INDY Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
STANDING COMMITTEE ON INDUSTRY
COMITÉ PERMANENT DE L'INDUSTRIE
TÉMOIGNAGES
[Enregistrement électronique]
Le jeudi 4 février 1999
La présidente (Mme Susan Whelan (Essex, Lib.)): La séance est ouverte.
Conformément au paragraphe 108(2) du Règlement, nous examinons le chapitre 19 intitulé «Le commerce électronique: La conduite des affaires du gouvernement par Internet» du rapport du vérificateur général de décembre 1998.
Nous sommes heureux d'accueillir aujourd'hui, du Bureau du vérificateur général, M. Douglas Timmins, vérificateur général adjoint; et Mme Nancy Cheng, directrice principale, Opérations de vérification. Je crois comprendre que M. Timmins va d'abord prononcer quelques commentaires liminaires, et nous continuerons ensuite.
M. Douglas Timmins (vérificateur général adjoint, Bureau du vérificateur général du Canada): Madame la présidente, je vous remercie de me donner l'occasion de présenter les résultats de notre vérification «Le commerce électronique: La conduite des affaires du gouvernement par Internet».
Comme l'indique le chapitre 19 de notre rapport de 1998, déposé le 1er décembre, en 1995, le gouvernement s'est engagé à ce qu'en 1998 le commerce électronique devienne son moyen privilégié de faire des affaires. Les compressions budgétaires, le désir d'offrir un meilleur service aux Canadiens et la croissance rapide de l'accès à Internet pour beaucoup de Canadiens ont accru l'importance du commerce électronique au gouvernement.
Selon le gouvernement, le commerce électronique se définit comme un ensemble de transactions et d'activités commerciales informatiques et technologiques. Il comporte une vaste gamme d'activités allant de la transmission de courriers et de télécopies jusqu'au versement de paiements, au transfert électronique de fonds et à la transmission des déclarations d'impôt par lignes de communication spécialisées et maintenant, par systèmes de communication ouverts, comme Internet.
Notre vérification avait pour objet d'évaluer les progrès réalisés à l'égard de cette initiative et de faire ressortir les défis et les risques importants auxquels le gouvernement pouvait faire face en voulant faire avancer l'utilisation d'Internet dans ses opérations, tant à l'interne qu'à l'externe.
Nous avons fait porter notre vérification sur trois principaux secteurs: l'élaboration et la mise en oeuvre d'une infrastructure à clé publique pour le gouvernement fédéral en tant que mesure visant à assurer un commerce électronique protégé; l'examen et la modification du cadre juridique à l'appui de la conduite des affaires par voie électronique; et la mise en oeuvre d'infrastructures communes à l'appui de l'administration, des opérations et de la prestation des services du gouvernement par Internet.
Il y a beaucoup d'autres secteurs du commerce électronique qui évoluent rapidement et que nous n'avons pas examinés, comme les questions liées à la protection des renseignements personnels sur lesquels le comité s'est penché récemment. Étant donné que la protection des renseignements a trait principalement à la façon dont l'information est utilisée et partagée ensuite, nous avons mis l'accent sur les mesures de sécurité offertes par l'infrastructure à clé publique à laquelle travaille le gouvernement, y compris la protection du caractère confidentiel et intégral de l'information échangée entre les parties à une transaction.
Dans l'ensemble, nous avons conclu que le gouvernement fait des progrès dans les trois secteurs examinés et qu'il s'oriente vers la conduite de ses affaires par Internet en éliminant les obstacles au commerce électronique. Par exemple, les deux principaux éléments de l'infrastructure à clé publique ont bien progressé: un produit cryptographique et un cadre de gestion à l'appui de l'utilisation de clés publiques au gouvernement.
[Français]
En juillet 1998, un produit technologique provisoire avait été mis au point en vue d'une gestion protégée des clés publiques et privées. Vers la fin de 1998, le produit était en cours d'approbation et d'homologation par le Centre de la sécurité des télécommunications. Un produit final appuyant tous les niveaux d'assurance dans de multiples organisations devrait être livré cet été, et le gouvernement devrait l'accepter et l'approuver de façon définitive d'ici la fin de l'année.
Pour ce qui est de la gestion de l'infrastructure à clé publique, l'Autorité de gestion des politiques a été mise sur pied afin d'énoncer les politiques pour l'infrastructure à clé publique du gouvernement du Canada et de fournir un cadre de gestion pour les ministères et les organismes participant au projet. Au début de 1998, on a aussi créé le Comité directeur interministériel principal, composé de hauts fonctionnaires, pour qu'il assume un rôle consultatif auprès de l'Autorité de gestion des politiques.
Il reste deux défis de taille à relever pour l'infrastructure à clé publique. Le premier: élaborer des applications au niveau des ministères pour que l'on puisse tirer pleinement partie de la technologie. Le deuxième: déterminer comment le public obtiendra des certificats pour traiter avec le gouvernement et qui en assumera le coût. L'infrastructure à clé publique risque donc d'être sous-utilisée pendant un certain temps.
Pour ce qui est des questions juridiques, nous avons remarqué dans le cadre de notre vérification que le gouvernement avait établi les nécessités suivantes: actualiser les lois afin de rendre neutres les dispositions législatives au point de vue des supports, veiller à la reconnaissance de l'autorisation électronique et revoir les règles de la preuve pour les dossiers électroniques. Les parties 2 et 3 du projet de loi C-54 répondent à ces questions. Néanmoins, le gouvernement doit faire en sorte que les risques de poursuite soient recensés et réglés au fur et à mesure qu'il entreprendra de nouvelles initiatives en matière de commerce électronique.
Pour que le gouvernement atteigne son objectif de faire du commerce électronique le moyen privilégié de conduire ses affaires, les ministères et les organismes doivent pouvoir communiquer facilement entre diverses plates-formes technologiques et le public doit avoir un accès transparent au service. Dans notre vérification, nous avons noté que deux ans et demi après la diffusion de l'énoncé de politique sur le commerce électronique, il n'y a toujours pas de parrain principal pour définir une orientation future et qu'il reste beaucoup de questions à régler pour arriver à l'infrastructure commune nécessaire.
Dans notre rapport, nous avons recommandé la nomination d'un parrain principal qui soit doté de suffisamment de pouvoirs pour définir l'orientation, élaborer des stratégies et surveiller les progrès du commerce électronique au gouvernement. Nous avons recommandé aussi l'intensification des efforts en vue d'établir les normes technologiques qui appuieront l'interopérabilité des systèmes dans l'ensemble du gouvernement, y compris la nouvelle infrastructure à clé publique qui sera bientôt prête à être déployée.
Notre examen de diverses initiatives en matière de commerce électronique au gouvernement nous a permis de constater qu'il existe une abondance d'expériences que le gouvernement pourrait analyser et échanger en vue d'en dégager les bonnes pratiques et les leçons apprises. Les projets exploratoires du Secrétariat du Conseil du Trésor constitue un pas louable dans cette direction.
Pour terminer, j'aimerais dire que le gouvernement fait des progrès dans les secteurs que nous avons examinés, mais qu'il devra en faire plus pour donner suite à son engagement de faire du commerce électronique son moyen privilégié de conduire des affaires et de devenir un utilisateur modèle de l'inforoute d'ici l'an 2000.
Madame la présidente, cela met fin à mon commentaire d'introduction. Nous serons heureux de répondre aux questions du comité.
La présidente: Merci beaucoup, monsieur Timmins.
Nous allons maintenant passer à la période de questions. Monsieur Jaffer, avez-vous des questions?
M. Rahim Jaffer (Edmonton—Strathcona, Réf.): Je n'ai qu'une question.
J'ai remarqué qu'en ce qui concerne les questions juridiques dans le rapport, vous ne faites pas allusion directement au projet de loi C-54. Ce que je me demande, c'est si selon vous le projet de loi C-54, d'après ce que vous en savez, répond aux préoccupations que vous avez sur le plan juridique. Sinon, quels sont les éléments du projet de loi C-54 relatifs au commerce électronique qui vous préoccupent?
M. Douglas Timmins: Madame la présidente, je crois que la question juridique que nous avons décrite dans notre chapitre est légèrement différente. Elle met l'accent principalement sur la responsabilité que vous engagez lorsque vous créez un nouveau service ou que vous fournissez un service par voie électronique. Donc, il s'agit plutôt de la responsabilité juridique inhérente à une initiative en particulier, de la façon de procéder et des modalités de la transaction.
Souvent on peut contourner le problème lorsqu'il y a des accords contractuels qui limitent la responsabilité ou qui établissent un contrat entre l'utilisateur du service et le fournisseur. Toutefois, il ne faut pas oublier que dans le domaine du commerce électronique par Internet, il peut y avoir de nombreuses transactions avec le public qui ne sont régies par aucun contrat. Par conséquent, vous risquez de susciter des attentes et de créer une responsabilité juridique.
Nous n'envisageons pas nécessairement de prévoir quelque chose dans un projet de loi comme le projet de loi C-54, mais plutôt d'examiner les répercussions sur chaque initiative et déterminer s'il y a un moyen de limiter la responsabilité du gouvernement à mesure que nous progressons.
M. Rahim Jaffer: D'accord.
Mon autre question porte sur le bogue de l'an 2000; nous examinons de près ce problème en ce moment ainsi que les mesures prises par les différents ministères afin de se préparer. Je remarque dans l'un des paragraphes, on mentionne que le problème de codes de l'an 2000 est prioritaire et que des mesures sont nécessaires afin d'encourager les gestionnaires de programmes du gouvernement et les planificateurs des opérations à envisager la possibilité d'utiliser Internet pour fournir des services. Selon vous, le gouvernement ne devrait-il pas se concentrer d'abord sur le problème de l'an 2000, compte tenu de l'échéance imminente et du fait que de nombreux ministères ne sont pas encore prêts? En fait, en ce qui a trait à la préparation, je crois que le rapport dit que nous avons environ 300 employés dans différents ministères et organismes qui participent au projet d'infrastructure à clé publique du gouvernement du Canada.
• 0915
Est-ce qu'il ne serait pas plus efficace d'examiner et de
régler les différents aspects du problème de l'an 2000 dès
maintenant, compte tenu de l'échéance?
M. Douglas Timmins: Absolument. Nous sommes entièrement d'accord pour que la priorité absolue soit accordée au bogue de l'an 2000 et que toutes les ressources nécessaires y soient consacrées. Nous avons rédigé un chapitre dans le même rapport qui porte sur le bogue de l'an 2000. Nous tenons évidemment à ce que ce problème demeure une priorité absolue.
Je crois que c'est perçu de nombreuses façons comme une priorité secondaire. Je ne crois pas qu'il soit juste de supposer que les ressources dont nous parlons ici sont détournées d'autres projets.
N'oubliez pas que le développement commercial du projet technologique est réalisé par une entreprise privée. Par conséquent, on ne détourne pas vraiment de ressources pour élaborer ce produit qui va nous permettre d'instaurer des procédés de cryptographie, etc.
Je ne sais pas si j'ai répondu à votre question. Je ne crois pas que les ressources dont nous parlons ici soient détournées des efforts de préparation à l'an 2000. J'estime que l'an 2000 est une priorité.
Outre le dossier de l'an 2000, de nombreuses autres activités se poursuivent au sein du gouvernement. Je suis persuadé que si le gouvernement était d'avis que ces ressources pourraient contribuer à l'effort de préparation à l'an 2000, il les réaffecterait en conséquence. Je crois encore que la priorité du gouvernement est la préparation à l'an 2000, et nous sommes tout à fait d'accord avec cette position.
La présidente: Merci.
Monsieur Lastewka.
M. Walt Lastewka (St. Catharines, Lib.): Merci, madame la présidente.
J'ai remarqué dans le document que vous avez distribué, au paragraphe 11, vous dites que l'infrastructure du gouvernement risque d'être «compromise». Je ne sais pas exactement où vous voulez en venir. C'est dans le paragraphe où vous dites qu'il y a d'autres défis à relever, à savoir déterminer comment le public obtiendra des certificats pour traiter avec le gouvernement et qui en assumera le coût.
M. Douglas Timmins: Je crois que le terme que j'ai employé était «sous-utilisée».
M. Walt Lastewka: Non, vous avez dit «compromise».
M. Douglas Timmins: Je suis désolé, j'aurais dû dire que l'infrastructure à clé publique risque d'être sous-utilisée pendant un certain temps.
Ce que nous disons, c'est que les applications du commerce électronique qui ont été élaborées jusqu'à présent portent surtout sur des secteurs comme l'échange de messages sécurisés, par opposition aux applications commerciales. Ce que nous affirmons dans ce chapitre, c'est qu'il faut amener le secteur opérationnel des organisations à élaborer les outils nécessaires, à définir les clients éventuels de ce service, le produit technique en cours d'élaboration, de façon à le perfectionner du point de vue du ciblage du public, par opposition aux applications et aux opérations internationales du gouvernement.
M. Walt Lastewka: Donc, dans un contexte où le gouvernement essaye de mettre en place tous ses systèmes, en même temps il doit aider les entreprises et les utilisateurs à se préparer à utiliser les systèmes en question. C'est bien votre message?
M. Douglas Timmins: En fait, il s'agit de déterminer les applications où cela serait utile et opportun, et de les élaborer en tenant compte du fait que le produit technologique servira à cette fin.
M. Walt Lastewka: D'accord. Ensuite, au paragraphe 13, vous parlez d'un parrain principal. Pouvez-vous nous parler des problèmes qu'un parrain principal pourrait régler? Quels en seraient les avantages? Qu'envisagez-vous exactement? Qu'est-ce qu'un parrain principal pourrait faire qui n'est pas déjà fait?
M. Douglas Timmins: Je crois que l'un des problèmes, c'est que nous avons l'impression qu'il n'y a pas de plan ou de stratégie en ce qui concerne l'infrastructure, la technologie à employer pour la rendre commune. Il existe bien un produit technologique, mais l'un des objectifs du gouvernement serait d'établir une liaison continue avec le public.
L'élaboration du site Canada est une initiative positive que nous avons soulignée. On se demande toutefois si le site Canada est convivial, s'il est facile à consulter, s'il faut savoir, par exemple, quels sont les services fournis par chaque ministère, afin qu'il soit possible d'obtenir facilement l'information recherchée. Cela, par comparaison avec le public qui voudrait se présenter en personne et demander «Un service gouvernemental en particulier m'intéresse, mais je ne sais pas qui est chargé de le fournir. Aidez-moi à naviguer dans ce système.» Nous avons cherché à déterminer si les ministères procédaient chacun à leur façon ou s'ils cherchaient à fournir des orientations et un plan d'attaque pour assurer l'interopérabililté de leurs systèmes.
Je crois que le paragraphe 19.88 de notre chapitre explique assez bien ce rôle. Nous parlons de définir le commerce électronique. Nous recommandons d'élaborer une stratégie et de prévoir une orientation en précisant les produits et services à fournir. J'ai parlé plus tôt des applications—j'ai dit que d'après moi on devrait s'assurer qu'il existe des applications—c'est de ce genre de choses dont il est question, ainsi que d'assurer la surveillance et de suivre les progrès partout au Canada.
La présidente: Est-ce que cela répond à votre question?
M. Walt Lastewka: La dernière fois que des fonctionnaires du Bureau du vérificateur général se sont présentés devant notre comité, nous avons discuté de la situation dans d'autres pays et comment elle se comparait à celle que nous vivons au Canada; et je suis sur que vous en avez discuté lors de vos déplacements. Pouvez- vous nous dire d'après ce que vous avez constaté dans d'autres pays, que ce soit des pays de l'OCDE ou d'ailleurs, comment le Canada se compare-t-il? Je suis persuadé que vous essayez de trouver ce qu'il y a de mieux dans le monde, etc., et de transmettre l'information aux Canadiens. Pourriez-vous...?
M. Douglas Timmins: Madame la présidente, je vais demander à Mme Cheng de répondre à cette question.
La présidente: Madame Cheng.
Mme Nancy Cheng (directrice principale, Opérations de vérifications, Bureau du vérificateur général du Canada): Merci, madame la présidente.
Lors de la vérification, nous n'avons pas établi de comparaison avec d'autres pays. Cependant, je peux affirmer que la mise en oeuvre du projet d'infrastructure à clé publique au sein du gouvernement fédéral est l'une des principales initiatives du genre dans le monde. Aucun autre pays n'a réussi à instaurer une infrastructure à clé publique uniforme pour faciliter les échanges électroniques sécurisés dans l'ensemble du gouvernement. Le Royaume-Uni et les États-Unis essaient tous les deux de déterminer quelle norme ou quel produit ils devraient utiliser. Le Canada est donc à l'avant-garde de cette initiative, et je crois que le gouvernement fédéral en est très fier.
M. Walt Lastewka: Est-ce que vous allez suivre la situation dans d'autres pays afin de nous aider à profiter de leur expérience? Est-ce que vous allez suivre l'évolution de la situation dans d'autres pays? Est-ce que vous suivez leurs progrès?
M. Douglas Timmins: Je peux peut-être répondre à cette question, madame la présidente.
En général, nous ne surveillons pas les autres pays. Nous sommes au courant de ce qui se produit, mais pas nécessairement sur le plan technique ou sur le plan pratique, à moins de nous concentrer sur une vérification en particulier. Nous pourrions alors décider d'étudier ce qui se produit dans d'autres pays.
M. Walt Lastewka: D'accord.
La présidente: Avez-vous quelque chose à ajouter?
Mme Nancy Cheng: J'aimerais ajouter une chose. Dans le cadre de l'initiative d'infrastructure à clé publique, le Canada essaie aussi d'établir une certification réciproque avec le gouvernement de Singapour. D'autres pays aimeraient faire des affaires par voie électronique entre gouvernements. Des projets pilotes sont en cours d'exécution, et nous sommes en pourparlers avec le gouvernement de Singapour.
M. Walt Lastewka: Merci.
[Français]
La présidente: Madame Lalonde, s'il vous plaît.
Mme Francine Lalonde (Mercier, BQ): Voici ma première question. Pourquoi n'avez-vous pas examiné la question des renseignements personnels? Vous dites que vous ne l'avez pas fait, mais vous ne nous dites pas pourquoi. On aurait pu s'attendre à cela.
M. Douglas Timmins: Madame la présidente, je crois que nous avons choisi de nous concentrer principalement sur la technologie et l'élaboration d'applications qui utilisent Internet. Je crois que nous sommes très conscients du fait que la protection des renseignements personnels pose un problème, comme celle de la confiance et de la sécurité, et c'est ce sur quoi nous nous sommes penchés.
Nous savons également que la protection des renseignements personnels est une question de principe très délicate. Normalement, nous n'effectuons pas de vérifications dans ce domaine et nous ne formulons pas de recommandations sur les questions de principe.
[Français]
Mme Francine Lalonde: Je vais poser la question autrement. La question de la protection des renseignements personnels dans le secteur public se pose. Le commissaire à la vie privée a poursuivi le ministère du Développement des ressources humaines pour avoir utilisé des renseignements qui avaient été recueillis par Douanes Canada. Avez-vous examiné la question de la transférabilité des renseignements ou du secret entre les ministères?
[Traduction]
M. Douglas Timmins: Non, nous ne l'avons pas fait, mais...
[Français]
Mme Francine Lalonde: Pas du tout. Vous ne vous êtes pas intéressés à cette question-là. Le ferez-vous plus tard?
[Traduction]
M. Douglas Timmins: Non, nous n'envisageons pas de le faire. Mais j'aimerais signaler, comme j'ai essayé de l'expliquer dans mes commentaires, qu'il y a un lien. Si vous assurez le caractère confidentiel et l'intégrité des données, la décision quant à savoir avec qui vous échangez ces données... Vous avez dans une certaine mesure l'assurance que cet échange est limité.
Nous avons examiné quelque chose qui à mon avis est lié à cette décision. Lorsque l'on décide que des renseignements doivent ou non être communiqués, il semble qu'il devrait tout de même y avoir un moyen de les protéger et d'assurer la sécurité de ceux qui les fournissent. Mais la décision de savoir si on doit ou non procéder à cet échange est une autre question.
[Français]
Mme Francine Lalonde: Au paragraphe 19.71, vous dites ceci:
-
...les membres de la communauté juridique du
gouvernement ont proposé que chaque application
articulée autour de l'infrastructure à clé publique
soit précédée d'une évaluation des risques et des
menaces au point de vue juridique.
Pouvez-vous nous expliquer ce que cela veut dire?
[Traduction]
M. Douglas Timmins: Oui. C'est un peu ce que je disais tout à l'heure en réponse à une question posée antérieurement sur le problème général de la responsabilité juridique. Le fait est que quand une application fournit un niveau de service au grand public sans qu'il y ait de contrat entre chacune des deux parties, l'utilisateur peut avoir certaines attentes. Ainsi, n'importe laquelle de ces initiatives peut avoir des implications qui pourraient créer l'impression d'une éventuelle responsabilité juridique, simplement dans la façon dont les services sont fournis ou dans les attentes que cela crée.
Tout ce que nous disons, c'est qu'en particulier lorsque l'initiative ne passe pas par un contrat particulier, un papier signé tel qu'une véritable transaction cela pourra se faire essentiellement aux termes des dispositions du projet de loi C-54 et cela éliminera ce que nous appelons le problème papier pour l'autorisation électronique, etc. Cela donne les premières étapes mais, dans chaque initiative, il faut déterminer si cela entraîne une responsabilité accrue et s'il y a un moyen de limiter cela avant d'adopter l'application.
La présidente: Dernière question.
[Français]
Mme Francine Lalonde: J'en ai plusieurs. Je cite ici une question de notre recherchiste:
-
J'ai remarqué que Statistique Canada utilise les
services d'un établissement financier pour traiter
toutes les opérations par carte de crédit (19.95) du fait
qu'une ICP GC n'est pas encore implantée.
Faut-il en conclure
que le secteur privé devance le gouvernement
fédéral...
• 0930
J'aimerais aussi savoir quelle est la compagnie
qui travaille pour le gouvernement.
[Traduction]
M. Douglas Timmins: La société retenue par le gouvernement pour mettre au point l'ICP s'appelle Entrust Technologies, Inc. mais c'est un produit commercial qui sera vendu ailleurs.
Beaucoup d'entreprises privées mettent au point des services et produits liés à la sécurité technologie. Je ne pense pas que l'on puisse dire que beaucoup d'entre elles mettent au point des produits comparables du point de vue de leur application et essaient de faire ce qu'accomplit le projet du gouvernement fédéral.
Peut-être pourrais-je demander à Mme Cheng d'ajouter quelque chose.
[Français]
Mme Francine Lalonde: C'est commode, n'est-ce pas?
[Traduction]
Des voix: Oh, oh!
Mme Nancy Cheng: Je peux dire une ou deux choses.
Tout d'abord, pour ce qui est du secteur privé, il n'y a pas tellement de certification multiple et c'est là que les choses se compliquent. Les certifications réciproques créent un régime qui permet d'administrer ce qui est protégé mais peut-il y avoir communication?
Pour ce qui est du secteur privé, comme les banques, un peu comme votre signature pour un compte bancaire, la banque vous connaît et sait qu'elle peut traiter avec vous sur Internet. Mais les banques n'essaient pas nécessairement d'échanger des informations avec d'autres banques. C'est donc beaucoup complexe que ce qu'essaie de faire le gouvernement.
Si un seul ministère... Par exemple, la Défense nationale a d'importants besoins de sécurité pour les messages qu'il transmet. Le général peut devoir parler au colonel, etc. etc., de façon absolument confidentielle. On peut très bien faire cela à l'interne mais si la Défense nationale veut s'adresser à Revenu Canada, cela complique les choses parce que Revenu Canada a son propre système d'administration de la sécurité comme la Défense nationale et que les deux ministères doivent pouvoir se parler.
Si je suis à un niveau de sécurité très élevé, j'ai la cote de sécurité supérieure alors que vous vous n'avez que la cote normale et qu'ainsi certaines des choses que je fais ou dit, ne doivent pas être connues de vous mais il faut pouvoir relier le tout. Nous traitons donc de quelque chose qui est beaucoup plus compliqué. C'est une première chose.
Deuxièmement, vous posiez une question au sujet de Statistique Canada. L'arrangement qu'a ce ministère est avec la banque TD. Voilà la réponse à une autre partie de votre question.
Si vous me permettez, je voudrais juste ajouter une observation sur toute la question de la confidentialité. C'est beaucoup plus que simplement le commerce électronique. Les questions de confidentialité existent déjà aujourd'hui. Cela s'applique au papier et à tout le reste. Si vous soumettez des renseignements au gouvernement, avons-nous les mécanismes voulus pour nous assurer qu'ils sont protégés et ne sont utilisés qu'aux fins prévues?
Quand vous entrez dans le domaine électronique, ce que l'on veut savoir, c'est si la technologie permettra de respecter n'importe quel principe de protection des renseignements personnels. C'est pourquoi dans le chapitre nous parlons des certificats pour le public, nous demandons qui va accorder ces certificats et si l'on va demander au public de signer simplement avec un seul ministère ou avec beaucoup d'entre eux.
Si l'on veut vraiment assurer la protection des renseignements personnels et la mise en commun des informations, nous pouvons le faire tout de suite. Ce ne sera peut-être pas très élégant et il y aura peut-être quelques obstacles à surmonter mais c'est faisable. Avec le commerce électronique, quand il n'y a qu'une seule autorisation, on peut craindre une moins bonne protection des renseignements personnels. C'est la raison pour laquelle c'est une question de principe de haut niveau que nous avons choisi de ne pas examiner.
La présidente: Merci, madame Lalonde.
Monsieur Keyes.
M. Stan Keyes (Hamilton-Ouest, Lib.): Merci, madame la présidente.
Merci beaucoup, monsieur Timmins et madame Cheng, de votre exposé.
Mme Cheng a dit que, contrairement aux banques, il serait plus compliqué de passer d'un organisme gouvernemental à un autre. Pour les banques et même les compagnies d'assurance, je ne sais pas comment il se fait que je peux passer d'une compagnie d'assurance à une autre et qu'elles sachent exactement, l'une et l'autre, quels sont mes tarifs. Je suis assez certain qu'il y a là une forme de dialogue.
Monsieur et madame, j'ai quelques questions auxquelles vous pourrez probablement répondre assez rapidement. Cela ne doit pas être trop compliqué. Par exemple, combien de Canadiens, notamment dans les milieux d'affaires, prennent chaque année contact avec le gouvernement fédéral? Avez-vous une idée du chiffre?
M. Douglas Timmins: Pas pour ce qui est du nombre de connexions.
M. Stan Keyes: Je ne parle pas de connexions. Je parle seulement de contacts courants...
M. Douglas Timmins: Contacts? Non. Nous pourrions probablement vous dire à peu près combien de gens accèdent au gouvernement par Internet mais...
M. Stan Keyes: Je vous demande combien prenne contact sans avoir recours à un ordinateur?
M. Douglas Timmins: Non, nous n'avons pas ce chiffre.
M. Stan Keyes: Vous ne pouvez donc pas me donner de pourcentage, me dire combien de ces trois actions pourraient se faire électroniquement plutôt qu'au téléphone ou par correspondance, par exemple.
M. Douglas Timmins: En fait, notre chapitre là-dessus contient certains chiffres. Mme Cheng pourrait peut-être vous trouver la référence précise. On a étudié dans quelle mesure pourrait se développer l'utilisation de ces applications gouvernementales et il nous a semblé que celles-ci concernaient essentiellement des opérations internes. C'est ce que nous disions tout à l'heure.
C'est au paragraphe 19.39.
M. Stan Keyes: Tout cela est très joli, monsieur Timmins, mais peut-être que vous ou Mme Cheng pourrez donner au comité, par l'intermédiaire de la greffière, une idée du nombre de gens qui dans les milieux d'affaire ou dans la vie courante, prenne chaque année contact avec le gouvernement fédéral, d'une façon ou d'une autre et, du pourcentage de ces transactions qui pourraient se faire électroniquement, par courrier électronique ou déjà aujourd'hui par ordinateur.
M. Douglas Timmins: Ce n'est pas que je ne veux pas répondre mais je ne pense pas que nous ayons ces renseignements. Je ne sais pas où nous pourrions les trouver. Je ne crois pas que ce soit accumulé nulle part.
La présidente: Madame Cheng, voudriez-vous répondre?
Mme Nancy Cheng: Oui. Ce que je voulais dire, c'est ce que nous voudrions que fasse le gouvernement. Vous vous rappelez sans doute que nous disions qu'il est en train de mettre au point ce produit technique mais que le problème est que l'aspect commercial n'a pas vraiment suivi. Il n'existe pas de statistiques, par exemple, au sein du gouvernement qui nous permettraient de savoir combien de transactions sont traitées d'une façon ou d'une autre. Il faut s'adresser à chaque ministère, considérer chaque application ou programme pour connaître le nombre de transactions. Ce n'est pas calculé pour l'ensemble et on ne peut pas dire facilement quel pourcentage pourrait être traité par voie électronique.
Il y a...
M. Stan Keyes: On peut supposer que les gens s'adresseraient en grand nombre aux différents ministères du gouvernement fédéral sous une forme ou une autre.
Mme Nancy Cheng: C'est exact.
M. Stan Keyes: Cela n'est pas douteux. Reste à savoir quelle proportion d'entre eux rejoindrait le gouvernement fédéral grâce à un ordinateur, par le courrier électronique ou quelque chose du genre.
Pour poursuivre dans la même ligne, combien ce projet de l'ICPGC a-t-il coûté au gouvernement fédéral jusqu'à maintenant?
M. Douglas Timmins: Le coût estimatif, pour autant que nous puissions en fournir un, figure au paragraphe 19.58 de notre rapport. Pour les 16 ministères, il est d'environ 35 millions de dollars pour la période de 5 ans se terminant en 1999, avec des coûts d'exploitation permanents de 4 millions de dollars par an. Ce montant ne comprend pas le prix des améliorations technologiques, de l'entretien ni du soutien, qui peut être élevé, étant donné que la technologie évolue et qu'il faudra donc apporter des améliorations en cours de route.
M. Stan Keyes: Merci. À titre de précision, quelle est la participation du secteur privé dans cette opération, à moins qu'elle ne soit confiée exclusivement au secteur public et aux fonctionnaires?
M. Douglas Timmins: Je vais laisser à Mme Cheng le soin de vous répondre.
Mme Nancy Cheng: Il s'agit essentiellement d'une démarche du gouvernement du Canada. Aux premiers jours de la mise au point de l'ICP, il y a eu un certain dialogue avec des entreprises privées. Ces dernières années, comme il était question de certification avec le public, il a fallu consulter le secteur privé, et les contacts avec des entreprises privées sont plus fréquents actuellement.
M. Stan Keyes: Compte tenu de cette évolution vers le secteur privé, madame Cheng, on peut faire une comparaison avec Transport Canada, qui s'est départi de ses services de contrôle de la navigation aérienne auprès d'une entreprise à but non lucratif appelé NAV CAN; le vérificateur général a-t-il fait les calculs nécessaires ou a-t-il envisagé l'idée de proposer au gouvernement non pas de désigner une sorte de parrain du commerce électronique, ni de mettre au point lui-même le programme, les améliorations et tout le reste, mais au contraire de donner tout cela en sous- traitance au secteur privé par voie d'appel d'offres, pour se retirer lui-même des affaires, puisque c'est bien de cela qu'il s'agit en matière de commerce électronique, l'opération lui permettant en outre de faire sans doute d'importantes économies?
La présidente: Madame Cheng.
Mme Nancy Cheng: Merci, madame la présidente. J'aime beaucoup cette question, car elle nous permet d'élever un peu le débat.
• 0940
Il importe de se souvenir que l'élément moteur de cette
démarche d'impartition, c'est-à-dire de confier des activités au
secteur privé, c'est le souci d'économiser. Mais on a tendance à
oublier que les gestionnaires sont toujours responsables des
programmes et des services qu'ils doivent fournir. Dans de
nombreuses démarches d'impartition, on voit que les gestionnaires
commencent à se retirer. Ils délèguent. Ils sont toujours
responsables, mais ils n'ont plus nécessairement toute
l'information nécessaire pour gérer convenablement.
L'idée d'un parrain principal est très importante; c'est l'une des principales recommandations du rapport. Nous disons au secteur public que nous allons nous servir de l'électronique comme solution privilégiée pour faire des affaires. Nous disons que nous allons devenir l'utilisateur modèle de l'autoroute de l'information. Tout cela nous ramène à l'objectif plus général de mettre les Canadiens en réseau. Si nous sous-traitons, nous ne serons plus maîtres de l'orientation du secteur public et nous ne pourrons plus décider, par exemple, de recourir à l'Internet pour faciliter les activités du gouvernement. C'est aux gestionnaires des opérations qu'il appartient de faire l'effort de réflexion.
M. Stan Keyes: C'est précisément la crainte que suscitait la privatisation du contrôle de la navigation aérienne: on nous a dit qu'on ne pouvait laisser la sécurité des Canadiens entre les mains d'une entreprise privée. Mais le gouvernement est précisément là pour cela, à savoir pour réglementer, de façon que la sécurité reste la priorité numéro un et que la société privée chargée du contrôle de la navigation aérienne comprenne que c'est là son mandat essentiel.
Pour ce genre de travail, le mandat principal consisterait évidemment à nous faire entrer dans le nouvel âge du commerce électronique selon des lignes directrices définies par le gouvernement fédéral dans des règlements.
Mme Nancy Cheng: Vous avez sans doute raison d'envisager une telle possibilité, mais elle ne peut se réaliser sans qu'il y ait eu une réflexion de départ, et à notre avis, cette réflexion de départ n'a pas encore eu lieu.
Je suis certaine que Transport Canada ne s'est pas contenté de dire que c'était l'occasion de privatiser le contrôle de la navigation aérienne, le ministère conservant son rôle de réglementation. Nous ne parlons pas seulement ici de réglementation. Nous parlons de tous les services gouvernementaux qui peuvent être assurés par des moyens informatiques. Il faut tout d'abord faire un effort centralisé de réflexion avant d'envisager les différentes options. On en revient donc à la nécessité d'un rôle de leadership au niveau du gouvernement fédéral pour assurer cet effort de réflexion.
M. Stan Keyes: Je conclurais en disant que cet effort de réflexion coûte beaucoup d'argent au gouvernement, et que nous attendons toujours. Nous risquons d'attendre un peu trop longtemps pour faire intervenir le secteur privé.
La présidente: Merci, monsieur Keyes.
M. Timmins a une réponse à fournir.
M. Douglas Timmins: Je veux simplement préciser que le secteur privé est déjà intervenu et qu'il aura bien des occasions d'intervenir encore. C'est lui qui élabore les produits technologiques disponibles actuellement. Nous envisageons la possibilité de confier un rôle au secteur privé lorsque le gouvernement décidera des modalités de la certification réciproque et de l'inscription de tous les usagers. L'entreprise privée peut intervenir et elle interviendra, naturellement, si on utilise des produits technologiques dans la construction de l'infrastructure.
Mme Cheng a évoqué une certaine centralisation de la démarche. Actuellement, elle est tout à fait horizontale et entreprise individuellement par chaque ministère. Même si l'on confit l'opération au secteur privé, rien ne se produira à moins qu'il y ait une orientation et une stratégie communes. Sinon, on va continuer à procéder au coup par coup, selon ce que chaque ministère juge le plus approprié. Il pourra y avoir un partenariat avec le secteur privé ou une véritable sous-traitance, mais encore une fois, tout cela risque alors de manquer de cohérence.
Nous considérons que la transparence et l'interopérabilité du système sont essentielles, et il faut quelqu'un pour surveiller les opérations et s'assurer que le secteur public ou le maître-d'oeuvre respecte nos critères.
M. Stan Keyes: Merci beaucoup.
[Français]
La présidente: Madame Lalonde, avez-vous d'autres questions?
Mme Francine Lalonde: Oui. Vous dites au paragraphe 19.53:
-
La question de la certification des particuliers est
complexe et comporte des répercussions importantes. Si
le gouvernement ne la règle pas rapidement, d'autres
options pourraient surgir et compliquer par la suite la
coordination d'une approche commune. Cela pourrait
gravement compromettre le rendement de ce que le
gouvernement a investi dans le projet d'ICP GC
et restreindre la portée des affaires
protégées que le gouvernement pourrait faire par
Internet.
C'est un paragraphe qui est lourd de sens. Pouvez-vous l'expliquer?
[Traduction]
Mme Nancy Cheng: Il faut aborder de front la question de la certification réciproque. Nous avons rédigé ce paragraphe parce que le secteur public a tendance, semble-t-il, à recourir plus volontiers à la mise en oeuvre par étapes.
• 0945
C'est généralement une bonne façon de procéder. On avance
progressivement et on n'essaie pas de résoudre tous les problèmes
d'un coup. Mais le phénomène Internet évolue si rapidement qu'il ne
nous permet pas d'en faire l'essai à l'interne dans un ministère,
puis d'étendre l'expérience à d'autres ministères en le limitant à
des fonctions administratives internes, avant de proposer des
services au public.
Dès le départ, nous devons véritablement envisager des activités parallèles et concurrentes à l'échelle du secteur public. Sinon, nous risquons de voir apparaître de nouveaux produits et de nouvelles normes qui vont remplacer ce que le gouvernement essaie de faire grâce à cette infrastructure à clé publique couvrant l'ensemble des services de l'État. C'est pourquoi il faut agir sans tarder, et c'est ce que nous exprimons dans ce paragraphe.
[Français]
Mme Francine Lalonde: J'essaie de comprendre, madame. Vous avez dit que le Canada était en avance, mais vous dites qu'on est menacés par d'autres technologies et que, si celles-là se développaient davantage, les efforts faits pourraient être perdus. Je suis un peu perdue.
[Traduction]
M. Douglas Timmins: Il est certain que la technologie évolue très rapidement dans tous ces secteurs. Du jour au lendemain, n'importe qui peut perdre son avance et se retrouver en retard.
Nous veillons également à mettre l'application au point avant que la technologie ne soit dépassée, de façon à avoir le temps d'en faire un service de base, plutôt que de voir apparaître un meilleur produit qui rend les précédents désuets. C'est toujours le risque que l'on court dans le domaine technologique. Quand on achète un ordinateur, il est pratiquement désuet dès qu'on l'a installé chez soi.
Voilà le genre de choses qui nous préoccupe. Il faut acquérir un certain élan; certaines applications doivent être mises au point si on veut en profiter, à cause du niveau d'investissement nécessaire.
Je ne suis pas certain que cela ait vraiment un rapport avec notre position, par opposition aux progrès enregistrés ailleurs. Il s'agit simplement de tirer parti des investissements consacrés à cette opération jusqu'à maintenant et de mettre au point de bonnes applications. Voilà essentiellement ce que nous voulons dire.
[Français]
Mme Francine Lalonde: Voulez-vous dire que le gouvernement vendrait lui-même des...? Vous avez dit plusieurs fois qu'il va y avoir des produits. Voulez-vous parler des différents petits bidules qui devraient être vendus pour que l'authentification se fasse par le doigt ou de quelque façon que ce soit? Non? La certification peut se faire de différentes façons.
[Traduction]
M. Douglas Timmins: Mme Cheng pourra peut-être vous donner des précisions sur le produit, mais il a été mis au point pour inscrire des utilisateurs et pour faire correspondre une clé publique et une clé privée de façon à garantir la sécurité de l'échange d'information. Il s'agit là d'un produit commercial qui est mis au point et qui va être vendu. En fait, le secteur public va l'acheter à l'entreprise privée, comme le ferait n'importe quel particulier ou n'importe quelle entreprise.
La question de l'achat ou de la vente de ces appareils n'est pas ce qui nous préoccupe. Ce dont nous parlons, c'est de la nécessité d'avoir...
[Français]
Mme Francine Lalonde: C'est le choix de la technologie. Vous avez choisi une technologie.
[Traduction]
M. Douglas Timmins: Le gouvernement a choisi une technologie. À notre avis, pendant la mise au point de cette technologie, les applications commerciales ne doivent pas servir uniquement à assurer la sécurité des échanges de courrier électronique au sein du secteur public. Il faut faire en sorte que certaines applications permettent d'utiliser ce produit pour échanger avec les utilisateurs, avec le public, pour leur proposer des services transparents.
Nous soulevons de nombreuses questions dans ce chapitre, notamment en matière d'inscription et de certification. Qui va gérer ces clés publique et privée? On entre là dans un domaine très technique. Ce pourrait être une entreprise privée, mais il faut que le gouvernement connaisse toutes les applications pour...
Mme Francine Lalonde: Qu'est-ce qui retarde le mouvement du gouvernement? Cela ressort clairement de tous vos propos.
[Traduction]
M. Douglas Timmins: Je ne sais pas. Mme Cheng a peut-être une idée à ce sujet, mais c'est principalement parce qu'il s'agit d'un produit technologique; ce n'est pas parce qu'il n'y a pas eu de participation de l'entreprise privée, ou parce qu'elle n'aurait pas pu proposer une façon de procéder ou une formule qui apporte la solution.
Je reviens à ce que nous disions tout à l'heure à propos du parrain principal. Il n'y a personne qui fasse pression au centre en insistant sur l'importance de l'exercice et sur la nécessité de trouver des applications efficaces.
La présidente: Madame Cheng, avez-vous quelque chose à ajouter?
Mme Nancy Cheng: Oui, très brièvement.
En ce qui concerne le produit, le gouvernement essaie de progresser aussi vite que possible, mais dans ce chapitre, nous parlons également de la nécessité de mettre au point une structure de gestion. Ce n'est nullement un exercice futile. Pour qu'un ministère puisse communiquer avec un autre et lui dire: «Voici mes utilisateurs, ils sont bons et vous pouvez faire la même chose», il faut tout d'abord faire un vaste exercice de mise au point des outils, à savoir établir la politique, qui doit devenir la bible de chaque intervenant, car si nous ne procédons pas tous de la même façon, nous risquons de ne plus pouvoir échanger de l'information. Et il faut du temps pour mettre tout cela au point.
Pour certains de ces instruments, comme les politiques de certification, il existe déjà des ébauches qui font actuellement l'objet de consultation. Le résultat final n'est pas prévu avant le mois de mars. On ne peut pas passer à l'étape suivante tant que ces outils ne sont pas en place.
La certification doit progresser très rapidement, aussi bien pour le public que d'un ministère à un autre, car comme le dit M. Timmins, la technologie évolue rapidement et le risque, c'est que le secteur privé produise d'autres normes ou d'autres formes de certification qui ne soient pas conformes à celles du gouvernement. Dans ce cas, il faudra faire ensuite un plus gros effort de coordination pour se brancher avec tout le monde.
Actuellement, le gouvernement espère que ses politiques de certificat deviendront des normes mondiales. En fait, Entrust est en train de pénétrer également le marché du gouvernement provincial ontarien qui devrait adopter les politiques du gouvernement du Canada, du moins, c'est ce que nous espérons, de façon que nous utilisions tous les mêmes règles et les mêmes protocoles qui nous permettront ultérieurement d'assurer nos communications.
[Français]
Mme Francine Lalonde: Ce n'est pas moi qui en ai parlé.
La présidente: Merci, madame Lalonde.
[Traduction]
Monsieur Shepherd.
M. Alex Shepherd (Durham, Lib.): Au cours de la dernière demi- heure, j'ai appris que la culture naturelle de la fonction publique est telle qu'elle résiste au changement, que la technologie évolue très vite et que la résistance naturelle au changement amène le secteur public à retarder la mise en oeuvre du commerce électronique dans sa sphère d'activité. Est-ce une bonne façon de voir les choses?
M. Stan Keyes: Bravo, bravo! Quelle éloquence!
M. Alex Shepherd: N'est-ce pas ce que vous voulez nous dire?
M. Stan Keyes: C'est très bien résumé.
M. Douglas Timmins: C'est assez juste. Cependant, il y a toute une partie du secteur public qui accepte le changement technologique et le problème, c'est qu'il faut convaincre les autres des avantages de la technologie. En ce sens...
M. Alex Shepherd: Et personne n'en prend la responsabilité.
Je m'intéresse beaucoup au mandat de Revenu Canada, qui a une incidence directe sur la vie de millions de Canadiens. Comme vous le savez, on peut payer toutes ses factures de services publics et tout le reste sur Internet, mais on ne peut pas y payer ses impôts à Revenu Canada.
Ce projet de l'ICP va-t-il être mis en place progressivement? Est-ce qu'il va s'appliquer d'abord dans certains ministères? Et où se situe Revenu Canada dans toute l'opération? Il semblerait naturel que tout le monde puisse payer ses impôts sur Internet. Vingt-cinq pour cent des gens de ma circonscription ne peuvent pas se servir du commerce électronique; ils doivent aller à la banque, faire tamponner leur déclaration et se prêter à toutes sortes de formalités qui leur déplaisent. Quand le système sera-t-il en place et qui en est responsable à Revenu Canada?
Mme Nancy Cheng: En fait, Revenu Canada est l'un des plus gros utilisateurs d'informatique du secteur public et il s'intéresse de très près aux opérations informatisées. Il est à l'avant-garde des rapports informatisés et s'efforce de proposer des déclarations de revenus informatisées, qui vont être mises à l'épreuve sur Internet. Le ministère progresse donc en direction de l'utilisation d'Internet.
• 0955
Qui en est responsable au sein du ministère? Selon la
structure du secteur public, il s'agit d'une responsabilité
ministérielle. Le sous-ministre adjoint est responsable devant le
ministre, qui est lui-même responsable devant le Parlement, mais
tous les ministères n'attendent pas nécessairement la mise en place
de l'ICP pour agir, car si Revenu Canada n'avait à s'occuper que de
son propre programme... je n'emploierai pas le mot «bénéficiaires»,
mais les gens dont il s'occupe, c'est-à-dire les contribuables...
Des voix: Ah, ah!
Mme Marlene Jennings (Notre-Dame-de-Grâce—Lachine, Lib.): C'est Revenu Canada qui est le bénéficiaire.
Mme Nancy Cheng: Si le ministère doit traiter avec une clientèle spécifique, si l'on veut, il peut les inscrire d'une certaine façon. Ce dont nous parlons ici, c'est de la difficulté d'assurer la certification d'un ministère à un autre, mais ce n'est pas nécessairement le problème de Revenu Canada, pour qui l'ICP n'est certainement pas un obstacle; une fois l'ICP réalisée, le secteur public aura un outil commun, qu'il gérera lui-même, et qui permettra aux différents ministères de proposer leurs programmes et services. Mais ce sont les ministères qui sont responsables de leurs programmes.
M. Alex Shepherd: Mais vous ne savez pas lorsqu'ils seront en mesure d'offrir ce service au public.
Mme Nancy Cheng: Nous n'avons pas examiné particulièrement la situation de Revenu Canada dans cette vérification, mais d'après nos entretiens généraux avec les représentants du ministère, nous savons qu'ils sont en train actuellement d'y donner suite et que des projets pilotes sont en cours pour ce qui est de la transmission électronique des déclarations.
M. Alex Shepherd: Oui, je sais. Le revers de la médaille, c'est que certains des autres pouvoirs que possède Revenu Canada, comme les réclamations par un tiers, lui permettant d'aller puiser dans le compte bancaire des gens, d'après ce que vous avez pu constater en ce qui concerne l'évolution de leur utilisation de la technologie...
Cela présente de graves risques d'abus, si vous connaissez le numéro du compte bancaire d'une personne parce qu'elle vous a envoyé de l'argent et que vous estimez qu'elle vous doit plus que ce qu'elle vous a versé. La marche à suivre normale prévoit qu'il faut prévenir la personne en question, prévenir la banque et ainsi de suite. Est-ce que piste de vérification en vigueur à Revenu Canada continuera d'exister une fois que le ministère aura adopté le commerce électronique?
Mme Nancy Cheng: Cela revient au cadre juridique dont nous sommes en train de parler. Vous vous rappelez sans doute que plus tôt au cours de notre discussion nous avons mentionné un paragraphe qui traite de l'évaluation de la menace et du risque. C'est là où cet aspect intervient.
Un grand nombre de ces problèmes de sécurité ont également des incidences juridiques, et tout au long de la mise en oeuvre de certaines de ces applications, il est important d'examiner les nouveaux risques d'abus. La façon de procéder n'est pas vraiment différente. Elle est essentiellement la même que lorsque nous utilisons des documents ou du papier, mais il s'agit simplement d'un autre instrument ou d'un autre moyen permettant aux choses de mal tourner. Nous devons parer à toute éventualité et prendre ensuite les mesures qui s'imposent pour atténuer ces risques.
La présidente: Je vous remercie, monsieur Shepherd.
Monsieur Murray.
M. Ian Murray (Lanark—Carleton, Lib.): Je vous remercie, madame la présidente.
J'aimerais examiner ce problème de la cryptographie sous un certain angle. Nous allons continuer à utiliser des documents- papier pendant encore un certain temps, et lorsque les gens traitent avec le gouvernement, leurs lettres ou l'information qu'ils fournissent ne sont pas codées. L'information est aussi sûre que les classeurs du gouvernement dans lesquels elle est conservée. Donc je partirai tout d'abord du principe que dans la plupart des cas où le public traite avec le gouvernement, la cryptographie ne serait pas nécessaire parce qu'il s'agirait de questions assez ordinaires qui n'exigent par le recours à ce genre de technologie.
J'ai quelques questions. Tout d'abord, lorsqu'on songe à l'avenir, ce n'est peut-être pas un aspect que vous avez examiné dans le cadre de votre travail de vérificateur, mais lorsqu'on en arrive au stade où pratiquement tout ce fait électroniquement que ce soit au sein du gouvernement ou à l'extérieur, allons-nous avoir des problèmes d'accès à l'information parce qu'il n'y a plus de documents-papier, facilement consultables, rangés dans des classeurs à tiroirs, lorsque les gens utilisent des codes et que tout est gardé bien sécurisé dans des bases de données informatiques? Est-ce que cela va modifier cet aspect des rapports avec le gouvernement?
M. Douglas Timmins: C'est une très bonne question qui n'entrait pas vraiment dans le cadre de cette vérification. Ce problème jusqu'à un certain point existe déjà aujourd'hui car nous avons beaucoup d'information qui, même si elle est conservée au gouvernement, l'est de façon électronique, et il n'est pas nécessairement garanti qu'elle existe sur support papier, et si elle existe, où se trouve-t-elle?
• 1000
Je crois qu'il appartient à nos archivistes publics de
s'occuper de cette question et de fournir la capacité de déchiffrer
la technologie et de conserver une base ou une capacité
technologique, ou du moins un document. Cela déborde légèrement la
portée de notre vérification, donc je ne suis pas tout à fait sûr
de l'étendue d'une telle mesure. Mais je pense que c'est à ce
niveau que cela devrait se faire.
En ce qui concerne la question que vous avez posée plus tôt, à savoir prendre les mesures qui s'imposent au fur et à mesure que l'on s'achemine vers une interaction de plus en plus automatisée avec le gouvernement, je pense qu'il importe de reconnaître que nous ne préconisons pas—et je ne crois pas que ce soit d'ailleurs l'intention du gouvernement ni l'objet de ce produit qu'il est en train de mettre au point—que tout soit codé. Il existe des options qui ne font pas appel à la cryptographie et qui sont compatibles avec ce genre de système.
Il ne fait aucun doute que nous mettrions l'accent sur la capacité d'assurer une piste de vérification en ce qui concerne ces documents. Il y a l'aspect à court terme. L'aspect que je soulevais en ce qui concerne les archives publiques et leurs responsabilités, c'est l'aspect à long terme c'est-à-dire au fur et à mesure que la technologie évolue et que certains documents électroniques ne sont plus aussi facilement accessibles.
M. Ian Murray: Mais disons que quelqu'un possède une clé privée pour traiter avec le gouvernement. Dans quelle mesure l'accès assuré par cette clé est-il restreint à la personne ou au ministère avec lequel ils font affaire? Par exemple, qui d'autre pourrait y avoir accès au sein du gouvernement?
M. Douglas Timmins: C'est toute la question de la protection des renseignements personnels, qui a été soulevée plus tôt, madame la présidente. Pour ce qui est de savoir si un membre du public devrait avoir une clé ou plusieurs clés, une pour traiter avec chaque ministère, c'est une question de politique à laquelle il faut donner suite. Qui conserve cette clé? Qui est l'administrateur de la clé, qu'il s'agisse du secteur privé ou du gouvernement? Cela ressemble beaucoup à la discussion sur l'opportunité d'utiliser le NAS comme unique moyen d'identification. C'est semblable. Voulez- vous en restreindre l'utilisation de telle sorte que chaque membre du public ne possède qu'une clé, et que cette clé lui ouvre toutes les portes pour ainsi dire? Alors vous vous heurtez au problème du partage de cette information. Est-ce que vous la concevez de manière à ce que, disons, chaque interaction individuelle avec un ministère possède sa propre clé et que par conséquent en faisant affaire avec eux l'information est protégée?
Il s'agit jusqu'à un certain point de question de politique. La technologie peut s'y adapter. Il s'agit de prendre certaines décisions puis d'agir en ce sens.
M. Ian Murray: Je pense que Mme Cheng voulait dire quelque chose.
Mme Nancy Cheng: Si je peux simplement ajouter quelque chose sur le plan technique. Toute cette infrastructure à clé publique en ce qui concerne la technologie de la cryptographie repose sur l'existence de deux clés, en fait: une clé publique et une clé privée. La clé publique est celle que vous inscrivez à un répertoire, celle qui vous enregistre, celle qui est dotée d'un pouvoir de certification. Donc vous n'avez pas besoin de garder cette clé secrète.
Ce qu'il vous faut, c'est la clé privée. C'est comme un mot de passe que vous pouvez utiliser pour ouvrir votre compte. Donc cela s'apparente à votre numéro d'identification personnel dans le cas de votre carte bancaire. Elle n'appartient qu'à vous. Vous la protégeriez de la même façon que vous protégez un mot de passe ou votre numéro d'identification personnel dans le cas de votre carte bancaire. Vous ne le communiquez à personne. Donc, en ce qui concerne cet aspect de la protection des renseignements personnels, la technologie vous protège tant que vous protégez votre propre numéro d'identification personnel.
Mais la clé publique qui se trouve dans les répertoires électroniques est l'outil que chacun doit avoir si bien que lorsqu'on utilise cette clé, on sait qu'on l'envoie à vous et non à moi par exemple. C'est donc la façon dont la technologie peut aider à vous protéger.
C'était simplement pour apporter un éclaircissement.
La présidente: Vous avez le temps de poser une dernière question.
M. Ian Murray: Vous avez dit que le gouvernement collabore avec la compagnie Entrust pour mettre au point un logiciel de cryptographie. Je ne comprends toujours pas comment le gouvernement peut adopter une démarche ouverte en ce qui concerne la cryptographie. Autrement dit, il n'existe aucune restriction quant au service que quelqu'un peut utiliser ou au logiciel qu'il peut utiliser. Il s'agit ici encore d'une question très technique. Je ne comprends tout simplement pas comment vous pouvez avoir plusieurs différents types de logiciels de cryptographie pour communiquer avec le gouvernement. Disons que le gouvernement décide de n'utiliser que la technologie Entrust. Ne serait-il pas alors logique que tous ceux qui traitent avec le gouvernement soient obligés de s'en servir également, ou y a-t-il quelque chose qui m'échappe? Je n'arrive pas à comprendre comment cela fonctionne.
M. Douglas Timmins: Madame la présidente, je pense que c'est une option mais ce n'est pas la seule. Bien entendu, en mettant au point son produit, qui est un produit commercial, Entrust reconnaîtrait qu'il existe un marché plus vaste dont elle doit tenir compte à savoir ceux qui utilisent d'autres produits. Donc Entrust va s'assurer de mettre au point ses produits de manière à ce qu'ils soient compatibles avec d'autres technologies.
• 1005
Il existe bien sûr toujours des risques et des limites quant
à la façon dont les choses sont faites et quant aux mesures à
prendre pour que cela fonctionne, mais dans une certaine mesure au
gouvernement... S'ils s'arrangent pour que leurs produits soient
compatibles aux produits du gouvernement, cela peut alors leur
donner un certain avantage en ce sens qu'ils n'ont pas à se
préoccuper de leur interconnexion. Mais à mon avis, il ne fait
aucun doute que dans le cadre du développement du produit
commercial, ils sont très conscients de la nécessité de le rendre
compatible, et c'est la voie dans laquelle ils se sont engagés.
M. Ian Murray: Je vous remercie.
La présidente: Madame Lalonde, avez-vous une question?
[Français]
Mme Francine Lalonde: Ma question sera courte, mais je ne sais pas si la réponse le sera. S'il y a une lourdeur, n'est-ce pas parce qu'on assiste à une révolution? Depuis que l'homme écrit, le support est le papier, et maintenant le support va changer. Bien sûr, il y a la question de la protection des renseignements personnels. Il y a aussi une question démocratique, celle de l'accès à l'information. Nous pouvons nous poser cette question, et nous devons même nous la poser à titre de parlementaires qui défendons la démocratie. Est-ce qu'on va avoir accès à l'information? Je sais que la technologie va vite, mais les principes ne devraient pas être influencés par la technologie. C'est ma question.
[Traduction]
M. Douglas Timmins: Oui, madame la présidente, je conviens que c'est un aspect de la question dont il faut tenir compte, en plus de la technologie. La technologie existe, elle peut accomplir bien des choses, mais il reste à décider, et c'est là où intervient la question de la politique, la façon dont elle fonctionnera et comment on protégera les renseignements personnels. Nous ne voulons certainement pas minimiser la complexité de cette question et la nécessité d'y donner suite.
C'est en partie, du moins, ce que l'on tâche d'accomplir dans le cadre de la discussion du projet de loi C-54. C'est pour cette raison que nous espérons que les progrès se poursuivront en ce qui concerne le projet de loi C-54, mais aussi parce qu'il traite, comme nous en avons discuté dans certains aspects que nous avons soulevés dans ce chapitre, de la sécurité et du support papier, et qui constitue à notre avis des éléments dont il faut s'occuper également.
La présidente: Je vous remercie.
[Français]
Mme Francine Lalonde: Nous différons là-dessus.
[Traduction]
La présidente: Je vous remercie, madame Lalonde.
Madame Jennings, vous avez la parole.
Mme Marlene Jennings: Je vous remercie.
Pour revenir à la question du parrain principal, j'en conclus d'après la réponse que vous avez donnée aux questions qui vous ont été posées auparavant à ce sujet, que vous n'êtes absolument pas satisfait de la réponse du gouvernement à la recommandation formulée par le vérificateur général selon laquelle il faudrait nommer ou créer un parrain principal.
Mme Marlene Jennings: Madame la présidente, je ne suis pas sûre que nous soyons entièrement déçus ou contre la totalité de la réponse. Mais certainement en ce qui concerne l'aspect sur lequel il a mis l'accent—c'est-à-dire qu'il considère qu'il s'agit d'une question horizontale et que tous les ministères ont une responsabilité—nous ne sommes pas en désaccord avec lui sur ce point.
Mais nous estimons que cela n'est pas suffisant. Nous ne croyons pas que le parrain principal devrait se charger de tout et devenir un directeur de toutes les activités dans l'ensemble du gouvernement. Ce n'est pas ce que nous préconisons non plus. Nous pensons qu'il s'agit davantage d'établir une stratégie et un plan et de s'assurer que tout le monde travaille dans le même sens, et c'est là une optique différente. Mais cela pourrait également s'avérer sans doute difficile dans certains cas pour le gouvernement car il s'agit de déterminer le niveau que cette personne occupe et la priorité qu'elle a au sein du gouvernement.
Comme nous en avons discuté plus tôt, nous ne voudrions certainement pas que cela prenne le pas sur le problème du passage à l'an 2000 à ce stade. Cela explique peut-être en partie la réponse du gouvernement, à savoir qu'il tient à continuer à mettre l'accent sur le problème de l'an 2000, et c'est très bien. Mais je pense également que le gouvernement risque de perdre une occasion s'il ne charge pas quelqu'un d'assurer cette orientation et cette planification stratégiques, et peut-être de rassembler ces initiatives horizontales. Je pense que c'est en fait ce dont il est question.
Mme Marlene Jennings: Mais n'est-il pas vrai que dans l'ensemble, le gouvernement fédéral et la plupart des gouvernements fonctionnent de façon horizontale? C'est pourquoi je pense que l'idée de confier la coordination à un seul organisme et en fait l'administration des politiques et stratégies dans l'ensemble du gouvernement va pratiquement à l'encontre du type même d'infrastructure gouvernementale que nous possédons à l'heure actuelle, et c'est peut-être là d'où vient la résistance.
M. Douglas Timmins: Oui, madame la présidente, je conviens qu'il faut de toute évidence confier cette responsabilité à l'ensemble des ministères. Vous avez tout à fait raison, cela est très conforme à cette tendance. Mais nous avons cerné d'autres secteurs et d'autres questions dans le cadre d'autres vérifications qui à notre avis exigent de la même façon une certaine orientation centrale pour en assurer la réussite et ainsi de suite. Cela ne veut pas dire que nous voulons compromettre ou contrer les efforts visant à rendre chaque ministère responsable individuellement de ses propres initiatives, mais il existe d'autres importants projets en cours qui ont bénéficié d'une certaine orientation centrale. Nous avons d'ailleurs fait des observations au sujet de ces projets.
Mme Marlene Jennings: Comme le bogue de l'an 2000.
M. Douglas Timmins: Et en voici un autre. S'il y a un parrain il y aura une certaine prise en charge. Sans parrain, il n'y en aura pas. Nous essayons d'assurer une certaine prise en charge pour être sûrs que les choses avancent.
Mme Marlene Jennings: Ma seconde question porte sur les questions juridiques. Dans votre paragraphe 12, vous dites:
-
le gouvernement avait établi les nécessités suivantes: actualiser
les lois afin de rendre neutres les dispositions législatives au
point de vue des supports, veiller à la reconnaissance de
l'autorisation électronique et revoir les règles de la preuve pour
les dossiers électroniques. Les parties deux et trois du projet de
loi C-54 répondent à ces questions.
Mais vous dites qu'il y a d'autres questions auxquelles le projet de loi C-54 ne répond pas. Est-ce parce que le projet de loi n'est pas le bon véhicule pour en traiter, ou est-ce que le projet de loi pourrait répondre à ces questions mais ne l'a pas fait, pour une raison ou une autre? S'il y a d'autres problèmes, ayez l'obligeance de nous les signaler.
M. Douglas Timmins: Oui, madame la présidente. Les détails à ce sujet figurent dans les paragraphes 19.69 et 19.72 du rapport.
Pour vous donner une réponse brève, on ne s'attend pas à ce que le projet de loi C-54 réponde tout seul à ces questions. Comme j'ai indiqué plus tôt, nous parlons d'initiatives séparées. Ces initiatives et applications devront être étudiées lorsqu'elles seront adoptées et il faudra en examiner la portée juridique. Je ne pense pas que ceci puisse être réglé par voie législative.
Mme Marlene Jennings: Bon. Merci.
La présidente: Merci beaucoup, madame Jennings.
Monsieur Bellemare, vous aviez une question.
M. Eugène Bellemare (Carleton—Gloucester, Lib.): Oui. Ma question porte sur la sécurité.
Sans une ICP GC, comment a-t-on réussi à assurer la sécurité des transactions électroniques actuelles, comme le courrier électronique et le dépôt direct?
M. Douglas Timmins: Je demanderai à Mme Cheng de répondre à cette question.
Mme Nancy Cheng: Merci, madame la présidente.
L'ICP est particulièrement importante pour le courrier électronique. Les messages électroniques ne seront pas sécuritaires avant que les services cryptographiques ne soient établis. Les messages pourront donc être lus par des personnes autres que les destinataires. C'est pour cela qu'on s'oriente vers la sécurité.
Pour ce qui est des transferts bancaires, les banques n'utilisent pas l'Internet. La plupart des transferts bancaires se font par le biais de transferts de fonds électroniques, en utilisant des lignes spécialisées. Ces lignes sont reliées directement entre une banque à une autre. La banque sait donc à qui elle parle. Il n'y a pas de réseau ouvert. L'infrastructure technologique est différente.
M. Eugène Bellemare: Cela m'amène à ma prochaine question.
En ce moment, il n'y a pas encore d'ICP GC. À votre connaissance, y a-t-il eu des violations de sécurité ou de la confidentialité avec les méthodes actuelles de prestation électronique utilisées pour les programmes du gouvernement fédéral?
La présidente: Madame Cheng.
Mme Nancy Cheng: Madame la présidente, nous n'avons pas étudié cette question. Cela exigerait une vérification complète particulière. Nous n'avons pas étudié la question cette fois-ci.
M. Eugène Bellemare: Merci.
La présidente: Monsieur Timmins, madame Cheng, merci beaucoup d'avoir été parmi nous aujourd'hui. La discussion a été très intéressante.
Nous allons faire une petite pause de cinq minutes.
[Les délibérations continuent à huis clos]