Puis la vision que j'en ai est de dire : Écoutez, l'intention du
législateur sur les objectifs à atteindre est claire, et les conséquences sont
claires. Si la responsabilité n'est pas assumée par l'entreprise en fonction de
ces objectifs-là, c'est clair. À partir de là, laissons les entreprises se
gérer elles-mêmes. Donc, on met quand même certains <paramètres, là, ce
n'est pas...
M.
Caire
: ...du
législateur sur les objectifs à atteindre est claire, et les conséquences sont
claires si la responsabilité n'est pas assumée par l'entreprise en fonction de
ces objectifs-là. C'est clair. À partir de là, laissons les entreprises se
gérer elles-mêmes. Donc on met quand même certains >paramètres, là, ce
n'est pas... Ce n'est pas un bar ouvert, là. Mais sur dire : Vous devez
former vos employés, vous devez... J'ai plus d'a priori à faire ça pour une entreprise
privée, parce que, là, on entre dans la gestion de l'entreprise puis, pour moi,
c'est peut-être aller un peu loin. Donc, a priori, je pense que ce que nous
proposons dans le 3.4, c'est cet équilibre-là, je pense, qu'il faut rechercher
comme législateurs.
Le Président (M. Bachand) :M. le député de La Pinière.
• (15 h 10) •
M. Barrette : Bon, je
pense qu'on a fait le tour du sujet, là. Comme j'ai dit, M. le Président,
là-dessus, je ne suis pas d'accord. Puis je pourrais, ad vitam aeternam,
déposer des amendements, là. Je comprends le... Il se défend, le point du ministre,
M. le Président. Je pense que ma position est meilleure, c'est normal, puis le ministre
pense que la sienne l'est. Alors, on va en rester là.
Le Président (M. Bachand) :
Merci. Des interventions? Donc, on continue. On pourrait aller à 3.5. M. le
député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : C'est
un gros morceau, 3.5. Il y a plusieurs éléments dedans, M. le Président. On va
commencer par le début. Premier élément, là, 3.5. «Une personne qui exploite
une entreprise et qui a des motifs de croire que s'est produit un incident de
confidentialité impliquant un renseignement personnel qu'elle détient doit
prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit
causé et éviter que de nouveaux incidents de même nature ne se produisent.»
Pourquoi est-ce que le ministre a fait le
choix de ne pas, ici, inscrire de délai? Comment on fait pour s'assurer que les
entreprises agissent rapidement quand ça se produit?
M.
Caire
:
Bien, en fait, ça... Puis ça, c'est ce qu'on... C'est pas mal miroir de ce
qu'on a fait au public aussi. Puis on avait eu cette conversation-là, et c'est
un peu le même argument, à savoir que, bon, quand on se rend compte qu'il y a
un incident de confidentialité, il y a des mesures à prendre. Il y a une espèce
de séquence. Puis je me souviens même qu'avec le député de Gouin on en était
arrivé à la conclusion qu'il y a des choses qui pouvaient se faire de façon
concomitante, là. On pouvait continuer à éteindre l'incendie puis, de l'autre
main, appeler l'assureur, là. Dans ma mémoire, c'était l'exemple qu'on s'était
donné mutuellement. Puis c'est la même logique qui soutient cet article-là, c'est-à-dire
que, dans la séquence, il est important de s'assurer que la cause du
préjudice... Puis je pense qu'un des bons exemples qu'on peut prendre, c'est
l'exemple qu'on a vécu <récemment...
M.
Caire
:
...qu'on s'était donné mutuellement. Puis c'est la même logique qui soutient
cet article-là, de dire que, dans la séquence, il est important de s'assurer
que la cause du préjudice... Puis je pense qu'un des bons exemples qu'on peut
prendre, c'est l'exemple qu'on a vécu >récemment, où il était impératif
de s'assurer que la fuite soit... que la brèche soit colmatée par tous les
moyens nécessaires. Suite à quoi, là, il y avait quand même des choses à faire.
Des... Il fallait divulguer l'incident. Il faut en parler à la Commission
d'accès à l'information. Il faut que les gens qui en font l'objet soient
avisés. Puis je trouve que l'exemple est bon parce que, pour aviser les gens,
encore faut-il savoir qui a été impacté.
Puis ce n'est pas... Ce n'est pas toujours...
Ce n'est pas toujours... Tu sais, on a une information, puis on gratte, puis on
se rend compte que ça évolue dans le temps. Alors, le délai, dans le fond,
c'est de dire : Bien, écoutez, allez chercher l'information. Vous avez
l'information et après ça, communiquez-la. Puis la parade pour empêcher que
quelqu'un décide d'abuser c'est que la Commission d'accès à l'information peut
forcer cette divulgation-là aux individus qui sont impactés. Donc, la notion de
raisonnabilité dans le temps, bien, il y a toujours le souffle de la Commission
d'accès à l'information dans le cou des individus, pour dire : Bien là, je
veux bien être patient, là, mais, à un moment donné, il va falloir que vous le
fassiez.
M. Nadeau-Dubois : Oui.
Puis on reviendra à la question d'aviser les individus. Ça vient plus loin. Je
vais aussi avoir des questions là-dessus. Mais là, à ce stade-ci, c'est
vraiment, tu sais, les mesures que doivent prendre les entreprises. Comment on
fait en sorte qu'elles soient prises rapidement? Puis c'est intéressant, parce
qu'au paragraphe suivant, là, on dit tout de suite : Si l'incident représente...
«Si l'incident présente un risque — d'un préjudice sérieux — qu'un
préjudice sérieux soit causé, elle doit — donc, l'entreprise — avec
diligence, aviser la Commission d'accès à l'information...»
Donc, ici, on vient mettre quand même un
marqueur temporel, celui de la diligence. On ne le fait pas juste avant, quand
vient le temps de prendre les mesures. Pourquoi?
M.
Caire
:
Bien, en fait, ce que le premier alinéa dit, c'est que vous prenez les mesures
raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que
de nouveaux incidents de même nature ne se produisent. Donc, on comprend qu'on
est dans l'instantanéité, là. Si vous voulez éviter un préjudice, bien, si vous
tardez vous n'évitez pas le préjudice. Et donc, là, ce à quoi vous vous exposez,
c'est que votre laxisme vous met en contradiction avec le fait que vous n'avez
pas évité le préjudice. Ce que je veux dire, c'est que, si vous avez accès... Bon,
prenons l'exemple très récent. Vous vous apercevez que quelqu'un de sympathique
a réussi à percer <vos défenses...
M.
Caire
:
...
c'est que votre laxisme vous met en contradiction avec le fait que
vous n'avez pas évité le préjudice. Ce que je veux dire, c'est que, si vous
avez accès... Bon, prenons l'exemple très récent. Vous vous apercevez que
quelqu'un de sympathique a réussi à percer >vos défenses, il entre dans
le système, il part avec de l'information. Vous vous en rendez compte. Vous ne
faites rien, et, le lendemain, il recommence. Bien là, vous avez eu connaissance
d'un incident de confidentialité et vous n'avez pas pris les mesures
raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter de
nouveaux incidents de même nature. Vous ne l'avez pas fait.
M. Nadeau-Dubois : Je ne
suis pas juriste, mais est-ce qu'on pourrait... Est-ce que des gens puis des
entreprises ne pourraient pas plaider oui? Bien, on était en train... On était
en train... On était en train, encore, d'évaluer s'il y a eu un préjudice? Parce
que c'est ça aussi, là, c'est pour diminuer les risques qu'un préjudice soit
causé. Donc, est-ce qu'il n'y a pas, ici, une porte à ce qu'une entreprise
fasse valoir que, bien, ils étaient en train de le faire, ils n'ont pas eu le
temps. Puis là ça peut prendre combien de temps, quelques jours, quelques
semaines?
Tu sais, comment on fait pour que le
message soit compris par les entreprises, comme l'exemple que le ministre vient
de donner, que, quand il se produit un incident de confidentialité, on s'attend
à ce que, dans les plus brefs délais, là, de manière quasi immédiate, quand
vous vous en rendez compte, vous agissez maintenant, pas dans une semaine, pas
dans deux semaines? Puis le ministre sait comme moi qu'il y a des cas documentés
d'entreprises... Puis on reviendra plus tard sur la question de la divulgation parce
que ça aussi, il y a des cas documentés d'entreprises qui se rendent compte qu'il
y a un problème, et qui se rendent compte qu'ils sont dans la... dans le
trouble, et qui attendent, et qui... Parce qu'ils savent qu'ils sont dans le
trouble, notamment envers leurs clientèles. Bon, on reviendra à cette partie-là
de l'article quand on y viendra.
Mais, juste sur le fait d'agir dès qu'on a
connaissance des faits, il me semble qu'il y a des pratiques documentées
d'entreprises qui tardent, puis que ça ne serait pas, ici, inutile de venir
installer... de venir faire apparaître une notion temporelle pour dire aux
entreprises, comme le ministre vient lui-même de le dire : C'est immédiat,
là. Vous vous rendez compte qu'il y a un problème. Ça ne peut pas aller à la
semaine d'après, là. Vous agissez maintenant.
M.
Caire
: Si je
peux me permettre, c'est parce qu'on a utilisé le même libellé. Puis
corrigez-moi si je me trompe, Me Miville-Deschênes, mais on a le même libellé au
niveau du public. Donc...
M. Nadeau-Dubois : ...l'article
dans le public aussi, si finalement on s'entend, là, je veux dire.
M.
Caire
:
Non, bien non. Non, c'est parce que, pour...
M. Nadeau-Dubois : Ça va
prendre trois minutes de consentement.
M.
Caire
:
Non, mais, M. le député, c'est parce qu'on dit, bon : «Une personne qui
exploite une entreprise [...] qui a des motifs de croire [qu'il] s'est produit
un incident», donc il faut qu'elle en ait connaissance. Puis ce qui est intéressant,
justement, c'est l'exemple récent, où l'entreprise a appris par un journaliste
qu'elle s'était fait voler des données. Donc, dans ce cas-là, difficile de lui
dire que tu aurais dû prendre des moyens, parce qu'elle n'en a pas eu connaissance.
Et c'est plausible. Il est possible d'être victime d'une attaque informatique
qui se veut discrète et pour laquelle vous n'avez pas connaissance.
Mais partons du principe que vous en avez <connaissance.
Bon...
M.
Caire
:
...difficile de lui dire que tu aurais dû prendre des moyens,
parce
qu'elle n'en a pas eu
connaissance. Et c'est plausible. Il est possible
d'être victime d'une attaque informatique qui se veut discrète et pour laquelle
vous n'avez pas
connaissance.
Mais partons du principe que vous en
avez >connaissance. Bon, qu'elle doit, c'est une obligation de prendre
les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé
et éviter de nouveaux incidents. À partir de là, vous évaluez ce qui s'est
passé, vous évaluez les mesures qui ont été prises et vous êtes, je veux dire,
quand même capable d'évaluer si vous avez fait ce qui est raisonnable. Donc,
dans un cas où l'entreprise jouerait à l'autruche, je doute qu'un tribunal
jugerait que c'est une mesure raisonnable.
M. Nadeau-Dubois : ...est-ce
qu'il y a des parallèles dans d'autres lois, des précédents de ce type
d'interprétation là, où, quand il y a une obligation de prendre certains moyens...
Tu sais, dans le fond, moi, ce que... De la manière dont j'interprète la
réponse du ministre, ce qu'il dit, c'est implicite, la notion est... la notion
de temporel est implicite au fait de prendre les moyens. Ça fait que ma
question pour les juristes serait peut-être : Est-ce qu'il y a une
interprétation qu'on voit dans d'autres lois, que, dès qu'il y a une obligation
de moyens, c'est implicite que ça doit se faire au moment de la connaissance?
Le Président (M. Bachand) :Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Bien là, rapidement, je ne pourrais pas vous nommer
de loi, mais effectivement, comme le ministre l'a dit, quand on dit «les
mesures raisonnables», ça vient teinter le délai. Donc, quand une entreprise
doit prendre les mesures raisonnables pour éviter, bien, pour diminuer le
risque, bien là, les mesures raisonnables pour diminuer un risque en cas
d'incident, c'est des mesures rapides, là. Donc, ça vient qualifier un peu le
délai pour... dans lequel les mesures doivent être prises. Puis, en même temps,
est-ce que les mesures raisonnables pour éviter un nouveau... pour la deuxième
obligation, pour éviter que des nouveaux incidents de même nature, là, peut-être
que ça va être un peu plus long, parce que prendre le temps, en même temps, de
voir quelle est la faille et de quelle façon qu'on la corrige... Donc, effectivement,
«mesures raisonnables», c'est l'interprétation qu'on en a. Là, je ne pourrais
pas vous nommer de loi mais je pourrais vous revenir avec plus, si nécessaire,
là.
M. Nadeau-Dubois : Donc,
c'est implicite qu'il y a une certaine rapidité, diligence qui est exigée des
entreprises, puis une entreprise qui prendrait un mois à le faire serait en
contradiction avec la loi. Merci.
• (15 h 20) •
Le Président (M. Bachand) :
Merci. Autre intervention sur le bloc 3.5? Allez-y, M. le député de Gouin.
M. Nadeau-Dubois : ...morceau
de 3.5 : «Si l'incident présente un risque qu'un préjudice sérieux soit
causé, elle doit, avec diligence, aviser la commission...» C'est quoi, ici, la
diligence? C'est combien de temps, ici, la diligence?
M.
Caire
:
Je vous dirais...
M. Nadeau-Dubois : Parce
que là, là, on est au coeur... Disons que, mes premières interventions...
M.
Caire
:
Bien, ce qu'on avait, c'était aussi vite qu'il est raisonnable...
M. Nadeau-Dubois : Mes
premières interventions étaient plus préventives, là. Là, ici, là, il y a des
cas documentés qu'on connaît tous, d'entreprises qui ont tardé à divulguer soit
au public soit aux forces policières, et/ou à la CAI...
M.
Caire
: ...pas
correspondre... qui ne correspondra... qui ne correspondait pas à la notion de
diligence.
M. Nadeau-Dubois : Bien,
c'est quoi? C'est parce qu'elle est polysémique, là?
M.
Caire
:
Bien, juridiquement, je vais <laisser Me Miville-Deschênes...
M. Nadeau-Dubois : ...d'entreprises
qui ont tardé à divulguer soit au public soit aux forces policières, et/ou à la
CAIV...
M.
Caire
:
...pas correspondre... qui ne correspondra... qui ne correspondait pas à la
notion de diligence.
M. Nadeau-Dubois :
Bien, c'est quoi? C'est parce qu'elle est polysémique, là?
M.
Caire
:
Bien, juridiquement, je vais >laisser Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Bien, la diligence, il y a deux volets, mais
c'est le soin et l'empressement qui sont apportés à l'exécution d'une tâche ou
rapidité et efficacité. Donc, avec diligence, il y a la notion de bien faire la
tâche, le soin, mais la rapidité, l'empressement. Ça vient avec, dans le fond,
avec une notion de... le plus rapidement possible, un peu, là, sauf qu'il y a
les deux aspects.
M. Nadeau-Dubois : Donc,
une institution financière réalise qu'il y a eu fuite de données, et que ça
prend quelques semaines, voire quelques mois, après la connaissance de
l'institution à divulguer que c'est arrivé, on n'est pas dans un cas de
diligence.
M.
Caire
:
D'ailleurs, si je peux me permettre, la présidente de la Commission d'accès à
l'information avait clairement indiqué que, si 64 avait été adopté, certaines
situations, et je m'inspirerai du député de La Pinière, je tairai les
noms, mais certaines situations se seraient passées bien autrement, et les
conséquences auraient été très différentes.
M. Nadeau-Dubois : Puis,
mettons, dans... entre «avec diligence» puis «dans les plus brefs délais»,
juridiquement, est-ce qu'il y a une différence?
M.
Caire
:
C'est une bonne question, ça. Ça m'intéresse, la réponse.
Le Président (M. Bachand) :
Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Oui, oui, la diligence, c'est le plus rapidement
possible, mais il y a aussi la caractéristique de bien faire le travail et le
soin donné à la tâche. Ça fait que c'est juste ça. Je dirais que «le plus rapidement
possible», on exige un délai seulement. Avec «diligence», on exige un délai qui
est grosso modo le même, et c'est pour ça que, dans les lois, on utilise «avec
diligence», et je vais juste donner la définition officielle, là.
M.
Caire
: «Dans
les plus brefs délais», tu peux botcher, mais il faut que tu fasses ça vite.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça, exactement. Un soin ou une efficacité dans
l'exécution de la tâche, ça fait que, c'est ce qu'il y a d'ajouté dans la
diligence par rapport uniquement à une notion de délai.
M. Nadeau-Dubois :
Prochaine question, un peu plus loin, on dit : «Elle doit également aviser
toute personne dont un renseignement personnel est concerné par l'incident, à
défaut de quoi la commission peut lui ordonner de le faire.» Et là il n'y a pas
de marqueur temporel. Il n'y a pas d'obligation de diligence ici. Pourquoi?
Puis, encore une fois, là, ce n'est pas de la science-fiction, il y a des citoyens,
des citoyennes au Québec qui ont été victimes de fuite de données et qui ont
été avertis dans des délais qui n'ont aucun sens, aucun sens. Ça fait que pourquoi,
ici, il n'y a pas de diligence, par exemple? On pourrait juste le réécrire.
M.
Caire
:
Bien, en fait, encore une fois, on est dans les mêmes libellés que ce qu'on a
fait au public. Bien, l'idée, puis c'est un petit peu ce que je vous expliquais
peut-être un peu prématurément tout à l'heure, c'est qu'une attaque... Vous
pouvez être pendant des mois à investiguer puis à trouver des nouveaux cas. Et
donc ça devient un peu difficile de mettre un marqueur de temps. Mais c'est
pour ça que... Non, mais je... C'est pour ça que la commission doit être
saisie. Parce que, dans <le fond...
M.
Caire
:
...des nouveaux cas. Et donc ça devient un peu difficile de mettre un marqueur
de temps. Mais c'est pour ça que... Non, mais je... C'est pour ça que la
commission
doit être saisie. P
arce que,
dans >le fond, ce que nous ne
précisons pas par un marqueur de temps, on vient l'encadrer par l'action de la commission.
Et la commission...
Puis, là-dessus, je vous dirais que... Là-dessus,
je suis assez ferme, puis je vous explique, M. le député. Là, c'est peut-être
plus l'informaticien qui parle, mais vous pouvez, un an après, découvrir des
nouveaux cas. Ce n'est pas impossible. Ce n'est pas impossible. Donc, je vous
donne quoi, comme marqueur? Aussitôt que vous le savez? Mais c'est comme ça...
Alors, pour moi, c'est clair que, quand
vous avez connaissance des faits, il y a des gestes à poser. Puis la commission
devient l'espèce de chien de garde qui va s'assurer que c'est fait. Et c'est pour
ça qu'on dit : «...la commission peut [...] ordonner de le faire». Donc,
si vous omettez de le faire, bien, la commission va vous dire de le faire. Et
la commission doit avoir en tête en faisant ça qu'on est dans un contexte,
comme le stipule le début de l'article, là, un «incident qui présente un risque
de préjudice sérieux», là. Donc, la commission, je pense, a la latitude, elle,
pour dire : Un instant, là, il y a des mesures de protection qui...
Puis les cas récents qu'on a vécus, je
vous dirais que, s'il y a une chose qui n'a pas fait défaut, là, à date, c'est,
au moment où les incidents sont connus, la divulgation aux individus et la protection
des individus. S'il y a une chose qui a fait défaut, c'est la connaissance de
l'événement. Puis, là-dessus, on a des critères de temps.
M. Nadeau-Dubois : Mais
le ministre disait tantôt : On peut découvrir juste un an plus tard qu'il
y a des nouvelles personnes qui sont concernées. Ça, c'est sûr. Puis, à ce
moment-là, on l'avise... On ne peut pas aviser les gens quand on ne le sait
pas, donc on avise les gens au moment où on en prend connaissance. Ça fait que,
si on pense qu'il y a 10 000 personnes qui ont été touchées par un
incident de confidentialité, on avise les 10 000. On se rend compte six
mois plus tard que, hé boy! finalement, c'est 20 000, bien, on informe la
dizaine de milliers supplémentaires. Tu sais... je veux dire, je ne vois pas de
problème à demander aux entreprises... Tu sais, il y a une obligation légale
dans la loi pour les entreprises d'informer avec diligence la commission. Puis
ça, c'est clair, c'est avec diligence.
M.
Caire
:
Oui.
M. Nadeau-Dubois : Ce
n'est quand même pas fou de ma part de constater que, trois lignes plus loin,
quand il vient le temps d'informer les individus qui sont les victimes, entre
guillemets, de la situation, là, la notion de diligence disparaît. Il <me
semble...
M. Nadeau-Dubois : ...
Puis
ça, c'est clair, c'est avec diligence.
M.
Caire
:
Oui.
M. Nadeau-Dubois :
Quand
même pas fou de ma part de constater que, trois lignes plus loin, quand il
vient le temps d'informer les individus qui sont les «victimes», entre
guillemets, de la
situation, là, la notion de diligence disparaît.
Il
>me semble... Puis le ministre dit : Oui, oui, mais, s'ils ne le
font pas, la commission peut les forcer. Oui, mais là il y a des délais à ça,
il faut que la commission enquête, se rende compte. Ils sont avertis? Non, non.
Parfait, ordonnance.
M.
Caire
:
Non, non, non. Je...
M. Nadeau-Dubois : Il y a
quand même un minimum de délai pour que la commission s'implique dans le
dossier, là, ce n'est pas instantané, là.
M.
Caire
:
Avec respect, la commission... Aviser les gens qu'ils sont victimes d'un
incident de confidentialité préjudiciable ne relève pas des résultats, des
conclusions de l'enquête de la commission. La liste des victimes d'une fuite de
données, c'est quelque chose. Donc, à savoir qu'est-ce qui est arrivé avec ça,
le niveau de préjudice, pourquoi c'est arrivé, comment ça c'est passé, qui est
responsable, si tant est qu'il y a quelqu'un qui est responsable, ça,
effectivement, il y a une notion d'enquête.
Mais, oui, et c'est la raison, justement,
pour laquelle il faut aviser la commission avec diligence, parce qu'après ça,
la commission peut entrer au dossier et s'assurer que les personnes qui sont
victimes ne sont pas doublement victimes, donc victimes d'une fuite, et, après
ça, victimes d'une négligence ou de laxisme, ou etc.
M. Nadeau-Dubois : O.K. Je
n'ai peut-être pas choisi le meilleur mot, peut-être qu'«enquête» était trop
musclé, mais c'est-à-dire, la commission est informée d'un incident, là. Quand
même, avant de juger, est-ce que l'entreprise devrait informer les gens, quand
même faire un minimum de vérification, là? Tu sais, ils ne recevront pas...
M.
Caire
:
Oui, oui, tout à fait.
• (15 h 30) •
M. Nadeau-Dubois : Ça ne
sera pas à l'instant où ils reçoivent le courriel, à l'instant... ils disent à
l'entreprise : Informez les gens. Bon, il y a un délai pour faire les
vérifications de base, d'usage avant de dire : O.K. Oui, là, on est dans
un cas où on va demander à l'entreprise de communiquer parce qu'on constate
qu'elle ne l'a pas fait.
C'est un truc qui a été vécu par des gens
au Québec, c'est une frustration réelle qui a été vécue par bien du monde, de
réaliser qu'ils ont été victimes d'une fuite de données puis de ne pas avoir été
informés en temps et lieu. Là, on vient, c'est un pas en avant, mettre une
obligation d'informer les gens. Puis, s'il y a une... Si, du même incident, on
a une obligation d'informer, avec diligence, la commission, pour le même
incident, là, notre obligation est qualifiée différemment dans la loi, ça
envoie un message, là. Ça envoie un message, parce qu'on prend la peine de dire,
pour la commission : Faites-le avec diligence. Puis là trois lignes... Tu
sais, je me mets dans la tête de quelqu'un qui doit interpréter cette loi-là,
il dit : O.K., avec la... Il faut informer la commission. Et le <législateur
nous a dit : Faites-le avec diligence...
>
15 h 30 (version révisée)
<16827
M. Nadeau-Dubois :
...est qualifiée différemment dans la loi, ça envoie un message, là. Ça envoie
un message
parce qu'on prend la peine de dire, pour la
commission :
Faites-le avec diligence, puis là, trois lignes... Puis, tu sais, je me mets
dans la tête de
quelqu'un qui doit interpréter cette loi-là, il dit :
O.K., avec la... pour informer la
commission, là, le >législateur
nous a dit : Faites-le avec diligence, puis, quand ils nous disent
d'informer les gens, ah! là ce n'est pas avec diligence. Ça fait que ce n'est
pas banal.
Tu sais, on dit toujours... Comment qu'on
dit ça? Le législateur ne parle pas pour rien dire, je pense, une affaire de
même, la loi... en tout cas. Puis, à l'inverse aussi, là, on ne parle pas pas pour
ne rien dire, là. Le fait qu'il y ait une absence, ici, de la notion de
diligence, il me semble, ce n'est pas banal. Ça fait que je ne sais pas...
M.
Caire
:
Je dois dire que, là, je ne partage pas le point de vue du député de Gouin. Je
pense qu'on s'entend sur beaucoup de choses dans ce projet de loi là, mais,
là-dessus, je ne suis pas d'accord, parce que, comme je l'ai dit... D'abord,
c'est la même formulation qu'au public, et, pour moi, il est clair que les deux
situations doivent être traitées de la même façon parce qu'au fond, qu'on se
fasse voler nos informations personnelles par une entreprise publique ou par
une entreprise privée, du point de vue de celui qui se fait voler ses
renseignements personnels, ça ne change fichtrement rien. Donc, on a le même
libellé.
Et, pour moi, l'élément qui est très fort
là-dedans, c'est que, oui, il faut que la Commission d'accès à l'information
soit au dossier assez rapidement, très rapidement, d'où la notion de diligence.
Et, après ça, il est important que la commission ait le pouvoir d'imposer le
fait que cette divulgation-là se fasse, mais, à partir de là, moi, j'ai... Puis
c'est peut-être là où on a une petite divergence, puis je ne veux pas que le
député de Gouin interprète mal mes propos. Moi, j'ai confiance au jugement de
la commission. Puis je ne dis pas que le député de Gouin n'a pas confiance à la
commission, je pense qu'il a fait de nombreuses professions de foi envers la
commission qui sont très claires. Mais là-dessus, là, j'aurais tendance...
Parce que c'est des situations qui ont
tellement de variables que c'est pour ça que je pense que ça prend quelqu'un
qui est rapidement au dossier, oui, pour s'assurer justement, à la genèse, que
les intérêts des victimes sont quand même pris en compte, mais, à partir de là,
on lui donne une latitude de décider, là, à quel moment... Parce que, tu sais,
ce qui est raisonnable... Oui, mais c'est quoi qui est raisonnable dans cette
situation-là? Il y a beaucoup de variables qui rentrent en ligne de compte dans
ce genre de situation là. Et, à la limite, ultimement, ce qui me rassure, c'est
qu'elle a le pouvoir, la commission, de dire : Non, là, là, là, vous le
divulguez, vous le faites.
Alors, je ne vois pas de scénario où une
entreprise ne remplirait pas cette obligation-là, parce que ça suggère que la
commission cautionnerait ça, puis ça, c'est un scénario
que je n'entrevois pas, là.
M. Nadeau-Dubois : ...on
est ici dans une question de délai, hein? Il ne s'agit pas de prêter des
intentions à la commission en disant : Si elle ne rappelle pas à l'ordre
l'entreprise, ça va... Non, c'est juste... Sur ce genre d'affaires là, il y a
des <pratiques d'entreprises qui prennent...
M.
Caire
: ...
puis
ça, c'est un scénario que je n'entrevois pas, là.
M. Nadeau-Dubois :
...on est ici dans une question de délai, hein? Il ne s'agit pas de prêter des
intentions à la commission en disant : Si elle ne rappelle pas à l'ordre
l'entreprise, ça va... Non, c'est juste... Sur ce genre d'affaires là, il y a
des >pratiques d'entreprises qui prennent trop leur temps pour se
protéger. Ça existe. Ça fait que...
M.
Caire
:
Oui, je l'entends, mais mon collègue concédera que ces articles-là...
M. Nadeau-Dubois : ...la
commission, elle, elle fait du mieux qu'elle peut dans tous les dossiers, là,
puis elle va... Tu sais, si elle juge de bonne foi que, là, on est dans un cas
où les personnes devraient être informées... Avez-vous informé les gens?
Réponse : Non, on ne l'a pas fait. Faites-le. O.K., on va le faire. Je
veux dire, cette interaction-là prend un certain temps qui, pendant... Puis ça,
c'est des... c'est une période de temps où il y a un préjudice qui est causé
puis les gens ne sont pas au courant. Alors, c'est juste... Ici, il y a une
différence entre deux morceaux du même article qui m'apparaît envoyer un
mauvais message.
Ça fait que, M. le Président, on va
suspendre quelques instants. Je vais déposer un amendement.
Le Président (M. Bachand) :
...on va suspendre quelques instants, merci.
(Suspension de la séance à 15 h 34)
(Reprise à 15 h 39)
Le Président (M. Bachand) :
À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le député de
Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Je vais déposer un amendement à l'article 95. Donc :
Modifier le deuxième alinéa de l'article 3.5, proposé par
l'article 95 du projet de loi, par l'insertion, après «Elle doit [...] aviser»,
de «, avec diligence,».
M. le Président, je pense que c'est une
bonne pratique que d'inviter les entreprises à informer avec diligence les
individus qui sont concernés par un incident de confidentialité. J'ai eu l'occasion
de l'expliquer au ministre en détail, mais c'est important pour moi d'en faire
la proposition formelle parce que, je le répète, puis je m'arrête ensuite, c'est
des situations qui ont existé au Québec dans les dernières années, c'est des
pratiques qui existent. Je pense que le législateur doit envoyer un signal
clair que ce n'est pas acceptable puis qu'on souhaite que les entreprises
agissent avec beaucoup plus, justement, de diligence quand vient le temps d'informer
les gens, non seulement la commission, c'est vraiment une bonne chose, là, mais
également les individus concernés, qu'il y a eu fuite de leurs données
personnelles. Voilà.
• (15 h 40) •
Le Président (M. Bachand) :
Merci. Interventions? M. le ministre.
M.
Caire
:
Oui. Bien, M. le Président, je vais réexprimer mon désaccord avec mon collègue
de Gouin sur cette question-là, peut-être, deux éléments, à mon avis,
importants.
Le premier, c'est que ce libellé-là est le
même que nous avons utilisé, et qui semblait convenir à tout le monde, là, je
tiens à le préciser, avec le public. Pour moi, il n'y a pas de raison. Quand on
parle d'incident de confidentialité et de préjudice, que l'entreprise soit
publique ou privée, il faut les traiter de la même façon. Donc, il n'y a pas de
raison d'avoir cet élément-là supplémentaire pour le privé, parce que l'événement
n'est pas plus grave parce que c'est une entreprise privée, il n'est pas moins
grave parce que c'est une entreprise publique, c'est le même libellé, d'une
part. Et, non, je n'ai pas l'intention de réouvrir les articles qui ont été
adoptés.
Et, d'autre part, M. le Président, puis je
vais me répéter, mais je pense que ça vaut la peine d'être dit, dans les bonnes
pratiques qu'on voit, d'avoir cette… une institution comme la CAI qui est
impliquée dans les événements rapidement, c'est dans les bonnes pratiques, d'où
l'idée de la diligence dans la divulgation à la CAI.
Mais, à partir de là, la CAI a les pouvoirs, a tous les moyens qu'il faut pour
s'assurer que la situation que le député de Gouin décrit, à raison... Et je
suis d'accord avec lui, c'est des situations qui sont inacceptables et pour
lesquelles on ne souhaite pas que ça se <reproduise. Et ma conviction…
M.
Caire
:
...
dans la divulgation à la CAI. Mais, à partir de là, la CAI a les
pouvoirs, a tous les moyens qu'il faut pour s'assurer que la situation que le
député de Gouin décrit, à raison... Et je suis d'accord avec lui, c'est des
situations qui sont inacceptables et pour lesquelles on ne souhaite pas que ça
se >reproduise. Et ma conviction profonde, c'est que l'article 3.4
va faire en sorte qu'une telle situation... ou aurait fait en sorte qu'une
telle situation ne se serait pas produite, tel qu'on l'a connue. Ça laisse la
latitude à la CAI d'évaluer la pertinence de l'action, non seulement dans le
geste, mais dans le temps, et moi, je pense que c'est la bonne façon de faire.
Donc, je suis très confortable avec le
libellé tel qu'il est présentement puis je ne pense pas que ça envoie un
message de laxisme, à savoir que de divulguer l'information aux gens concernés,
ça peut attendre. Ce n'est pas une question que ça peut attendre, c'est une question
qu'il y a quand même des éléments qui rentrent en ligne de compte, qui doivent
être évalués, qui sont différents pour chaque cas. Et, dans ce sens-là, c'est important
d'avoir un tiers neutre mais qui a à coeur l'intérêt du citoyen puis l'intérêt
du respect de la loi, avec les pouvoirs pour la faire respecter, et c'est ce
qu'on a avec l'article présentement.
Le Président (M. Bachand) :M. le député de La Pinière, s'il vous plaît.
M. Barrette : Je ne peux
pas m'empêcher de citer précisément ce que vient de dire le ministre : On
doit traiter les entreprises et le public de la même façon. Je n'ai pas d'autre
commentaire.
Le Président (M. Bachand) :
Merci. M. le député de Gouin.
Des voix : ...
Le Président (M. Bachand) :M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui,
en effet, il y a énormément d'exceptions. Je me demande même s'il n'y a pas
plus d'exceptions que de règles, mais, bon, ça, c'est une autre chose.
Des voix : ...
M. Nadeau-Dubois : Il est
sous surveillance, le ministre. Non, mais, plus sérieusement, on a des avis
différents là-dessus, on ne fera pas du surplace, là, tout l'après-midi à cause
de ça. Je veux juste dire une chose au ministre.
Là, plus on va avancer dans la loi sur le
privé, plus on va se retrouver dans cette situation où il y a des dispositions
qui sont, appelons ça, miroir, là, dans la loi sur le privé et sur le public.
Moi, je l'invite à considérer que peut-être qu'au fil de nos discussions, dans
les prochaines heures, puis les prochains jours, puis les prochaines semaines,
ça se peut qu'on réalise ensemble, de bonne foi, qu'il y a des choses qui
peuvent être améliorées, puis, tant que la loi n'est pas finie, elle n'est pas
finie, puis, si d'aventure, on réalise que, c'est vrai, la loi serait meilleure
comme ça, juste, par principe, qu'il n'y ait pas d'objection à ce qu'on fasse
un petit saut de puce à l'arrière, dans la loi sur le public, puis qu'on aille
peut-être corriger un élément qu'on a peut-être sous-estimé ou oublié quand on
a travaillé, il y a quelques semaines, sur la loi dans le public. Parce que,
sinon, ça va nous empêcher d'avoir des débats sur le fond, puis on va juste
avoir un débat de forme, c'est-à-dire : S'il n'est
pas dans le public, on ne le met pas dans le privé, puis ça va juste être une
discussion peu intéressante si on se limite à ça. Ça fait que...
Là, là-dessus, j'entends, il y a un
argument de forme, mais il y a aussi un argument de fond. Les positions sont
exposées, on va passer au vote, mais, tu sais, c'est que ça va revenir. Ça fait
que laissons-nous la <possibilité puis l'ouverture...
M. Nadeau-Dubois : …
forme,
c'est-à-dire : S'il n'est pas dans le public, on ne le met pas dans le
privé, puis ça va juste être une discussion peu intéressante si on se limite à
ça. Ça fait que...
Là, là-dessus, j'entends, il y a un
argument de forme, mais il y a aussi un argument de fond. Les positions sont
exposées, on va passer au vote, mais, tu sais, c'est que ça va revenir. Ça fait
que laissons-nous la >possibilité puis l'ouverture d'y aller si jamais
ça devient nécessaire. C'est juste ça.
M.
Caire
: Oui,
je veux rassurer le député de Gouin, là. Mon argument, puis je le remercie de
le reconnaître, c'est un argument de fond. Il a tout à fait raison. Si... Advenant
le cas qu'on se rend compte, effectivement, qu'il y a une bonification, que
cette bonification-là peut se refléter dans ce que nous avons fait, je le
rassure, on réouvrira les articles, on apportera les bonifications, il n'y a
aucun problème.
M. Nadeau-Dubois : La
démonstration de ça, c'est qu'on l'a fait à l'inverse.
M.
Caire
:
Oui, oui, non, non, tout à fait.
M. Nadeau-Dubois : On a
eu des discussions dans le public, on s'est rendu compte que c'étaient des
bonnes idées. Puis là on est en aval, ça fait qu'on amende dans le privé.
M.
Caire
:
Puis il y a des choses qu'on a faites dans le public qu'on va refaire dans le
privé parce que c'étaient des bonnes idées. Il a bien raison. Non, non, je veux
le rassurer là-dessus, ce n'est pas… Puis je me suis mal exprimé puis je
comprends sa réaction, là. Ce n'est pas une question... Je ne reviendrai pas
sur ce qui est fait, ce qui est fait est fait. Non, si on peut l'améliorer, on
va l'améliorer.
Ce que je veux dire, c'est que, là-dessus,
je pense qu'on est au bon endroit. Puis effectivement on peut avoir des
divergences d'opinions, mais, tu sais, on a une divergence d'opinions qui, à
mon sens, est mineure, parce que, tu sais, c'est sur la notion de diligence d'un
cas où moi, je dis : Bien, laissons la CAI décider de ça. Mais, sur le
fond, je veux le rassurer, là, sur le fait que, quand des individus sont
victimes d'un incident de confidentialité, en aucun temps, en aucun temps il
est pensable dans mon esprit qu'on cache ça aux individus, en aucun temps. Ça,
c'est clair. Puis je peux vous dire, M. le député, qu'une expérience
récente... ça a été notre ligne de conduite. Nous n'avions pas l'obligation,
nous l'avons fait parce que, personnellement, je me dis : Ça fait partie
des responsabilités qu'on a à assumer. Quand on est victime d'un incident de
confidentialité, les gens qui en sont victimes doivent, doivent impérativement
en être avisés.
M. Nadeau-Dubois : Le
plus rapidement possible.
M.
Caire
:
Aussitôt que c'est possible de le faire, effectivement. Oui, tout à fait.
M. Nadeau-Dubois :
L'intention du législateur est clairement exprimée, M. le Président. On va
pouvoir passer au vote sur mon amendement.
M.
Caire
:
Voilà. Et je compte sur la CAI pour qu'il en soit ainsi.
Le Président (M. Bachand) :
Alors, s'il n'y a pas d'autre intervention, nous allons procéder à la mise aux
voix de l'amendement. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est rejeté. Donc, on va continuer sur le bloc 3.5.
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois :
Prochain morceau de cet article 3.5 : «Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête...»
Le Barreau et la <Ligue des droits
et…
Le Président
(M. Bachand) : ...donc, on va continuer sur le
bloc 3.5. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois :
Prochain morceau de cet article 3.5 : «Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête...»
Le Barreau et la >Ligue des
droits et libertés sont venus nous voir en commission et ont produit des
mémoires dans lesquels ils s'inquiètent de ce passage. Et je sais qu'il y a un
passage équivalent dans le public, mais, puisque nous avons maintenant convenu
que ce n'était pas en soi une raison, je dis bien en soi une raison, pour
contourner la discussion ou faire l'économie de la discussion, j'aimerais ça
entendre le ministre là-dessus.
Ce que la Ligue des droits et le Barreau
disent, grosso modo, c'est la même chose, c'est : Ça peut être long, une
enquête. Ça peut être même très, très, très long, une enquête. Comment on fait
pour que cette disposition-là du projet de loi ne devienne pas un prétexte,
pour des entreprises, pour éviter de divulguer, dans la mesure où... Ah! il y a
toujours une enquête en cours...
Je cite le mémoire de la Ligue des droits :
«L'enquête sur une fuite ou un vol de renseignements peut s'avérer longue;
priver les personnes intéressées du droit d'être informées est difficilement
justifiable. Sans compter que celles-ci sont souvent les mieux placées pour
agir en vue de limiter les dégâts.» En effet, malheureusement, tristement, c'est
souvent les individus eux-mêmes sur lesquels repose le fardeau, après ça, de
réparer les pots cassés, puis souvent le plus tôt sera le mieux.
De son côté, le Barreau... Puis le Barreau
faisait le commentaire pour l'article équivalent dans le public, mais le même
commentaire me semble valoir pour le privé : «Ce troisième alinéa — blablabla — [...]risque
de devenir un prétexte servant à bloquer toute communication aux personnes
concernées. Il permet en effet aux organismes publics et aux
entreprises — en fait, ça valait pour les deux — de se
dérober à leurs obligations. Nous craignons qu'il soit invoqué de manière
systématique, alors qu'il existe une panoplie de situations où informer les
personnes visées n'aura aucun impact sur l'enquête. On n'a qu'à penser à un
piratage d'un système informatique où des données auraient été volées par des
agents malveillants à l'étranger. En quoi informer une personne que ses
renseignements ont été compromis pourrait entraver l'enquête?» Et là je saute
un morceau et je continue la citation du Barreau : «Ainsi, cet article
pourrait être modifié afin de le limiter aux seuls cas où la divulgation serait
préjudiciable à une enquête.» Et là on poursuit : «La CAI pourrait se voir
octroyer le pouvoir de déterminer s'il est justifié d'attendre avant de rendre
l'incident de confidentialité public durant quelques jours...»
• (15 h 50) •
J'ai tendance à avoir une oreille
attentive pour ces deux groupes qui nous font des recommandations similaires.
Comment on fait pour que cette disposition-là ne soit pas, comme l'a dit le
Barreau, un prétexte? Comment on fait pour que ça ne soit pas... Parce que ça
peut être long, une enquête, là, puis il y en a qui ne se règlent... il y a des
enquêtes qui ne se concluent jamais, tristement. Puis, dans ce domaine-là, on
peut redouter que ce sera le cas, là, des enquêtes qui ne vont finalement
jamais donner de résultat ou <en donner très peu...
M. Nadeau-Dubois : …
le
Barreau, un prétexte? Comment on fait pour que ça ne soit pas... Parce que ça
peut être long, une enquête, là, puis il y en a qui ne se règlent... il y a des
enquêtes qui ne se concluent jamais, tristement. Puis, dans ce domaine-là, on
peut redouter que ce sera le cas, là, des enquêtes qui ne vont finalement
jamais donner de résultat ou >en donner très peu. C'est quoi, la réponse
du ministre à ces deux intervenants-là qui expriment des craintes très
similaires?
M.
Caire
:
Bien, en fait, la réponse, elle est assez simple, alors… et elle réside dans
les mots suivants : «tant que cela serait susceptible d'entraver une
enquête». Donc… Et là je vous ramène à ce que je disais initialement : La Commission
d'accès à l'information doit être au dossier très rapidement. Et la Commission
d'accès à l'information a un volet juridictionnel dont on a convenu, vous et
moi, qu'il était quand même assez performant. Et donc il revient à la CAI...
qui a le pouvoir d'ordonner, je le réitère, d'ordonner que la divulgation soit
faite aux individus concernés, il reviendra à la CAI de juger si la divulgation
représente effectivement une entrave. Et cette prérogative-là ne revient en
aucun temps, en aucun temps à l'entreprise privée. Ce n'est pas à l'entreprise
privée d'évaluer si la divulgation fait entrave à l'enquête, c'est à la
Commission d'accès à l'information, et la Commission d'accès à l'information, à
ce moment-là, pourra décider que cette divulgation-là n'est pas dans l'intérêt
de l'enquête. Et, tout au long du processus, la Commission d'accès à
l'information aura le pouvoir de déterminer si on en arrive à un point où la
divulgation n'est plus une… même si elle a décidé préalablement, par exemple,
que, oui, cette divulgation-là, pour des raisons que je ne pourrais pas
imaginer présentement, mais, bon, que c'est une entrave à l'enquête. Comme le
dit… Le député de Gouin a raison, ça peut être long, une enquête, puis il peut
arriver un moment donné où la Commission d'accès à l'information va dire :
Écoutez, là la divulgation n'est plus une entrave à l'enquête, donc vous
divulguez. Donc, c'est vraiment au volet juridictionnel de la Commission
d'accès à l'information de faire cette évaluation-là et d'exercer son pouvoir
de décider si, oui ou non, il y a divulgation parce qu'il y a entrave à une
enquête.
M. Nadeau-Dubois : Donc,
la commission seule sera juge de ce fameux critère là.
M.
Caire
:
Absolument.
M. Nadeau-Dubois : C'est-tu
mentionné quelque part, ça? C'est-tu implicite? C'est explicite? Parce que, tu
sais…
M.
Caire
: Bien,
c'est-à-dire que…
M. Nadeau-Dubois : ...c'est
ça, je veux qu'on bouche tous les trous, là, s'assurer que ce soit bien, bien
clair. Ce n'est pas juste une interprétation, c'est explicite que c'est la commission
qui tranche la question.
M.
Caire
: Bien,
en fait, oui, parce que c'est la commission qui a le pouvoir d'ordonner de le
faire, donc d'ordonner qu'on fasse la divulgation aux personnes concernées, et
donc, à partir de là… et d'où, d'où... puis là je ne veux pas refaire le débat,
là, mais d'où l'importance que la Commission d'accès à l'information soit au
dossier aussi rapidement que possible, pour qu'elle puisse, justement, à la
genèse de la situation, faire les <évaluations nécessaires.
Donc, comme…
M.
Caire
: …
à
partir de là… et d'où, d'où... puis là je ne veux pas refaire le débat, là,
mais d'où l'importance que la
Commission d'accès à l'information soit au
dossier aussi
rapidement que possible, pour qu'elle puisse
justement,
à la genèse de la
situation, faire les >évaluations nécessaires.
Donc, comme c'est son pouvoir à elle
d'ordonner la divulgation, bien oui, il est clair que c'est son pouvoir à elle
de vérifier si la divulgation ferait entrave à une enquête. Parce que, comme
vous l'avez dit, M. le député, il est très possible que l'entreprise, elle,
dise : Non, non, non, on n'en parlera pas, il y a une enquête. Mais la
commission, elle, peut dire : Oui, oui, tu vas en parler parce que, oui,
il y a une enquête, mais la divulgation n'y fait pas entrave, donc je t'ordonne
de faire cette divulgation-là.
M. Nadeau-Dubois : Juste
pour qu'on se comprenne bien, là, l'enquête, ici, en question, là, ça peut être
une enquête d'un service policier...
M.
Caire
: Oui,
ou de la CAI elle-même.
M. Nadeau-Dubois : ...ça
peut être une enquête de la CAI elle-même.
M.
Caire
:
Oui.
M. Nadeau-Dubois : Dans
le cas d'une enquête de la CAI, la CAI est bien placée pour savoir ce qui va
entraver sa propre enquête.
M.
Caire
:
Oui.
M. Nadeau-Dubois : Dans
le cas d'une enquête menée par un service policier, c'est… C'est une question
en toute candeur, là. C'est quoi, le processus? C'est quoi, le… Tu sais, dans
le fond, comment la CAI va juger, elle, de si la divulgation va entraver
l'enquête policière? Si ce n'est pas elle qui enquête, tu sais, mettons, c'est
la GRC qui enquête, parce que c'est un crime pancanadien, mettons...
M.
Caire
:
Oui, c'est possible.
M. Nadeau-Dubois : ...la Commission
d'accès à l'information, comment, elle, elle va être juge? Elle sera… Tu sais,
est-ce que les forces policières vont informer la CAI des pistes de l'enquête?
Tu sais, j'essaie juste de voir, très concrètement, là, comment la CAI peut
juger de ça si c'est elle qui est le juge.
M.
Caire
: Parce
que la CAI, dans son volet juridictionnel, a ces discussions-là avec les… Quand
il y a des services policiers qui font enquête, bien, il est possible que les
policiers, effectivement, dans un contexte x, demandent qu'on ne divulgue pas
les… Et, vous savez, bon, la CAI a aussi un volet tribunal. Donc, il est
possible que les services de police demandent à ce qu'on ne divulgue pas les
noms des personnes pour une raison x, y et fassent la démonstration :
Écoutez, ce faisant, vous feriez entrave à notre enquête. Et la CAI va évaluer
la situation comme elle le fait dans d'autres situations qui sont de sa
prérogative. Puis là elle pourra juger, dire : O.K., oui, je pense que là,
si on fait cette divulgation-là, ça pourrait porter préjudice au travail des enquêteurs,
donc nous ne le ferons pas. Mais la CAI a cette expertise-là d'évaluer les
préjudices qui sont causés par une divulgation, ou une non-divulgation, ou le
respect de la loi. Ça fait quand même partie de son expertise.
M. Nadeau-Dubois : Donc,
ça va être… ça va se faire dans le cadre du volet
juridictionnel, et les avocats du service de police vont aller faire des
représentations à la CAI.
M.
Caire
:
…vérification, lui, il fait son… C'est... Le volet vérification est un volet d'enquêteur,
bien, entre autres, là, pas exclusivement, mais est un volet d'enquêteur. Le
volet juridictionnel, lui, <va apprécier les…
M. Nadeau-Dubois : …
ça
va se faire dans le cadre du volet juridictionnel, et les avocats du service de
police vont aller faire des représentations à la CAI.
M.
Caire
:
…vérification, lui, il fait son… C'est... Le volet vérification est un volet
d'enquêteur, bien, entre autres, là, pas exclusivement, mais est un volet
d'enquêteur. Le volet juridictionnel, lui, >va apprécier les démonstrations,
les preuves… Ça, ça veut dire… C'est ça.
M. Miville-Deschênes
(Jean-Philippe) : ...petite clarification, en fait...
M.
Caire
:
Ça, ça veut dire : il était dans le champ.
M. Miville-Deschênes
(Jean-Philippe) : Non, non, pas tant. Mais le volet juridictionnel,
actuellement, il interprète des dispositions par rapport à l'entrave aux
enquêteurs. Il peut dire : S'il y a une demande d'accès, avec
l'article 28…
Une voix
: …
M. Miville-Deschênes
(Jean-Philippe) : Exactement. Oui, oui, mais c'est… La clarification
s'en vient par la suite. Donc, il va... Effectivement, il est habitué
d'interpréter l'entrave aux… Je pense que... puis... Mais, par contre, dans le
cas d'un incident de confidentialité, c'est le volet surveillance qui est
avisé. C'est sûr que les critères sont connus puisqu'il y a des décisions de la
section juridictionnelle qui ont établi des critères pour savoir s'il y a
entrave ou pas, mais c'est le volet… Je voulais juste vous mentionner que
c'était le volet surveillance qui allait agir lors d'un incident de
confidentialité, en fait.
M.
Caire
: ...la
divulgation ou non, c'est le volet juridictionnel qui…
M. Miville-Deschênes
(Jean-Philippe) : Non, juridictionnel, c'est vraiment juste quand il y
a une demande d'accès à l'information ou d'accès…
M.
Caire
:
C'était presque ça que j'avais dit.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est des commissaires dans tous les cas.
M. Nadeau-Dubois : ...commissaires
de la section surveillance qui vont être appelés à apprécier si la divulgation
de l'identité des victimes d'un incident de confidentialité porte préjudice ou
non à l'enquête.
M.
Caire
: …M.
le député, de venir à mon secours.
M. Nadeau-Dubois : Non,
mais, des fois, on ne reformule pas pour les autres, des fois, on reformule
aussi pour soi. C'est tout ce que je viens de faire. Puis ça me…
M. Barrette : ...
M.
Caire
:
Non, non. Jamais, jamais, jamais je ne dirai que le député de Gouin est venu au
secours d'un ministre.
M. Nadeau-Dubois : C'est
ce que Me Miville-Deschênes faisait aussi, reformuler pour lui-même
seulement, hein? Ce n'était pas…
M.
Caire
: Mais
je vous ai défendu auprès du député de La Pinière, hein, quand même.
M. Nadeau-Dubois : Oui, non,
je sais. Je sais. Donc, O.K. Bien, je… Et donc c'est des pratiques qui existent
déjà, est-ce que c'est ce que je comprends bien?
Le Président (M. Bachand) :
Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : ...
M.
Caire
:
Non, non. Vas-y, réponds.
M. Miville-Deschênes
(Jean-Philippe) : Il interprète déjà des dispositions qui visent à
déterminer s'il y a une entrave à une enquête en cours en fonction de l'étape,
des délais qui sont encourus. Donc, il interprète déjà, à l'article 28,
là, deuxième paragraphe, cette disposition-là depuis 1982.
M. Nadeau-Dubois : D'accord.
Je comprends mieux la mécanique. Je vois, je vois bien. Donc, les craintes du Barreau
ou de la Ligue des droits en ce sens-là, le ministre juge qu'elles ne sont pas
fondées?
M.
Caire
:
Bien, en fait, je dirais que c'était légitime de les exprimer, mais elles n'ont
pas lieu d'être.
M. Nadeau-Dubois : Ça
complète pour moi le bloc 3.5, M. le Président.
Le Président (M. Bachand) :Mais, encore une fois, on peut toujours revenir aussi. Alors
donc, on serait au bloc 3.6.
• (16 heures) •
M. Nadeau-Dubois : …on
définit ce qu'est un incident de confidentialité. Est-ce que c'est des éléments
de définition qui ont des équivalents dans d'autres lois, au fédéral, le RGPD?
C'est-tu des éléments… C'est-tu une <définition…
>
16 h (version révisée)
<17859
Le Président (M. Bachand) :...au
bloc 3.6.
M. Nadeau-Dubois : ...3.6,
on définit ce qu'est un incident de
confidentialité.
Est-ce que
c'est des éléments de définition qui ont des équivalents dans d'autres lois au
fédéral, RGPDV?
C'est-tu des éléments...
C'est-tu une >définition
qui est standard, inspirée de... ou c'est une création de nos juristes ici?
Juste pour savoir jusqu'à quel point on est raccord avec les autres définitions
qui existent d'un incident de confidentialité.
M. Miville-Deschênes
(Jean-Philippe) : En fait, la définition est calquée sur d'autres législations,
notamment la loi fédérale, parce que... entreprises, il y a une distinction. On
a ajouté, dans l'article 3.6, «l'utilisation non autorisée», et ça, c'est
un élément qu'il n'y a pas dans la loi fédérale actuellement, puis l'objectif
étant de couvrir le plus large possible dans la définition, considérant que de
toute façon la divulgation avait lieu lorsqu'il y a un risque de préjudice
sérieux dans tous les cas. Donc, la définition est un peu plus large au Québec par
rapport à la loi fédérale puis à d'autres juridictions.
M.
Caire
: ...couvrir
le fait de gens qui collectent de l'information sous un prétexte puis les
utilisent à d'autres fins.
M. Nadeau-Dubois : Oui, ou
des gens qui sont à l'intérieur de l'organisation et...
M.
Caire
:
Oui, aussi, mais je pensais...
M. Nadeau-Dubois : Parce
qu'on sait que c'est...
M.
Caire
: Je
pensais notamment à un cas de figure dont nous avons discuté récemment, M. le
député, où on se disait : Bien, je collecte une information en vous disant :
Je veux faire ceci avec, vous me donnez votre consentement, finalement je fais
ceci, mais je fais aussi cela. Cela n'ayant pas eu le consentement, c'est une
utilisation non autorisée.
M. Nadeau-Dubois : Ah! donc,
ici, l'expression «utilisation non autorisée» couvre le fait d'utiliser un
renseignement personnel qui a été collecté à une fin x et de l'utiliser à
une fin y?
Une voix
: ...
M.
Caire
:
Je tenais à le souligner, parce que ça m'apparaît être assez important. Parce
qu'on a en tête, évidemment, le fait de dire : De par ma fonction, j'ai
accès à des renseignements, je les utilise puis je fais des choses... Je pense
que ça, c'est l'exemple qui vient en tête de tout le monde, puis c'est vrai
aussi, mais ce qui est important de souligner, c'est que ça vient couvrir le
fait qu'on vous demande vos renseignements personnels dans une perspective de
service, puis, moi, par exemple, je constitue une liste que je vends à un tiers,
mais ça, ce n'était pas autorisé, là, ce n'était pas pour ça que je les avais
donnés, là.
Puis je pense qu'on a eu, tu sais,
quelques discussions, vous et moi, là-dessus, puis je vous ai dit à quel point
cette pratique-là me levait le coeur. Donc, cette disposition-là vient couvrir
le fait que : Non, non, non, ce n'était pas pour ça que tu m'as demandé
mes renseignements personnels, ça fait que tu ne les utilises pas pour d'autres
fins que celles pour lesquelles tu me les as demandés sans mon consentement.
M. Nadeau-Dubois :
J'essaie... Parce que le ministre... On a eu plusieurs discussions sur
plusieurs incidents de confidentialité, puis c'est dommage, parce que ça veut
dire qu'il y en a beaucoup, ça fait qu'on a beaucoup d'exemples à utiliser, mais
ce qu'il s'est passé au Tribunal administratif du logement, là...
M.
Caire
:
Non, ça, non. Par contre...
M. Nadeau-Dubois : ...où, dans le fond, des renseignements, qui étaient collectés à une fin, ont
été colligés par un tiers, réorganisés, ont fait une liste avec, ce qui est
devenu l'espèce de liste noire de locataires. Est-ce qu'on est dans ce type...
M.
Caire
:
Non, ça ne couvre pas ça, parce que, dans ce cas-là, les renseignements ont été
rendus disponibles en conformité de la loi. Le problème qu'on a dans ce cas-là,
il est autre. Le problème qu'on a dans ce cas-là, c'est cette tendance
schizophrénique que nous <avons de...
M. Nadeau-Dubois : ...est-ce
qu'on est dans ce type...
M.
Caire
:
Non, ça ne couvre pas ça, parce que, dans ce cas-là, les renseignements ont été
rendus disponibles en conformité de la loi. Le problème qu'on a dans ce cas-là,
il est autre. Le problème qu'on a dans ce cas-là, c'est cette tendance
schizophrénique que nous >avons de catégoriser la sensibilité d'un
renseignement sur la base de qui l'utilise et/ou qui le génère, plutôt que sur
la base du renseignement lui-même.
M. Nadeau-Dubois : Plutôt
que de sa nature.
M.
Caire
: Donc,
un renseignement qui a été rendu public tout à fait légitimement, tout à fait
légalement par le Tribunal administratif du logement se verrait protégé par
quatre lois différentes de régimes particuliers, le même renseignement, mais en
santé. C'est ça qui n'a pas d'allure, là.
M. Nadeau-Dubois : O.K.
Parfait. Merci, M. le Président, c'est bon pour moi.
Le Président (M. Bachand) :
Ça va sur tout le bloc 3.6? On va passer au bloc 3.7. Est-ce qu'il y
aurait interventions pour l'instant? On peut y revenir aussi, là, encore une
fois. M. le député de Gouin, oui.
M. Nadeau-Dubois : Oui,
merci. Juste pour bien comprendre l'esprit du 3.7. Ça, ici, c'est une
explication de l'obligation, qui a été faite un peu plus tôt dans l'article,
aux entreprises d'évaluer le préjudice, et là on vient dire, à 3.7 : Voici
ce que vous devez considérer.
M.
Caire
: ...vous
allez évaluer qu'un incident est préjudiciable.
M. Nadeau-Dubois : O.K.
Parfait, merci.
Le Président (M. Bachand) :
Est-ce qu'on irait maintenant au 3.8, dernier bloc? M. le député de Gouin, s'il
vous plaît.
M. Nadeau-Dubois : Il y a
des gens qui ont fait des représentations pour que ce registre-là des incidents
soit rendu public. Qu'est-ce qui rend le ministre enclin à ne pas aller dans ce
sens?
Le Président (M. Bachand) :
M. le ministre.
M.
Caire
:
En fait, deux choses. La première, c'est un peu la discussion qu'on avait eue
sur le même sujet au niveau du public, qui était que certains... En fait, à
moins d'avoir des critères très chenus, le fait de rendre certains incidents
publics pouvait être préjudiciable, préjudiciable pour les individus. Puis, si
on ne veut pas un registre qui ne dit rien parce qu'on ne veut pas causer ce
préjudice-là, bien... Puis l'autre chose, c'était qu'essentiellement ce qu'on
souhaite, c'est que la commission puisse avoir cette espèce de journal de bord
pour faire son travail. Dans le fond, c'est un outil qui se veut aussi pour la
commission.
Je sais qu'il y a des <groupes...
M.
Caire
:
...ce qu'on souhaite, c'est que la commission puisse avoir cette espèce de
journal de bord pour faire son travail. Dans le fond, c'est un outil qui se
veut aussi pour la commission.
Je sais qu'il y a des >groupes
qui se disent... Bon, bien, tu sais, dans une perspective plus large, ça met
l'emphase sur les organismes qui ont peut-être eu des comportements, mais, en
même temps, tu sais, oui, mais l'erreur de bonne foi... Tu sais,
comprenez-vous? Quelqu'un qui a fait une erreur de bonne foi, puis tu te dis :
Wow! Je me ramasse dans le registre public. Il y a des sanctions pour ça, puis
je reviens là-dessus, mais, en même temps, je me dis : Bien, le Québec va
se donner d'un régime de sanctions qui est probablement... pas probablement,
qui est le plus sévère en Amérique du Nord et qui est apparenté à celui du Règlement
général de protection des données européen, donc qui est très sévère même au
niveau planétaire.
Donc, l'idée, c'est surtout d'avoir un
outil, pour la Commission d'accès à l'information, sur les incidents de
confidentialité, et pas de rajouter une couche de sanctions et/ou d'avoir un
registre aussi avec tellement peu d'information qu'on ne pourrait pas porter
préjudice à ceux qui ont été les victimes de ces incidents de confidentialité
là, qui ne souhaitent pas nécessairement être connus du grand public, là.
M. Nadeau-Dubois : Merci,
M. le Président.
Le Président (M. Bachand) :
Merci beaucoup. Autres interventions sur l'article 95 globalement? M. le
député de Gouin, oui, allez-y.
M. Nadeau-Dubois : Avant
qu'on ferme définitivement l'article 95, je vais me permettre de revenir
sur la question de la formation. J'ai été témoin de la discussion tantôt, puis
je n'ai pas allumé tout de suite, puis là je voulais attendre à la fin pour
revenir, là. En commission parlementaire, il y a des experts en sécurité qui
sont venus nous mettre en garde contre certaines pratiques, dans certaines
entreprises, de, comment dire, se patenter des expertises en protection des
renseignements personnels. Il y a tout un marché, là, qui va se développer, là,
d'un certain point de vue c'est une bonne chose, de l'expertise sur la question
de la cybersécurité, de la cyberdéfense. Il y a des gens qui vont avoir des
véritables expertises puis il va y avoir, comme dans tout domaine, des
charlatans, puis des gens qui se disent experts puis qui ne le sont pas, bon. Et
le ministre...
M.
Caire
:
Il y en a déjà quelques-uns qui sévissent dans l'espace public, je peux vous le
dire.
M. Nadeau-Dubois : Bon.
Comment on fait pour s'assurer que les gens qui sont responsables des renseignements
personnels... Et là ça vaut pour le public et pour le privé, hein? C'est quoi,
nos garanties que ces gens-là soient formés <convenablement...
M. Nadeau-Dubois : ...comment
on fait pour s'assurer que les gens qui sont responsables des
renseignements
personnels... Et là ça vaut pour le public et pour le privé, hein? C'est quoi,
nos garanties que ces gens-là soient formés >convenablement? Est-ce
qu'on ne pourrait pas exprimer des exigences législatives à cet égard-là?
M.
Caire
:
C'est une excellente question, et j'y répondrai au meilleur de mes capacités,
parce que je vous dirais que nous sommes, même comme organisation, le gouvernement
du Québec, interpelés par cette question-là, je ne vous le cache pas. La
cybersécurité, c'est une discipline qui, quoi qu'on en dise, est relativement
récente.
• (16 h 10) •
M. Nadeau-Dubois : Oui, tout
à fait.
M.
Caire
:
Et les vrais experts ne sont pas légion. Alors, les commentateurs, eux, le
sont, mais les vrais experts ne sont pas légion. À partir de là, je pense que,
pour toute organisation, il y a un intérêt, sinon à aller chercher ces
experts-là, d'aller les... de leur offrir des formations. Et là, bien, M. le
député, il n'y a pas de magie, il faut éviter, justement, là, les experts
autoproclamés. On a des institutions scolaires qui sont reconnues, qui ont des
obligations déontologiques, qui donnent des formations qui ne tournent pas les
coins ronds et qui donnent des formations qui ont des diplômes et/ou des
attestations qui sont reconnus. Oui, c'est plus long, oui, c'est plus cher,
mais ça fait des vrais experts.
M. Nadeau-Dubois :
Pourquoi on n'exigerait pas, par la loi, que les responsables des renseignements
personnels aient certaines qualifications officiellement reconnues?
M.
Caire
:
Parce qu'à mon avis on va tirer à côté de la cible. Je vous explique. J'ai eu
cette discussion-là avec le député de La Pinière. Le dirigeant principal
de l'information du Québec, M. Rodrigue, est un notaire de formation.
Donc, si on se fie à ce critère-là, qu'est-ce qu'il fait là? Pourtant, je peux
vous dire que ça fait quelques années maintenant, plus d'une décennie, ça fait
mal de le dire, mais bon, que je m'occupe des dossiers informatiques soit dans
l'opposition, maintenant au gouvernement, puis c'est probablement une des
personnes les plus compétentes que j'ai vues à ce poste-là. On a la chance, au Québec,
d'avoir quelqu'un comme dirigeant principal de l'information qui, nonobstant le
diplôme qu'il a, qui peut... a des <années...
M.
Caire
:
...soit dans l'
opposition,
maintenant au
gouvernement,
puis c'est probablement une des personnes les plus compétentes que j'ai vues à
ce poste-là. On a la chance, au
Québec, d'avoir quelqu'un comme
dirigeant principal de l'information qui, nonobstant le diplôme qu'il a, qui
peut... a des >années d'expérience, j'espère qu'il ne m'en voudra pas de
le dire parce qu'on parle effectivement en termes de décennies, qui a une
excellente maîtrise des technologies de l'information, qui est extrêmement
compétent, mais, si on se fie juste à certains critères, alors...
M. Nadeau-Dubois : Bien
non, mais je comprends, mais...
M.
Caire
: Mais
ce que je veux dire, M. le député, puis j'ai eu la même discussion avec le
député de La Pinière, je pense que ce qu'il faut, essentiellement, c'est
de donner des objectifs puis de s'assurer que ces objectifs-là sont rencontrés.
Donc, ça, c'est le rôle de la CAI. Si les objectifs sont rencontrés, peu
importe qui vous a permis de les rencontrer, c'est le résultat qui compte, mais,
si les objectifs ne sont pas rencontrés, bien, tant pis pour vous, il y aura
des conséquences, il y aura des conséquences. Donc, ce que je nous invite à
faire, c'est de ne pas juger les moyens mais de juger des résultats.
M. Nadeau-Dubois : Dans
le RGPD, ils ont, eux, pris la décision, si mes informations sont bonnes,
d'affirmer quand même... C'est l'article 37.5 du RGPD, donc mes informations
sont bonnes, je pense.
M.
Caire
:
Oui, rendu là.
M. Nadeau-Dubois : Le
délégué à la... Ils appellent ça le délégué à la protection des données, là, mais
bon, c'est la même chose : «Le délégué à la protection des données est
désigné sur la base de ses qualités professionnelles et, en particulier, de ses
connaissances spécialisées du droit et des pratiques en matière de protection
des données, et de sa capacité à accomplir les missions visées à
l'article 39.»
Donc, je sais que le RGPD a été une des
inspirations du projet de loi. Dans le RGPD, on fait cette affirmation qu'on
souhaite que la personne responsable des renseignements personnels soit
désignée. On donne des critères généraux, hein? Ce n'est pas... On ne demande
pas un diplôme en particulier, tout ça, mais... Ça fait que pourquoi ne pas
avoir repris cet esprit-là dans le RGPD?
M.
Caire
:
Bien, comme je vous dis...
M. Nadeau-Dubois : Parce
que moi, je trouve ça intéressant de donner... Parce que moi, je l'entends,
l'argument du ministre, là, on ne va pas dire : Voici le C.V. que vous
devez avoir pour remplir le poste, c'est contre-productif. Puis on ne dira pas :
Vous devez avoir tel diplôme. Puis il n'y a pas d'ordre professionnel, aux
dernières nouvelles, des... puis ça va... Et, si ça arrive un jour, ce sera
dans très longtemps, des gens qui sont responsables en cybersécurité, mais
donner des grands principes comme ceux-là, pourquoi <pas...
M. Nadeau-Dubois :
...pour
remplir le poste, c'est contre-productif. Puis on ne dira pas :
Vous devez avoir tel diplôme. Puis il n'y a pas d'ordre professionnel, aux
dernières nouvelles, des... puis ça va... Et, si ça arrive un jour, ce sera
dans très longtemps, des gens qui sont responsables en cybersécurité, mais
donner des grands principes comme ceux-là, pourquoi >pas?
M.
Caire
: Bien,
en fait, on le fait, puis on le fait sur comment, quand, qui, pourquoi vous
collectez des renseignements personnels, comment les protéger, quels sont...
Donc, on met vraiment les obligations autour du renseignement personnel, de sa
confidentialité, du respect de la vie privée, des mesures de protection, de
quand est-ce qu'on peut le communiquer, quand est-ce qu'on ne peut pas le
communiquer.
Moi, je... Puis, comme je vous dis, ce n'est
pas que c'est inintéressant dans tous les cas de figure, ça serait faux de dire
ça, mais, dans le cas qui nous préoccupe, je pense que les objectifs sont
clairs, les résultats attendus sont clairs, l'organisme qui doit évaluer si ces
objectifs-là sont atteints a les pouvoirs pour le faire. Donc, à partir de là,
je me dis, ça revient un peu à ce qu'on se disait tantôt, je vais laisser
l'entreprise gérer la façon dont l'entreprise veut organiser ça, pour autant
que l'entreprise en question atteigne les résultats attendus.
M. Nadeau-Dubois :
...dans le public, pourquoi pas?
M.
Caire
: Bien,
dans le public, on l'a fait d'une certaine façon, parce que, bien, la
vice-présidence que nous avons ajoutée à la Commission d'accès à l'information,
il est précisé qu'il y a un profil TI qui est attendu.
M. Nadeau-Dubois : Oui, non,
mais dans les organismes... Parce que cette personne-là, à la Commission
d'accès à l'information, a juridiction sur le public et le privé, là.
M.
Caire
:
Oui, absolument.
M. Nadeau-Dubois : Donc,
ça vaut pour les deux, mais, dans les organismes publics, il y a des
responsables des renseignements personnels?
M.
Caire
:
Oui. Bien, parce que... Bien, très souvent, en passant, là, dans l'organisme
public, puis Me Miville-Deschênes pourra en témoigner parce que ça a été
son rôle pendant un certain temps dans sa jeune carrière, les responsables des
renseignements personnels ont plutôt un profil juridique parce qu'il s'agit
d'interpréter la loi, au fond.
M. Nadeau-Dubois : Bien,
d'ailleurs, c'est ce que le RGPD dit, là. Donc...
M.
Caire
:
Donc, c'est pour ça que, dans certains cas... Puis, au niveau de la CAI, il y
avait comme une idée de changer la culture de l'organisation, ça a été précisé,
parce que là il y avait un objectif qui était de changer la culture. Dans le
cas des organismes, ils le font déjà, donc ils sont en continuité de ce qu'ils
font déjà. Donc, il n'y avait pas là cette même velléité de changer la culture,
il y avait la velléité de changer la loi, le cadre juridique, etc., mais il n'y
avait pas cette intention-là, on n'arrive pas avec une nouvelle culture de
l'interprétation de la loi. Donc, dans ce cas-là, je pense que ce n'était pas
pertinent de le faire, puis, à ce moment-là, bien...
Je veux dire, <c'est...
M.
Caire
:
...de
changer la loi, le cadre juridique, etc., mais il n'y avait pas
cette intention-là, on n'arrive pas avec une nouvelle culture de
l'interprétation de la loi. Donc, dans ce cas-là, je pense que ce n'était pas
pertinent de le faire, puis, à ce moment-là, bien...
Je veux dire, >c'est une vision
que je vous partage, M. le député, mais je pense que moins on intervient dans
les moyens, plus on fait confiance aux gens sur le terrain. Pourvu que les
objectifs, les attentes soient clairs, je pense que c'est encore la meilleure
façon d'aborder les choses. Quelquefois, vous avez raison, ça vaut la peine de
dire : Bon, bien là, je vais être plus précis, parce qu'on essaie de
changer une culture, on essaie d'amener une nouvelle façon de faire, on va
légiférer pour obliger les gens à s'attacher parce qu'on veut changer les
cultures. Puis, aujourd'hui, on pourrait probablement... puis comprenez bien
que je ne dis pas qu'il faut faire ça, là, mais on pourrait potentiellement
abolir la loi, puis... et oui, je suis enregistré, puis les gens
s'attacheraient quand même parce que ça fait maintenant partie des réflexes
qu'on a développés, mais, dans ce cas-là, je pense qu'il n'y aurait pas de
pertinence d'aller jusque-là.
M. Nadeau-Dubois : Est-ce
que je peux demander une suspension de quelques instants aux collègues, juste
vérifier la pertinence ou non de faire un amendement sur la question?
Le Président (M. Bachand) :
Parfait. Alors, on va suspendre quelques instants. Merci.
(Suspension de la séance à 16 h 19)
(Reprise à 16 h 28)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux. M.
le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Donc, je dépose un amendement à l'article 95 :
Ajouter, après le troisième alinéa de l'article 3.1, proposé par l'article 95
du projet de loi, l'alinéa suivant — donc :
«La personne responsable de la protection
des renseignements personnels est désignée sur la base de ses qualités professionnelles
et, en particulier, de ses connaissances sur les pratiques en matière de
protection des données.»
Donc, c'est un libellé que j'ai fait
volontairement large parce que je partage en partie, en bonne partie les
arguments du ministre quand il dit qu'il ne faut pas restreindre trop pour ne
pas disqualifier des gens, en fait, qui seraient, dans les faits, compétents.
Donc, je fais une proposition qui est large, qui est générale. Et, si le ministre
trouve que c'est important, bien, on pourra revenir dans l'article
correspondant dans la loi sur le public pour venir l'inscrire.
Le ministre semblait d'accord avec moi sur
le fait qu'il y a un risque, là, de charlatanisme, là, ou, en tout cas,
d'expertises improvisées qui ne sont pas sérieuses. J'ai aussi entendu son
argument à l'effet qu'il ne fallait pas être trop restrictif, ça fait que
j'essaie de trouver ici un juste milieu en parlant de qualités professionnelles
au sens large et en précisant : «...et, en particulier, de ses
connaissances sur les pratiques en matière de protection des données.» Donc, je
n'ai pas souhaité être trop précis, trop spécifique, mais je pense que c'est quand
même important d'envoyer le signal aux entreprises et aux organismes publics,
avec le consentement du ministre, que n'importe qui ne peut pas occuper ce
rôle, que c'est un rôle important et qu'on s'attend que ce soit confié à des
gens qui ont certaines connaissances de ces pratiques-là.
• (16 h 30) •
J'aurais pu aller beaucoup plus loin, puis
il y a des représentations en commission parlementaire qui nous ont été faites
puis qui nous amèneraient beaucoup plus loin, là. Il y a des gens qui nous ont
recommandé qu'on exige certaines qualifications professionnelles en particulier,
là, certaines certifications. J'ai cru comprendre que le ministre ne souhaitait
pas aller là, donc je... Déposer des amendements dont je suis sûr et certain qu'ils
seront battus, ce n'est pas quelque chose que j'aime faire, ça fait que
j'essaie d'aller à une <proposition qui, il me semble...
>
16 h 30 (version révisée)
<16827
M. Nadeau-Dubois :
...qualifications
professionnelles en particulier, là, certaines
certifications.
J'ai cru comprendre que le
ministre ne souhaitait pas aller là, donc
je... Déposer des amendements dont je suis sûr et certain qu'ils seront battus,
ce n'est pas
quelque chose que j'aime faire.
Ça fait que j'essaie
d'aller à une >proposition qui, il me semble, pourrait rejoindre le ministre,
pour qu'on trouve un terrain d'entente. C'est vraiment aussi le signal qu'on
envoie, je pense, ici, qui est important, là, le signal qu'on s'attend que ça
soit un rôle qui est pris au sérieux.
Puis je rappelle au ministre qu'on a préalablement
adopté un amendement qui fait en sorte que les petites entreprises, qui
n'auraient peut-être pas la taille nécessaire pour avoir quelqu'un dans leur personnel
qui a ces... qui remplit ces critères-là, bien, on leur a donné la possibilité
plus tôt, dans le projet de loi, en amendant, de se regrouper puis de faire
affaire avec des ressources externes.
Donc, je pense que ça vient... cet amendement-là
vient peut-être préventivement répondre à l'argument qui pourrait être présenté,
qui serait de dire : Oui, mais là ce n'est pas... Il y a beaucoup
d'entreprises au Québec, ce n'est pas toutes les entreprises qui ont quelqu'un
dans leur personnel qui a des connaissances sur les pratiques en matière de protection
des données. Je pense qu'on a déjà colmaté ça avec l'amendement qu'on a adopté
plus tôt puis qu'on pourrait aller avec cette espèce d'énoncé de principes là
qui nous permet de trouver un juste milieu puis qui nous permet d'envoyer le
signal aux organismes qui sont soumis à la loi que c'est un job sérieux pour
lequel il faut avoir certaines compétences puis certaines connaissances. C'est
mon objectif avec cet amendement.
Le Président (M. Bachand) :Merci beaucoup. M. le ministre.
M.
Caire
:
Oui, merci, M. le Président. Bien, je comprends la préoccupation de mon collègue
de Gouin. Maintenant, je me dois d'être cohérent avec ce que j'ai dit et ce que
j'ai fait aussi précédemment. C'est un débat qu'on a eu à l'article 8,
précédemment, quand on a parlé des responsables au niveau des organismes
publics. C'est une discussion qu'on a eue avec le député de La Pinière et
pour laquelle je me dois d'être cohérent avec ce que j'ai dit à ce moment-là, à
savoir que ça reste la prérogative du premier dirigeant de décider qui est son
responsable et pourquoi il le nomme. Ça, ça appartient au premier dirigeant.
Puis, pour moi, c'est vrai pour un organisme public. Et là je suis cohérent en
disant : Bien, ça va être vrai aussi pour un organisme privé.
Je demeure convaincu que la bonne façon de
travailler dans ce type de dossier là, c'est d'être très clair sur l'objectif, puis
je pense que nous le sommes, qu'il n'y ait pas d'ambiguïté sur ce à quoi on
s'attend en matière de protection des renseignements personnels, que ce soit d'un
organisme public ou d'un organisme privé. Je pense que le projet de loi
n° 64 fait ça, et de s'assurer qu'il y a un organisme de surveillance qui
est là pour faire le travail...
Puis ça, j'en profite, j'ouvre et je
referme la parenthèse, parce que c'est quelque chose que j'ai beaucoup apprécié
de Me Poitras, qui a bien indiqué qu'elle avait compris l'intention du législateur
sur le fait qu'on souhaitait que la Commission d'accès à l'information <travaille...
M.
Caire
:
...pour faire le travail...
Puis ça, j'en profite, j'ouvre et je
referme la parenthèse,
parce que c'est
quelque chose que j'ai
beaucoup
apprécié de Me Poitras, qui a bien indiqué qu'elle avait compris
l'intention du
législateur sur le fait qu'on souhaitait que la
Commission
d'accès à l'information>travaille plus non seulement en surveillance,
mais en prévention et en accompagnement. Donc, ça, ça me rassure beaucoup de
comprendre que la Commission d'accès à l'information a vraiment enregistré ce
rôle-là qu'on souhaite qu'elle joue. Je ferme la parenthèse.
Et donc, en conséquence, on a des
objectifs qui sont clairs, on a un tiers neutre qui a un mandat qui est clair,
qui est bien compris par l'organisation en question, qui a les pouvoirs pour
assumer ce rôle-là. Et ultimement il y a une possibilité, bien, si l'organisme
ne prend pas ses responsabilités, il y aura des conséquences.
Alors, pour cette raison-là, M. le
Président, je pense qu'il n'est pas nécessaire d'aller sur le terrain, là, de
définir le profil de la personne qui est responsable de la protection des
renseignements personnels, parce qu'il est de l'intérêt de l'organisme public
comme privé d'avoir là la personne qui va être la plus compétente possible.
Parce que les conséquences, maintenant, ce qui n'était peut-être pas le cas
avant l'avènement du p.l... bien, ce qui n'est pas le cas avant l'avènement du
p.l. n° 64, les conséquences peuvent être assez importantes.
Donc, je vais rester cohérent, M. le
Président, avec ce que j'ai dit au député de La Pinière, qui m'en voudrait
très certainement d'avoir deux discours différents. Lui-même, à l'époque où il
était ministre, ne se gênait pas pour le faire à mon endroit. Mais je ne fais
pas aux autres ce que je ne veux pas qu'on me fasse à moi-même. Je trouve ça
dommage, parce que le député de La Pinière ne réagit même pas. C'est
plate.
Une voix
: ...
M.
Caire
:
Ah! intérieurement. Mais, bref, M. le Président, pour ces raisons-là, je ne
peux pas appuyer l'amendement de mon collègue.
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Avoir
deux discours, c'est un problème si on les tient en même temps. Si c'est parce
qu'on évolue dans notre pensée et qu'on se corrige, c'est loin d'être un
défaut, c'est une qualité, et tout le monde le reconnaîtrait autour de la table
de cette commission. Mais, M. le Président, j'ai présenté mes arguments, le
ministre a...
M.
Caire
: ...donner
raison au député de La Pinière, vous comprendrez que...
M. Nadeau-Dubois : Ça, c'est
le vrai. C'est là, ça accroche pour vrai.
M.
Caire
:
Oui.
M. Nadeau-Dubois : Plus
sérieusement, M. le Président, j'ai présenté mes arguments, le ministre a
présenté les siens, je suis prêt à passer au vote.
Le Président (M. Bachand) :
Merci beaucoup. D'autres interventions? Donc, nous allons procéder à sa mise
aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Abstention.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est rejeté. Donc, on revient à l'article 95
tel qu'amendé. Interventions? S'il n'y a pas d'autre intervention, <nous
allons...
La Secrétaire
: ...le
gouvernement,
M. Lemieux (Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
:
Pour les membres de l'opposition officielle, M. Barrette
(La Pinière)?
M. Barrette :
Abstention.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on
revient à l'article 95 tel qu'amendé. Interventions? S'il n'y a pas
d'autre intervention, >nous allons procéder à sa mise aux voix. Est-ce
qu'il y a d'autres interventions? Je regarde une dernière fois. Ça va? Allez-y,
M. le député de Gouin, là.
M. Nadeau-Dubois : C'est
bon, on a fait le tour, M. le Président.
Le Président (M.
Bachand) : Ça va? O.K. D'accord.
M. Nadeau-Dubois : On a
pris le temps de bien disséquer cet article. Je pense que... de mon côté, en
tout cas, je suis prêt à passer au vote.
Le Président (M. Bachand) :
Parfait. Donc, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention, M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 95, tel qu'amendé, est adopté. Merci. M. le
ministre, s'il vous plaît.
M.
Caire
:
Oui. M. le Président, l'article 96 se lit comme suit : L'article 4
de cette loi est remplacé par le suivant :
«4. Toute personne qui exploite une entreprise
et qui, en raison d'un intérêt sérieux et légitime, recueille des renseignements
personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.
«4.1...» Oh! excusez, là, je m'en vais
vite un peu. Donc, M. le Président, l'article 4 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le projet de loi de la plupart des occurrences de
la notion de dossier dans cette loi. Et j'ai un amendement, M. le Président,
donc... Ah! bien, non, l'amendement, c'est d'insérer l'article 4.1. Donc,
voilà.
Le Président (M. Bachand) :
Excusez-moi, là, mais...
M.
Caire
:
C'est ce qu'est l'article 4. Désolé, M. le Président, c'est... l'amendement,
c'était d'introduire l'article 4.1, et on va faire 4, puis après ça
j'introduirai 4.1, ce qui va représenter une séquence plus logique.
Le Président (M. Bachand) :
On va suspendre quelques instants, s'il vous plaît, juste pour la suite des
choses, O.K.? Merci. On suspend quelques instants.
(Suspension de la séance à 16 h 38)
(Reprise à 16 h 40)
Le Président (M. Bachand) :
Alors, à l'ordre, s'il vous plaît! Donc, on recommence. M. le ministre, s'il
vous plaît.
M.
Caire
:
Alors, j'avais lu 4, je vous lirai donc 4.1.
Le Président (M. Bachand) :
Donc, l'article 96.
M.
Caire
: L'article 96
se lit comme suit :
«4. Toute personne qui exploite une
entreprise et qui, en raison d'un intérêt sérieux et légitime, recueille des
renseignements personnels sur autrui doit, avant la collecte, déterminer les
fins de celle-ci.
«4.1. Les renseignements personnels
concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès
de celui-ci sans le consentement du titulaire de l'autorité parentale, sauf
lorsque cette collecte est manifestement au bénéfice de ce mineur.».
Et j'ai un amendement qui touche 4.1, qui
se lit comme suit : Insérer, dans l'article 4.1 de la Loi sur la
protection des renseignements personnels dans le secteur privé, proposé par
l'article 96 du projet de loi, et après «titulaire de l'autorité
parentale», «ou du tuteur».
Donc, M. le Président, ça vient en
concordance avec ce qu'on a fait au niveau du secteur public, à la demande du Curateur
public, de prévoir que l'autorité parentale peut aussi être le tuteur, et donc
il peut consentir au nom du mineur. Ça, c'est la modification à 4.1. Puis l'article 4
comme tel vient en concordance avec la notion de dossier qu'on avait.
Le Président (M. Bachand) :
Merci. Interventions sur l'amendement, s'il vous plaît? S'il n'y a pas d'intervention
sur l'amendement, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement à l'article 86 est adopté. Donc, on revient
à 96 tel qu'amendé. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : On
parle, dans cet article, d'un enjeu dont j'ai déjà discuté avec le ministre,
qui est la question de la collecte des données personnelles sur les enfants. Ça
peut avoir l'air d'un discours dystopique, mais ce ne l'est pas, il y a des
pratiques commerciales qui ont fait leur apparition, notamment <au Québec...
M. Nadeau-Dubois : ...des
données
personnelles sur les enfants. Ça peut avoir l'air d'un discours
dystopique, mais ce ne l'est pas, il y a des pratiques commerciales qui ont
fait leur apparition,
notamment >au Québec, où de plus en plus
d'entreprises colligent des renseignements personnels auprès d'enfants, et une
des manières les plus pernicieuses de le faire, c'est via ce qu'on appelle des
jouets intelligents, qui, maintenant, meublent les tablettes de nos magasins.
Et il y a eu notamment, là, en 2018, Option
Consommateurs qui a publié un gros dossier franchement troublant sur les
pratiques de ces entreprises-là, où, via des toutous, des jouets, des tablettes
pour enfant, des petits oursons, toutes sortes de choses, là, il y a
enregistrements sonores, vidéo, prises de photos, enregistrements également de
messages textes qui sont envoyés par les enfants sur certains de ces
appareils-là.
On estime qu'au Canada, là, il y a à peu près
300 modèles de jouets intelligents, qui ne sont pas tous répréhensibles,
mais ça donne une idée de la gamme de produits qui est en vente et de la
multiplication de ces patentes-là puis de ces produits-là, et il y a eu, même
aux États-Unis, des campagnes pour appeler au boycottage de certains de ces
produits-là. Le FBI s'est impliqué et a émis même un avertissement en 2015 à
l'égard de certains de ces appareils-là.
Ça fait que, tu sais, je ne veux pas
rentrer dans le discours apocalyptique ou dystopique, là, mais je répète
souvent au ministre, puis il est d'accord avec moi, qu'on écrit cette loi-là
aussi pour l'avenir puis pour ce qui va se développer, et on sait qu'il y a
certaines entreprises, puis ça, souvent, là, c'est vraiment des... souvent, c'est
des très grandes entreprises multinationales qui ont des pratiques qui sont franchement
questionnables. On a l'occasion, ici, là, de venir baliser, dans notre loi québécoise
à nous, ce qu'on veut mettre en... ce qu'on veut permettre puis ce qu'on veut
interdire comme pratiques, puis on a l'occasion de venir dire, les enfants du Québec,
là, comment on les protège. Historiquement, on a fait un choix de société,
au Québec, important puis qui nous distingue, puis je pense que ça fait partie
de notre modèle de société axé sur la justice sociale, c'est l'interdiction de
la publicité pour les enfants. Il y a plutôt un consensus là-dessus au Québec,
puis je n'ai jamais vu personne remettre ça en question. Donc, ça, cette
portion-là est déjà couverte. Ce qui n'est pas couvert, dans les pratiques
actuelles, par les lois québécoises puis par le projet de loi qu'on a sous les
yeux, c'est l'utilisation à des fins commerciales des données qui sont
récoltées sur les enfants.
Par exemple, je viens de le dire, on ne
peut pas, au Québec, faire du ciblage <publicitaire...
M. Nadeau-Dubois : ...
québécoises
puis par le
projet de loi qu'on a sous les yeux, c'est l'utilisation à
des fins commerciales des données qui sont récoltées sur les enfants. Par
exemple, je viens de le dire, on ne peut pas, au Québec, faire du ciblage >publicitaire
sur un enfant, parce que c'est de la publicité pour un enfant, puis on n'a pas
le droit de faire ça au Québec. Mais un jouet intelligent, ça ne choisit pas
qui ça écoute. Ça écoute tout le monde, ça peut écouter plusieurs enfants dans
une pièce, le petit frère, la petite soeur, les parents. Et les données, donc,
récoltées sur des enfants peuvent être utilisées à des fins commerciales, par
exemple du profilage commercial pour les parents.
C'est des pratiques qui sont documentées. Et
je me demande si... En fait, je fais plus que me le demander, je pense qu'ici
on pourrait venir ajouter un amendement qui dit — sous-texte : Puisqu'au
Québec on a fait le choix que la publicité pour les enfants, c'était quelque
chose qui était contre le bien commun puis qu'au-delà du consentement ou pas du
parent c'était illégal... Je pense qu'on devrait venir ici installer un
amendement qui dit : Quand vous collectez, même avec le consentement...
Parce que là le ministre va me dire : Oui, mais, déjà, on vient dire :
Il faut qu'il y ait le consentement du parent pour collecter des données sur un
mineur. O.K. Est-ce qu'on ne devrait pas venir dire ici : Même si vous
avez consentement du parent, là, des renseignements personnels collectés sur un
enfant, sur un enfant, on n'en fait pas d'utilisation commerciale?
C'est notamment une recommandation
d'Option Consommateurs. La CAI, dans son rapport quinquennal, en 2011, en
parlait également. La CAI, donc, en 2011... Donc, c'était en 2011, ça fait
quand même un petit bout, là, ça fait 10 ans, la CAI disait... faisait
référence à une recommandation du Conseil de l'Europe, qui, elle, date de 2010.
La CAI, donc, citait cette recommandation du Conseil de l'Europe, et je cite la
commission : «La commission appuie cette idée et recommande au législateur
d'envisager l'ajout d'une interdiction dans les lois de protection du
consommateur ou de protection des renseignements personnels — ce que
nous sommes en train de faire — concernant le profilage des jeunes.»
Je pense qu'il faut viser large, dire :
Les données collectées auprès des mineurs, on ne fait pas d'argent, là, on ne
fait pas de business avec ça, il n'y a pas d'usage commercial possible de
données personnelles collectées auprès des mineurs, tout comme on a décidé, au
Québec, d'interdire la publicité ciblée pour les enfants. Je pense qu'à la
lueur des dérapages auxquels on a assisté, là, puis qui sont bien documentés,
ça serait un amendement intéressant. J'aimerais savoir, sur ce sujet-là,
qu'est-ce que pense le ministre.
Le Président (M. Bachand) :
M. le ministre.
M.
Caire
:
Dire au député que j'ai fait une longue réflexion là-dessus, ça serait lui
mentir, et je me refuse à faire ça. D'entrée de jeu, puis je me donne le droit,
là, de réfléchir à la question, d'entrée de jeu, je dirais, par contre, que je
vois quand même une <distinction...
Le Président (M.
Bachand) : ...
M. le ministre.
M.
Caire
:
Dire au député que j'ai fait une longue réflexion là-dessus, ça serait lui
mentir, et je me refuse à faire ça. D'entrée de jeu, puis je me donne le droit,
là, de réfléchir à la question, d'entrée de jeu, je dirais, par contre, que je
vois quand même une >distinction entre collecter des renseignements
personnels avec le consentement du parent ou au bénéfice du mineur et une
publicité qu'on reçoit sans avoir de contrôle. Je pense, entre autres, à des
messages publicitaires à la télévision. On écoute une émission, la publicité,
elle est là, le parent, bon, là, tu sais, il peut toujours prendre la manette
puis fermer la télévision le temps de la publicité, mais on s'entend que ce
n'est pas... il y a comme une intrusion, il y a comme une... Puis ce n'est pas
une intrusion, parce que, je veux dire, on écoute la télévision, on laisse les
gens entrer chez nous, mais il n'y a comme pas de contrôle pour le parent à
l'exposition de l'enfant à cette publicité-là. C'est la raison, je pense,
principale pour laquelle on l'a interdit, parce que je ne peux pas contrôler à
quoi mon enfant est exposé ou non dans le cas d'une publicité.
Dans le cas de la collecte de renseignements,
c'est différent, c'est-à-dire que, là, on dit : Il y a quand même... je
dois, dans les paramètres que nous avons fixés, je dois avoir le consentement
du parent — et là on rajoute «du tuteur» — ou alors la
collecte doit se faire au bénéfice de l'enfant. Donc, on comprend qu'il y a des
situations, puis je sais qu'on a eu cette discussion-là, le député de Gouin et
moi, il y a des situations où le parent et/ou le tuteur ne peut pas et ne doit
pas être informé de la collecte, là, on a tous des exemples en tête, mais ce
n'est pas de ça dont on parle, effectivement, avec le député de Gouin.
• (16 h 50) •
Donc, moi, j'ai toujours une réserve à
dire : Bien, si le parent est consentant, qui suis-je pour aller au-delà
de ce consentement-là? Qui suis-je pour dire au parent : Tu n'as pas
d'affaire... Dans le fond, c'est ça, la discussion, c'est de dire au parent :
Tu n'as pas le droit de consentir à ça. Bien oui, mais là, là, c'est le parent
qui vous parle, je veux dire... j'ai... puis je ne dis pas... Puis, encore une
fois, là, je ne veux pas qu'on interprète, là, je me donne le droit de
réfléchir à cette question-là, je ne prétends pas être en possession de la
vérité, on jase, comme on dit, là. Mais, comme parent, j'ai toujours beaucoup
de difficultés à ce que le gouvernement se substitue à moi. Et je comprends qu'il
y a des situations où c'est incontournable et où ça doit être fait. Je le
comprends, je le comprends. Pour des raisons médicales, pour des raisons de
sécurité de l'enfant, il y a des situations où effectivement l'intérêt de
l'enfant prime sur l'autorité parentale, j'en conviens, là, d'entrée de jeu, mais,
je vous <dirais...
M.
Caire
:
...je le comprends. Pour des raisons médicales, pour des raisons de sécurité de
l'enfant, il y a des situations où effectivement l'intérêt de l'enfant prime
sur l'autorité parentale, j'en conviens, là, d'entrée de jeu, mais, je vous
>dirais, le moins possible, le moins possible. Quand on dépouille le
parent de son autorité parentale, je pense qu'on doit le faire avec beaucoup de
sagesse et beaucoup de parcimonie.
Alors, à la question : Est-ce que
cette situation-là est une situation où on se dit : Bien, je ne pense pas
que le parent est la meilleure personne pour décider si des renseignements
personnels de son enfant doivent être donnés à une entreprise pour quelque fin
que ce soit, que ce soit à des fins commerciales ou... Je ne le sais pas. Je ne
le sais pas. Honnêtement, je ne peux pas dire que j'ai une opinion arrêtée
là-dessus. Comme je vous dis, là, d'entrée de jeu, moi, j'ai toujours un
préjugé favorable à l'autorité parentale.
Le Président (M. Bachand) :
M. le député de Gouin.
M. Nadeau-Dubois : Il y a
aussi des enjeux qui relèvent des choix de société puis pas du libre arbitre
des parents. Tu sais, demain va être déposée une réforme de la loi 101, la
loi 101, c'est un bel exemple de ça. La loi 101, c'est un puissant
dépouillement de l'autorité parentale, c'est une puissante et forte... un fort
empiétement sur le choix fondamental des parents de dire : Moi, mon enfant
va aller dans quelle école. D'un point de vue strictement libéral, pas au sens
partisan, mais au sens philosophique du terme, la loi 101, c'est un énorme
empiétement sur la liberté individuelle. Du point de vue de la société
québécoise, c'est un choix de société que nous avons fait, pas pour des raisons
ni médicales ni de santé, mais pour... ni de sécurité, mais pour le bien
commun. Puis, le bien commun, dans le cas de la loi 101, c'est quoi? Bien,
c'est la survivance, puis même plus que la survivance, le déploiement dans
l'avenir du français.
Ça fait que, tu sais, des exemples où,
comme société, on choisit de se faire... d'affirmer un principe qui supplante
le principe de l'autorité parentale ou du libre arbitre du parent, il y en a
quand même beaucoup. Puis ce n'est pas juste sur des enjeux de santé puis de
sécurité, c'est souvent dans des enjeux où on juge que, là, le bien commun
commande qu'on instaure, comme société, un certain environnement puis qu'on
mette certaines balises en disant : Bien, oui, en effet, les parents, ils
n'ont pas ce choix-là, tu sais, tout comme les parents n'ont pas le choix
d'envoyer leurs enfants à l'école française ou anglaise au Québec. On a dit :
Non, les parents n'auront plus ce choix.
Puis moi, personnellement, je pense que c'est
justifié d'avoir retiré ce choix-là, parce qu'on est dans une situation où le
bien commun l'emporte sur le choix individuel. Cas classique de choix collectif
où on affirme quelque chose comme société puis on dit : C'est plus fort que
le strict choix du parent. C'est, d'ailleurs, une des raisons pour laquelle
beaucoup de gens contestent la loi 101, ce qui n'est pas mon cas, moi, je
juge que c'est un bon calcul.
Donc, il y en a plein, de ça, dans <une
société...
M. Nadeau-Dubois : ...
Cas
classique de choix collectif où on affirme quelque chose comme société puis on
dit : C'est plus fort que le strict choix du parent. C'est d'ailleurs une
des raisons pour laquelle beaucoup de gens contestent la loi 101, ce qui n'est
pas mon cas, moi, je juge que c'est un bon calcul.
Donc, il y en a plein, de ça, dans >une
société de droit, des moments où on affirme des principes puis on dit : C'est
plus important que l'autorité parentale. C'est le cas aussi... je donnais l'exemple
de la publicité. Et là, quand on arrive dans l'enjeu explosif et sensible de la
collecte des données personnelles des enfants, on est, selon moi, dans ce genre
de situation où, là, c'est un pensez-y-bien parce que, et on le sait et le ministre
le sait, quand les données sont collectées, à un moment donné, elles sont
conservées. Puis le parent peut consentir à ce que son enfant interagisse avec
un jouet intelligent qui va le prendre en photo, examiner sa voix, ses
mouvements, tout ça, en disant : Moi, ça ne me dérange pas. Ces données-là
sont conservées. L'enfant vieillit. Les données sont encore conservées par l'entreprise.
Après le consentement qui a été donné par le parent, l'enfant, par la suite,
vit avec toute sa vie, tu sais? Puis c'est pour ça qu'il y a plein de choix que
les parents n'ont pas le droit de faire pour leurs enfants.
Ça fait que moi, je pense qu'il y a là une
réflexion importante à avoir. J'ai cité quand même quelques autorités dans ma
présentation, Option Consommateurs, la CAI elle-même en 2011. Je pense qu'il y
a des balises à venir instaurer ici. On peut suspendre l'article si le ministre
n'est pas prêt à y aller. Moi, je voulais, comme on dit, faire mon pitch, lui
exprimer mes préoccupations. Est-ce que j'embrasse trop large avec toute
utilisation commerciale? Peut-être. Peut-être qu'on peut se concentrer, par
exemple, sur la question du profilage commercial. Parce que, là, on cible une
pratique qui peut nous apparaître spontanément comme problématique. Moi, je
suis ouvert à toutes ces avenues-là.
L'argument fondamental que je présente, c'est :
attention ici à la question du consentement parce qu'on est exactement dans le
genre de situation où il faut faire une réflexion pour voir qu'est-ce qui
devrait l'emporter entre le consentement parental puis d'autres valeurs qu'on
pourrait vouloir affirmer collectivement. Puis, encore une fois, tu sais, je ne
veux pas avoir l'air du gars qui annonce l'apocalypse à chaque fois, là, en
parlant des pratiques de certaines entreprises, mais on le sait, là, tu sais,
que ça existe. Puis j'ai lu beaucoup pour me préparer à cette commission-là,
puis, tu sais, des jouets qui sont munis de caméras puis de capteurs sonores
qui reconnaissent la voix, le visage de l'enfant... Il paraît qu'il y a un
petit robot qui s'appelle Cozmo, qui fait ça, je l'ai appris.
Là, il y a quelque chose qui devrait nous
heurter, pas juste comme parents mais comme législateurs, en se disant :
Du point de vue du bien commun, <c'est-u le genre...
M. Nadeau-Dubois : ...des
jouets qui sont munis de caméras puis de capteurs sonores qui reconnaissent la
voix, le visage de l'enfant... Il paraît qu'il y a un petit robot qui s'appelle
Cozmo, qui fait ça, je l'ai appris. Là, il y a quelque chose qui devrait nous heurter,
pas juste comme parents mais comme législateurs, en se disant : Du point
de vue du bien commun, >c'est-tu le genre de pratiques qui devraient
être légales? Je pense qu'on a une petite réflexion à faire là-dessus, puis ça
tombe bien parce qu'on travaille dans une commission qui avance bien, où la
collaboration est bonne. Je ne sais pas comment le ministre veut procéder, mais
je pense qu'il faut prendre le temps de réfléchir à ce qu'on veut mettre dans
le projet de loi sur cette question-là.
Le Président (M. Bachand) :...aussi le député de La Pinière.
M.
Caire
: ...
Le Président (M. Bachand) :
Oui, M. le ministre, avant, oui.
M.
Caire
:
Je vais peut-être intervenir sur ce que le député de Gouin vient de dire. Moi,
je suis très sympathique à plusieurs éléments qui ont été amenés par le député
de Gouin.
J'ai relaté, M. le Président, et vous me
permettrez de me répéter ou... J'ai eu le privilège de représenter le Québec au
Partenariat mondial sur l'intelligence artificielle à Paris, où j'ai eu le
privilège aussi de discuter avec les gens de la CNIL. Ça m'a inspiré beaucoup
pour les modifications que j'ai proposées aux collègues, notamment sur une
vice-présidence surveillance, mais avec un volet TI très fort. Et ce qui m'a
inspiré ça, c'est une visite des lieux que j'ai faite, où, justement, le
président de la CNIL m'indiquait qu'ils étaient en train d'enquêter sur
certains types de jouets, poupées comme ça, qui filmaient et enregistraient et
pour lesquels ils avaient demandé que ce soit enquêté, où il y avait une
intrusion à la vie privée qui était assez claire, là, parce que ça se faisait à
l'insu des gens. Puis je me disais : Mon Dieu! Oui, il faut aller vers ça.
Il faut aller vers ça.
Donc, là-dessus, je pense qu'on n'aura pas
de grand débat, là. Tu sais, quand on commence à filmer les gens ou enregistrer
les gens... Puis encore... puis je dis «particulièrement les enfants» parce que
ça nous touche, on dirait, plus quand c'est des enfants, mais il n'y a pas de
situation où c'est acceptable de filmer quelqu'un à son insu, là, je veux juste
être clair là-dessus, là, ou de l'enregistrer à son insu, ou de lui prendre des
renseignements personnels à son insu. Il n'y a pas de situation où c'est
acceptable. Mais ça, je pense que le projet de loi l'adresse bien parce que, dans
le fond, c'est une collecte de renseignements personnels, et ça ne peut pas se
faire sans le consentement de la personne.
• (17 heures) •
Le député de Gouin amène une autre notion,
indirectement, qui est l'exploitation des enfants, exploitation au sens
commercial, on s'entend, là, je ne suis pas en train de parler d'esclaves dans
les mines ou... on ne va pas là, mais pour lesquels j'ai aussi une sensibilité,
M. le Président. Je suis père de quatre enfants, dont certains sont encore
relativement jeunes et influençables, donc j'ai cette sensibilité-là, comme
parent, de dire : Bien, est-ce que je veux qu'on puisse filmer mes enfants,
ou les enregistrer, ou recueillir des renseignements sur eux afin de les <profiler
puis de s'assurer...
>
17 h (version révisée)
<485
M.
Caire
: …de quatre enfants, dont certains sont encore
relativement
jeunes et influençables, donc j'ai cette sensibilité-là, comme parent, de dire :
Bien, est-ce que je veux qu'on puisse filmer mes enfants, ou les enregistrer,
ou recueillir des
renseignements sur eux afin de les >profiler
puis de s'assurer que leur prochaine visite sur YouTube sera ponctuée de
publicités de x ou y? Non, évidemment pas.
Et là je vais faire étalage de mon dilemme
sur la place publique, M. le Président, et, suite à ça, donner suite à la
demande de suspension de l'article du député de Gouin, parce que je pense que
c'est un enjeu qui est très large, c'est un enjeu qui nous dépasse. Je parle
des députés qui siègent à la commission, pour lesquels je pense qu'il ne serait
pas inopportun d'avoir l'occasion de consulter et de mûrir sur cette
réflexion-là avant de poser des gestes, parce qu'on est quand même en train de
légiférer.
Et donc mon dilemme vient de ce que j'ai
dit au député de Gouin, auquel je crois aussi, parce que, comme parent, j'ai
été confronté très souvent, dans la société, à des situations où on prenait des
décisions pour mes enfants et où j'avais l'impression de jouer un rôle
secondaire du fait que j'étais un parent et non pas un expert en ci, un expert
en ça, et où, je le dis candidement, où il s'est avéré que leur mère et moi, on
a eu raison, au-delà des expertises, des situations qui amènent beaucoup de
frustration au niveau des parents qui sont encore les premiers préoccupés.
Nonobstant, là, les situations qu'on voit
dans l'espace public, moi, je pense que l'immense majorité des parents sont des
gens qui sont dédiés à leurs enfants, et qui vont faire tout en leur pouvoir
pour le bien-être de leurs enfants, et pour qui le bien-être de leurs enfants
est la seule préoccupation qu'ils ont. Ça, je pense que c'est l'immense
majorité des parents au Québec qui sont dans cette situation-là. Donc, de
dépouiller ces gens-là de leur prérogative, de leur jugement, de leur droit à
décider pour l'enfant... Puis je parle du droit à décider pour l'enfant parce
que je pense que c'est non seulement un droit, mais c'est une obligation, c'est
une responsabilité du parent. J'ai toujours beaucoup d'a priori, même si la
cause fondamentale me semble juste.
Puis l'exemple que le député de Gouin
donne est un bon exemple. C'est vrai qu'au Québec on a décidé de légiférer pour
protéger la langue française. Même si je ne suis pas convaincu que la loi
s'adressait principalement aux enfants francophones du Québec, ça a quand même
pour effet que les enfants francophones du Québec doivent aller à l'école
française. Et donc, de ce fait, le député de Gouin a tout à fait raison, on a
substitué la raison d'État à un choix parental.
Est-ce qu'on est ici dans la raison
d'État? Je ne sais pas, je ne sais pas. Je suis interpelé par ce que le député
de Gouin dit et, avec l'assentiment des collègues et après l'intervention,
évidemment, du député de La Pinière, je demanderais de suspendre
l'article, M. le Président, parce que c'est le genre de sujet où je pense qu'il
est sage de prendre un peu plus de <temps…
M.
Caire
:
…je
suis interpellé par ce que le député de Gouin dit et, avec
l'assentiment des collègues et après l'intervention, évidemment, du député de
La Pinière, je demanderais de suspendre l'article, M. le Président, parce
que c'est le genre de sujet où je pense qu'il est sage de prendre un peu plus
de >temps, d'avoir une réflexion plus large, plus approfondie, de
consulter différentes personnes et après ça de revenir peut-être avec une
décision éclairée.
Le Président (M. Bachand) :
Merci. M. le député de La Pinière, s'il vous plaît.
M. Barrette : Très
brièvement. J'ai écouté l'échange, je vais vous avouer que je penche beaucoup
du côté du député de Gouin dans ce dossier-là. Puis j'écoute le ministre et
puis j'ai de la misère à le suivre, là. Est-ce que le ministre pourrait
lui-même nous donner, là, dans son esprit, un exemple où c'est vraiment
nécessaire, là, dans le contexte qui est décrit par le député de Gouin, là, un
exemple où ça serait vraiment discutable de retirer le droit parental?
M.
Caire
:
Je ne suis pas sûr que je comprends la question de mon collègue.
M. Barrette : Parce qu'un
moment donné, quand on dit, là... Le ministre nous dit qu'il est mal à l'aise
parce qu'on va retirer aux parents le droit de choisir. Essentiellement, c'est
ça qu'il nous dit. Le député de Gouin, lui, il dit : Bien, c'est parce
qu'un moment donné il y a des choix de société, puis, dans le choix de société,
c'est vrai que, dans bien des circonstances, on retire des droits, là. Le
parent ne peut pas dire à son gars : Regarde — ou à sa fille — va
donc voler à l'épicerie, là. Tu sais, je veux dire, ça ne se fait pas, là. J'exagère,
je caricature, on s'entend. Maintenant, il y a un malaise, dans l'esprit du
ministre, de retirer ce droit-là. Alors, je cherche un exemple pratique où,
dans le contexte amené par le député de Gouin, ça semblerait poser un problème,
un malaise, je ne sais pas trop quoi, dans l'esprit du ministre, et je ne le
vois pas.
Le député de Gouin, je ne pense pas qu'il
faisait référence... Je ne pense pas, il aura le choix de… il aura la
possibilité de me répondre s'il le souhaite. En médecine, on fait des
enregistrements de données puis on les garde. Vous avez un enfant de huit ans
qui est diabétique, on va lui mettre une pompe, puis on va pouvoir la suivre à
distance, puis c'est bien important parce qu'on voit son sucre monter,
descendre. Puis la télémédecine, là, de ce type-là, là, pas du type de la
téléconsultation, mais le suivi de données cliniques, là, numériques, là, comme
la pression artérielle, la glycémie, tout ça, à distance, c'est une grosse,
grosse avancée, puis il n'y a personne à qui ça viendrait à l'esprit de dire :
Aïe! On va interdire ça, là, parce qu'on collecte et on enregistre des données.
Parce que je ne pense pas que c'est le contexte que le député de Gouin met de
l'avant, là. Ça fait que ce n'est pas ça qu'on vise.
Alors, ça, tout le monde va dire oui à ça.
Mais à quoi on peut imaginer… c'est quoi, un exemple, là, qui ferait en sorte,
là, que moi, là, comme parent, là... ou le ministre lui-même, comme parent, il
dirait : Bien, là, là, vous poussez un petit peu le bouchon un peu trop
loin, là, en m'empêchant de faire ça? J'ai de la misère à trouver un exemple. Parce
que ça, c'est vraiment un exemple…
M.
Caire
:
Bien, je vous donne un exemple…
Une voix : ...
M.
Caire
:
Oui, oui.
Le Président (M. Bachand) :
…de Gouin, là-dessus, complémentaire. Oui.
M. Nadeau-Dubois : Je
suis vraiment… je trouve ça vraiment <plate…
M. Barrette : …un exemple,
là, qui ferait en sorte, là, que moi, là, comme parent, là... ou le ministre
lui-même, comme parent, il dirait : Bien, là, là, vous poussez un petit
peu le bouchon un peu trop loin, là, en m'empêchant de faire ça? J'ai de la
misère à trouver un exemple. Parce que ça, c'est vraiment un exemple…
M.
Caire
:
Bien, je vous donne un exemple…
Une voix : ...
M.
Caire
:
Oui, oui.
Le Président (M.
Bachand) : …de Gouin,
là-dessus, complémentaire. Oui.
M. Nadeau-Dubois : Je
suis vraiment… je trouve ça vraiment >plate, parce que c'est une super belle
discussion, mais j'ai une <petite… une >petite urgence leader à
aller m'occuper au bleu. Ce n'est pas un vote, c'est juste un petit problème à
régler, ça ne sera vraiment pas long. On peut-tu suspendre trois,
quatre minutes, puis je reviens?
Le Président (M. Bachand) :
Ça va? Alors, on va suspendre quelques instants. Merci.
(Suspension de la séance à 17 h 06)
(Reprise à 17 h 11)
Le Président (M. Bachand) :
À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le
député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bien,
je sens que le ministre est intéressé à explorer la question, puis moi, je veux,
d'entrée de jeu, lui dire puis je veux lui dire au micro que moi, je suis prêt
à travailler avec lui pour qu'on trouve exactement la bonne manière d'inscrire
ça puis qu'on mette les bonnes balises. L'idée n'est pas de viser trop large et
d'interdire des choses qui ne devraient pas l'être. L'idée, c'est de trouver
exactement, comme société, quelles pratiques on juge qui sont possibles, avec
le consentement des parents, puis quelles pratiques on juge que, là, même avec
le consentement, il y a quelque chose qui nous heurte, puis, comme société, on
dit non, puis on trace une ligne.
Ça fait que moi, j'entends l'intérêt du
ministre à avancer sur ce chemin-là puis à trouver une solution. Je salue cette
ouverture. Puis on peut sans doute suspendre l'article pour se donner le temps
de faire ce travail-là ensemble puis trouver les bonnes balises à instaurer.
Puis nos équipes travailleront ensemble pour trouver… puis avec le député de La
Pinière aussi, qui semble intéressé, ça fait qu'on travaillera tous ensemble
pour trouver la solution. Je pense que c'est important de prendre le temps.
Le Président (M. Bachand) :
Ça va? Alors, je comprends qu'il y a consentement pour suspendre l'étude de
l'article 96?
M.
Caire
:
Consentement, M. le Président.
Le Président (M. Bachand) :
Consentement. Merci beaucoup. M. le ministre, s'il vous plaît.
M.
Caire
:
M. le Président, l'article 97 se lit comme suit :
L'article 5 de cette loi est <modifié par…
M. Nadeau-Dubois :
...qui semble intéressé, ça fait qu'on travaillera tous ensemble pour trouver
la solution. Je pense que c'est important de prendre le temps.
Le Président (M.
Bachand) : Ça va? Alors, je comprends qu'il y a consentement
pour suspendre l'étude de l'article 96?
M.
Caire
:
Consentement, M. le Président.
Le Président (M.
Bachand) : Consentement. Merci beaucoup. M. le ministre,
s'il vous plaît.
M.
Caire
:
M. le Président, l'article 97 se lit comme suit :
L'article 5 de cette loi est >modifié par le remplacement du
premier alinéa par le suivant :
«La personne qui recueille des
renseignements personnels sur autrui ne doit recueillir que les renseignements
nécessaires aux fins déterminées avant la collecte.»
Donc, l'article 5 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le projet de loi de la plupart des occurrences de
la notion de dossier dans cette loi.
Alors, M. le Président, l'ancien article,
effectivement, faisait référence aux «renseignements nécessaires à l'objet du
dossier». Cette occurrence-là, on tente de la retirer, d'où la modification que
nous proposons à l'article 5.
Le Président (M. Bachand) :
Interventions?
M.
Caire
:
Adopté.
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : ...il
y a deux choses ici, là. Il y a le retrait de la notion de dossier, qui en
effet est périmée technologiquement, mais il y a aussi la question... il y a
aussi l'obligation de recueillir seulement les renseignements nécessaires aux
fins qui sont annoncées. Et il y a, troisièmement, une phrase qui dit :
«Ces renseignements doivent être recueillis par des moyens licites.» Qu'est-ce
que ça veut dire? Pourquoi est-ce que c'est là?
M.
Caire
:
Bien, en fait, je tiens à préciser que ça, c'est déjà dans la loi, cette
notion-là.
M. Nadeau-Dubois : Oui, c'était
déjà dans la loi, tout à fait.
M.
Caire
:
Là-dessus, je vais laisser Me Miville-Deschênes donner l'explication
juridique...
M. Nadeau-Dubois : ...peut
pas le voler, là.
M.
Caire
:
...aux termes qui ont été utilisés par le législateur à l'époque.
Le Président (M. Bachand) :
...s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Bien, «licite», oui, on en avait déjà parlé un peu, là,
mais c'est un synonyme de «légal» en fait, là. Donc, la collecte doit être
faite par des moyens qui sont légaux, qui sont autorisés par la loi ou, tu
sais, par les chartes, là.
M.
Caire
:
Une petite caméra sur le «side», ça ne marche pas.
M. Miville-Deschênes
(Jean-Philippe) : Ceci dit, ça contreviendrait aussi à d'autres
dispositions de la loi, là. Mais effectivement c'est l'objectif.
Le Président (M. Bachand) :
M. le député de La Pinière.
M. Barrette : Ce qui veut
dire qu'éventuellement on pourrait empêcher une collecte de données par des
jouets. Ça deviendrait illicite.
M.
Caire
:
Bien, en fait, on aurait deux raisons de le faire. D'une part, ça prend le
consentement pour le faire. Et, d'autre part, effectivement, ce n'est pas un
moyen qui est reconnu.
M. Barrette : N'est-ce
pas merveilleux? Quelle arme!
M.
Caire
:
Mais, en même temps, cette disposition-là existait déjà.
M. Barrette : Oui, je me
souviens.
M.
Caire
:
Donc, la notion de consentement vient se superposer à ça.
M. Barrette : C'est bon.
Le Président (M. Bachand) :
Merci. M. le député de Gouin, je crois?
M.
Caire
:
Adopté.
Le Président (M. Bachand) :
M. le député de Gouin? Ça va?
M. Nadeau-Dubois :
...commentaire éditorial. C'est curieux de préciser dans une loi que les
renseignements doivent être récoltés par des moyens légaux, mais... C'est un
peu implicite. Je présumais que c'était pour ça qu'on avait une loi qui
détaillait les moyens légaux de récolter des renseignements personnels. Mais c'est
bon, c'est...
M.
Caire
:
Le contraire aurait été encore plus bizarre.
M. Nadeau-Dubois : Bien,
tu sais, c'est parce que je me <demande...
M. Nadeau-Dubois :
...de
préciser dans une loi que les renseignements doivent être récoltés
par des moyens légaux, mais... C'est un peu implicite. Je présumais que c'était
pour ça qu'on avait une loi qui détaillait les moyens légaux de récolter des
renseignements personnels. Mais c'est bon, c'est...
M.
Caire
:
Le contraire aurait été encore plus bizarre.
M. Nadeau-Dubois :
Bien, tu sais, c'est parce que je me >demande, tu sais, si c'était vraiment
important de l'écrire. Mais c'est un fait cocasse.
M.
Caire
:
Oui, bon. Mais on n'était pas là à l'époque, M. le député, donc on est
dédouanés des termes.
M. Nadeau-Dubois : Mais
c'était déjà là, je n'en tiens pas rigueur au député de... au ministre.
Le Président (M. Bachand) :Merci beaucoup. Alors, s'il n'y a pas d'autre intervention,
nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 97 est adopté. Merci. M. le ministre, s'il
vous plaît.
M.
Caire
: Oui,
M. le Président. 98. L'article 7 de cette loi est modifié par le
remplacement dans... deux premiers alinéas par le suivant :
«La personne qui recueille des
renseignements personnels auprès d'une autre personne qui exploite une
entreprise doit, à la demande de la personne concernée, informer celle-ci de la
source de ces renseignements.»
Alors, M. le Président, encore une fois,
c'est une question d'éliminer l'occurrence des «dossier» puisque la version
originale faisait référence à l'inscription qui fait partie du dossier de la personne
concernée. Donc, c'est un article de concordance.
Le Président (M. Bachand) :Interventions? M. le député de Gouin.
M. Nadeau-Dubois : Je
veux comprendre dans quel type de situation est-ce qu'un article comme ça est
utilisé. Une personne qui recueille des renseignements auprès d'une personne
qui exploite une entreprise, donc là, j'imagine, ça peut être une personne
physique, une personne morale, doit être... J'essaie juste de comprendre ça
s'applique dans quel type de circonstance.
M. Miville-Deschênes
(Jean-Philippe) : ...lorsque les communications sont permises. Donc,
une entreprise qui a des renseignements personnels va pouvoir communiquer, il y
a différents... article 18, il y a différentes possibilités de communiquer :
avec le consentement de la personne ou communiquer à une entreprise quand il y
a un contrat de service. Donc, tu communiques, puis l'autre entreprise qui
reçoit les renseignements, elle doit indiquer dans le dossier de qui elle les a
reçus.
Je vais donner un exemple concret, là. Tu
vas chez le concessionnaire automobile, il te propose du crédit. Il va
communiquer... le concessionnaire automobile, avec ton consentement, va
communiquer à la banque, là, qui va t'offrir le crédit, des informations. Bien,
la banque doit inscrire dans ton dossier d'où elle a reçu ces
renseignements-là. Comme ça, si tu fais une demande d'accès à la banque, elle
va non seulement te donner tes renseignements, mais pouvoir t'informer d'où ils
proviennent.
Ça fait que, pour chaque entreprise qui
reçoit des renseignements, il doit indiquer la provenance de ces
renseignements-là. Ce n'est pas clair suffisamment?
M. Nadeau-Dubois : Non,
je réfléchis. Et je comprends bien.
Le Président (M. Bachand) :
Merci beaucoup. Interventions? S'il n'y a pas d'autre intervention, nous allons
procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 98 est adopté. Merci beaucoup. M. le ministre,
s'il vous plaît.
M.
Caire
: Oui,
M. le Président. Article 99, <relatif...
La Secrétaire
: …pour
les membres du
groupe parlementaire formant le gouvernement,
M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de
l'opposition officielle,
M. Barrette (La
Pinière)?
M. Barrette : Pour.
La Secrétaire
:
M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois :
Pour.
La Secrétaire
:
M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc,
l'article 98 est
adopté.
Merci
beaucoup.
M. le ministre,
s'il vous plaît.
M.
Caire
:
Oui, M. le Président.
Article 99, >relatif au très
attendu article 8... de cette loi est remplacé par le suivant :
«8. La personne qui recueille des
renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande, l'informer :
«1° des fins auxquelles ces renseignements
sont recueillis;
«2° des moyens par lesquels les
renseignements sont recueillis;
«3° des droits d'accès et de rectification
prévus par la loi;
«4° de son droit de retirer son
consentement à la communication ou à l'utilisation des renseignements
recueillis.
«Le cas échéant, la personne concernée est
informée du nom du tiers pour qui la collecte est faite et de la possibilité
que les renseignements soient communiqués à l'extérieur du Québec.
«Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes qui ont accès à ces renseignements au sein de
l'entreprise, de la durée de [la] conservation de ces renseignements, ainsi que
des coordonnées du responsable de la protection des renseignements personnels.
«L'information doit être transmise à la
personne concernée en [des] termes simples et clairs, quel que soit le moyen
utilisé pour recueillir les renseignements.»
Donc, M. le Président, l'article 8… l'article 99
de... Cet article introduit les nouveaux articles… Oh! Oh! Oh! J'ai-tu manqué
quelque chose? Oui, excusez-moi, M. le Président, je n'avais pas fini, parce
que…
Une voix
: …
• (17 h 20) •
M.
Caire
:
Non, non, j'avais coupé court un peu, là. Donc :
«8.1. En plus des informations devant être
fournies suivant l'article 8, la personne qui recueille des renseignements
personnels auprès de la personne concernée en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer
un profilage de celle-ci doit, au préalable, l'informer :
«1° du recours à une telle technologie;
«2° des moyens offerts, le cas échéant,
pour désactiver les fonctions permettant d'identifier, de localiser ou
d'effectuer un profilage.
«Le profilage s'entend de la collecte et
de l'utilisation de renseignements personnels afin d'évaluer certaines
caractéristiques d'une personne physique, notamment à des fins d'analyse du
rendement au travail, de la situation économique, de la santé, des préférences
personnelles, des intérêts ou du comportement de cette personne.
«8.2. La personne qui recueille par un
moyen technologique des renseignements personnels doit publier sur le site
Internet de l'entreprise, le cas échéant, et diffuser par tout [autre] moyen
propre à atteindre les personnes concernées une politique de confidentialité
rédigée en termes simples et clairs. Elle fait de même pour l'avis dont toute
modification à cette politique doit faire l'objet.
«8.3. Toute personne qui fournit ses renseignements
personnels suivant l'article 8 consent à leur utilisation aux fins visées
au paragraphe 1° du premier alinéa de cet article.»
Bon, cette fois, M. le Président, c'est
vrai. Cet article introduit les nouveaux articles 8 à 8.3 à la Loi sur la protection
des renseignements personnels du secteur privé.
L'article 8 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le projet de loi de la plupart des occurrences de
la notion de dossier dans <cette loi…
M.
Caire
:
…cette fois, M. le Président, c'est vrai. Cet article introduit les nouveaux
articles 8 à 8.3 à la Loi sur la protection des renseignements personnels
du secteur privé.
L'article 8 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le
projet de loi de la plupart des
occurrences de la notion de dossier dans >cette loi. Il est également
modifié afin de préciser davantage l'information devant être communiquée à la personne
auprès de qui ces renseignements personnels sont recueillis.
Le nouvel article 8.1 de la Loi sur
la protection des renseignements personnels dans le secteur privé prévoit
l'information devant être communiquée à la personne auprès de qui des
renseignements personnels sont recueillis en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou
d'effectuer un profilage de celle-ci. Il définit également la notion de
profilage.
8.2 de la Loi sur la protection des
renseignements personnels dans le secteur privé prévoit que l'entreprise qui
recueille, par un moyen technologique, des renseignements personnels doit
publier sur son site Internet et diffuser par tout autre moyen propre à atteindre
les personnes concernées une politique de confidentialité rédigée en termes
simples et clairs.
Et 8.3 sur la Loi de la protection des
renseignements personnels dans le secteur privé prévoit que toute personne qui
fournit ses renseignements personnels suivant l'article 8 consent à leur
utilisation aux fins visées par le paragraphe 1° du
premier alinéa de cet article.
Voilà, M. le Président.
Le Président (M. Bachand) :
Je crois que vous avez un amendement, aussi… des amendements, plutôt,
potentiels?
M.
Caire
:
Effectivement, M. le Président. Donc là, je veux juste être sûr que je vous lis
les bons…
Le Président (M. Bachand) :
Et ici, juste si vous êtes d'accord, on va fonctionner de la même façon, un peu
comme tantôt, on va y aller par… l'article est ouvert, on va y aller par
sections, par blocs de sections.
M.
Caire
:
Donc, un premier amendement, M. le Président, que je vais déposer, parce qu'il
y en a un qui sera déposé par mon collègue de Gouin, je tiens à le spécifier,
là, pour que ce soit clair pour tout le monde. Donc, celui-ci : Remplacer…
donc, à l'article 99 de... l'article 8 : Remplacer, dans le
deuxième alinéa de l'article 8 de la Loi sur la protection des
renseignements personnels dans le secteur privé, proposé par l'article 99
du projet de loi, «et» par «, du nom des tiers à qui il est nécessaire de
communiquer les renseignements aux fins visées au paragraphe 1° du
premier alinéa et».
Donc, l'amendement proposé au
deuxième alinéa de l'article 8 de la Loi sur la protection des
renseignements personnels dans le secteur privé vise à ce que les personnes
concernées soient informées, lors de la collecte de leurs renseignements
personnels, du nom des tiers à qui seront communiqués ces renseignements pour
atteindre les finalités déclarées.
Le Président (M. Bachand) :
…sur l'amendement. Interventions sur l'amendement? M. le député de Gouin, s'il
vous plaît.
M. Nadeau-Dubois : Juste
bien comprendre, là. On vient changer le «et», qui est comme au milieu de
l'alinéa, pour… Qu'est-ce qu'on… Dans le fond, entre la version initiale de
l'article puis la version amendée, au fond, le changement, c'est : on
vient inscrire la notion de finalité déclarée. On vient dire : La
communication à l'extérieur du Québec doit se faire pour les fins qui ont été
déclarées, lorsqu'on est allé chercher le consentement, en fonction des
critères du premier <alinéa…
M. Nadeau-Dubois :
...la
version initiale de l'article puis la version amendée, au fond, le
changement, c'est : on vient inscrire la notion de finalité déclarée. On
vient dire : La communication à l'extérieur du Québec doit se faire pour
les fins qui ont été déclarées, lorsqu'on est allé chercher le consentement, en
fonction des critères du premier >alinéa. Est-ce que je comprends bien?
M.
Caire
:
Bien, en fait, là, si on parle de l'amendement...
M. Nadeau-Dubois : Oui, l'amendement.
M.
Caire
: Là,
ce qu'on dit, c'est qu'on va... En fait, l'article se lirait : «La
personne qui recueille des renseignements personnels auprès de la personne
concernée doit, lors de la collecte, et...» Non.
M. Nadeau-Dubois : Non, c'est
dans le deuxième alinéa.
M.
Caire
:
Non, c'est ça, c'est dans le deuxième alinéa. Je vais juste vous retrouver
le... Oui, c'est ça : «Le cas échéant, la personne concernée...
M. Nadeau-Dubois : «Le
cas échéant».
M.
Caire
: ...est
informée du nom du tiers pour qui la collecte est faite [et]...» Excusez-moi. Et :
«...du nom [du] tiers [...] à qui il est nécessaire de communiquer les renseignements
[personnels] aux fins visées [du] paragraphe 1° du premier alinéa...» Oui, c'est
ça. La réponse à votre question, c'est oui.
M. Nadeau-Dubois : Donc,
«et de la possibilité que les renseignements soient communiqués à l'extérieur
du Québec».
M.
Caire
:
«Communiqués à l'extérieur du Québec».
M. Nadeau-Dubois : Donc,
au fond, dans la première version, on disait : La personne concernée doit
être informée du tiers, c'est quoi, son nom, et de la possibilité que ce soit
communiqué à l'extérieur du Québec. Là, on vient dire... on vient renforcer, au
fond, en disant...
M.
Caire
: ...des
tiers.
M. Nadeau-Dubois : ...en
précisant que les tiers en question, la communication à ces tiers-là doit être
faite pour atteindre les fins visées au premier alinéa.
M.
Caire
:
Voilà. Me Miville-Deschênes va...
M. Nadeau-Dubois : Oui.
M. Miville-Deschênes
(Jean-Philippe) : Je veux juste reformuler. Dans le fond, ce qu'on
ajoute, c'est que la personne va être informée du nom des tiers, qu'il est
nécessaire de communiquer, que ce soit à l'extérieur du Québec ou pas. Donc, si,
pour atteindre une finalité, tu dois communiquer à des tiers...
M. Nadeau-Dubois : Ah! c'est
ça.
M. Miville-Deschênes
(Jean-Philippe) : ...tu dois informer la personne du nom des tiers,
mais même s'il n'est pas à l'extérieur du Québec.
M. Nadeau-Dubois : Puis
ensuite le reste de l'article, c'est : et de la possibilité que ce soit
communiqué à l'extérieur du Québec, le cas échéant, si c'est communiqué à
l'extérieur du Québec.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça.
M. Nadeau-Dubois : O.K.
Donc, on vient renforcer en disant que, si des tiers reçoivent des
renseignements personnels, il faut qu'on communique à la personne l'identité de
ces tiers-là, et puis on vient préciser que la communication doit être faite
aux fins visées par le premier alinéa.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça.
M. Nadeau-Dubois : O.K.
C'est un bon amendement, M. le Président, on va voter pour.
Le Président (M. Bachand) :
Député de La Pinière.
M. Barrette : C'est moi?
O.K.
Le Président (M. Bachand) :
Oui, c'est vous.
M. Barrette : Regardez,
M. le Président, c'est parce que ça revient tout le temps, là... ce n'est pas
tant sur l'amendement, mais je vais poser la question ici parce que ça revient
à chaque fois. Puis peut-être qu'il n'y a aucun intérêt, là, mais je veux juste
avoir une précision juridique, là. Le 8, tel qu'il est écrit, là, c'est
toujours «la personne». Puis, à un moment donné, dans les explications, là,
dans les commentaires, à un moment donné, c'est «la personne ou l'entreprise». Il
y a-tu un enjeu, là?
Le Président (M. Bachand) :
Me Miville-Deschênes, s'il vous plaît.
M. Barrette : Parce que
moi, je me serais attendu que ça soit, dans <l'article 8, là...
M. Barrette : ...dans
les
commentaires, à un moment donné, c'est «la personne ou l'entreprise». Y a-tu un
enjeu, là?
Le Président (M.
Bachand) :
Me Miville-Deschênes, s'il vous plaît.
M. Barrette : Parce
que moi, je me serais attendu que ça soit, dans >l'article 8, là,
que ça soit partout «la personne ou l'entreprise», mais là c'est toujours «la
personne», puis ce n'est jamais «l'entreprise». Dans les commentaires, à un
moment donné, c'est «la personne ou l'entreprise». Ça fait que, si on se sent
obligés de dire «la personne ou l'entreprise», c'est peut-être qu'il y a une
différence juridique.
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, la loi vise les personnes qui
exploitent une entreprise, parce qu'elle réfère à l'article 1525 du Code
civil, qui parle des personnes qui exploitent une entreprise. Donc, toutes les
obligations de la loi sur le secteur privé s'appliquent aux personnes qui
exploitent une entreprise, donc, de là l'utilisation du mot «personne» dans
tous les articles de la loi.
M. Barrette : C'est
automatique que «personne»... Bien, c'est vraiment une question purement
technique, là. Parce qu'il n'y a pas de M. Alphabet, hein, il n'y a pas de
M. Google, là, il n'y a pas de M. Cookie, là, c'est des entreprises
qui recueillent. Et là, moi, le fait de voir... Il est bon, là, cet article-là,
ce n'est pas ça, là, c'est bon, là, c'est bien écrit, ça fait... Je ne sais pas
si c'est tout applicable, ça, on en reparlera peut-être à un autre moment, là. Mais
le fait de toujours relier ça à la personne, moi, là, non-juriste, là, je me
dis : O.K., ça, c'est un gars qui a sa petite entreprise, là, puis c'est
lui qui fait ça. Et ce qui m'a titillé, c'est, à la lecture des commentaires, à
un moment donné, c'est «la personne ou l'entreprise», dans les commentaires. Ça
fait que, s'il y a «personne ou entreprise», c'est parce que c'est deux entités
juridiques différentes.
M.
Caire
:
...personne morale versus personne physique.
M. Barrette : Bien, c'est
ça que je veux préciser, là.
M.
Caire
:
Oui, bien, c'est ça, c'est une bonne question.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est sûr que, quand on parle de personne qui
exploite une entreprise, ça peut être un des deux, là. La personne...
M. Barrette : Oui, mais,
implicitement, ça veut dire que c'est deux entités juridiques différentes.
M. Miville-Deschênes
(Jean-Philippe) : Bien, la loi s'applique aux personnes qui exploitent
une entreprise, ça fait que ce soit une personne morale enregistrée de façon
individuelle, qui exploite une entreprise, ou une personne… ou une personne
physique, excusez, ou une personne morale, bien, la loi s'applique à cette
personne-là qui exploite une entreprise. Donc, on a maintenu un peu, là, la
qualification, là, de la personne, qui peut être physique ou morale, mais qui,
dans tous les cas, exploite une entreprise.
M. Barrette : Là, je fais
un excès de zèle, là, je fais exprès, là. Est-ce que la personne peut nous
mener dans une situation juridique où c'est une personne dans une entreprise
puis c'est la personne qui est responsable, mais pas l'entreprise?
• (17 h 30) •
M.
Caire
:
Mais ce que j'ai compris... Puis on a eu cette discussion-là avec le député de LaFontaine,
je vais me risquer une explication, puis, de toute façon, Me Deschênes est toujours
là pour me corriger quand je me trompe, ce qui arrive très rarement. Mais,
comme on parle de la personne qui exploite une entreprise, dépendamment de la
forme juridique dans laquelle l'entreprise est constituée, ça va être la
personne, si elle est enregistrée, donc la personne physique, et la personne
morale, si elle est <incorporée, mais donc la notion…
>
17 h 30 (version révisée)
<485
M.
Caire
:
...et comme on parle de la personne qui exploite une entreprise, dépendamment
de la forme juridique dans laquelle l'entreprise est constituée, ça va être la
personne, si elle est enregistrée, donc la personne physique, et la personne
morale, si elle est >incorporée. Mais donc la notion de personne va
s'adapter à la forme juridique que l'entreprise a prise au moment de sa
constitution. Est-ce que j'ai bien compris, Me Miville-Deschênes? C'est fort,
hein? C'est sérieux, hein?
M. Barrette : Je suis
encore inconfortable, là. Puis, encore là, j'insiste, là, il est bien écrit, là,
l'article. Il fait ce qu'on veut faire. C'est juste qu'à la case départ... Regardez,
là, un moment donné, là, quand vous dites... Quand vous dites, dans les
commentaires : Par ailleurs, il ne sera plus exigé que la personne soit
informée à chaque collecte des catégories de personnes qui ont accès aux
renseignements au sein de l'entreprise, ça fait qu'on a une personne qui
collecte. La personne dont les informations sont collectées, là, on vient dire
essentiellement qu'elles sont collectées par une personne mais qui est dans une
entreprise qu'on ne saura les personnes. Ça fait que moi... C'est dans les
commentaires, ce n'est pas dans la loi, mais tout ce que je vois dans les
commentaires me mène à conclure qu'il y a deux catégories juridiques là, là,
pour ça. Et ça, c'est un article crucial, là. Mais c'est un article «heavy»,
là, celui-là, là. Ça fait que, là, moi, je cherche à m'assurer qu'il n'y a pas
une échappatoire.
M.
Caire
:
Mais, dans l'interprétation, ce que j'en comprends, c'est que la notion de
personne va référer à la forme juridique de l'entreprise. Parce que c'est pour
ça qu'on parle de personne physique ou de personne morale.
M. Barrette : Bien, moi,
ça ne m'apparaît pas clair de même, là, pourquoi qu'on ne met pas «la personne
ou l'entreprise».
M.
Caire
:
Oui, mais c'est pour ça que vous êtes médecin et pas avocat.
M. Barrette : Pourquoi...
Ce n'est pas clair parce que... Oui. Bon. Mais pourquoi on ne met pas «la
personne ou l'entreprise»? Ça pose-tu un problème?
M. Miville-Deschênes
(Jean-Philippe) : Dans le fond, l'article 1 qui indique qui sont
les personnes ou entités assujetties à la loi vise les personnes qui
recueillent, détiennent, utilisent ou communiquent des renseignements à
l'occasion de l'exploitation d'une entreprise. Puis, bon, il réfère à
l'article 15.25. Donc, le premier article vise les personnes qui
exploitent une entreprise. Donc, ce terme-là est utilisé partout dans la loi.
Une voix
: ...
M.
Caire
: Parfait.
Le Président (M. Bachand) :...amendement? S'il n'y a pas d'autre intervention sur
l'amendement, nous allons procéder à sa mise aux voix. Mme la secrétaire,
s'il...
La Secrétaire
: ...contre,
abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est adopté. Merci. Donc, si on veut garder un
petit peu la méthodologie, je ne sais pas...
M.
Caire
: ...peut-être
commencer sur 8.
Le Président (M. Bachand) :
Sur le bloc 8.
M.
Caire
:
Bien, en fait, on pourrait faire le débat sur 8. Après ça, en tombant à 8.1,
mon collègue de Gouin sera celui qui déposera l'amendement.
Le Président (M. Bachand) :
Donc, interventions <sur le bloc 8...
Le Président
(M. Bachand) : ...Merci. Donc, si on veut garder un petit
peu la méthodologie, je ne sais pas...
M.
Caire
:
...sur l'article 8.
Le Président (M. Bachand) :
Sur le bloc 8.
M.
Caire
:
Bien, en fait, on pourrait faire le débat sur 8. Après ça, en tombant à 8.1,
mon
collègue de
Gouin sera celui qui déposera
l'amendement.
Le Président (M. Bachand) :
Donc,
interventions >sur le bloc 8, pour lequel on vient
d'adopter un amendement, bien sûr. Ça va pour l'instant? On peut y revenir
aussi. Il n'y a pas de souci, là, si jamais... O.K. Donc, on serait prêt pour
changer de bloc?
M. Caire
: À ce
moment-là, je...
Le Président (M. Bachand) :
8.1. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui,
M. le Président. J'aimerais déposer un amendement. Je pense qu'il vous a déjà
été envoyé, M. le Président. Est-ce que c'est possible?
Le Président
(M. Bachand) : Je vérifie. O.K. On va suspendre quelques
instants. On ne l'a pas encore reçu.
(Suspension de la séance à 17 h 34)
(Reprise à 17 h 36)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux. M.
le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Donc, je dépose un amendement à l'article 99 :
Remplacer, dans le paragraphe 2° du
premier alinéa de l'article 8.1 de la Loi sur la protection des
renseignements personnels dans le secteur privé, proposé par l'article 99
du projet de loi, «, le cas échéant, pour désactiver» par «pour activer».
Le Président (M. Bachand) :Merci beaucoup. Oui?
M. Nadeau-Dubois : Donc,
l'objectif de l'amendement, M. le Président, est de venir inscrire, ici, un
principe qui est généralement considéré comme un bon principe, celui de la
confidentialité par défaut. Ça, ce que ça veut dire, c'est que, quand on
interagit avec, par exemple, une application, bien, l'application devrait être
configurée d'une telle manière à ce que ses fonctions les plus invasives, donc
dans le cas de l'article qui nous occupe, de localisation, d'identification et
de profilage, soient, par défaut, désactivées, et que ce soit par un geste
actif que l'utilisateur les active. En anglais, on va souvent dire «opt-in», plutôt
que le contraire. C'est-à-dire que l'utilisateur, le citoyen se retrouve dans
une situation où il télécharge une application — puis on va prendre
cet exemple-là parce que c'est une des situations que les gens connaissent le
mieux — où ils téléchargent une application, ils se disent : Ah!
c'est juste une application pour la météo. C'est banal, ça, la météo. Mais,
sans le savoir, parce que, par défaut, il y a des fonctions de localisation, de
profilage et d'identification qui sont activées, bien, l'application se met à
collecter toutes sortes de renseignements personnels auxquels la personne n'a
pas consenti, parce que, par défaut, les fonctions de localisation et de
profilage étaient activées.
En venant faire l'amendement, ici, on
renverse la logique puis on va demander aux entreprises de solliciter un
consentement actif, un geste actif de la part de l'utilisateur pour choisir
d'activer ces fonctions-là. Et là, donc, à ce moment-là, on peut dire qu'il y a
réellement consentement à ce qu'il y ait une collecte des renseignements
personnels puis à ce qu'il y ait, en fait, pour être plus précis, là,
identification, localisation ou profilage. Ça fait que c'est un changement de
mots, là, «activer» pour «désactiver», mais c'est un changement important,
parce qu'on vient vraiment s'assurer de protéger les gens.
D'ailleurs, commentaire éditorial, Apple,
récemment, a fait une mise à jour de ses systèmes pour s'en aller, grosso modo,
dans cette direction-là. Ce n'est pas exactement ça, parce qu'on donne l'option
oui ou non, pour ce qui est du traçage des applications, mais c'est un pas dans
la bonne direction puis c'est intéressant de constater que des... qu'une entreprise
comme Facebook, dont tout le modèle d'affaires repose sur la <captation...
M. Nadeau-Dubois : ...Ce
n'est pas
exactement ça, parce qu'on donne l'option oui ou non, pour ce
qui est du traçage des applications, mais c'est un pas dans la bonne direction
puis c'est
intéressant de constater que des... qu'une
entreprise
comme Facebook, dont tout le modèle d'affaires repose sur la >captation
massive et souvent inconsidérée de données personnelles, a très mal réagi à
l'annonce d'Apple. A contrario, on peut dire qu'ils étaient très fâchés de ces
mises à jour là parce qu'ils ont bien vu que c'était une attaque à leur modèle
d'affaires. Donc, ce n'est pas exactement ça, l'amendement que je présente,
mais ça va quand même dans la même direction. Je pense, ça nous... Puis, de
manière intéressante, je pense que la réaction de Facebook nous permet de voir
à quel point ce n'est pas banal, parce que, si ça réagit comme ça, c'est parce
qu'il y a vraiment, là, un frein qui est mis à la captation massive et invasive
de données personnelles.
• (17 h 40) •
Puis là on va se donner, au Québec, une
loi où on dit aux entreprises privées : Par défaut, vous allez désactiver
les fonctions, puis c'est les Québécois puis les Québécoises qui vont choisir
de vous donner leurs données pour identification, localisation ou profilage. Ça
fait que c'est un amendement que je tenais à présenter parce que je le trouve
important. Je pense que c'est significatif comme changement dans la loi. Puis
je suis content de savoir d'avance, parce qu'il me l'a déjà dit, que le ministre
est d'accord avec ça. Puis je pense qu'on vient vraiment mettre une pierre
importante, là, dans l'édifice du projet de loi n° 64 avec cet amendement-là
de désactivation par défaut. Ça peut avoir l'air technique, mais c'est
important. Puis bien fier de présenter cet amendement, M. le Président.
Le Président (M. Bachand) :Merci beaucoup. Interventions?
M.
Caire
:
Tout a été dit, M. le Président.
Le Président (M. Bachand) :
Merci. Donc, nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est adopté. Donc, on revient à l'étude du
bloc 8.1. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois :
J'aimerais aborder un deuxième sujet, lui aussi sensible, la question du
profilage. Puisque l'article 8.1, son deuxième alinéa, là, porte sur la question
du profilage, on vient définir ce qu'est le profilage, c'est-à-dire la collecte
et l'utilisation de renseignements personnels pour évaluer certaines
caractéristiques d'une personne.
Et souvent le profilage est la première
étape pour faire, par la suite, du ciblage publicitaire. C'est souvent pour ça
qu'on va parler de profilage commercial, c'est un peu un raccourci pour dire
qu'on effectue un... on construit un profil d'une personne à partir de certaines
de ses caractéristiques et on va lui proposer de la publicité en fonction de
ces caractéristiques-là. Bon, c'est une forme de marketing, de publicité, qui
est dorénavant largement répandue. Et ce serait cavalier, voire naïf de ma
part, de dire : Le <profilage...
M. Nadeau-Dubois : ...certaines
de ses caractéristiques et on va lui proposer de la publicité en fonction de
ces caractéristiques-là. Bon, c'est une forme de marketing, de publicité, qui
est dorénavant largement répandue et ce serait cavalier, voire naïf de ma part,
de dire : Le >profilage commercial, en soi, il faut l'interdire. Ce
n'est pas mon intention. Je pense, néanmoins, qu'il faut mettre des balises sur
quelles pratiques de profilage commercial on juge acceptables, quelles balises
on juge qu'elles ne sont pas acceptables. Puis, surtout, à partir de quels
types de renseignements personnels est-ce qu'on peut faire du profilage
commercial? Je pense que c'est, en fait, vraiment là le noeud de la question. À
partir de quels types de renseignements les entreprises privées devraient-elles
avoir le droit de se... de faire un tel profilage commercial?
Je soumets au ministre que les données
biométriques qui ont, donc... qu'on a défini plus tôt, là, ont trait aux
caractéristiques intimes et physiques de la personne. Et je soumets au ministre
que c'est le genre de renseignements personnels où même, encore une fois, avec
le consentement, il ne m'apparaît pas acceptable que des entreprises privées
fassent du profilage commercial. Puis je vais donner un exemple : la
reconnaissance faciale. Il y a des pratiques qui ont été documentées où la
reconnaissance faciale est utilisée pour, et c'est des trucs qui sont en
développement incontrôlé, là, en ce moment, là, qui sont utilisés pour faire du
profilage commercial, pour ajuster les promotions en fonction de ce qui est
capté par des caméras qui font de la reconnaissance faciale.
Puis je répète, ici, ce que j'ai souvent
dit, puis je trouve important de le répéter parce que c'est comme toujours un
rappel, là, on n'écrit pas la loi juste pour les cinq prochaines années, on
l'écrit pour les 10, 15, 20 prochaines années. Puis ces technologies-là
évoluent vite. Le phénomène de la reconnaissance faciale est en explosion. Il y
a des villes, notamment Boston, Portland aux États-Unis qui ont carrément
interdit cette technologie-là dans les espaces publics. Ce n'est pas l'objet de
notre débat ici, mais juste pour dire que je ne suis pas le seul à m'inquiéter
de cette situation-là. Mais là on est dans un article qui porte sur le
profilage commercial. Et je me demande en vertu de quoi est-ce qu'on pourrait
juger que c'est acceptable pour une entreprise de faire du profilage commercial
à partir de données biométriques du genre : La personne nous donne des
renseignements personnels biométriques, genre la personne est enceinte, et là,
en fonction de ça, on profile <commercialement...
M. Nadeau-Dubois : ...
du
genre : La personne nous donne des renseignements personnels biométriques,
genre la personne est enceinte, et là, en fonction de ça, on profile >commercialement.
Même chose sur des caractéristiques médicales d'une personne, des caractéristiques
physiques. Il y a là une pratique commerciale extrêmement invasive dans la vie
privée des gens. Il m'apparaît qu'on devrait, ici, là, tracer une ligne collectivement
puis dire : On ne peut pas collecter ou utiliser des renseignements
biométriques pour faire du profilage commercial. J'aimerais savoir ce que le
ministre en pense
Le Président
(M. Bachand) : M. le ministre.
M. Caire
: Bien,
là-dessus, on va peut-être avoir un désaccord plus marqué, M. le Président.
Autant je suis très sensible à l'argument de mon collègue quand on parle des
enfants, collecter des renseignements personnels sur des enfants... puis le
député de Gouin avait un bon argument notamment avec la loi 101, notamment
avec le fait aussi qu'il disait : Écoutez, c'est les enfants, mais ces
données-là, elles vont traverser le temps, les enfants vont devenir des
adultes, mais la donnée, elle, va rester.
Là, on parle d'adultes, d'adultes qui
donnent leur consentement et qui donnent leur consentement en connaissant la
finalité pour laquelle on collecte des renseignements personnels. Donc, toute
la notion de collecter des renseignements à l'insu de la personne, toute la
notion de collecter des renseignements sur un... pour une finalité et les
utiliser pour une autre finalité, ces notions-là, elles sont évacuées, là, et
c'est pour ça que j'ai pris la... Bien, c'est pour ça? Ce n'est pas pour ça, mais
j'ai pris la peine tout à l'heure de bien spécifier qu'une utilisation non
autorisée de renseignements personnels était considérée comme un incident de
confidentialité.
Alors, si moi, on m'appelle ou on a un
échange, on collecte des informations sur moi, que ce soient des renseignements
personnels biométriques, en me disant : Écoute, voici ce que je vais faire
avec, et ça, ça inclut un profilage pour raffiner les publicités que je
pourrais t'envoyer parce que tu as consommé tel produit parce que, x, y, puis,
bien, on pense que, si on a des promotions, ça pourrait t'intéresser, et que je
dis oui, bien, M. le Président, je viens de dire oui. Alors là, la loi... Et là...
Et c'est là où je vais dire que, là... Là, là-dessus, je ne suivrai pas mon
député de Gouin. La loi, elle, viendrait dire : Bien, toi, tu veux, mais
la loi ne veut pas. Non, là-dessus, je ne peux pas. Mais j'espère que le <collègue
de Gouin...
M.
Caire
: ...M.
le Président, je viens de dire oui. Alors là, la loi... Et là... Et c'est là où
je vais dire que, là... Là, là-dessus, je ne suivrai pas mon député de Gouin.
La loi, elle, viendrait dire : Bien, toi, tu veux, mais la loi ne veut
pas. Non, là-dessus, je ne peux pas. Mais j'espère que le >collègue de
Gouin comprend bien que je dis non, mais je dis non dans un contexte où la personne
est un adulte consentant à qui on demande des informations, des renseignements
personnels, biométriques ou autres, en lui expliquant parfaitement ce qu'on va
faire avec, pourquoi on le fait, puis que la personne dit oui. Bien, elle a dit
oui.
Alors, je suis... Moi, je ne serais pas...
Là, je pense qu'on va un peu trop loin, parce que la personne est la
propriétaire de ses informations. C'est sa propriété privée, puis elle a le
droit d'en disposer à sa guise. Même si on n'est pas d'accord avec la finalité,
ça demeure que ce sont ses renseignements personnels. Puis la personne a le
droit d'en disposer à sa guise.
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
• (17 h 50) •
M. Nadeau-Dubois : Je
respecte, bien sûr, la position du ministre. Je veux juste porter à son
attention le fait que je ne suis pas le seul à proposer ça. La CAI, dans le
cadre d'une récente consultation sur l'intelligence artificielle disait la
chose suivante, suggérait, en fait, d'interdire l'utilisation de certains types
de renseignements personnels afin d'effectuer du profilage. Elle faisait une
liste d'exemples, d'ailleurs, des exemples beaucoup plus nombreux que moi. La
CAI voulait aller beaucoup plus loin. La CAI disait : renseignements
concernant l'origine raciale ou ethnique, les croyances, les opinions politiques,
la santé, l'orientation sexuelle, les renseignements financiers ou
biométriques. Donc, la CAI proposait une interdiction beaucoup plus large en
disant : Le profilage, qui est une pratique déjà particulièrement invasive
sur le plan de la vie privée, là, la CAI disait : Il faut que tous ces
renseignements-là ne puissent pas être utilisés pour faire du profilage. Ils
peuvent être utilisés pour faire d'autres choses, mais pas pour faire du
profilage. Et les renseignements biométriques, c'était seulement un des
éléments.
Ça fait que l'amendement que je vais
déposer, je viens de le faire, c'est déjà une version diluée de ce que la CAI
proposait, parce que la CAI proposait d'embrasser beaucoup plus large. La
CDPDJ, la commission des droits de la personne et de la jeunesse, dans un
mémoire que la commission avait déposé à la Commission d'accès à l'information,
en mai 2020, c'était au sujet de l'intelligence artificielle, faisait une recommandation
similaire et recommandait de son côté, et je cite, « de tenir compte de la
totalitédes motifs de discrimination prohibés par la charte dans l'encadrement
du profilage». Donc, ce que la CDPDJ, elle, proposait, c'est que tout ce qui,
selon la <charte québécoise...
M. Nadeau-Dubois : ...faisait
une
recommandation similaire et recommandait de son côté, et je cite, «
de tenir compte de la totalitédes motifs de discrimination prohibés par la
charte dans l'encadrement du profilage». Donc, ce que la CDPDJ, elle,
proposait, c'est que tout ce qui, selon la >charte québécoise des droits
et libertés de la personne, est un motif de discrimination, bien, que tous les
renseignements qui sont relatifs à ces motifs de discrimination ne puissent pas
être utilisés pour faire du profilage.
Donc, la CDPDJ aussi allait pas mal plus
loin. Peut-être que, et je ne mets aucun mot dans la bouche du ministre, mais
ma proposition peut avoir l'air intense ou radicale, mais comme disait ma
grand-mère, elle a peut-être l'air mais elle n'a pas la chanson parce qu'il y a
des acteurs bien crédibles et bien posés dans ces débats-là, la CAI et la
CDPDJ, qui proposaient d'aller, en fait, beaucoup plus loin. Moi, déjà, la
proposition que je fais ici, là, elle est déjà modérée par rapport à ce que ces
acteurs-là recommandaient. Bon, Option Consommateurs, groupe de défense des
consommateurs, faisait la même recommandation, en fait, d'interdire le
profilage sur la base des motifs qui sont considérés comme discriminatoires en
vertu de la charte, donc Option Consommateurs faisait une recommandation
similaire à la CDPDJ.
Parce que la question se pose. Si on fait
du profilage commercial en utilisant des caractéristiques biologiques des gens,
que ce soit intentionnel ou non, c'est l'avis de tous ces acteurs-là, ça
revient, au fond à... c'est une pratique commerciale discriminatoire. Et c'est
l'avis de ces acteurs-là qui disent : Si tu n'as pas le droit de présenter...
Si tu n'as pas le droit de discriminer selon les caractéristiques biologiques
de quelqu'un, tu ne devrais pas pouvoir profiler commercialement sur cette
base-là. Moi, je... Et là on est au-delà de la question du consentement, on est
vraiment au-delà de la question du consentement. Quelles pratiques commerciales
sont acceptables?
Donc, voilà la très humble et brève revue
des différentes recommandations qui ont été exposées sur cette question-là. Et,
ceci étant dit, M. le Président, on pourrait suspendre quelques instants
pour que je dépose mon amendement.
Le Président (M. Bachand) :
M. le ministre.
M.
Caire
:
Avec la permission, je vais quand même peut-être me permettre un commentaire, puis,
après ça, oui, on pourra discuter autour de l'amendement. Mais il y a certains
éléments que mon collègue de Gouin a amenés que je veux quand même relever.
D'une part, quand on parle de profilage, moi, je ne pense pas qu'on puisse
parler de discrimination. Parce que l'objectif d'une entreprise n'est très
certainement pas d'interdire la vente de ces produits à tel ou tel groupe. Ce
que le profilage <en question...
M.
Caire
:...
D'une
part, quand on parle de profilage, moi, je ne pense pas qu'on puisse parler de
discrimination. Parce que l'objectif d'une entreprise n'est très certainement
pas d'interdire la vente de ces produits à tel ou tel groupe. Ce que le
profilage >en question fait, c'est dire : Bien, écoutez, faire de
la publicité, ça coûte quand même quelque chose. Puis on veut s'assurer d'avoir
un maximum d'efficacité et un maximum de pénétration des marchés potentiels. C'est
ça, l'idée. Donc, je vais essayer de cibler les marchés qui sont susceptibles
d'être intéressés par mon produit.
On comprend qu'à mon âge on ne va pas me
vendre du Pablum. Bon, peut-être bientôt, mais pas là. Donc, ce n'est pas de la
discrimination au sens où on prive quelqu'un de son droit plutôt que de
dire : Je vais m'assurer de m'adresser à des clients potentiels. Alors,
sur la question de la discrimination, je ne pense pas que je pourrais suivre le
raisonnement qui nous a été proposé. Sur la question de la discrimination à
proprement parler, c'est déjà balisé par les lois et les chartes. Donc, je
pense que, là-dessus, c'est assez clair.
Et, sur la notion d'invasif, là non plus,
je ne peux pas aller sur ce terrain-là pour une raison fort simple, c'est que
la notion d'invasif sous-entend que ça se fait soit à mon insu soit contre mon
gré. Mais, du moment où je suis consentant, ce n'est pas invasif, j'ai
consenti. Alors, si vous entrez chez moi par effraction, c'est invasif. Mais,
si vous entrez chez moi parce que je vous y ai invité, ce n'est pas invasif.
Donc, la notion de consentement, non
seulement elle ne peut pas être occultée, M. le Président, mais elle est
fondamentale. Maintenant, ce consentement-là, et on y a vu dans les articles
précédents, doit être donné de façon libre et éclairée. On doit savoir à quoi
on consent. Ça, là-dessus, je suis d'accord. Je suis d'accord que, si vous
collectez des informations sur moi, que ce soit des caractéristiques physiques,
des marqueurs biométriques, des renseignements personnels, je dois y consentir
et je dois y consentir en sachant ce que vous entendez faire exactement avec
ça, puis qu'est-ce que vous entendez faire à court, à moyen et à long terme,
s'il y a court, moyen et long termes.
Donc, ça, là-dessus, moi, je suis prêt à
suivre. Puis, de toute façon, le projet de loi le prévoit déjà. Donc, on a déjà
couvert ces aspects-là. Alors, à partir de là, ce qui, à mon avis, prédomine
dans ce débat-là, c'est le fait de : Puis-je disposer à ma guise de mes
renseignements personnels? Est-ce qu'ils m'appartiennent? Et, de ce fait,
est-ce que je peux en disposer selon ma volonté? Ma réponse à ça, c'est oui,
bien sûr. Bien sûr qu'un individu est libre de faire ce qu'il veut de ses
renseignements personnels, qu'ils soient des renseignements biométriques ou
non.
Je reconnais que le débat est légitime.
Ceci <étant, là, jamais...
M.
Caire
:
...
ma volonté? Ma réponse à ça, c'est oui, bien sûr. Bien sûr qu'un
individu est libre de faire ce qu'il veut de ses renseignements personnels,
qu'ils soient des renseignements biométriques ou non.
Je reconnais que le débat est légitime.
Ceci >étant, là, jamais il ne m'est venu à l'idée de taxer la proposition
du collègue de Gouin d'extrême. Pas du tout. Le débat est légitime. Il me
demande mon opinion, puis, humblement, c'est ce que, moi, j'en pense. Et, de ce
fait, évidemment, je comprends que j'ai un désaccord avec les organismes qui se
sont prononcés, qui sont effectivement des organismes pour lesquels j'ai le
plus grand respect, ceci étant. Mais, une fois qu'on a dit ça, je ne penche pas...
Je ne suis pas d'accord avec ce qui est proposé.
Le Président (M. Bachand) :
Merci. M. le député de Gouin.
M. Nadeau-Dubois : Oui.
Bien, M. le Président, je vous propose qu'on poursuive cette discussion après
le dépôt de mon amendement.
M.
Caire
:
À défaut d'une bière, nous prendrons un amendement.
Le Président (M. Bachand) :
Merci. Alors, on va suspendre quelques instants, s'il vous plaît. Merci.
(Suspension de la séance à 17 h 58)
18 h (version révisée)
(Reprise à 18 h 03)
Le Président
(M. Bachand) :À l'ordre, s'il vous
plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Alors, je dépose un amendement à l'article 99 : Ajouter,
après le deuxième alinéa de l'article 8.1 proposé par l'article 99 du
projet de loi, l'alinéa suivant :
«La collecte et l'utilisation de
renseignements personnels biométriques à des fins de profilage commercial sont
interdites.»
Le Président
(M. Bachand) : M. le député de Gouin, allez-y, oui.
M. Nadeau-Dubois : Donc,
je peux peut-être me permettre de poursuivre, parce que je ne répéterai pas ce
que j'ai déjà dit, <mais...
M. Nadeau-Dubois : ...du
projet de loi, l'alinéa suivant :
«La collecte et l'utilisation de
renseignements personnels biométriques à des fins de profilage commercial sont
interdites.»
Le Président
(M. Bachand) :
M. le député de Gouin, allez-y, oui.
M. Nadeau-Dubois :
Donc,
je peux peut-être me permettre de poursuivre, p
arce que je ne répéterai
pas ce que j'ai
déjà dit, >mais, dans le fond, l'objectif de mon amendement,
c'est venir dire qu'on ne peut pas collecter des renseignements biométriques à
des fins de profilage. Puis je pense qu'il faut, pour bien entamer ce débat-là,
se rappeler à quel point la liste des comportements ou des caractéristiques qui
peuvent servir à la biométrie est presque infinie. Puis, dans son mémoire, la Commission
d'accès à l'information nous le rappelait. Page 25, elle parlait, donc,
des comportements ou des caractéristiques qui peuvent servir à la biométrie
puis elle disait, je cite : «...certains sont plus connus, comme les
empreintes digitales, le visage, l'iris, la voix, la démarche et la signature,
alors que d'autres sont plus nichés, comme les odeurs, les battements
cardiaques, la manière de conduire un véhicule, le mouvement des lèvres, la
façon de déplacer la souris, les clignements d'yeux ou le style de rédaction
d'un texte.» Fin de la citation.
Ma première question, ce serait :
Mettons, là, les battements cardiaques, là, au sens de notre loi qu'on est en
train d'écrire sur les renseignements personnels, est-ce que c'en est un, un renseignement
personnel?
M.
Caire
: ...honnête
avec vous, M. le député, là, je n'en ai aucune espèce d'idée, pour être très
honnête. Je vais laisser Me Miville-Deschênes stresser, parce que, d'après
moi, il ne l'avait pas vue venir, lui non plus, mais honnêtement, là, dans une
relation d'affaires sur Internet, là, je ne vois pas comment on pourrait
prendre mon rythme cardiaque sans mon consentement, ce serait compliqué.
Une voix : ...
M.
Caire
:
Hein?
M. Barrette : ...iPhone
le fait actuellement.
M. Nadeau-Dubois : La
montre.
M.
Caire
: Oui,
oui, mais il faut que je le donne, mon... Tu sais, je veux dire, tu ne le
prendras pas à mon insu, là.
M. Nadeau-Dubois : Bien,
la question est sur : Est-ce que c'est un renseignement personnel au sens
où on a défini «renseignement personnel» dans notre loi?
M. Miville-Deschênes
(Jean-Philippe) : Bien, moi, ça me semble assez clair que oui, là. Les
renseignements... Mon battement cardiaque, là, qui peut être collecté par une
montre, entre autres, c'est un renseignement personnel qui me concerne.
M. Nadeau-Dubois : O.K.
Puis on sait qu'il y a des entreprises sur le Web qui vont aussi enregistrer le
mouvement d'une souris pour savoir... C'est des pratiques documentées, là, ce
n'est pas de la science-fiction. Si on arrête la souris plus longtemps à un
endroit, moins longtemps à un endroit, ça indique un intérêt plus ou moins
grand pour certains types de contenu. C'est considéré dans l'algorithme pour
présenter certains types de contenu. Ça, est-ce que, donc, le mouvement de la
souris est <considéré...
M. Nadeau-Dubois :
...plus
longtemps à un endroit, moins longtemps à un endroit, ça indique
un intérêt plus ou moins grand pour certains types de contenu. C'est considéré
dans l'algorithme pour présenter certains types de contenu. Ça, est-ce que,
donc, le mouvement de la souris est >considéré par notre loi comme un
renseignement personnel?
M. Miville-Deschênes
(Jean-Philippe) : Bien, il faut qu'il soit lié à la personne. Donc, je
ne veux pas me prononcer de façon définitive sur ce type d'exemple là parce que
est-ce que le mouvement de la souris est uniquement utilisé pour offrir à
l'usager certaines fonctionnalités ou, tu sais, certaines publicités mais sans
savoir qui est là, mais, s'il peut être lié indirectement ou directement à la
personne, effectivement ça peut être un renseignement personnel.
M. Nadeau-Dubois : Bien
souvent, c'est, bien sûr, intimement lié à une personne parce qu'on va dire :
Sur le compte Facebook de Gabriel Nadeau-Dubois, la souris s'arrête...
M. Caire
: ...mouvement
de la souris ou là où mon curseur s'est arrêté? C'est plus ça qui est la
question.
M. Nadeau-Dubois : Bien,
la vraie réponse à cette question-là, c'est que c'est dur à dire parce que les
pratiques de ces entreprises-là sont largement inconnues. Il y a des bribes qui
nous parviennent parce qu'il y a des lanceurs d'alerte, parce qu'il y a des ex
qui ont quitté ces boîtes-là qui, aujourd'hui, nous disent : Ça fait
partie des choses qu'on regarde. Honnêtement, le ministre a raison qu'il y a
des grosses zones d'ombre, mais tous les exemples que je viens de prendre sont
dans le mémoire de la commission, hein? Je fais juste...
M. Caire
: Oui,
parce que là où j'ai arrêté mon curseur pour un certain temps, ça peut être
capté, là, mais le mouvement de la souris, je ne suis pas sûr qu'il y a un
mouvement particulier d'un individu à l'autre, là. Puis, tu sais, il faudrait
que j'aie un comparable, tu sais, mais alors... mais où le curseur est arrêté,
oui, ça, ça peut être capté clairement, là, ça, c'est clair.
M. Nadeau-Dubois : Puis ça
peut être relié à une personne, donc c'est un renseignement personnel. Donc là,
même chose, les battements cardiaques, les odeurs, manière de conduire un
véhicule, mouvement des lèvres, tout ça, c'est des données de nature
biométrique qui peuvent être collectées.
M. Caire
: Oui.
M. Nadeau-Dubois : Là, je
sais que le ministre me dit : Oui, oui, mais il y a consentement. La
question se pose : Dans quelle mesure ce consentement-là est éclairé? Dans
quelle mesure les individus ont vraiment conscience de ce qui est en jeu ici?
Et la question, c'est surtout : Est-ce que ces données-là devraient
servir, devraient être collectées à des fins de profilage commercial? Est-ce
que le battement cardiaque, par exemple, d'une personne... Puis là on sait
qu'avec les montres intelligentes, les montres d'exercice, puis même les
téléphones intelligents, c'est quelque chose qui est de plus en plus répandu
comme pratique. Est-ce qu'on devrait permettre à des entreprises d'utiliser,
par exemple, le battement cardiaque pour profiler commercialement? Donc, on
pourrait faire l'hypothèse qu'on conclut que la personne est sportive parce que
son rythme cardiaque est souvent élevé?
Puis de toute façon ce n'est jamais une de
ces données-là qui nous permet de faire du profilage, hein, c'est la
combinaison des données. Donc, on prend le battement cardiaque plus une autre
donnée qui, elle, n'est peut-être pas biométrique, plus une donnée que la
personne a volontairement donnée, mettons, en faisant partie d'un groupe sur la
course à pied, puis là tout ça ensemble nous permet de dire : Ah! <voilà...
M. Nadeau-Dubois :
...données-là qui nous permet de faire du profilage, hein, c'est la combinaison
des données. Donc, on prend le battement cardiaque plus une autre donnée qui,
elle, n'est peut-être pas biométrique, plus une donnée que la personne a
volontairement donnée, mettons, en faisant partie d'un groupe sur la course à
pied, puis là tout ça ensemble nous permet de dire : Ah! >voilà, on
a là un coureur d'expérience, on va lui présenter des publicités pour lui faire
acheter tel type de produit. Bon, ça, ça existe puis je ne mènerai pas le
combat pour l'interdire sur les données qui sont non biométriques, mais, sur
les données biométriques, je pense que là on touche quelque chose de très
sensible. Puis là ça, c'est le premier exemple que je donne, là, les battements
cardiaques.
• (18 h 10) •
Deuxième exemple : la voix. Il y a eu
tout un brouhaha, toute une série de scandales médiatiques et légaux autour des
fameux assistants personnels. Donc, ça, c'est les Alexa, les Siri, les... Google,
je pense, ça s'appelle juste Google, oui, ou O.K. Google, Google Home. Il y a
eu toute une série de scandales autour de ces appareils-là qui se servaient de
la voix pour, par exemple, reconnaître que c'est une femme qui s'adresse à lui,
en tout cas, à l'appareil, plutôt qu'un homme, et donc faire du profilage
commercial en fonction de c'est une femme qui est en train de me poser la question
plutôt que c'est un homme, et je vais moduler ce que je propose en fonction
d'une donnée biométrique, la voix, c'est un homme ou une femme.
Là, le ministre va me dire : Oui,
mais les gens l'ont acheté, le truc, là. Tu sais, le Alexa d'Amazon n'a pas été
imposé dans la maison de la personne. Vrai. Il y avait sans doute, dans la
boîte, un petit feuillet, là, écrit en tout petit, tout petit, tout petit, plié
en 26, là, dans le fond, dans un sac de plastique, là, puis là, si tu ouvres le
sac de plastique, tu déplies ça en... puis là tu prends ça, puis là, là, c'est
sans doute écrit quelque part, sans doute, si on fait preuve d'une grande bonne
foi, c'est écrit qu'on pourrait déduire votre genre en... Et encore, j'aimerais
bien voir si c'était écrit, mais mettons que c'est écrit puis qu'il y a
consentement, puis là la personne le lit, là, puis elle dit : Oui, oui,
oui, c'est correct, puis elle installe ça dans sa maison. Puis là tout le monde
qui rentre dans sa maison est profilé, mais il y a consentement, j'imagine que
ça serait ce qu'Amazon plaiderait, là : C'était écrit sur le feuillet, le
monde l'ont acheté.
Là, si on prend au sérieux c'est quoi, un
consentement, la question vraiment se pose, là. On est-tu devant une situation
où les gens ont consenti à l'utilisation de données biométriques? Surtout que
l'appareil, là, le Alexa en question, il est tout le temps allumé. Puis c'est
prouvé, là, bien, il y a eu... ça a été documenté que c'est rarement
complètement désactivé. Si c'est branché, il y a captation de données.
Donc là, tu sais, l'argument du
consentement, là, il me semble qu'il commence à être faible pas mal <puis...
M. Nadeau-Dubois : ...puis
c'est prouvé, là, bien, il y a eu... ça a été documenté que c'est
rarement complètement désactivé. Si c'est branché, il y a captation de données.
Donc là, tu sais, l'argument du
consentement, là, il me semble qu'il commence à être faible pas mal >puis
qu'on pourrait, comme société, dire : Bien, non, là, le biométrique pour
des fins de profilages commerciales, comme dans les deux exemples que je viens
de donner, pour prendre un anglicisme, c'est «too much», on ne veut pas aller
là. Je ne sais pas comment le ministre peut me rassurer, en... peut-être en
référant aux exemples que je viens d'utiliser, tu sais, sur en quoi c'est
acceptable. Puis comme là, même avec un soi-disant consentement, là, qui
souvent est très, très fragile, là, très mince, en quoi c'est acceptable, ces
pratiques-là?
M.
Caire
: Bien,
en fait, je trouve que l'exemple est intéressant parce que je suis moi-même
propriétaire d'Alexa, absolument, et la situation est loin d'être aussi
compliquée que mon collègue de Gouin le décrit. Je peux vous dire qu'il est
très, très clair que je peux cesser les enregistrements, comment débrancher ci,
comment débrancher ça, donc... mais je ne veux pas personnaliser cette
intervention-là qui vise un but plus large.
D'abord, en disant au collègue... Je pense
que, le projet de loi n° 64, nous avons amené des dispositions sur le
consentement qui sont de nature à avoir un consentement qui est libre et
éclairé avec des finalités qui sont distinctes. Donc, là-dessus, je pense qu'on
a fait un bon boulot, là, sans vouloir faire de l'autocongratulation, mais,
s'il est adopté, le projet de loi n° 64 va venir resserrer cette
notion-là, va venir s'assurer que le consentement, il est libre, il est éclairé
et que les finalités pour lesquelles il est demandé sont très claires, d'une
part.
D'autre part, donc, une fois qu'on admet
qu'on est dans une situation où une personne raisonnable, selon les paramètres
qu'on a établis dans 64, donne un consentement qui est libre et éclairé pour
des finalités qui sont claires, ça nous ramène à la discussion quant à sa
genèse. Est-ce qu'il est acceptable, pour Éric Caire, de consentir à ce qu'une
entreprise utilise ses marqueurs biométriques, ses informations biométriques ou
ses renseignements personnels pour faire un certain profilage, pour envoyer à
Éric Caire des publicités dont on pense qu'Éric Caire pourrait avoir un intérêt?
Dans la mesure où Éric Caire y consent, et y consent de façon libre et
éclairée, et qu'il sait <exactement...
M.
Caire
:
...ses
renseignements personnels pour faire un certain profilage, pour
envoyer à Éric Caire des publicités dont on pense qu'Éric Caire pourrait avoir
un intérêt? Dans la mesure où Éric Caire y consent, et y consent de façon libre
et éclairée, et qu'il sait >exactement à quoi il consent, bien, ma réponse
à ça, c'est oui.
Parce que c'est à moi de décider si c'est
acceptable ou non. Ce n'est pas à l'État québécois, ce n'est pas au législateur,
ce n'est pas à la société de décider si moi, je trouve ça acceptable, parce que
l'impact, il est pour moi. Je veux dire, cette décision-là, elle m'impacte,
moi. Et de la même façon que je comprends que, pour mon collègue de Gouin,
cette situation-là l'amènerait à refuser son consentement. Alors, il faut qu'on
respecte ça, là. Ça, on s'entend. Dans la mesure où le collègue de Gouin dit :
Mes renseignements personnels pour de la publicité, c'est non, parfait, il n'y
a pas de collecte et surtout il n'y a pas d'utilisation de ça, parce qu'il n'y
a pas de consentement.
Donc là, c'est là où je pense que l'État
ou la collectivité ne peut pas se substituer à moi, parce qu'on parle de mes
renseignements à moi. Ce sont mes renseignements, ce sont mes marqueurs
biométriques, ce sont mes renseignements personnels. Et, oui, je revendique le
droit d'en disposer à ma guise parce que ça n'a pas d'impact sur autrui. Donc,
je n'ai pas... je ne porte pas préjudice au collègue de Gouin parce que
j'accepte qu'une entreprise m'envoie son infolettre parce que je suis un
amateur de plongée, et que c'est su, et que les entreprises qui offrent des
produits ou des services de plongée veulent m'envoyer leurs publicités parce
qu'ils se disent : Bien, il fait de la plongée, ça fait que c'est un
client potentiel, tandis que l'autre qui a peur de l'eau, bien, je ne lui
enverrai pas de publicités, les chances qu'il m'achète des équipements sont
faibles.
Alors, est-ce que moi, j'y vois un
préjudice ou... Non, dans la façon... puis je le répète, là, dans la mesure où
les choses sont faites de façon libre, éclairée et que les finalités sont
claires. Et ça, on a réglé... en mon âme et conscience, là, je pense qu'on a
réglé ça quand on a traité des articles sur le consentement. Je pense qu'on a
fait un bon boulot. Je pense qu'on a bien circonscrit ce qu'était un consentement
libre et éclairé, ce qu'étaient des finalités pour lesquelles les consentements
étaient demandés. Et donc, à partir de là, bien là, ici, évidemment, on vient
encore rajouter une couche, puis...
Et à mon tour de saluer l'amendement qui a
été apporté par le député de Gouin sur l'activation ou la désactivation, parce
que c'est effectivement un changement de philosophie. Et cet amendement-là, en
plus de s'assurer qu'un service va arriver dans son état le plus sécuritaire,
ça amène une notion de consentement supplémentaire, parce que là je <dois...
M.
Caire
:
...changement de
philosophie. Et cet amendement-là, en plus de s'assurer
qu'un service va arriver dans son état le plus sécuritaire, ça amène une notion
de consentement supplémentaire, parce que là je >dois poser un geste
pour activer les fonctionnalités qui permettraient le profilage, la
géolocalisation, etc., je dois les activer. Donc, je pose un geste éclairé pour
les activer. Quand j'ouvre ma caméra, je permets qu'on me filme. Quand je ferme
ma caméra, je l'interdis.
Alors, dans une pratique commerciale
légitime, puis je reprends mon exemple de plongée sous-marine, parce que
souvent on prend des exemples qui sont un peu plus limites, j'en conviens, mais
dans un exemple comme celui-là, petite boutique de plongée de Québec, je suis
plongeur, on m'envoie l'infolettre. Est-ce que j'y consens? Oui, j'y consens.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Oui, juste
là-dessus, c'est un exemple intéressant, mais mon amendement, c'est sur le
biométrique. L'exemple du ministre...
M.
Caire
:
Oui, mais mon rythme cardiaque s'accélère quand on me parle de plongée
sous-marine, c'est pour ça...
M. Nadeau-Dubois : Oui,
oui, non, non, mais... C'est parce que... Oui, bien rattrapé, mais...
M.
Caire
:
Merci.
• (18 h 20) •
M. Nadeau-Dubois : Non, c'est
ça, parce que je l'ai dit, là, recevoir une infolettre parce qu'on est un
amateur de plongée, parce qu'on est allé acheter quelque chose dans un magasin de
plongée, ce n'est pas du profilage à partir de renseignements biométriques, c'est
du profilage à partir de... profilage commercial classique. À partir d'achats
que j'ai faits, on déduit mes intérêts, puis on me présente des produits. Mon
amendement ne vise pas ça. Ça vise à interdire la collecte de renseignements
biométriques à des fins de profilage.
Puis continuons sur l'exemple des
assistants personnels, là, comme Alexa, là. Le ministre l'a acheté chez lui. Il
dit : Moi, j'ai consenti, oui. Tu sais, je lui ferais l'argument que ces
appareils-là sont puissants, ils enregistrent tout ce qui rentre, tout ce qui
sort de la maison. Est-ce que tous les gens qui rentrent dans sa maison... ou,
pour dépersonnaliser notre débat, dans la maison de quelqu'un qui a acheté
l'assistant personnel, est-ce que tous ces gens-là ont consenti? On peut en
douter. En fait, non, ils n'ont pas consenti.
Il faut comprendre à quel point ces
produits-là, maintenant, sont sophistiqués. Ça a été documenté qu'il y a des
pratiques, par exemple, que, si les assistants personnels entendent quelqu'un
tousser, ils sont capables de reconnaître une toux puis ils vont présenter des
produits pharmaceutiques de certaines compagnies pharmaceutiques. Ils vont
entendre les pleurs d'un enfant, ils sont capables de reconnaître ce qu'est un
pleur, ils vont proposer des produits... des couches, par exemple, des produits
pour enfant. Ils vont reconnaître même une assiette qui se brise, par exemple.
En tout cas, ils vont capter énormément de
<données...
M. Nadeau-Dubois : ...ils
vont proposer des produits... des couches, par exemple, des produits
pour enfant. Ils vont reconnaître même une assiette qui se brise, par exemple.
En tout cas, ils vont capter énormément
de >données, y compris des données... je le répète, parce que je l'ai
dit, c'est un argument que j'ai déjà présenté également, mais y compris des
données que les entreprises ne savent pas encore comment utiliser, hein? Ça,
c'est documenté comme pratique chez Google, chez Amazon, chez Facebook, qu'il y
a des pratiques de collecte de données massives où on collecte même des
éléments... Puis là je viens de réaliser que mon dernier exemple n'était pas un
exemple biométrique, alors je le retire, une assiette qui se brise, ce n'est
pas un marqueur biométrique.
Une voix
: ...
M. Nadeau-Dubois : Mais,
mais, mais ça collecte énormément d'informations, y compris de l'information
que ces entreprises-là ne savent pas encore comment utiliser, parce qu'elles
font le pari qu'avec l'avancement technologique, un jour, ils trouveront une
utilité commerciale. Hein? Chez Google, ça a été documenté, comme pratique. On
a accumulé pendant des années toute une série de données qui n'étaient pas
monétisables au moment où on les collectait, et c'est juste cinq, 10, 15 ans
plus tard qu'on réalise qu'elles sont monétisables parce qu'il y a une avancée
technologique qui nous permet des entrées dans un algorithme, et là ça augmente
notre valeur prédictive, et là on est capable de faire quelque chose avec.
Donc, et c'est en regard de l'ampleur de
cet appareil-là de surveillance, parce que c'est de ça dont il s'agit, que le
consentement m'apparaît un pilier fragile. Parce que, pour consentir, il faut
savoir ce à quoi on consent, puis, en ce moment, il y a une asymétrie
informationnelle totale, tu sais, il y a une asymétrie informationnelle très
forte entre les individus à qui on vient solliciter un consentement et l'entité
qui sollicite le consentement. Quand Google ou Amazon sollicite un
consentement, il dispose d'une masse d'information ou de puissance technique
complètement disproportionnée par rapport à ce que peut même imaginer la
personne qui donne le consentement éclairé, soi-disant éclairé. Quand la
personne installe l'appareil, disons, prenons le consommateur sur 100 ou sur 1 000
le plus allumé, le plus conscient, le plus lettré, le plus ferré en
informatique, même ce consommateur-là n'a pas la moitié du tiers de 1 %
d'un quart d'un autre pour cent de la connaissance qu'une entreprise comme
Google a quand elle vient solliciter le consentement. Il y a une asymétrie
d'information qui est absolue, qui est totale.
Alors, et c'est pour ça que je ne pense
pas que le débat puisse s'arrêter où le consentement commence. Puis là on
pourrait faire toutes sortes d'arguments puis dire : Ah! mais, il y a
plein... tu sais, il y a plein de choses dont on est propriétaire puis on ne
peut pas <s'aliéner...
M. Nadeau-Dubois : ...quand
elle vient solliciter le consentement. Il y a une asymétrie d'information qui
est absolue, qui est totale.
Alors, et c'est pour ça que je ne pense
pas que le débat puisse s'arrêter où le consentement commence. Puis là on
pourrait faire toutes sortes d'arguments puis dire : Ah! mais, il y a
plein... tu sais, il y a plein de choses dont on est propriétaire puis on ne
peut pas >s'aliéner. Tu sais, moi, je ne peux pas vendre mes organes,
pourtant, comme, j'en suis le propriétaire, tu sais. C'est parce que, comme, on
considère... puis on revient un peu au débat de tantôt, mais parce qu'on
considère, comme société, que, même si ça nous appartient, on ne peut pas le
vendre, tu sais. On fait, dans une société de droit... On n'est pas dans une
société libertarienne où le consentement individuel prime sur tout le reste, on
est déjà dans une société de droit où on fait ces équilibres-là constamment
puis où on décide, à plusieurs moments, que le consentement individuel passe en
deuxième par rapport à d'autres impératifs. Tu sais, on le fait tout le temps,
ça, sur plein de choses, puis pas juste pour des raisons de sécurité ou de
santé, pour des raisons de bien commun, on en a parlé tantôt, bon.
Et là on est dans une situation comme
celle-là où, comme société, il faut se demander quel cadre législatif on veut
mettre en place pour protéger les individus de puissances sociales et
économiques qui sont en train d'acquérir un pouvoir qui est incommensurable par
rapport aux connaissances que les individus ont. Puis ça, c'est... je pense
qu'il faut que ça fasse partie de notre analyse. Sinon, on parle de
consentement qui est... franchement, qui est théorique puis qui est abstrait.
Les gens ne savent... Puis ce n'est pas une question de ne pas respecter
l'intelligence des gens, là, parce que même moi, je suis très conscient de mes
limites puis je sais bien que mon consentement, que vaut-il par rapport à des
puissances sociales comme Google, Facebook, Amazon?
Donc, je pense qu'on ne peut pas se
limiter à la question du consentement, notamment à cause de l'asymétrie
d'information, qui m'apparaît ici, là, énorme, quand on parle d'entreprises
comme celles-là, énorme. Tu sais, c'est comme... C'est ça, je pense que c'est
court de s'arrêter à la question du consentement.
Le Président (M. Bachand) :
Merci beaucoup. J'avais le député de La Pinière, si vous permettez.
M. Barrette : ...pas très
long. M. le Président, je pense que... J'écoute l'échange, qui est un échange
très intéressant, je pense que le député de Gouin pose une question très
intéressante. C'est un peu... aujourd'hui, là, c'est l'équivalent de discuter
de ce qui se passe avant le big bang, là, quand on pose le problème de la façon
dont il le pose, là, puis je ne veux pas m'opposer d'aucune manière, là, ça ne
peut pas se résumer au consentement, c'est bien évident. Maintenant, il y a des
ramifications à l'étude du consentement, là, qui sont infinies.
Juste par curiosité, là, juste pour... Là,
je fais vraiment exprès, là...
Une voix
: ...
M. Barrette : Oui. Est-ce
que le ministre sait exactement à quoi il consent quand il utilise Alexa?
M.
Caire
:
Oui.
M. Barrette : Oui? À
quoi?
M.
Caire
: En
fait, dépendamment de dans quel mode je vais opérer l'appareil, si je <laisse...
M. Barrette : ...le
ministre
sait exactement à quoi il consent quand il utilise Alexa?
M.
Caire
:
Oui.
M. Barrette : Oui? À
quoi?
M.
Caire
: En
fait, dépendamment de dans quel mode je vais opérer l'appareil, si je >laisse
pleine et entière liberté, on va enregistrer tout ce que je dis. Et, à partir
de là, l'entreprise Amazon est capable d'avoir les banques d'informations de ce
que je dis. On va aussi analyser qu'est-ce que j'ai fait avec ça, pourquoi je l'ai
utilisé, donc quels sont les moments où j'ai dit à Alexa : Fais ci, fais
ça. Donc, on peut profiler l'utilisation que j'en fais. On va aussi regarder
si, par exemple, j'ai des abonnements aux différents services de musique, etc.,
donc, qu'est-ce que je consomme comme produits à travers Alexa. Donc, on va
faire tout le profilage et l'utilisation de ça. On peut analyser le ton de ma
voix. On peut analyser la façon dont je m'adresse... Et il y a des applications
d'intelligence artificielle, on va analyser et progresser dans la façon dont on
interagit aussi avec moi, essentiellement.
M. Barrette : Mais encore?
C'est parce qu'il y a plus. Et, le plus, il y en a une partie qui est connue et
que l'utilisateur ne sait pas et il y a la partie qui n'est pas connue parce
que pas développée.
M.
Caire
: Parce
que pas développée.
M. Barrette : Non, mais il
y a la partie connue que l'utilisateur ne sait pas, là.
M.
Caire
:
Bien, quelle partie l'utilisateur ne connaît pas?
M. Barrette : Bien, c'est
facile, là, c'est très facile. Je ne reprendrai pas tous les exemples que le député
de Gouin a donnés, là, mais c'est sûr que, quand on croise les données, les
données d'intonation de voix, de situations, de musique, ta, ta, ta, puis si en
plus il a une montre puis qu'il y a les facteurs biométriques, bien là, à un
moment donné, là, c'est très facile pour... avec un algorithme, de faire une
connexion entre... puis là je vais prendre quelque chose de trivial, là, de
style de musique, commande de pizza avec une accélération cardiaque le soir,
qu'il y a une game de hockey, là.
M.
Caire
:
Non, mais ça, je comprends tout ça, là.
M. Barrette : Non, non,
je sais, mais je veux dire... Mon point ici, là, c'est que les possibilités
sont infinies.
M.
Caire
:
On est d'accord, on est d'accord.
M. Barrette : Infinies.
Et mon point est que c'est impossible de concevoir aujourd'hui... puis ce n'est
pas lié aux données biométriques seulement, mais je pense que c'est impossible
de concevoir aujourd'hui, pour certaines technologies, ce à quoi on consent.
Le Président (M. Bachand) :
Merci beaucoup.
Sur ce, compte tenu de l'heure, la
commission ajourne ses travaux sine die. Merci beaucoup. Bonne soirée.
(Fin de la séance à 18 h 30)