ETHI Réunion de comité

    Je déclare ouverte la 136^e séance du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Conformément au sous-alinéa 108(3)h)(vii) du Règlement, nous étudions la protection des renseignements personnels dans les services gouvernementaux numériques.

    Nous accueillons aujourd’hui Alex Benay, dirigeant principal de l’information du gouvernement du Canada; Aaron Snow, directeur général, Service numérique canadien; Ruth Naylor, directrice exécutive de la Division des politiques de l’information et de la protection des renseignements personnels, Direction du dirigeant principal de l’information, Conseil du Trésor du Canada; et enfin, John O’Brien, directeur, Sécurité et fiabilité, Service numérique canadien.

    Je crois comprendre que MM. Benay et Snow parleront chacun 10 minutes, alors allez-y, en commençant par M. Benay qui a donc 10 minutes.

    Excellent. Je vais faire mon allocution dans les deux langues et je vous invite à brancher vos écouteurs tout de suite. Mes excuses d'entrée de jeu aux interprètes qui vont me trouver excité, mais c'est parce que ce sujet est très important pour moi. Je vais essayer de parler lentement.

    Merci, monsieur le président, de m'avoir invité à comparaître devant votre comité.

    Comme vous l'avez mentionné, je suis accompagné de Mme Ruth Naylor, qui est la directrice exécutive de la Division des politiques de l'information et de la protection des renseignements personnels.

    Je vais commencer par faire quelques brèves observations, puis je serai heureux de répondre à vos questions.

    Monsieur le président, en cette ère dominée par les téléphones intelligents, les médias sociaux et les applications qui peuvent tout faire, les Canadiens s'attendent de plus en plus à ce que les services fournis par leur gouvernement soient aussi faciles d'accès que ceux d'Expedia, d'Amazon ou de Netflix. Voilà pourquoi le gouvernement du Canada adopte les outils numériques dans le but de fournir aux Canadiens les services fiables, accessibles et sécuritaires qu'ils s'attendent à recevoir, tout en protégeant leurs renseignements personnels.

    Nous sommes convaincus que l'amélioration des services et la protection des renseignements personnels ne sont pas contradictoires, grâce aux progrès technologiques qui permettent d'intégrer les mesures de protection des données personnelles aux solutions lors des étapes de conception et de développement.

    À titre de dirigeant principal de l'information du gouvernement du Canada, je dois établir une orientation stratégique en matière de gestion de l'information, de technologie de l'information, de sécurité, de protection des renseignements personnels et d'accès à l'information à l'échelle du gouvernement, et exercer un leadership dans ces domaines.

    Mon bureau a donc pris des mesures pour promouvoir les services numériques et renforcer la protection des données personnelles des Canadiens.

    Par exemple, le gouvernement du Canada a récemment adopté un ensemble de normes numériques visant à aider les ministères et les organismes à créer de meilleurs services pour les Canadiens. Elles font en sorte que le gouvernement prenne des décisions de financement qui augmentent la sécurité et la confidentialité des renseignements personnels, intègre l'accessibilité dès le départ et permette une collaboration accrue tout en travaillant ouvertement. Ces normes sont mises en œuvre dans le cadre de l'initiative concernant le système de RH et de paye de prochaine génération, qui vise à déterminer les options pour une solution de RH et de paye de rechange.

    Dans le cadre de notre processus de travail agile, on utilise ces normes numériques pour évaluer si les fournisseurs sont capables d'atteindre les résultats opérationnels du gouvernement, qui comprennent la réalisation d'une solution sécuritaire et respectueuse de la vie privée des utilisateurs. Les normes numériques nous permettent de définir l'avenir de la prestation des services gouvernementaux à l'ère numérique, tout en nous permettant de faire preuve d'une plus grande souplesse et ouverture, et d'adopter une approche axée davantage sur les utilisateurs à toutes les étapes de la conception.

    L'initiative visant à concevoir une solution de prochaine génération pour le système des ressources humaines et de paie est un exemple de tout ce qu’il est possible de réaliser lorsque ces normes sont appliquées avec succès.

    Ce processus durera encore plusieurs années et il y a encore beaucoup à faire, mais les résultats jusqu'à maintenant sont prometteurs.

    En plus des normes numériques, nous élaborons de meilleures règles et lignes directrices pour aider les ministères et les organismes à faire la transition à l'ère numérique. Par exemple, au printemps 2018, le gouvernement a approuvé des modifications ciblées qui touchent la Politique sur la gestion des technologies de l'information et la Politique sur la gestion de l'information.

    Ces modifications ciblées visent à traiter plusieurs questions, notamment à améliorer la gouvernance et la surveillance de la technologie de l'information en général et à renforcer le rôle du dirigeant principal de l'information du gouvernement du Canada et celui des dirigeants principaux de l'information ministériels.

    Plus récemment, en décembre 2018, nous avons mis à jour la Directive sur la gestion des technologies de l'information.

    Plus particulièrement, dans le cadre de notre stratégie d'échange numérique, nous avons adopté des procédures modernes relatives aux interfaces de programmation d'applications, appelées API.

    Veuillez excuser les termes techniques.

    Nos changements rendent les services et les données du gouvernement du Canada accessibles au moyen des interfaces de programmation d'applications, ce qui encourage la réutilisation et l'échange des données dans les ministères et avec les Canadiens.

    Les normes sur les API permettent aussi au secteur privé de simplifier les services en collaboration avec le gouvernement ainsi que d'assurer la sécurité et la protection de la vie privée des Canadiens.

    Nous avons aussi mis à jour, en décembre 2018, nos règles en matière d'architecture d'entreprise. L'architecture d'entreprise est la coordination de l'information, des applications, des technologies, de la sécurité et des renseignements personnels.

    Nos changements appuient les normes ouvertes et les logiciels ouverts, les principes relatifs à l'« infonuagique d'abord », ainsi que les principes de la collecte éthique des données et de la sécurité des données.

    Au bout du compte, nos changements nous permettent de mieux travailler à l'échelle du gouvernement en assurant une meilleure fusion entre la technologie et les politiques ainsi qu'en favorisant le dialogue dès le début du processus d'approvisionnement.

    Ce sont là des mesures essentielles à l'élaboration à long terme d'une politique numérique globale du gouvernement du Canada.

    Une priorité essentielle de la politique proposée est l'intégration de la sécurité et de la protection de la vie privée à l'étape du financement et de la conception des services, des programmes et des opérations du gouvernement. On continuera à élaborer la politique numérique proposée tout au long de l'année.

    Nous avons également créé, de concert avec nos partenaires à l'École de la fonction publique du Canada, une académie du numérique pour la fonction publique, la première en son genre au Canada. L'académie fournira à nos employés les compétences de pointe dont ils ont besoin pour offrir les services numériques du gouvernement que les Canadiens s'attendent à recevoir. Un aspect important du programme de l'académie est la protection des renseignements personnels.

    Alors que nous allons de l'avant avec la prestation de services numériques, nous travaillons aussi avec les gouvernements provinciaux et territoriaux et le secteur privé dans le but de mettre en place des règles visant à encourager l'acceptation générale des identités numériques et la confiance vis-à-vis de celles-ci.

    Les Canadiens n'ont pas besoin de connaître la structure du gouvernement ni les subtilités de l'administration fédérale et des gouvernements provinciaux et territoriaux pour accéder aux services.

    Pour améliorer la prestation des services, nous mettrons l'accent sur les besoins de l'utilisateur plutôt que sur la structure du gouvernement, et nous permettrons aux Canadiens d'avoir accès aux services en ligne de toutes les administrations de manière pratique et sécuritaire. Par exemple, nous sommes en train de créer un écosystème de gestion des identités numériques afin d'appuyer l'utilisation d'identités numériques fiables par les Canadiens afin qu'ils accèdent aux services de toutes les administrations. Parmi ces administrations se retrouvent tous les ordres de gouvernement, le secteur privé et les partenaires internationaux.

    Plus précisément, on a amorcé l'élaboration d'une initiative appelée « Connexion Canada ». Ce point d'accès commun permettra aux Canadiens partout au pays d'avoir accès aux services pertinents du gouvernement en ligne en utilisant l'identité numérique validée et fédérée qui convient. Connexion Canada servira également à appuyer la stratégie de services numériques et nos efforts visant à fédérer les identités à l'échelle du gouvernement du Canada.

    Nous mettons également en place une plateforme d'échange numérique pour aider les ministères à partager leurs données entre eux et avec le monde extérieur de manière moderne, sécuritaire et unifiée. Elle serait semblable à la plateforme X-Road utilisée par l'Estonie. Les Canadiens ne devraient pas avoir à connaître la structure du gouvernement pour accéder à ses services et, dans la même veine, les citoyens s'attendent à ce que le gouvernement n'ait pas à leur poser les mêmes questions à plusieurs reprises.

    Nous avons aussi adopté des procédures obligatoires en ce qui concerne l'architecture d'entreprise et entrepris un examen préliminaire des analyses conceptuelles pour en assurer l'harmonisation. De plus, nous avons mis sur pied un nouveau conseil d'examen de l'architecture d'entreprise regroupant des représentants des intervenants du domaine des opérations et de la technologie de l'ensemble du gouvernement. Nous voulons nous assurer que les renseignements que les Canadiens nous transmettent sont gérés de façon à respecter leur vie privée, tout en permettant une interopérabilité accrue au sein du gouvernement. Ce travail en est encore à ses débuts.

    Nous nous sommes également engagés à améliorer la prestation des services en examinant la possibilité d'offrir aux clients l'expérience « une fois suffit ». Les Canadiens pourraient ainsi fournir les renseignements clés une seule fois au lieu de se faire demander les mêmes renseignements par chaque ministère et organisme. Mon personnel examine actuellement les processus opérationnels, les politiques et les lois du gouvernement afin de repérer tout obstacle à la concrétisation de cette vision. Dans cette optique, nous devons examiner les règles qui régissent le partage de l'information et les manières dont on pourrait permettre un échange de renseignements plus efficace entre les ministères et les organismes qui fournissent des services aux Canadiens en mettant en place les bons mécanismes régulateurs.

    Mon personnel travaille également en étroite collaboration avec le Commissariat à la protection de la vie privée afin de bénéficier de ses conseils concernant nos plans et nos initiatives visant à faire avancer le gouvernement numérique. Le commissaire nous a indiqué que la protection des renseignements personnels ne devrait pas être considérée comme un obstacle à l'innovation. Nous avons hâte de continuer à travailler en étroite collaboration avec le Commissariat afin de repenser la façon dont nous pouvons mieux protéger les renseignements personnels des Canadiens.

    Afin de respecter nos obligations en matière de protection des renseignements personnels, nous devons nous occuper de la tâche difficile de concevoir des services numériques qui sont axés sur les citoyens et qui protègent les renseignements personnels des Canadiens. À cette fin, nous collaborons avec plusieurs intervenants afin de mettre en commun les pratiques exemplaires et d'apprendre du travail des autres. Afin de tirer parti du potentiel des progrès technologiques, le SCT et SPAC ont travaillé à l'élaboration d'outils d'approvisionnement agiles et novateurs pour répondre aux besoins actuels de la fonction publique.

    Nous avons récemment travaillé ensemble pour créer la première liste de fournisseurs d'intelligence artificielle. Ces fournisseurs devaient démontrer qu'ils avaient les ressources et les compétences nécessaires et qu'ils avaient intégré des principes éthiques à leurs pratiques relatives à l'intelligence artificielle. Pour garantir la protection des renseignements personnels, ce travail s'aligne sur l'orientation du gouvernement ainsi que sur notre travail d'élaboration des politiques en cours, et il les renforce.

    Ce travail fait la promotion de l'utilisation d'outils nouveaux et assure une orientation ainsi qu'une surveillance concrètes afin de limiter les possibles répercussions imprévues pour les Canadiens. Pour assurer l'élaboration d'une politique significative, nous avons collaboré de façon ouverte avec des experts internationaux, des chefs de file de l'industrie et des fonctionnaires qui veilleront à sa mise en oeuvre.

    Ce travail s'inscrit dans le cadre de nos efforts concertés visant à mettre en place un gouvernement ouvert. Ces efforts ont été reconnus au mois de septembre, lorsque le Canada s'est classé au premier rang du Baromètre des données ouvertes de la World Wide Web Fondation sur le plan du leadership en matière de données ouvertes, à égalité avec le Royaume-Uni. Les secteurs liés aux services numériques, tels que l'intelligence artificielle, les données, la cybernétique et la protection des renseignements personnels, n'existent pas en cloisonnement: ils sont liés les uns aux autres ainsi qu'à d'autres secteurs, à un point tel qu'il est impossible de tout savoir.

    La technologie continue d'effacer les frontières traditionnelles et, pour cette raison, il faut que le gouvernement continue de travailler comme une seule entité en demeurant conscient du fait que tous les aspects de ses opérations sont de plus en plus touchés par les progrès technologiques.

    Sur le plan du gouvernement numérique, la réussite consiste à fournir les services uniformes et intégrés auxquels s'attendent désormais les citoyens, des services qui répondent à leurs besoins et aux attentes du gouvernement et qui permettent de s'assurer que le gouvernement continue de faire partie du quotidien des gens. Ceci comprend la protection de la vie privée des Canadiens.

    En traçant la voie à suivre pour les services numériques modernes, y compris la protection des renseignements personnels, on pourra s'assurer que le Canada demeure à l'avant-garde en matière de soutien et de mobilisation des citoyens.

     Pour terminer, j'aimerais vous dire que j'ai hâte de lire le rapport et les recommandations de votre comité sur cet important dossier. Je vous remercie de votre attention.

    Merci, monsieur Benay.

    C'est maintenant à M. Snow, pour 10 minutes.

    Merci, monsieur le président, et merci aux membres du Comité de même qu'à Alex.

    Je suis accompagné de mon collègue John O’Brien, directeur de l’ingénierie de la sécurité et de la fiabilité au Service numérique canadien. Avant d'être au SNC, John travaillait au Centre de la sécurité des télécommunications à titre de responsable technique de l’analyse et de l’automatisation des logiciels malveillants, ou, pour dire les choses plus simplement, John sait comment fonctionnent les méchants.

    Pour ceux d'entre vous qui connaissent peu le SNC, sachez que nous représentons une nouvelle équipe de prestation de service au sein du Secrétariat du Conseil du Trésor du Canada qui travaille en étroite collaboration avec l'organisation de M. Benay. Le SNC a été établi il y a 18 mois pour fournir aux ministères fédéraux une aide pratique qui permet d'accélérer, de simplifier et de rendre plus accessibles et sécuritaires les services numériques tout en appuyant le développement des capacités de ces ministères à concevoir et à effectuer une prestation de service modernisée.

    Par exemple, nous avons collaboré: avec Anciens Combattants Canada pour améliorer la manière dont les anciens combattants et leurs familles ont accès aux services; avec Immigration, Réfugiés et Citoyenneté Canada pour aider les nouveaux arrivants au Canada à se réinscrire en ligne à l'examen pour la citoyenneté; avec la Gendarmerie royale du Canada pour aider les victimes à signaler la cybercriminalité et la fraude par Internet; avec nos collègues au bureau de M. Benay, afin de faire en sorte que les visites des sites du gouvernement du Canada soient plus sûres; et avec l'Agence du revenu du Canada de sorte à aider les Canadiens à faible revenu à remplir leurs déclarations en ligne et à accéder aux prestations.

    Je suis Américain.

    Avant ma venue au Canada, au printemps dernier, j'ai eu le privilège d'être à la tête d'une initiative semblable aux États-Unis visant à doter le gouvernement de nouvelles compétences et méthodes afin de mieux servir le public. En 2013, j'ai reçu la bourse présidentielle d'innovation. Dès le premier jour comme boursiers, on nous a dit que c'était un programme de « leurre par mots-clés », et évidemment beaucoup de ceux qui avaient signé pour une bourse de six mois y étaient toujours quatre ans plus tard.

    Mes collègues et moi avons par la suite créé l'unité 18F de prestation des services, à la suite de l'échec du lancement de Healthcare.gov. Je fus le premier à occuper le poste de directeur de la prestation de l'unité 18F, et ensuite, le poste de directeur administratif. J'ai aussi été avocat.

    Comme M. Benay l'a souligné, « le numérique », ce n'est pas seulement mettre les services en ligne. Comme nous l'a dit un jour notre collègue du Royaume-Uni, Tom Loosemore, « le numérique », c'est l'application de la culture, des pratiques, des processus et des technologies de l'ère de l'Internet pour répondre aux attentes élevées des personnes.

    La technologie ne vient pas sans ses propres défis, mais ce sont les autres choses qui sont normalement les plus difficiles à changer. Nous plaisantons à moitié quand nous disons que le SNC est un bureau de gestion du changement déguisé en bureau de services numériques.

    Comment pouvons-nous concevoir et développer des services qui sont à la fois faciles et sécuritaires? Les réponses à cette question abondent, mais je vais vous parler de cinq pratiques importantes que nous essayons d'appliquer au SNC dans chacun de nos projets, des pratiques qui, par le passé, tenaient plus de l'exception que de la règle au gouvernement. Cependant, cela est en train de changer rapidement.

    Il est question: premièrement, d'appliquer des pratiques de recherche et de conception qui font passer les gens d’abord, et non des règles et des processus; deuxièmement, d'offrir et d'améliorer continuellement les choses; troisièmement, de présumer qu’il y aura des échecs et d'être en mesure d’y réagir; quatrièmement, de travailler au grand jour et, enfin, d'avoir de solides boucles de rétroaction entre la prestation et la politique.

    Pour ce qui est du premier point, le SNC se concentre sur les personnes qui utilisent les services du gouvernement. En pratique, cela exige une collaboration continue avec ces personnes pour trouver ce dont elles ont besoin, et non seulement ce que le gouvernement attend d'elles. Nous savons que, parmi ces besoins, la sécurité et la protection des renseignements personnels sont essentielles et non négociables. Pour respecter ces besoins, nous en tenons compte dès le départ dans la manière de développer et de fournir les services et tout au long de leur développement. Cela nous permet de vérifier nos hypothèses auprès des personnes qui utiliseront le service. Si vous savez ce en quoi consiste la recherche auprès des utilisateurs, vous savez qu'elle peut être une grande leçon d'humilité particulièrement révélatrice. En outre, nous pouvons comprendre mutuellement quelles sont les données qui sont vraiment nécessaires pour terminer une transaction de service et fournir une expérience de service de premier ordre.

    En faisant participer les usagers dès le départ et au cours de la conception d'un service, nous pouvons continuellement préciser les besoins, les préoccupations et les préférences des utilisateurs. Nous pouvons notamment déterminer ainsi quels renseignements personnels sont nécessaires à la prestation d'un excellent service, et quelle est la quantité de données personnelles requises, combien de temps nous devons garder ces données et quelles sont les assurances que nous pouvons donner concernant la manière dont nous les traiterons et les effacerons, le cas échéant.

    Parler directement et souvent aux personnes que nous servons est essentiel pour inclure dès le début dans la conception des services la protection des renseignements personnels et la sécurité, ce qui m'amène au deuxième point que j'aimerais souligner, soit la façon dont nous fonctionnons.

    Nous développons des produits et des services de manière itérative et transparente, par le biais de pratiques et d'outils adaptés. En quoi cela favorise-t-il la sécurité des systèmes? Eh bien, le Centre canadien pour la cybersécurité a publié une liste des dix principales mesures de sécurité des TI que les organisations peuvent prendre pour atténuer la possibilité et l'impact d'une cyberintrusion. L'un des principaux messages, c'est qu'il faut maintenir les programmes de correction du système à jour, comme les mises à jour régulières que vous effectuez sur vos téléphones Apple, Google ou BlackBerry.

    Cela paraît simple, mais c'est partout un problème pour les organisations. Pour le faire correctement et rapidement, les services doivent être développés de sorte que les améliorations fréquentes soient la norme, non l'exception. Plus il est difficile de faire des modifications à votre système, plus de temps il faudra pour créer les corrections et les diffuser lorsqu'une vulnérabilité est décelée.

    Certains systèmes gouvernementaux qui sont en ligne aujourd'hui effectuent des modifications seulement quelques fois par année, sauf pour les corrections urgentes, et même une simple demande de modification peut prendre plus d'une année pour arriver au bout de la file, être programmée, et survivre à l'interminable panoplie de processus manuels de révision, de conformité, de mise à l'essai, de montage et de prières silencieuses, les doigts croisés, avant son lancement.

    À l'opposé, la plupart des sites Web avec lesquels vous interagissez tous les jours — ceux d’Amazon, de Google, de Facebook — lancent des douzaines ou des centaines de modifications tous les jours, de manière sécuritaire, rapide et sans douleur. Ce processus est communément appelé « prestation continue », et c'est la manière dont nous développons aussi les choses au SNC. Mettre à jour les systèmes de cette manière — pour améliorer la fiabilité, corriger les problèmes ou les adapter aux attentes et aux besoins changeants des utilisateurs — est plus facile, plus rapide et plus fiable. Faire en sorte que ce modèle de prestation continue et d'amélioration devienne la norme au gouvernement est à la fois un problème de dette technique et un problème de culture de prestation. Mais la modernisation de ces systèmes et la manière dont nous gérons les modifications que nous leur apportons représentent la manière la plus efficace d'améliorer la posture de sécurité de nos systèmes.

    Mon troisième point maintenant. La prestation continue ne vous laisse pas seulement appliquer des programmes de corrections et ajouter des options rapidement. Elle vous permet d'agir rapidement quand quelque chose ne va pas. Pas si, mais bien quand. Dans un monde idéal, qui n’existe bien sûr pas, tous les systèmes seraient sécuritaires à 100 %. La cybersécurité moderne nous encourage à raisonnablement supposer que les défaillances et les intrusions se produiront, et de planifier en conséquence. Les grandes organisations mettent à profit les leçons apprises après chaque incident de ce genre, grave ou mineur, afin d'améliorer leur résilience. Nous encourageons la tenue de « récapitulations sans reproche » après les incidents, dans un environnement où les membres du personnel se sentent psychologiquement en sécurité et en confiance pour parler ouvertement et honnêtement des erreurs ou des fautes commises. Nous apprenons davantage et nous améliorons davantage les systèmes en reconnaissant les défaillances plutôt qu'en les cachant. II est plus sain pour les organisations d'encourager la divulgation des causes fondamentales des défaillances plutôt que d'avoir des employés qui craignent d'être blâmés pour des circonstances dont ils n'ont pas le contrôle.

    Quatrièmement, depuis trop longtemps, nous sommes tous témoins de conséquences explosives contre les organisations qui ont gardé le silence sur des incidents liés à la sécurité, ou à propos d’autres sortes d'échecs. C'est une des raisons pour lesquelles nous travaillons « de manière transparente », c'est-à-dire à la vue de l'équipe et, autant que possible, à la vue du public. Développer nos services de manière transparente par défaut réduit les risques. Cela peut paraître contre-intuitif. Que le secret soit bon pour la sécurité est un mythe tenace. En pratique, développer des logiciels de manière transparente permet aux autres de contribuer à notre travail, de l'essayer et de le critiquer. C'est une mesure qui incite davantage tout le monde à réussir la programmation, au lieu de prendre des raccourcis qui pourraient ne pas être exposés dans un environnement très restreint. Elle nous donne l'occasion de discuter ouvertement des décisions que nous prenons et des compromis potentiels. Elle nous permet de créer une culture où l'on apprend de ses erreurs; et où l'on échange sur notre travail avec d'autres — un avantage particulier dont nous avons déjà tiré profit à maintes reprises.

    Le gouvernement du Royaume-Uni résume cela dans un simple principe conceptuel: « rendre les choses transparentes, ça les rend meilleures. » Le même principe apparaît dans les normes numériques de notre gouvernement.

    Cela m'amène à mon dernier point concernant la manière dont nous effectuons la prestation de services sécuritaires et faciles à utiliser pour le public. Mike Bracken, qui a dirigé le service numérique du gouvernement du Royaume-Uni pendant ses quatre premières années d'existence, a écrit: « dans un monde analogique, les politiques dirigent la prestation, mais dans un monde numérique, la prestation renseigne les politiques. C'est ce que signifie “agile” pour le gouvernement et ses services. »

    Écouter nos utilisateurs et travailler avec eux, mettre des prototypes fonctionnels devant eux aussi rapidement que possible, et améliorer continuellement ces services, cela représente non seulement le meilleur moyen pour apprendre ce qui fonctionne pour les utilisateurs, mais également le meilleur moyen d'apprendre quelles politiques fonctionnent et comment d'autres échouent, et comment nous devrions les mettre à jour pour rester à la hauteur des attentes modernes. On s'écarte là quelque peu des démarches traditionnelles d'élaboration des politiques qui, sur le plan organisationnel, sont souvent détachées de l'aspect mise en oeuvre. Tout est pensé, conçu, souvent des mois, voire des années avant que les personnes concernées ne soient touchées. Il n'est donc pas surprenant qu'on passe parfois à côté.

    Nous croyons que les pratiques qu'emploie et promeut le SNC tous les jours — les pratiques encouragées par les normes numériques — représentent le meilleur moyen de répondre aux attentes du public pour des services meilleurs, plus intègres, qui sont également plus sécuritaires et plus réactifs aux besoins en matière de protection des renseignements personnels des Canadiens.

    Ayant accompli cela dans deux pays, je suis certain de ceci: le changement est difficile, et ça ne se fait pas du jour au lendemain. Cela étant, nous faisons des progrès pour ce qui est de répondre aux attentes du public en matière de prestation de services conviviaux, efficients, sécuritaires, et nous continuons sur notre lancée pour réaliser d'autres progrès encore plus grands.

    Merci. C'est avec plaisir que je répondrai à vos questions.

    Merci à vous deux.

    Les premières questions seront posées par M. Saini qui a sept minutes.

    Bonjour à tous.

    Merci beaucoup d'être venus.

    Ma première question s'adresse à vous, monsieur Benay. Nous avons constaté que les systèmes utilisés au gouvernement sont désuets et que nous manquons de compétences technologiques. Vous avez lancé un concept appelé « le nuage de talents du gouvernement du Canada » face à l’importance croissante que prend chez nous l'économie à la demande. Pouvez-vous m’expliquer comment cela fonctionne? Si les gens viennent travailler temporairement, comment pouvez-vous constituer un bassin de talents durable afin de disposer des compétences nécessaires à l’avenir?

    Le nuage de talents est un nouveau modèle qu'un groupe de fonctionnaires met à l'essai pour attirer des employés au gouvernement du Canada. Le processus d'embauche est très lent, alors nous essayons de recruter de nouveaux fonctionnaires en 30 jours seulement. Ce n'est qu'un objectif; nous ne l'avons pas encore atteint, mais nous nous y efforçons.

    Grâce à certaines des techniques que mon collègue, M. Snow, vous a décrites, ce groupe a réussi, l'année dernière, à lancer un prototype bêta, de source ouverte et à très faible coût, qui a réduit nos délais d'embauche à 40 ou 50 jours. Nous cherchons une solution qui aide le gouvernement à engager des employés le plus rapidement possible.

    Nous essayons également de nous adapter au marché à la demande qui règne à l'heure actuelle. Les spécialistes de la technologie préfèrent maintenant les brèves affectations; ils ne veulent plus faire carrière à la fonction publique pendant 35 ans. Le roulement continuel qui en découle nous cause de grandes difficultés.

    Avec ce nuage de talents, nous espérons adapter la dotation à cette tendance en accordant aux employés contractuels une pension de retraite et des avantages sociaux. Ils peuvent choisir de travailler chez nous pendant six à douze mois, puis s'en aller ailleurs et revenir au bout de quelques années. Dans le domaine de la technologie, ce modèle est extrêmement efficace, car ces personnes étendent leurs compétences en travaillant dans divers secteurs et nous reviennent avec de nouveaux points de vue. L'équipe s'enfonce de plus en plus dans ce modèle de secteur public poreux.

    Monsieur Snow, dans votre déclaration préliminaire, vous avez parlé d’apprentissage itératif. Vu la quantité d’information que l'on recueillera, il deviendra urgent d'utiliser l’intelligence artificielle pour analyser les données et les paramètres de la fonction publique afin, évidemment, d'éclairer la prise de décisions et de livrer les résultats plus efficacement.

    Comment convaincre les membres du public qu'à long terme, cette technologie est avantageuse, autant pour eux que pour le gouvernement?

    Pour gagner et conserver la confiance du public, il faut avant tout faire preuve de transparence et confirmer les faits.

    Lorsque nous parlons de développement de services itératifs, nous parlons surtout de recherche sur les utilisateurs et de compréhension de ces utilisateurs à un niveau plus micro que macro, ce qui pourrait être plus propice à l’utilisation de l’IA. Pour toutes sortes de raisons, si nous parlons d'utiliser de grandes quantités de données et d’algorithmes que la majorité de la population pourra, ou non, percevoir, il sera essentiel de faire preuve d'une grande transparence et de discuter ouvertement avec les secteurs privé, sans but lucratif et public de la surveillance adéquate de l’IA. Cependant, M. Benay s'y connaît beaucoup mieux que moi dans ce domaine.

    Je sais que nous nous comparons à l'Estonie pour évaluer nos capacités, mais celle-ci ne compte que 1,3 million d'habitants. Elle s'étend sur 4 millions d'hectares, et la moitié de cette superficie est recouverte de forêts. Elle n'est donc pas très grande. De plus, c'est un État unitaire.

    La Norvège a créé une boîte courriel pour chacun de ses citoyens afin de bien les renseigner. Je m'inquiète de ce qu'en adaptant nos méthodes aux progrès de la technologie et du marché, nous nous heurtions au fait que plusieurs ministères fonctionnent avec des systèmes désuets. Comment réussirons-nous à offrir l'information en un simple clic et à communiquer avec le public pendant la transition?

    C'est une excellente question.

    L’Estonie n'est qu'un exemple. Vous avez souligné des différences considérables, mais nous avons aussi des provinces et des municipalités assez importantes partout au Canada. Nous ne sommes pas l’Estonie, et il est important de le reconnaître, tant sur le plan culturel que juridique. Toutefois, nous avons beaucoup appris des Estoniens. Nous avons appris à échanger des données de façon sécuritaire. Nous les avons vus offrir des services numériques tout en améliorant la protection de la vie privée. Ils ont montré au monde entier que c’est possible. Il nous faudra adapter ces solutions à l'échelle du Canada, embaucher des employés qualifiés et moderniser nos systèmes.

    Cette année, nous avons créé le Conseil d’examen de l’architecture intégrée, et nous demandons aux ministères de présenter leurs solutions le plus tôt possible. Tous les groupes fonctionnels sont représentés à ce conseil, de la sécurité à la protection de la vie privée en passant par les applications et par la prestation de services, afin de tenir des discussions efficaces et d'éviter les dédoublements qui surviennent si facilement avec les fonctions des anciens systèmes. Nous y discutons de la transition vers le nuage, de la protection des données des citoyens, de l’intelligence artificielle et des nouveaux défis de gouvernance que posent certaines de ces technologies.

    Nous avons systématiquement orienté cette conversation sur les investissements parce que bien des décisions reposent sur ce facteur, et nous en subissons souvent les répercussions.

     J’ai une dernière question, qui est plutôt théorique, puisque le Canada fait partie du groupe D9 qui s'efforce de numériser le gouvernement.

    Avec [Inaudible] et en pensant à certains pays, nous avons signé des accords commerciaux avec de nombreuses nations. Un grand nombre de données vont donc circuler entre ces pays et le nôtre. Avez-vous discuté de l'établissement d'une norme unique pour la transmission de l'information?

    Tout organisme désireux de faire des affaires à l'étranger ou de répondre aux marchés publics d'un autre pays pourrait compter sur un système unique, sur un degré de protection de son information, sur une architecture particulière et sur un certain niveau technologique. En avez-vous déjà discuté?

    Nous avons fait un premier pas dans ce sens. En fait, je vous répondrai « pas encore ».

    Ce groupe est relativement nouveau, mais nous avons fait un premier pas quand le Canada a incité tous les pays à signer une déclaration commune sur l'usage de l'intelligence artificielle. Nous pouvons donc maintenant collaborer avec l'industrie de chacun des pays membres pour qu'elle commence à adopter quelques-unes de ces règles. Ensuite, nous inviterons les grandes sociétés à participer à nos conversations et à collaborer avec le D9.

    Je vous réponds donc que nous n'en sommes qu'aux premiers balbutiements. Cette initiative n'est pas aussi mûre que vous ne le pensiez.

    Merci.

    Monsieur Snow, voudriez-vous ajouter quelque chose?

    Non pas sur le D9, mais le Canada a signé avec des pays d'Europe un traité dont les signataires s'engagent à fournir une source unique de...

    Vous parlez du RGPD? C'est de cela que vous parlez?

    Non.

    Nous sommes tenus d’offrir, d'ici 2022 si je ne m'abuse, une source unique d'offres d’approvisionnement aux gouvernements fédéral, provinciaux et locaux ainsi qu'aux établissements d’enseignement et de santé. Je n'y connais pas grand-chose, mais nous en avons discuté avec des fonctionnaires de SPAC. Ils seraient bien mieux placés pour vous répondre.

    Merci.

    À vous la parole, monsieur Kent. Vous avez sept minutes.

    Merci, monsieur le président. Je vous remercie tous d'être venus aujourd'hui.

    Monsieur Benay, je voudrais vous poser quelques questions sur les différences que vous avez soulignées entre les merveilleuses fédérations que sont l'Estonie et le Canada.

    Certains croient encore que le gouvernement numérique estonien, imposé comme style de gouvernance démocratique à une population obéissante après l'éclatement de l'Union soviétique, trône au sommet d'une colline comme une ville numérique étincelante que le Canada devrait s'efforcer d'imiter. À quel point cela vous semble-t-il réaliste, même en n'imposant cela qu'aux ministères et organismes fédéraux? Le Canada y parviendrait-il, disons, en une dizaine d'années?

    Du point de vue technologique, nous apprendrions beaucoup de ce que les Estoniens ont accompli avec leur plateforme d'échange de données X-Road. Cette année, nous avons invité certains de ses fondateurs à deux reprises au Canada pour qu'ils nous aident à recréer une plateforme similaire conçue dans une perspective canadienne. À l'encontre de l'Estonie, nous avons des provinces et de grandes municipalités. Nous avons beaucoup appris de ces échanges.

    Nous avons aussi acquis de bonnes connaissances sur la nécessité de réviser continuellement les lois dans un monde numérique. Les Estoniens gèrent très bien les données. Quand leur gouvernement décrète qu'un organisme est propriétaire de certaines données, la décision est pour ainsi dire irrévocable.

    À part les différences d'échelle, de valeurs et de contexte entre nos deux pays, nous avons beaucoup de choses à apprendre, et nous examinons toutes ces questions. Nous avons beaucoup appris de l'Estonie.

    Nous recueillons aussi beaucoup de renseignements de nos partenaires du D9. Par exemple, le Portugal a établi un excellent système d'identification numérique qui ressemble plus aux systèmes canadiens qu'à ceux de l'Estonie.

    L'Estonie est à l'avant-garde de la technologie, mais certains nous considèrent comme chefs de file des valeurs et de l'éthique de l'usage responsable de l'intelligence artificielle, et les autres pays apprennent de nous. C'est une excellente relation d'apprentissage.

    Monsieur O'Brien, que pensez-vous de tout cela?

    Je ne connais pas bien l'aspect technologique de la plateforme X-Road.

    Cela dit, dans le cadre de sa fonctionnalité, à mon avis il sera crucial que nous installions des registres d'audit vérifiables, quel que soit le système que nous mettrons en place.

    Il faudra également que les citoyens puissent voir quand les fonctionnaires accéderont à leurs données. Cette transparence sera l’élément fondamental de tout système, quel qu'il soit.

    Si nous expliquons clairement ces facteurs aux Canadiens, ils n'auront aucune peine à les adopter.

    Monsieur Benay, vous avez dit une chose qui m'a fait sourire. Vous avez souligné qu'il n'est pas nécessaire que les Canadiens connaissent les détails de l'organisation et les subtilités des administrations fédérale, provinciale et territoriale quand ils essaient d'accéder à des services. Cela m'a rappelé l'époque où Réal Caouette, le politicien québécois, cherchait à justifier la politique économique du Crédit social en affirmant qu'il n'est pas nécessaire de connaître le fonctionnement mécanique d'un carburateur lorsqu'on fait avancer une auto en poussant sur l'accélérateur. Cela m'amène à la question de l'approvisionnement. Vous avez mentionné l’étape de l’investissement et de la conception des services, des programmes et des activités du gouvernement, ce qui me fait tout de suite penser au système Phénix. Il semblerait que les personnes chargées de l'acheter ont décidé de réduire les coûts d’acquisition en refusant certains des services que le fabricant, le fournisseur, recommandait en fait au gouvernement. Nous en voyons aujourd’hui les résultats.

    Même s'il n'est pas nécessaire que les citoyens soient au courant des subtilités du processus, il me semble que les fonctionnaires chargés de l'approvisionnement n'ont pas été à la hauteur de leur tâche. Qu'en dites-vous?

    Absolument. Je vais parler de ces deux faits.

    Nous nous efforçons de concevoir cela — et j'en reviens à ce que disait M. Snow — de manière à ne pas imposer aux citoyens les structures de la prestation des services. Nous voulons qu'ils nous considèrent simplement comme le gouvernement du Canada et qu'ils aient le moins de peine possible à accéder à ces services. Le gouvernement du Canada a établi des structures, des lois, des processus, mais la technologie nous permettra en fait d'exister aux yeux des citoyens et de présenter la prestation de ces services d'une manière très différente et beaucoup plus intuitive. Voilà l'objectif que nous poursuivons en cherchant à simplifier ces choses pour les citoyens. Ce n'est pas simplement une idée que nous nous faisons, mais comme le disait Aaron, nous savons que les citoyens désirent cela, parce qu'ils nous l'ont dit.

    Par conséquent, en préparant la prochaine génération du système Phénix, nous avons examiné en profondeur les leçons que nous avons tirées du rapport du vérificateur général, du rapport Goss Gilroy et des rapports des comités afin de les appliquer au successeur du système Phénix.

    Par exemple, dans le cadre des activités d’approvisionnement que nous menons actuellement, nous avons tenu dans tout le pays des expositions axées sur les utilisateurs. Nous y mettions les technologies des concurrents entre les mains des utilisateurs pour qu’ils les essaient et qu'ils nous disent ce qu'ils en pensent. Cela permettait à des experts en accessibilité d'essayer ces technologies. En plaçant l’utilisateur au centre de ce processus, nous avons pu changer le mécanisme de prise de décisions comme celui qu’a décrit Aaron à un processus répondant aux besoins réels des gestionnaires des RH, des administrateurs de la paye et des fonctionnaires ordinaires. En fait, nous avons intégré ces leçons apprises au processus d’approvisionnement comme on ne l'avait jamais fait auparavant.

    Nous pouvons donc démontrer que nous avons intégré certains enjeux de l'approvisionnement d'une manière très [Inaudible]. Nous y faisons participer toutes les personnes concernées, même le directeur parlementaire du budget, qui siège de temps à autre à nos réunions, les syndicats et les chefs des agents négociateurs. Nous y incluons énormément de gens. Ce processus d'approvisionnement repose aussi sur les principes de la protection de la vie privée. Nous affichons dans un portail tous les documents qui n'entravent pas le processus d'approvisionnement pour que les gens puissent suivre ce passage de l'ancien processus au nouveau. Nous leur montrons qu'il est possible de faire les choses différemment. Ce ne sont que nos premiers pas, et nous verrons où cette initiative nous mènera.

    Voici la dernière partie de ma question. Votre organisme possède-t-il l'expertise nécessaire pour accepter ou analyser les affirmations d'un fournisseur qui vous assure que vous devez acheter tout le kit au plein prix parce que sinon, vous aurez des problèmes?

    Pour le moment, nous le faisons nous-mêmes. Nous nous procurons tout le kit et, si nous n'avons pas besoin de tout, nous nous en apercevons. Mais je le répète, ce processus est conçu de manière à se dérouler avec les fournisseurs. Nous discutons avec eux tout au long du processus. Nous nous écartons ainsi du processus habituel d'approvisionnement qui a lieu autour des classeurs de DP de 200 à 300 pages. Dans ce cas-ci, nous collaborons avec les fournisseurs tout au long de la conception du processus, à chaque point de contrôle, car nous en avons inséré dans tout le processus. Si en discutant avec eux nous décelons des lacunes, nous insérons ce qu'il faut.

    Vous m’avez entendu dire tout à l’heure qu’il est très difficile d'acquérir une expertise en tout ce qui est numérique. Reconnaissant cela, nous chercherons à réunir les personnes qui possèdent les compétences nécessaires quand nous découvrirons des lacunes.

    Merci, monsieur Kent.

    Nous passons maintenant la parole à M. Angus pour sept minutes.

    Allez-y.

    Merci beaucoup d'être venus aujourd'hui. Cette discussion est fascinante. Quand j'étais beaucoup plus jeune et bien plus beau qu'aujourd'hui, je siégeais à un comité qui s'occupait d'activités gouvernementales. La majorité des enjeux dont vous nous parlez relèvent d'activités gouvernementales. Il faut que nous nous concentrions sur des enjeux qui concernent le mandat de ce comité, soit les droits éthiques des citoyens et les droits à la protection de la vie privée. Mes questions porteront donc sur cela.

    Monsieur Snow, au fil des ans, les serveurs de certains organismes gouvernementaux ont subi de multiples attaques, généralement perpétrées par des acteurs étatiques. Constatez-vous un changement entre les menaces à la sécurité d'acteurs étatiques ou d'individus et celles de gangs en quête de renseignements?

    Le Service numérique canadien ne travaille qu'avec quelques ministères partenaires à la fois. Nous ne faisons pas circuler les données horizontalement, comme dans les cas dont vous parlez. Nous ne sommes pas au courant des types de menaces que divers ministères subissent dans les systèmes dorsaux auxquels nous ne touchons pas.

    Je ne suis donc pas en mesure de répondre à cette question.

    Monsieur Benay.

    Je n’ai pas les données sous la main pour comparer entre les États et les individus. À ce stade, nous partons de l'idée qu’une attaque peut provenir de quelqu'un dans un sous-sol, d'un État ou de n'importe qui entre les deux. Il y a des gens qui frappent à la porte d’entrée des systèmes gouvernementaux des centaines de milliers de fois par jour.

    Nous avons pu centraliser une partie de notre infrastructure auprès de Services partagés Canada afin de construire un fossé de protection tout autour. Nous avons créé un nouveau centre national de cybersécurité qui a été inauguré cette année. Il importe aussi de réunir les secteurs privé et public, parce qu’une attaque contre un secteur déborde souvent dans un autre. Les infrastructures essentielles en sont un exemple.

    Lorsque nous concevons nos services, la sécurité est un ingrédient à incorporer dès le début. J'ai parlé du conseil d’examen de l’architecture que nous avons créé. La lorgnette de la sécurité est braquée sur tous les grands projets numériques en cours au gouvernement depuis les 12 derniers mois.

    Je me souviens de l’époque où le télécopieur était à la fine pointe de la technologie. Parmi les premiers à l'utiliser, il y a eu les escrocs derrière l’arnaque 419 du Nigéria. Il fallait travailler fort pour envoyer toutes ces télécopies, sans obtenir beaucoup de succès probablement. Puis, Internet est arrivé, et avec lui la capacité de viser des millions de personnes.

    Avec un seul élément d'information sur une personne, vos chances de l'arnaquer sont plutôt limitées. Mais avec deux ou trois, vous pouvez très bien réussir.

    À mon bureau, j'ai affaire tout le temps — mes collègues aussi, j’en suis sûr — à des gens qui ont été ou qui sont victimes de ces arnaques, qui deviennent bien plus perfectionnées à mesure que la technologie évolue.

    Ma question porte sur l’information gouvernementale, financière et médicale. Il est essentiel de protéger cette information parce que c’est elle que les pirates non gouvernementaux cherchent à utiliser. Quelles garanties avons-nous d'être réellement protégés si davantage de nos renseignements personnels se retrouvent dans un seul grand système?

    Je vais commencer, et vous voudrez peut-être intervenir.

     Pour que ce soit bien clair, nous ne préconisons pas que l’information gouvernementale soit concentrée dans un seul grand système, un seul grand bassin de données.

    Par exemple, l’Agence du revenu du Canada est responsable du numéro d’entreprise dans nos politiques. Cela ne veut pas dire que l’information ne se trouve pas ailleurs non plus. Nous ne préconisons pas un système central.

    Je pense que...

    Si quelqu'un accède de façon inappropriée à des renseignements sur des citoyens à l'Agence du revenu du Canada, est-ce que vous prenez part à l’examen pour savoir comment cela se passe, ou bien cela reste cloisonné à l'intérieur de l'Agence, sous prétexte qu'il s'agirait seulement de quelques pommes pourries dans le système? Prenez-vous part aux discussions sur l’utilisation abusive des renseignements personnels qu'on y verse toujours en plus grande quantité?

    Oui. Pour ce qui est des atteintes à la vie privée, heureusement, il y a l’équipe de Ruth qui supervise ces discussions et qui y participe. Pour ce qui de la cybersécurité, nous avons un autre directeur exécutif qui travaille en étroite collaboration avec Services partagés Canada et avec le CSTC sur les incidents graves. Ils ont bel et bien accès au bureau du DPI sur une base quotidienne.

    Ruth, je ne sais pas si vous voulez parler des atteintes à la vie privée et du processus.

     Oui, je peux en parler un peu.

    En vertu des politiques du Conseil du Trésor, les institutions ont la responsabilité ou l’obligation de signaler au Commissariat à la protection de la vie privée et au SCT les atteintes jugées graves à la sécurité des renseignements personnels. Nous collaborons d'assez près avec le Commissariat à la protection de la vie privée pour comparer nos notes sur ces signalements.

    Au SCT, nous mettons une gamme d’outils à la disposition des institutions pour les aider à déterminer ce qui doit être signalé et à faire rapport en conséquence. Nous travaillons avec le Commissariat et nous faisons un suivi auprès des institutions au besoin.

    Je trouve cela très impressionnant.

    J’ai eu l'occasion au cours de la législature précédente d'étudier les atteintes à la vie privée. Ce qui me préoccupe, c’est la fréquence à laquelle les ministères décidaient de ne pas en parler au commissaire à la protection de la vie privée. Dans peut-être 10 % des cas, ils n'y voyaient pas de problème ou ils disaient que ce n'était pas grave.

    Les gens ne veulent pas donner l’impression qu’ils ont raté leur coup. Lorsqu’il y a des centaines de violations, le ministère ne paraît pas bien.

    Comment savons-nous que toutes les atteintes sont signalées? C'est cela qui exaspérait le commissaire à la protection de la vie privée à l'époque. C’est à lui de décider si l’atteinte est grave ou non, et non au ministère.

     Oui, d’un point de vue culturel, vous avez entendu mon collègue Aaron mentionner qu'il vaut mieux signaler les problèmes à la direction que de les taire. De bonnes mesures ont été prises à cet égard dans l’ensemble de la fonction publique. Des hauts fonctionnaires de l'État nous ont beaucoup aidés à obtenir la transparence nécessaire pour que ces questions-là sortent de l'ombre, et nous voyons des sous-ministres, des sous-ministres adjoints et des directeurs généraux se tenir au courant des alertes rouges déclarées sur des projets ou des violations.

    Sur le plan culturel, cela va rester un travail à mener en permanence. On sent un bon élan dans la fonction publique du point de vue de la transparence, mais Ruth peut probablement nous en dire plus sur le plan d’action de deux ans que nous élaborons en partenariat avec les ministères et le Commissariat à la protection de la vie privée.

    Dans son dernier rapport annuel, le commissaire à la protection de la vie privée nous faisait des recommandations sur cette question justement, et nous faisait part des préoccupations de son bureau sur les variations du nombre de signalements. Souvent, ce sont les institutions qui décident quoi faire et quoi ne pas faire. Je pense qu'elles agissent de bonne foi, mais il y a du travail à accomplir au cours des deux prochaines années.

     Nous sommes en train d’élaborer un plan d’action de deux ans. Nous l’avons transmis au Commissariat, parce que nous voulons avoir son avis avant d'y mettre la dernière main, et nous allons travailler avec lui pour le mettre à exécution.

    L'objectif est de mieux faire connaître la nature des renseignements personnels, en quoi consiste une atteinte et comment il convient de la signaler. De plus, sur la recommandation du Commissariat, nous concentrons une bonne partie de nos efforts sur les gens de la TI et de la sécurité, parce qu'ils sont en première ligne lorsque se présente un risque de compromission ou de perte d’information. Nous voulons qu’ils aient le réflexe de le dire lorsque des renseignements personnels sont en cause.

    Nous avons une petite équipe qui travaille là-dessus en partenariat avec les institutions gouvernementales. Nous espérons faire pencher la balance dans le bon sens au cours des deux prochaines années.

    Merci.

    Merci, monsieur Angus.

    Le prochain est M. Erskine-Smith, qui dispose de sept minutes.

    Merci beaucoup.

    Merci à tous d’être ici.

    Je ne pense pas que l’Estonie soit une solution parfaite, mais elle offre quelques solutions dont nous devons tirer des leçons.

    À mon avis, l’identification numérique est un aspect essentiel de la tendance à la numérisation de l'État. Le système X-Road est intéressant aussi, et je suis heureux que vous vous penchiez là-dessus également. Puis il y a évidemment l'aspect de la transparence: selon la loi de l'Estonie, lorsqu’un fonctionnaire accède à des renseignements personnels, cela se faut au vu et au su du citoyen.

    J'aimerais passer en revue les deux premiers éléments, à tout le moins, qui relèvent davantage de votre compétence.

     À propos de l'identification numérique, vous avez mentionné, monsieur Benay, l'existence de Connexion Canada. Pourriez-vous m'expliquer un peu quand cela a commencé, où nous en sommes maintenant et ce que nous envisageons de faire à l’avenir?

    Oui. Connexion Canada en est à ses premiers balbutiements. Ces dernières années, nous nous sommes concentrés sur un ensemble de règles sous-jacentes plutôt que sur la technologie.

    Nous avons travaillé sur le cadre de confiance pancanadien avec les provinces, les ONG, les organismes à but non lucratif et le secteur des entreprises également. Il s’agit essentiellement d’un ensemble de règles dont nous convenons tous pour respecter nos identités réciproques.

     Si une province se conforme au cadre de confiance pancanadien, cela devrait suffire au gouvernement fédéral et à une banque. Il s'agit plus d'un modèle fédéré, calqué davantage sur le cadre de gouvernance du pays.

    Disons que je suis un citoyen et que je veux me connecter à l’ARC ou à l’assurance-emploi ou renouveler mon permis de conduire au provincial, je ne veux pas avoir autant de mots de passe. Je ne veux pas être obligé de me rappeler que j'ai un mot de passe et un nom d’utilisateur différents pour accéder à l'ARC, puis que je dois les stocker dans un dossier séparé. Ce que je veux, c'est de la simplicité. À quoi est-ce que cela ressemble pour un citoyen?

     Je me fais prendre moi-même, et j’ai tout intérêt à m’assurer que ces choses-là ne se produisent pas.

    Connexion Canada signifie essentiellement qu'il n'y a pas de « fausse route » pour obtenir des services fédéraux d’une province ou d’un territoire, ou vice versa, et peut-être aussi les services de votre banque. Nous avons le régime de sécurité qu'il faut, mais nous n’avions pas le cadre de règles nécessaire.

     Avec Connexion Canada, vous pourriez avoir accès aux services d’EDSC à partir de l’Agence du revenu du Canada. Nous discutons aussi activement d'expériences pilotes et de projets possibles avec les provinces, où des services fédéraux seraient accessibles également au moyen du système d’identification provincial.

     C’est très différent du modèle estonien, qui propose une approche unique. Nous proposons plutôt un accès « sans fausse route » aux services, dans la mesure où s'applique un cadre de règles établi.

    Votre bureau, en consultation avec le Commissariat, tient-il une liste de problèmes possibles en matière de protection de la vie privée, et de solutions à leur appliquer?

    Oui. Dans le nouveau cadre que nous avons mis en place il y a environ 18 mois, lorsque nous avons modifié la Loi sur la gestion des finances publiques pour créer des normes, nous avons remanié la gouvernance autour du conseil d’examen de l’architecture. Désormais, n’importe lequel de ces grands projets doit passer par le conseil d’examen, qui examine les questions de vie privée.

    Il y a peut-être aussi des obstacles législatifs à l’échange de données, un autre aspect fondamental du travail que nous avons à faire. Nous avons eu des discussions à ce sujet aussi avec le Commissariat à la protection de la vie privée.

    J'imagine que le dialogue va s’intensifier à mesure que vont augmenter les services numériques entre mon bureau et le Commissariat.

     Y a-t-il une analyse écrite que vous pourriez transmettre au Comité en ce qui concerne les répercussions de l’identification numérique sur la vie privée?

    Nous pouvons certainement vous fournir les documents que nous avons. Nous avons aussi engagé un processus d’examen législatif, de sorte que...

    Nous vous en serions reconnaissants. Je pense que ce serait certainement utile à nos travaux.

    Vous avez parlé de X-Road et vous avez dit que nous nous engagions également dans cette voie. J’imagine que c’est encore à l’état embryonnaire, mais peut-être pourriez-vous me dire où nous en sommes et ce que nous réserve l’avenir.

    Ici, nous sommes un peu plus avancés qu'avec la pièce d’identité. Notre plateforme d’échange numérique offre une gamme d’outils, allant d’un service de messagerie où peuvent s'échanger les données jusqu'à un magasin d’API en libre accès où les services du gouvernement fédéral pourront créer une interface API permettant aux tiers d’accéder à des données non classifiées pour le moment. Nous marchons avant de courir. Je dirais que nous avons terminé environ 50 % de la construction. La difficulté est de trouver des cas réels « d’utilisation en direct » qui présentent un risque minimal, et de veiller à utiliser d’abord des données non classifiées plutôt que des données de citoyens. Raison de plus de vouloir marcher avant de courir. En l'occurrence, nous avons fait venir les Estoniens qui avaient conçu la plateforme X-Road, et nous avons commencé à la réaménager dans le contexte des lois, des règlements et autres contingences du Canada.

    La beauté de ce système, s’il va de l’avant, c’est que nous pourrons intégrer accessibilité, protection de la vie privée et sécurité. Nous serons aussi en mesure de déterminer comment faire circuler les données au sein du gouvernement du Canada, suivant un ensemble de principes fondamentaux.

    Lorsque vous dites que vous allez marcher avant de courir, il est peut-être optimiste de penser à courir dans le gouvernement. Cependant, lorsque je regarde l’Estonie et les premières étapes, il me semble que les renseignements de base dans le registre de la population, les renseignements qui servent constamment à d'autres ministères — mon nom, mon adresse électronique, mon adresse à domicile, mon numéro de téléphone... Je n'arrête pas de les donner au gouvernement et je ne veux pas avoir à le faire encore et encore; je perds mon temps, et probablement quelqu'un d'autre aussi au ministère. Est-ce là qu'on en est quand on parle de « marcher », à cette information de base, ou en sommes-nous encore à une étape antérieure?

    Je dirais que la théorie que vous décrivez est juste. Là où nous choisissons de l’appliquer, il se peut que ce ne soit pas d’abord aux renseignements personnels. Par exemple, nous nous sommes entendus sur le numéro d’entreprise. Il y a un registre central des numéros d’entreprise, alors nous pourrions commencer par là. Nous pourrions commencer par des renseignements non classifiés... ou plutôt, non, je vous promets que nous allons commencer par des renseignements non classifiés. Nous pourrions ramper avant de marcher.

    C'est ce que j'allais dire.

    Vous avez tous les deux décrit les voies que vous empruntez, et il semble se faire beaucoup de bon travail assez rapidement. Selon vous, y a-t-il des recommandations précises que nous devrions faire au gouvernement sur l’amélioration des services gouvernementaux numériques et le respect de la vie privée des Canadiens?

    Je pense qu’il y a plusieurs choses. Je pense que nous appliquons graduellement — et peut-être pas assez rapidement — les leçons que nous avons tirées de certains de nos grands échecs. Vous m’avez entendu parler du processus de prochaine génération. Le grand changement sera le changement de culture, et pas nécessairement la culture du secteur public. Les choses changent si rapidement. Il se produit des choses, non pas nécessairement qu'elles échappent à notre emprise ou que nous ne les avons pas vues arriver, mais le rythme du changement dans le monde est très rapide. Par exemple, des entreprises pourraient s’automatiser elles-mêmes, sans que nous ayons nécessairement notre mot à dire et, tout à coup, nous ferions appel à leurs services. C’est un risque considérable.

    Je pense que notre plus grand défi, ou du moins ce que nous devons surveiller, c’est le rythme du changement, et donc nos lois et certains de nos règlements. Le dialogue se fait à un niveau technique à tous les paliers de gouvernement. Le plus grand défi... Les pays qui s’en tirent le mieux sont ceux qui adaptent leurs cadres au même rythme que celui du changement technologique.

    Nous en tirons des leçons. Nous avons une belle occasion, avec la ligne numérique, de voir comment des petits pays arrivent à être un peu plus agiles, et comment leur exemple pourrait s'appliquer au Canada. C’est probablement une des plus grandes leçons que nous ayons apprises à ce jour. Qu’il s’agisse de protéger la vie privée ou de réglementer en vue de la croissance économique, nous constatons que les pays qui réagissent plus rapidement s'en tirent très bien, tant du point de vue de la protection des citoyens que de la croissance économique.

    Merci, monsieur Erskine-Smith.

    Nous passons maintenant à M. Gourde, pour cinq minutes.

    Merci, monsieur le président.

    Je remercie les témoins d'être parmi nous aujourd'hui.

    J'aimerais savoir quel serait pour le Canada le système numérique idéal, selon vous. Je suis certain que vous devez composer avec des contraintes dans votre travail, mais si vous pouviez faire les choses à votre façon, en vous fondant sur votre expertise, quel serait le système idéal que vous présenteriez aux Canadiens?

    Ce que nous aimerions offrir, c'est un système où aucune porte n'est fermée, un système qui offre des services numériques aux Canadiens sur la plateforme technologique de leur choix ou en personne à un comptoir de Service Canada. Ainsi, ils pourraient, par exemple, se présenter au comptoir de Service Canada pour obtenir un service ou obtenir celui-ci à partir d'une montre comme Apple ou Samsung. Nous offririons donc une panoplie de choix grâce à un système mis au point en collaboration avec les citoyens. Ce système intégrerait dès sa conception toutes les exigences liées à la protection de la vie privée et des renseignements personnels ainsi qu'à l'accès à l'information, des principes fondamentaux qui sont malheureusement trop souvent oubliés ou relégués à la fin d'une mise en oeuvre. Chaque personne aurait le choix de la porte d'entrée qui lui donnerait accès aux services dont elle a besoin. Finalement, nous aimerions offrir un système privilégiant l'interopérabilité entre les différents paliers de gouvernement plutôt qu'un système dont il faut faire la démonstration dans 43 ministères fédéraux et peut-être dans une vingtaine de ministères provinciaux.

     Il y a deux choses que je rechercherais.

    Premièrement, dans mon monde numérique idéal, le système est entièrement transparent. On comprend comment le service est dispensé et quelles sont les étapes. Lorsque le gouvernement demande de l’information et lorsqu'il fournit la prestation, on comprend clairement, dans un langage de tous les jours, la façon dont tout fonctionne.

    Deuxièmement, pour revenir à ce que disait M. Benay à la question précédente, les systèmes qui sont souples et adaptables sont ceux qui vont suivre les changements, quels qu’ils soient. Le premier iPhone est apparu il y a seulement 11 ans et demi ou 12 ans. Dans 12 ans, nous n'avons pas idée de la façon dont nous voudrons interagir avec les services numériques et avec le gouvernement.

    En tant que spécialiste des systèmes, je veux entendre que mon gouvernement est prêt à s’adapter à tout ce qui s’en vient.

    Si nous nous comparons à nos voisins américains, avons-nous pris du retard au chapitre des services numériques offerts à la population, ou sommes-nous compétitifs?

    Je pense que le gouvernement américain se heurte en grande partie aux mêmes obstacles que le nôtre et que d’autres gouvernements de taille comparable. Il y a beaucoup de facettes à cette question. Je suis sûr qu’à certains égards, le gouvernement américain est un peu plus avancé et à d'autres, un peu plus en retard.

    Je suis heureux d’intervenir.

    Il y a quelques semaines, j'ai rencontré à Washington la dirigeante principale de l'information du gouvernement fédéral américain, Mme Suzette Kent.

    Je vous ferais le même commentaire que M. Snow. Les Américains ont une meilleure compréhension de certains éléments. C'est notamment le cas pour l'infonuagique, un domaine dans lequel ils font affaire avec des compagnies américaines, ce qui les avantage peut-être pour ce qui est de la protection des données.

    Pour notre part, nous avons une longueur d'avance en matière de gouvernance en intelligence artificielle. Nous sommes en train de préparer beaucoup de directives de façon très ouverte, que d'autres pays utilisent dans leur approche, dont ce qui touche la gouvernance en intelligence artificielle. Étant donné l'intérêt que tout cela suscite, nos deux pays dialoguent beaucoup entre eux depuis les 12 derniers mois.

    Quel est le pourcentage de Canadiens qui refusent la prestation numérique de services? Nous ne sommes pas capables de convaincre la totalité des gens, et il reste probablement de 10 à 20 % de la population qui fait preuve d'une certaine réticence. À l'ère du numérique, de plus en plus de services sont assurés par des robots ou de l'intelligence artificielle au lieu d'être directement dispensés par des personnes comme avant. De quelle façon allons-nous offrir ces services aux Canadiens réfractaires?

    Notre stratégie est de nous assurer que tous les Canadiens sont capables d'obtenir un service. Si quelqu'un décide de se rendre en personne à un comptoir de Service Canada, nous reconnaissons que c'est parfaitement acceptable aussi. Je voudrais souligner le fait que le Secrétariat du Conseil du Trésor a commencé à sonder l'opinion de la population sur la prestation numérique de services. Nous avons découvert que deux Canadiens sur trois sont à l'aise avec le fait que le gouvernement canadien échange les renseignements personnels les concernant entre divers ministères pour améliorer la qualité de l'offre de services.

    Comme vous l'avez mentionné, la tendance du nombre de gens qui veulent des services numériques est à la hausse. Toutefois, je ne nous vois pas annuler l'offre en personne de services importants. Il me semble essentiel de souscrire au principe fondamental voulant que personne ne soit laissé pour compte dans notre stratégie de service. J'estime qu'il s'agira aussi d'une question de confiance. Il va falloir démontrer que nous sommes capables de remplir nos engagements et que les gens peuvent avoir confiance en leur système, d'où l'importance de faire preuve de transparence dans les services que nous allons offrir et dans les politiques que nous élaborons.

    J'aimerais vous poser une dernière question.

    Les services numériques seront-ils intégrés dans les bureaux des députés? Nous offrons un service de première ligne aux Canadiens. Ceux qui ont des problèmes nous appellent à notre bureau, et c'est nous qui allons nous informer auprès des ministères pour voir de quelle façon nous pouvons leur donner des services. Cela augmente la charge de travail dans les bureaux des députés, qui n'ont pas nécessairement le budget pour ce faire.

    Même s'ils sont dirigés vers Service Canada, les gens préfèrent aller au bureau de leur député plutôt que de s'adresser aux ministères. C'est une arme à double tranchant pour nous, qui travaillons directement dans les services de première ligne.

    Avez-vous une stratégie pour nous intégrer, afin que nous nous aidions les uns les autres?

     Répondez très brièvement.

    C'est une question que j'adresserais à Service Canada. Nous allons prendre cela en considération, comme tout autre commentaire provenant des citoyens et des bureaux de députés, pour nous assurer que nos services ciblent davantage les bonnes personnes afin d'éviter ce genre de situation.

    Merci.

    Nous avons largement dépassé le temps alloué.

    Quelqu'un d'autre va vous donner l'occasion de répondre.

    Vous pourrez peut-être répondre plus tard. Nous avons pas mal de temps.

    La parole est maintenant à Mme Vandenbeld, pendant cinq minutes.

    J’aimerais d’abord revenir sur quelque chose que vous avez dit, monsieur Benay. Cela m’a frappé. Vous avez dit que le Canada est un chef de file de l'éthique en matière d’intelligence artificielle.

    Pouvez-vous expliquer ce que vous entendez par là?

    Bien sûr. Au cours des 14 derniers mois, nous avons travaillé à l’orientation et à la politique concernant la façon dont les ministères utiliseront les services informatisés à l’avenir, parce que c’est un aspect qui s'intensifie.

    Vous m’avez entendu dire que SPAC a pris une mesure d’approvisionnement pour créer un catalogue de fournisseurs d’IA. Dans les dernières semaines, 74 entreprises ont été inscrites dans ce catalogue de fournisseurs. Nous avons fourni une orientation stratégique, nous avons travaillé pleinement au grand jour, nous avons affiché publiquement nos instruments de politique, nos documents et nos directives sur GitHub et Google Docs. Nous avons collaboré avec le MIT, Oxford et d’autres universités.

    Le processus de création d’un ensemble d’outils appelé évaluation d'impact algorithmique a été très ouvert et transparent. Vous connaissez ce qu’on appelle l’évaluation des facteurs relatifs à la vie privée, lorsque nous examinons la protection des renseignements personnels; nous cherchons à mettre au point un outil semblable, comme moyen de prévention, pour les algorithmes qui permettront de déterminer le niveau de risque pour les ministères. Un robot conversationnel, qui vous indique sur le site Web de la CCN si la patinoire du canal est ouverte ou non représente probablement une étape moins risquée que l’automatisation de nos frontières, par exemple, ou de nos systèmes d’immigration.

    Nous avons élaboré cet outil en complète ouverture. Des pays comme le Mexique ont déjà commencé à utiliser l’évaluation d'impact algorithmique, et d’autres pays, comme le Portugal et d’autres avec lesquels nous travaillons — les « neuf pays numériques » — utilisent certains des outils que nous avons mis au point. Cela crée un ensemble de connaissances internationales qui n’existaient tout simplement pas jusqu'ici.

    J’aimerais parler un peu des différentes attentes des Canadiens. De toute évidence, il y a des Canadiens âgés qui sont moins à l’aise avec l’Internet, et il y en a d’autres qui, comme vous l’avez mentionné, s’attendent à ce que ce soit aussi facile de traiter avec le gouvernement qu’avec Amazon ou toute autre application qu’ils téléchargent.

    Lorsqu’on examine ces différentes attentes, on constate également une énorme différence dans la mesure dans laquelle les gens sont à l’aise de donner leurs renseignements. Je connais encore des gens qui refusent de faire des opérations bancaires en ligne parce qu’ils n’ont pas confiance.

    Comment peut-on élaborer une approche pangouvernementale alors que les attentes sont complètement différentes d’une partie à l’autre de la population?

    Je dirais qu'en partie — et cela répond aussi à la question précédente — la peur ou la confiance dans un système dépend en partie de la facilité d’utilisation et de compréhension et de la transparence du système quant à la façon dont il interagit avec vous et dont il traite vos renseignements.

    Nous comprenons que le numérique est, de façon générale, un bon moyen efficace d’offrir des services à grande échelle et à moindre coût. Comme l’a fait remarquer M. Benay, nous ne voudrions jamais fermer d’autres formes de service; nous voulons assurer le maintien de canaux multiples. Mais la mesure dans laquelle l’adoption et l'avènement de l'ère numérique se produisent ou pas dépend entièrement du type d’expérience que vivent les gens, et c’est pourquoi il est si important de travailler avec eux à chaque étape du processus.

    Permettez-moi d’ajouter quelques statistiques.

    Selon Statistique Canada, dans le groupe des 65 ans et plus, environ 80 % des foyers sont branchés à Internet, ce qui n’est pas extraordinaire, mais tout de même pas mauvais. Je pense que la question est la suivante — et cela rejoint ce que disait Aaron — si nous pouvons rendre le service homogène, transparent et facile à utiliser, nous aurons de très bonnes chances de modifier le comportement des équipes et le modèle de service qu’elles choisissent et veulent.

    Nous avons vu des pays comme l’Uruguay qui se sont engagés à ce que 100 % de leurs services deviennent 100 % numériques pour 100 % de leurs citoyens d’ici la fin de l’année civile, faire un effort pour éduquer la population également, tant du point de vue de la protection des données personnelles que de celui de la prestation de services sur la façon de traiter avec le gouvernement.

    Ce sont des choses que nous devrons faire pour nous assurer de ne laisser personne derrière.

     Pour ce qui est des gens qui vont mettre cela en oeuvre, les fonctionnaires, vous avez tous les deux parlé d'un changement de culture.

    Monsieur Snow, je crois que vous avez dit qu’il s’agit davantage de gestion du changement que de technologie.

    J’ai remarqué que vous avez dit qu’il existe une académie numérique du secteur public. Il existe des mécanismes comme ce nuage de talents pour attirer des employés de talent pendant de courtes périodes. Pour ce qui est du changement de culture qui sera nécessaire à la fonction publique, comment vous assurez-vous qu’il est en place, pas seulement la technologie, mais les gens?

     La réponse du SNC à cette question consiste à y aller un ministère partenaire à la fois. Le changement de culture ne se produit habituellement pas au moyen d'une seule directive selon laquelle tout le monde doit commencer à se comporter et à penser différemment en même temps.

    Il existe des modèles assez clairs de la façon dont se fait l’adoption de nouvelles technologies dans la culture publique. Cela ressemble à une courbe en cloche, ou courbe de Rogers. Les premiers à adopter la solution proposée auront moins peur du risque et commenceront. S’ils se sentent à l’aise, leurs amis et leurs réseaux commencent à en entendre parler et plus de gens le font. Puis à la toute fin, après l’adoption massive, il y a quelques personnes, comme mon père, qui ont attendu 15 ans avant de commencer à utiliser le courriel.

    C’est un lent processus. L’une des façons dont nous mesurons le succès d’un projet que nous réalisons avec des ministères partenaires, c’est qu’à mesure que nous nous rapprochons de la fin ou en plein milieu de ce projet, nous voyons si le ministère commence à utiliser certaines des méthodes, des pratiques et des outils que nous avons mis en place, peut-être pour la première fois, pour d’autres projets sans rapport. Si nous observons cela, nous savons que nous réussissons parce que ces notions commencent à prendre racine et à se répandre au sein du ministère.

    Le temps est écoulé.

    Le prochain intervenant est M. Kent, pour cinq minutes.

    Merci, monsieur le président.

    J’aimerais d’abord poser une question à M. O’Brien.

    Nous savons que des ministères fédéraux ont été piratés avec succès, en profondeur, à maintes reprises, au cours de la dernière décennie, par certains intervenants étrangers. La cybersécurité des divers dépôts dans un gouvernement numérique selon le modèle estonien — des dépôts d’information interconnectés, mais distincts — serait essentielle pour assurer la protection de la vie privée des Canadiens.

    Dans un discours prononcé le mois dernier, Neil Parmenter, président de l’Association des banquiers canadiens, a parlé de l’intérêt de toutes les banques pour le développement de l’identité numérique dans tout le pays, dans tous les secteurs, afin de permettre aux banques d'améliorer les services fournis à leurs clients. Il a également laissé entendre qu’en raison de la façon dont les banques protègent aujourd’hui l’accès aux renseignements des clients, elles devraient peut-être jouer un rôle intégral dans un éventuel gouvernement numérique canadien. Qu’en pensez-vous?

    Je vais commencer par dire que j’ai travaillé pour le CST pendant environ 12 ans. J’étais à la direction de la cyberdéfense, alors j’ai probablement participé, d'une façon ou d'une autre, aux travaux relatifs aux intrusions dont vous avez parlé. Cela dit, je ne travaille plus au CST et je ne peux donc pas parler en son nom, mais j'aimerais quand même dire quelques mots à ce sujet.

    Vous avez raison. Il y a des intervenants partout dans le monde, qu'il s'agisse d'un État-nation ou d'un pirate adolescent — des gens aux intentions malveillantes — qui s’attaquent constamment aux systèmes. Rien ne nous distingue en particulier — enfin, peut-être avons-nous quelque chose de particulier —, mais je pense que l’un des défis que beaucoup d’organisations doivent relever, c’est que lorsqu’elles sont compromises, elles ne veulent pas en parler, de crainte de nuire à leur réputation.

    Essentiellement, tout le monde finit par souffrir en silence. Une partie du travail que j’ai fait avant de quitter le CST a consisté à rendre accessible aux responsables de la sécurité l’un des outils de sécurité que nous avions mis au point afin que nous puissions vraiment améliorer la sécurité dans l’ensemble de l’industrie. Du point de vue de la transparence, c’est là où nous en sommes sur le plan de la sécurité.

    Pour revenir à votre question au sujet des banques, je ne sais pas vraiment comment les banques sécurisent leurs systèmes. De mon point de vue, il serait inopportun de dire qu’elles sont les mieux placées pour protéger la sécurité des Canadiens. J’aimerais beaucoup qu’elles soient plus ouvertes et plus honnêtes à ce sujet, tout comme j’aimerais que Google, Facebook et toutes ces entreprises soient très ouvertes et honnêtes quant à leur façon de faire en matière de sécurité. À ce moment-là, nous pourrions tous collectivement parler de nos positions en matière de sécurité, et je pense que les citoyens canadiens feraient beaucoup plus confiance à toutes les composantes.

     Monsieur Benay, avez-vous eu des contacts avec l’Association des banquiers canadiens? Ils parlent des multiples niveaux de protection qu’ils offrent pour protéger les données personnelles des clients. Ils semblent penser qu’ils seraient à l’avant-garde des intervenants du secteur privé qui pourraient participer à l'offre des services numériques du gouvernement.

    Je n’ai pas eu d’interaction directe avec l’Association des banquiers, mais je peux dire que comme les banques ont participé à la mise au point du cadre de fiabilité pancanadien, par exemple, ce n’est rien de nouveau pour elles.

    Nous discutons assez régulièrement avec les banques de certains de leurs investissements, y compris leurs protocoles de connexion et les nôtres, et nous nous assurons de travailler en collaboration. Nous visons aussi de plus en plus, je suppose, au moins l’objectif du nouveau Centre canadien pour la cybersécurité de poursuivre l'interaction entre les différents secteurs, car une attaque contre une banque risque souvent de mener à un autre événement à l’ARC ou ailleurs. Je peux vous assurer que l’accent mis sur la collaboration intersectorielle est un aspect que Sécurité publique Canada, le CSTC et d’autres collègues examinent, dans le contexte de cette nouvelle ère de cybercriminalité.

    Merci.

    C’est maintenant au tour de Mme Fortier, qui dispose de cinq minutes, puis la parole ira à M. Angus.

    Merci beaucoup, monsieur le président.

    Bonjour à tous.

    Je remercie les témoins d'être parmi nous aujourd'hui. Plusieurs de mes questions ont déjà été posées, mais j'en ai encore quelques-unes.

    Un peu plus tôt, nous avons discuté de la Loi sur la protection des renseignements personnels et d'autres lois en vigueur qui protègent les renseignements personnels. Je comprends qu'elles nécessiteront certaines modifications au fur et à mesure que la société s'engagera dans le numérique ou que le gouvernement numérisera les services. Je suis députée depuis deux ans et je réalise que ce type de révision législative prend beaucoup de temps.

    Compte tenu de notre cadre législatif, comment abordez-vous la question lorsque vous constatez qu'une certaine modification législative s'impose afin de protéger les Canadiens et les Canadiennes?

    Vous avez mentionné de très bons points. La loi actuelle sur la protection des renseignements personnels est en vigueur depuis 1983. Il est donc clair que c'était avant l'ère d'Internet. Nos discussions d'aujourd'hui démontrent qu'il y aura des grands changements en ce qui a trait à notre société. Cette loi s'applique à 265 institutions; je ne le mentionne pas en guise d'excuse, mais juste pour souligner le fait que la tâche est quand même de grande envergure.

    Nous travaillons étroitement avec le ministère de la Justice quand nous découvrons des choses. Le Secrétariat du Conseil du Trésor a la responsabilité de dresser un inventaire des situations qui surgissent. Nous poursuivons nos échanges avec le ministère de la Justice et d'autres intervenants. Le Conseil d’examen de l’architecture intégrée commence à cataloguer certaines questions et des points clés dont nous sommes au courant.

    C'est normal que cela prenne du temps. Par exemple, en Europe, le Règlement général sur la protection des données, ou RGPD, n'a pas nécessairement été mis au point en quelques années. Il faut du temps pour rédiger ce genre de texte, lequel devra probablement être révisé de façon assez régulière, comme l'a souligné M. Snow. Beaucoup de nos partenaires dans le secteur privé sont en train de mettre sur pied de nouveaux services. De toute évidence, l'enjeu change fréquemment. Il faut aussi travailler étroitement avec nos partenaires d'Innovation, Sciences et Développement économique Canada, qui sont responsables de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, dans le secteur privé.

    Il s'agit quand même d'un écosystème assez complexe. Nous voulons donc nous assurer de prendre le temps nécessaire à l'examen de l'ensemble des problèmes qui nous sont signalés. Par la suite, nous engagerons un dialogue avec les Canadiens au sujet de leurs données privées.

     Au cours de votre cheminement critique, avez-vous relevé certaines mesures que nous devrions examiner de près maintenant, compte tenu de ce qui s'en vient? À quel moment ou à quelle fréquence devrions-nous envisager des révisions par la suite?

    En fait, selon le calendrier que nous avons établi à l'interne, nous nous étions donné deux ans pour passer en revue certaines lois qui pouvaient exercer des contraintes par rapport à l'échange d'information. Nous voulions savoir, par exemple, si la situation était réelle ou s'il s'agissait juste d'une rumeur. Nous avons donc examiné 11 ministères, et nous avons relevé 187 changements à des lois qui pourraient avoir une incidence sur l'échange d'information.

    Ce que je viens de mentionner est également fondé sur la prémisse suivant laquelle l'échange d'information est un problème, qu'il soit réel ou non, mais nous voulons la valider. Je pense que certaines technologies dont nous avons parlé précédemment, notamment la plateforme X-Road en Estonie, permettront de valider certains des concepts que nous avons en tête. Nous allons continuer à travailler avec nos partenaires à Justice Canada et à Innovation, Sciences et Développement économique Canada pour nous assurer que nous avons une vue d'ensemble. Pour l'instant, nous sommes en période de réflexion.

    Voulez-vous ajouter un commentaire, monsieur Snow?

     Je peux parler de mon expérience aux États-Unis. La voie législative, qui est la plus lente et la plus fastidieuse des solutions, peut souvent entraîner des conséquences imprévues. Comme nous l'avons constaté dans plusieurs cas, nous devons tous aspirer à l'unité de gouvernance la plus petite et la plus rapide qui soit, dans la mesure du possible, pour éviter de nous lancer dans un processus de création et de modification des lois.

    Merci.

    Me reste-t-il du temps?

    Trente secondes.

    Si vous croyez que nous devrions nous inspirer des modèles appliqués ailleurs dans le monde — nous avons parlé de certains modèles, dont celui utilisé en Estonie —, nous serions curieux de le savoir et de considérer d'autres bonnes pratiques dans le cadre de la présente étude.

    Il ne faudrait pas dissocier les questions touchant la protection des données, l'intelligence artificielle et l'automatisation. Par exemple, nous travaillons beaucoup avec la France présentement pour ce qui est des questions portant sur l'éthique, la gestion des données, le respect de la vie privée et l'automatisation. Je vous encourage certainement à explorer ces aspects.

    Merci.

     Monsieur Angus, vous avez trois minutes.

    Plus longtemps je reste en politique, plus je deviens un athée du numérique. J’ai déjà été un fervent croyant du numérique dans le royaume pacifique que nous devions créer.

    Je représente une circonscription rurale plus grande que la Grande-Bretagne. Bon nombre des collectivités qui la composent n’ont pas de routes, et là où la Transcanadienne traverse ma circonscription, il y a des entreprises qui n’arrivent pas à obtenir des services Internet sur la Transcanadienne. Dans les petites collectivités de ma circonscription, les bibliothèques sont remplies d’enfants après l’école, non pas parce qu’ils lisent des livres, mais parce qu’ils n’ont pas Internet à la maison.

    Pour faire suite à ce qu’a dit mon collègue, nous sommes le visage du gouvernement pour eux, parce qu’on leur dit d’aller en ligne, mais ce à quoi ils font face, c’est un monde de plus en plus kafkaïen de téléphones intelligents, parce que ce que le gouvernement attend de la population — vos prestations fiscales pour enfants, votre assurance-emploi, vos demandes de prestations d’invalidité — devient de plus en plus compliqué. Le fait d’avoir une nouvelle interface ne change rien à cela. En fait, cela prive les gens de leurs droits, parce qu’ils deviennent plus frustrés, alors ils se retrouvent tout le temps dans nos bureaux, à remplir des formulaires.

    Vous n'êtes pas responsable de l’inanité du gouvernement, des documents et des preuves, mais lorsque vous parlez de faciliter les choses pour les gens, je constate que tout cela est bien beau, mais si les gens n’ont pas accès à un moyen d'y voir clair, ils deviennent encore plus privés de leurs droits de que si on leur disait simplement d’envoyer le tout par la poste.

    Rares sont nos projets qui ne portent pas sur la conception de services, et non seulement sur la conception numérique. En fait, dans chacune de nos équipes de produits, en plus des groupes de la recherche et de la conception, et de nos ingénieurs, on compte aussi un membre de notre équipe des politiques précisément pour cette raison. La conception des services s’étend à tout le monde. Dans des collectivités comme la vôtre où la connectivité est un enjeu et où la complexité doit s’accroître, nous concevons nos services en fonction de ces utilisateurs. Nous rejoignons ces gens.

    Par exemple, et il ne s'agit pas nécessairement d’utilisateurs déconnectés, mais dans le cadre de notre travail relatif au report des rendez-vous d'examens de citoyenneté, nous savions que certains sous-groupes de personnes auraient besoin de reporter des examens de citoyenneté le feraient à partir de leur téléphone, parce que c’est leur seul accès Internet. Comme ces connexions peuvent être intermittentes, ce service particulier a été conçu pour continuer de fonctionner même lorsque la connexion part et revient. Il a été conçu pour fonctionner sur un téléphone, un ordinateur, une console de jeu, sur n’importe quel accès, de sorte que peu importe le niveau d’accès des utilisateurs, ce ne soit pas une expérience désagréable.

    Chaque service est différent. Chaque service a des exigences différentes, des besoins différents en fonction de l'identité du consommateur, mais c’est pourquoi c’est si important et la raison pour laquelle la première des normes numériques consiste à placer vos utilisateurs au centre de la conception, pas seulement sur le plan numérique, mais pour la conception du service dans son ensemble.

     Merci à tous.

    Combien de personnes ont encore des questions?

    Nous allons faire des tours de sept minutes pour chaque parti, et s’il y a d’autres questions, nous y répondrons également. Faites-le-moi savoir. Nous allons commencer par les libéraux.

    Nathaniel, vous avez sept minutes.

    Ce sera ensuite au tour des conservateurs, puis du NPD, pour sept minutes chacun. Allez-y.

    Oui, mais Charlie Angus a au moins sept questions à poser.

    Des voix: Oh, oh!

    M. Nathaniel Erskine-Smith: Avant de poser d’autres questions, j’aimerais avoir une précision pour que je comprenne bien la réponse à ce que j’ai déjà demandé. Avec l’identification numérique fédérée et fiable, il y a une analyse de la protection des renseignements personnels, et le Comité obtiendra tout ce que vous avez en ce qui concerne une analyse de la protection des renseignements personnels.

    En réponse à ma dernière question et pour donner suite à vos recommandations, monsieur Benay, vous avez laissé entendre que le plus grand défi auquel vous faites face est la nécessité d’ajuster les cadres rapidement. Monsieur Snow, vous hochiez la tête lorsque M. Benay a dit cela. Vous avez utilisé le mot « agiles ». Vous avez reconnu dans votre déclaration préliminaire que le Commissariat à la protection de la vie privée a fait état de sa réticence à utiliser la protection de la vie privée comme obstacle pour comparer les deux. De toute évidence, la protection de la vie privée pourrait vous empêcher de faire une partie de ce que vous voulez faire, mais à juste titre. Dans d’autres cas, les bureaucrates signalent peut-être que la protection de la vie privée est une préoccupation, mais ce n’est pas une préoccupation réelle ou c'en est une qui peut être réglée par d’autres moyens et qui ne devrait pas constituer un obstacle.

    Votre bureau a-t-il analysé les mesures législatives — on ne voudrait pas parler d'obstacles — qui, selon vous ou selon votre bureau, devraient être prises pour favoriser l’innovation numérique?

    Nous nous sommes engagés à mener une étude de deux ans au sein du SCT sur les examens législatifs de la prestation de services numériques. Nous avons fait une évaluation de 11 ministères, et je crois que nous avons trouvé bien au-delà de 150 obstacles législatifs possibles — et j’insiste sur le mot « possibles ».

    Nous avons également constaté l'existence de beaucoup d’ententes de partage de données entre les ministères. Nous devons maintenant les examiner également. Le Commissariat à la protection de la vie privée a commencé à communiquer le plan. Nous en avons une certaine forme d’évaluation.

    Commençons par là. Vous avez 11...

    Onze ministères de services essentiels. C’est une organisation de première ligne.

    D’accord, très bien. Et vous avez parlé de 150 possibles...

    Je crois que c’est 187, mais nous pourrons le confirmer.

    D’accord. Cette liste a-t-elle été communiquée au Commissariat?

    Je pourrai le confirmer, mais je ne crois pas que la liste ait été communiquée. Par contre, l’intention du projet en soi a été communiquée. Nous n’avons pas terminé le travail. Nous en sommes actuellement à la première année de deux ans.

    D’accord. Pourriez-vous nous faire part de cette liste pour que je comprenne mieux...

    Absolument.

    Vous pouvez nous faire part de cette liste. Je vous encourage tous à en faire part au Commissariat. Ce serait très utile.

    Monsieur Snow. Je stationne ma voiture à Toronto. Je ne sais pas si vous avez déjà stationné votre voiture à Toronto. Je pense que beaucoup de gens ont comparu devant nous et ont dit qu’un grand nombre des questions concernant le gouvernement numérique, l’établissement du lien de confiance et le fait d’amener les Canadiens ou les citoyens à nous faire confiance — je pense qu’une grande partie de la réponse ne sera pas fournie par les arguments de vente des politiciens, mais en établissant des services qui fonctionnent efficacement pour les citoyens, de sorte qu’ils voudront continuer à les utiliser. J’aime stationner ma voiture à Toronto. C’est facile à faire. Je crois savoir que l’application a été conçue par une entreprise de San Francisco, et elle a ensuite été homologuée par la ville de Toronto. J’aime même qu'on me colle une contravention à Toronto, parce qu’il est tellement facile de la contester, en ligne dans le confort de mon foyer.

    Comme citoyen, à l'instar de la façon dont je stationne ma voiture et dont je conteste une contravention à Toronto, c’est ce que je veux à tous les paliers de gouvernement. Je fais confiance au système en ce qui concerne le stationnement à Toronto.

    Au SNC, vous avez énuméré quelques projets. Y a-t-il un projet qui ressemble au système qui régit le stationnement à Toronto?

    En fait, pas tout à fait.

    Comme le SNC est encore jeune, il doit lui aussi marcher avant de courir. Le calendrier des examens de citoyenneté est le système qui s’en rapproche le plus. Auparavant, on recevait par la poste une lettre qui ressemblait à une citation à comparaître. C’était effrayant et c’était formulé en jargon administratif; et puis, quelque part en bas, en petits caractères, il y avait des instructions sur l’endroit où adresser une lettre si on voulait reporter l'examen. L’équipe qui a travaillé au projet a parlé à des gens qui ont dû choisir entre leur examen de citoyenneté et la cérémonie de diplomation de leur fille. Les gens essayaient de s'en sortir. Nous allons maintenant... La première chose que l’équipe a faite n'a eu que très peu à voir avec la technologie, puisqu'il a plutôt été question de simplifier la lettre. Les premiers mots ont été remplacés par « Félicitations, vous êtes tout près d'obtenir la citoyenneté canadienne ». Ce simple changement a suffi à transformer l’expérience de beaucoup de gens. Ensuite, voici l’URL, vous y allez, vous allez en ligne, vous choisissez d’autres dates où vous êtes disponible, vous cliquez sur « Soumettre », et vous recevez une confirmation peu de temps après. L’expérience est considérablement...

     Y a-t-il un appel ouvert — nous avons une ministre du Gouvernement numérique. On peut supposer qu'elle dit à ses collègues qu'en cas de problème, s’ils veulent que les services numériques ou les normes de service soient améliorés, ils devraient s'adresser à elle ou au SNC pour qu'on essaie de régler ce problème.

    Est-ce que cela arrive?

    Je n’ai pas discuté de cette approche avec la ministre Philpott. Durant les 18 derniers mois, le SNC a littéralement eu des centaines de conversations avec des bureaux de ministères et organismes de l’ensemble du gouvernement. Nous prenons connaissance de beaucoup de demandes, dont beaucoup ne sont pas nécessairement de notre ressort, mais nous essayons de les rediriger et d’aider les gens d’autres façons.

    Nous nous appuyons sur un ensemble de critères pour évaluer les possibilités et déterminer où nous pouvons avoir le plus d’impact et faire un travail qui puisse être facilement repris.

    Dans un de nos rapports précédents concernant la Loi sur la protection des renseignements personnels, nous avons recommandé une norme de collecte et de conservation des renseignements personnels selon des critères de nécessité et de proportionnalité. C’est peut-être une très vaste question pour le peu de temps dont je dispose, mais j’apprécierais une réponse plus complète — par écrit, si vous n’en avez pas à l'instant. À votre avis, est-ce un problème? Si oui, pourquoi? Si non, eh bien, voilà qui me facilite grandement la vie.

    Pour ce qui est de l’examen de la Loi sur la protection des renseignements personnels, je sais que la ministre de la Justice, dans sa réponse au Comité, a confirmé que le gouvernement allait procéder à un examen de la loi. C’est une entreprise complexe, de sorte qu'une question comme celle-ci est toujours à l’étude. Ce travail est en cours.

    C'est moins le cas des efforts du gouvernement pour entreprendre un examen, mais s’il y a 187 obstacles, pour autant que l'on sache, et quel que soit le terme employé, les critères de nécessité et de proportionnalité feraient-ils obstacle à ce que nous voulons faire?

    Voici une façon de voir les choses. Ann Cavoukian nous a dit que la protection de la vie privée, la sécurité, la protection des renseignements personnels et les services peuvent aller de pair. Il n'y a pas de raison qu'il y ait discordance entre les uns et les autres, mais il arrive que ce soit le cas quand on parle de minimisation des données, parce que nous voulons parfois recueillir plus d’information pour offrir de meilleurs services, mais que, si nous avons moins d’information, nous ne pouvons pas offrir le même niveau de services.

    Par conséquent, c’est une question de nécessité pour le service gouvernemental, et ce critère de nécessité pourrait donner lieu à une minimisation des données, ce qui pourrait avoir pour effet que nous ne fournissions pas toute la gamme de services que nous pourrions vouloir offrir en offrant les meilleurs services possible.

    Nous vous reviendrons officiellement avec une réponse écrite.

    Ce que je dirais pour l'instant, c’est que nous soumettrions ce genre de question à notre comité d’examen de l’architecture, pendant que nous concevons les services et les analysons, de sorte que, si nous constations une tendance, nous appliquerions une norme. Cela n’est pas nécessairement passé par le comité d’examen de l’architecture, à ce stade-ci et à ce degré de granularité, mais nous allons l’examiner et vous fournir une réponse écrite.

    Merci, monsieur Erskine-Smith. C'est terminé.

    C'est au tour de M. Kent. Vous avez sept minutes.

    Oh, monsieur Gourde, allez-y, je vous en prie.

    Merci, monsieur le président.

    J'aimerais donner l'occasion à M. Snow de répondre à ma question de tantôt sur les 15 ou 20 % de citoyens qui n'utilisent pas vraiment les services numériques. J'aimerais savoir de quelle façon on pourrait les informer à ce sujet, voire les inciter à utiliser davantage ces services.

    Plus ces services sont faciles à utiliser et, évidemment, plus ils sont sûrs, et plus les gens les utiliseront, à mon avis.

    À certains égards, c’est également dû au temps qu’il faut pour faire ce genre de travail, à une question de — si je peux me servir de cette image — regarder la route et non le volant. La disponibilité de la connectivité et d'autres moyens ne fait que s’améliorer, et non le contraire. Les services seront toujours multi-canaux, tant et aussi longtemps qu’il y aura des gens qui n’auront accès à des services — même dans les pays où le taux d’adoption du numérique est incroyablement élevé dans leurs interactions gouvernementales, comme au Danemark, où le taux est de plus de 90 %, on continuera de fournir des services par d’autres moyens lorsque les gens ne peuvent pas ou ne veulent pas adhérer. On peut cependant favoriser l’utilisation de services numériques et inciter de plus en plus de gens à y recourir, s'ils trouvent cela acceptable, mais il faut que ce soit exploitable.

    Vous avez abordé un aspect intéressant lorsque vous avez parlé de la sécurité des services numériques. Nous avons évoqué une situation idéale, mais il y a un côté obscur: il faut en effet reconnaître qu'il y a de plus en plus de cyberattaques. Hier, on m'a encore une fois envoyé un faux avis. J'ai reçu un message sur mon téléphone, supposément de mon institution bancaire, dans lequel on me demandait de fournir mes coordonnées. Cela fait pourtant 45 ans que je fais affaire avec cette même institution bancaire. Au fur et à mesure que le monde numérique s'imposera dans la vie des Canadiens, nous verrons de plus en plus de gens s'en servir pour essayer de les leurrer et pour obtenir de l'argent.

    Les mesures de protection seront-elles renforcées? On veut faciliter les processus, mais du même coup, on facilite peut-être aussi les activités visant à leurrer les Canadiens.

    Pour répondre directement à votre question, je dirais que nous examinons toutes les facettes du problème, de concert avec le Conseil d’examen de l’architecture intégrée. Nous voulons simplifier les services, mais il faut également en garantir la sécurité. Ce problème donne lieu à des échanges assez vigoureux au sein de notre équipe responsable du processus de gouvernance, que nous avons mis en place il y a 12 mois.

    En ce qui concerne l'aspect technologique, je laisserais mes collègues du Centre de la sécurité des télécommunications répondre à certaines questions.

    D'autre part, les initiatives visant à informer la population prennent de plus en plus d'envergure. Certains pays, comme l'Uruguay, ont littéralement apporté des tablettes iPad dans les maisons des citoyens pour les informer, leur montrer comment faire affaire avec le gouvernement et leur expliquer les choses à faire et à ne pas faire, par exemple, en cas d'attaque sur leur appareil mobile.

    Au fur et à mesure que la société progressera vers le numérique, il faudra inclure l'aspect éducatif dans les programmes. C'est déjà le cas un peu partout au pays, tant à l'échelle provinciale que municipale.

    Monsieur Snow, voulez-vous ajouter un commentaire?

    Il incombe aux services qui traitent des renseignements personnels permettant d'identifier des personnes, ou d’autres renseignements de nature confidentielle, de fournir les instruments de base garantissant un niveau de sécurité inspirant confiance. C’est une pratique exemplaire courante.

    Par exemple, nous utilisons aujourd’hui ce qu’on appelle l’« authentification à deux facteurs ». Vous inscrivez non seulement un mot de passe, mais vous devez aussi, ensuite, être en mesure d’obtenir un code sur votre téléphone ou avoir sur vous une clé physique. Je n’ai pas la mienne sur moi; elle est dans mon sac. C'est une solution de surprotection. Les systèmes qui l'offrent garantissent un supplément de sécurité et de confiance, et ils sont beaucoup plus difficiles à frauder.

    Les nouveaux systèmes numériques vont-ils permettre une plus grande interconnectivité entre les ministères lorsqu'il s'agit de faire des recherches au sujet des Canadiens sans que ces derniers soient nécessairement au courant ou est-ce que cela va quand même exiger l'obtention d'une autorisation de la part des citoyens?

    Par exemple, si l'Agence du revenu souhaite faire des vérifications au sujet d'un Canadien, lui sera-t-il possible de s'adresser au ministère des Finances pour connaître la provenance de l'argent que possède ce Canadien, ses accès bancaires ainsi que d'autres renseignements de ce genre, et cela pourrait-il se faire à l'insu de cette personne?

    Présentement, nos lois ne nous permettent pas de faire cela. Elles sont organisées de façon plutôt verticale à l'intérieur des institutions.

    Notre Loi sur la protection des renseignements personnels dispose également que les renseignements doivent être recueillis et utilisés aux fins pour lesquelles ils ont été recueillis.

    Nous aurions beaucoup de mal, du point de vue juridique, à faire ce que vous venez de décrire sans en informer les Canadiens.

    Quand il sera question d'avoir un service numérique intégré, ou si jamais on en arrive au point — je dirais utopique — où les Canadiens pourront avoir accès à tous les services à l'aide d'un simple portail, il faudra certainement examiner certaines de ces questions.

     Présentement, nous sommes organisés de façon plutôt verticale, comme je le disais, et cela empêche l'échange de données et l'analyse des informations.

    Merci.

    Il vous reste environ une minute.

    Merci, j'ai terminé.

    Vous avez terminé. D’accord.

    C’est maintenant au tour de M. Angus, pour sept minutes.

    La question de l’IA m’intéresse. Je constate qu’on en fait beaucoup la promotion dans le cadre de la gouvernance intelligente. Nous pouvons nous en servir pour lutter contre les changements climatiques. Je n’invente rien; je l’ai vu. Nous pouvons l'utiliser, et cela aidera à atténuer les catastrophes naturelles.

    Je ne veux pas offenser mes collègues du côté du gouvernement, mais les gouvernements adorent tout ce qui s'accompagne de gadgets magiques qui semblent offrir des remèdes miracles.

    Je m’intéresse à la perte de pouvoir des citoyens par l’utilisation de l’IA et à la façon dont certains finissent par être des gagnants ou des perdants dans les domaines numérique et social. Les idées utilisées dans la modélisation de l’IA auront des répercussions sociales.

    Comment pouvons-nous, dans le cadre de notre travail en comité, nous assurer que, quand on parle d’IA, on part d'une perspective éthique qui soit transparente et qui fasse en sorte que les gens ne soient pas ciblés ou privés de pouvoir parce qu’ils ne correspondent pas à l’algorithme établi?

    C’est l’une des questions brûlantes que nous nous posons dans l’espace des services numériques en général, pas seulement au Canada, mais, en fait, dans le monde entier. C’est une question de valeurs. Différents pays automatiseront différentes choses selon leur cadre de valeurs. Nous voulons nous assurer que le Canada automatise certains de ses services en fonction de son cadre de valeurs. C’est une discussion en cours.

    À l’heure actuelle, les directives que nous mettons en place portent sur certains éléments, par exemple, la garantie que ce n'est pas une boîte noire qui prend une décision au nom d’un être humain. Nous savons que les caractéristiques décisionnelles des algorithmes à mesure qu’ils changent sont un facteur important, car comment confirmer que le gouvernement du Canada est bien responsable de ce service s’il s’agit d’un algorithme?

    Il y a aussi des directives qui invitent, selon le niveau de gravité, à procéder éventuellement à un examen interne par les pairs de l’automatisation à laquelle vous travaillez. C’est également quelque chose que nous envisageons d’inclure dans certaines de ces directives. Tout cela fait partie de l’instrument d’évaluation algorithmique d’impact dont nous avons parlé tout à l'heure, que nous avons mis au point en collaboration partout dans le monde.

    Ce sont quelques exemples.

    J’aimerais également attirer votre attention sur les données. Nous pourrions avoir le code le plus impartial qui soit et avoir quand même des données erronées et biaisées. Nous en avons vu des exemples dans le secteur privé, par exemple les instruments de recrutement d’Amazon et autres, où l'on a constaté que les données étaient biaisées et que, par conséquent, le service et l’algorithme sont devenus biaisés.

    Ce n’est pas seulement une question de technologie; cela concerne aussi le type de bases de données. Nous nous penchons sur toutes ces choses en ce moment.

    Ce n’est pas une solution parfaite, mais c’est quelque chose sur quoi il faudra revenir assez souvent.

     La question des boîtes noires m’intéresse beaucoup. Les entreprises et les fournisseurs qui veulent offrir des services verront cela comme une technologie exclusive. Les bureaucrates pourront-ils examiner la boîte noire ou s’agira-t-il d’une source ouverte qui permettra au public de voir les calculs déterminant le fonctionnement des algorithmes?

    Cette question est discutée en ce moment même, et je ne peux donc pas y répondre de façon définitive dans un sens ou dans l'autre. Nous sommes déterminés à en tenir compte. Il y a du pour et du contre dans les deux cas. Nous voulons nous assurer d’avoir la meilleure technologie possible, mais, en même temps, nous devons respecter certaines valeurs et les principes éthiques qui comptent dans le pays.

    Dans certains cas, nous avons un code du secteur privé en cas d’urgence. Nous examinons également tout cela en ce moment.

    Pour être tout à fait transparent, il s’agit d’un nouvel espace. Les algorithmes de gouvernance sont un nouvel espace. Le Canada est l’un des pays qui jouent un rôle de premier plan dans certains de ces domaines. Il s'agira pour nous de travailler de façon itérative avec nos partenaires mondiaux qui partagent les mêmes valeurs.

    Il s’est produit aujourd’hui à la Chambre des communes quelque chose qui, à mon avis, nous a tous choqués: de jeunes militants noirs sont venus sur la Colline du Parlement pour nous accuser de profilage racial. Je siège au Parlement depuis 15 ans. Je suis un Blanc aux cheveux blancs, et je pense que le Parlement est très ouvert et inclusif — la police est excellente —, mais il y a eu un cas de profilage en raison de la couleur de peau.

     Ce que je veux dire, c’est que, quand on parle de profilage et de technologie de la boîte noire — et c’est peut-être la bureaucratie qui peut le mieux s'en rendre compte —, cette même bureaucratie que les victimes de profilage vont contester. Et voici ma question: comment s'assurer que la population puisse participer et contester pour faire en sorte que les algorithmes traduisent les valeurs de notre société tandis que nous allons tous de l'avant?

    Il y a quelques mécanismes en place. Par exemple, le comité d’examen de l’architecture, dont j'ai parlé à quelques reprises, examinera les projets d’automatisation à mesure qu’ils seront définis dans les plans d’investissement, dans les ministères, etc. À partir du concept, nous chercherons à appliquer nos valeurs à l'ensemble du processus, de l’approvisionnement au déploiement. C'est le comité d’examen de l’architecture qui s'occupera de cela. Je pense que le degré de transparence de nos services aura beaucoup d'importance dans ce cheminement. Certains de nos administrateurs ont examiné les faits que nous devons révéler, par exemple le fait que votre interlocuteur soit un robot et non une personne — et ce sera une bonne chose — et que nous nous attendons à ce que les citoyens signalent les problèmes. Le dialogue s’intensifiera et deviendra très actif à mesure que nous commencerons à automatiser. C’est une question de rythme du changement tout autant qu’une discussion sur les valeurs.

    Je vous en remercie. Comme musicien, je sais ce qu’est la polyrythmie. Je ne sais pas vraiment ce qu’est un algorithme, mais je pense que c’est vraiment important. Je veux simplement savoir si d’autres personnes ont la possibilité de donner leur avis.

    Je vais peut-être simplement souligner que nous avons l’habitude de parler du code informatique comme d’une chose dont nous comprenons le fonctionnement. En général, nous ne nous traitons pas les uns les autres de cette façon. À mesure que le code devient plus complexe et plus difficile à comprendre pour nous, il pourrait devenir plus important de s'intéresser aussi aux résultats réels, en plus du fonctionnement du code. Si les résultats vont dans la mauvaise direction, il faut alors tenir les systèmes responsables des extrants et pas seulement de la nature du processus décisionnel.

    Merci beaucoup.

    Le président: Nous allons passer à M. Saini, qui a une question.

    M. Raj Saini: Deux.

    Le président: Je croyais que vous aviez dit une.

    M. Raj Saini: Deux petites.

    Le président: Prenez votre temps. Allez-y.

    Je voulais seulement parler de technologie, mais, comme M. Angus a soulevé la question de l’intelligence artificielle, je vais l’aborder comme suit. Compte tenu des progrès actuels de l’intelligence artificielle, certains estiment que, d'ici 15 à 20 ans, 40 % du marché du travail actuel sera délocalisable. On peut voir à quelle vitesse le secteur privé évolue ici. Quant au secteur gouvernemental — parce que, quand on aura une architecture de gouvernement numérique, on aura aussi besoin de points de contact pour le secteur privé —, comment allez-vous vous assurer que la technologie va demeurer telle que les deux systèmes soient à peu près égaux?

    C’est une très bonne question. J’ai quelques remarques à ce sujet.

    Premièrement, je pense que l’intelligence artificielle et l’automatisation, comme toute nouvelle technologie... Mon collègue, M. Snow, a parlé d’un cycle de battage publicitaire. Dans notre secteur, on voit effectivement où se situe la technologie dans ce cycle. Je continue de croire que l’intelligence artificielle et l'idée du remplacement d’emplois font l’objet d’un grand débat. On est passé progressivement de « les machines vont nous enlever notre travail » à l'idée d'une coexistence entre les êtres humains et des machines et d'une augmentation des emplois plutôt que d'un remplacement.

    Je ne peux pas me prononcer de façon définitive sur la stratégie parce que je pense qu’il est encore très tôt dans le cycle du battage publicitaire. Nous constatons que les pays qui réussissent à cet égard sont ceux qui non seulement investissent dans ces technologies, mais aussi envisagent cette analyse d'un point de vue multidisciplinaire.

    Ce n’est pas seulement une question de croissance économique; c’est une question de service aux Canadiens, globalement. C’est aussi comme cela que le secteur privé sert les citoyens. Je crois que nous devons rester attentifs à l’évolution des choses. Cela se passe parfois si rapidement... Un fournisseur de services d’une entreprise sans nécessairement... Cela se produit si rapidement que nous ne le voyons pas. Par exemple, les services de traduction sont de plus en plus efficaces sur les plateformes de médias sociaux, et ce n’est que depuis huit mois que l’on observe une véritable courbe d'augmentation de l’efficacité. Donc, tout à coup, le sujet de conversation est différent de celui que nous avions il y a six mois.

    Je pense qu'il s'agira d’être multidisciplinaires, de s’assurer que nous n’incitons pas les ministères à s’attaquer à un seul problème, mais que nous faisons une analyse des problèmes dans une perspective horizontale et que nous poursuivons simplement cette évaluation et ce dialogue.

     J’ai une dernière question. Comme vous le savez sans doute, en 2007, l’Estonie a fait l’objet d’une cyberattaque, et l’une des réponses a été de se doter d'une technologie de chaîne de blocs évolutive, jugée sûre et très intègre. Est-ce qu'on envisage d’utiliser cela ici?

    Je dirais que nous avons de plus en plus d'expérience en matière d’intelligence artificielle. Nous en savons un peu moins sur la chaîne de blocs au sein du gouvernement du Canada. Cela ne veut pas dire que nous n’avons pas de lieux d’expérimentation. Nous envisageons un projet pilote d’identification, des projets pilotes d’identification numérique avec les provinces, par exemple, en utilisant la chaîne de blocs. Il est question, je crois, de subventions et de contributions au Conseil national de recherches, à partir de la chaîne de blocs. C’est probablement le prochain domaine que nous devrons examiner. J’aimerais dire que nous avons plus d'expérience à cet égard, mais ce n’est pas le cas.

    Nous avons investi massivement dans le domaine de l’intelligence artificielle pour égaler l’investissement que le gouvernement a fait dans ce domaine partout au pays, afin de nous assurer d’être prêts à absorber ces services. Je suppose que la chaîne de blocs et quelques autres concepts seront très prochainement sur notre écran radar.

    D’accord. Merci.

    J’ai une dernière question.

    Monsieur Benay, vous avez parlé de l’utilisation de Google Docs dans le cadre de l’interaction, je suppose, avec nos citoyens. La facilité d’interaction est également essentielle à tout cela. Mais l’une des choses qui préoccupent notre comité, c’est l’état de la collecte et les énormes sociétés qui en recueillent les données, comme Amazon, Google, Facebook, etc. Nous voyons ce mariage s'annoncer; il se pourrait bien que nous votions un jour sur Facebook. Il y a peut-être une application que nous utilisons. C’est peut-être une question subjective à laquelle il faut réfléchir, mais c’est une préoccupation pour beaucoup d’entre nous ici.

    Étant donné que vous faites partie de la bureaucratie qui crée ce système pour le gouvernement, quelles recommandations feriez-vous, du point de vue de la réglementation, concernant certaines de ces plateformes de mégadonnées? Vous avez dressé une clôture autour des données des citoyens canadiens.

    Ma question s’adresse peut-être davantage à M. O’Brien. À votre avis, quelle réglementation appliqueriez-vous à ces entreprises de mégadonnées?

    En ce qui a trait à la réglementation, je vais laisser Alex vous répondre.

    Je vais revenir à ce que j’ai dit plus tôt...

    Mais permettez-moi de poser la question comme citoyen. C'est vous qui les utilisez. Vous utilisez Google, j’en suis sûr, et toutes les autres aussi.

    Je pense que la transparence est la clé. Je ne parlerai pas en mal de certaines entreprises, mais quelques-unes font preuve d’une grande transparence, notamment dans la façon dont elles assurent la sécurité de leurs services infonuagiques. Google, Microsoft et Amazon publient toutes de très bons livres blancs sur la sécurité dans lesquels elles indiquent comment elles protègent l’information dans leurs systèmes. Elles tendent également à être aussi transparentes que possible en ce qui concerne les données qu’elles recueillent. Dans bien des cas, je pense que les gens ne comprennent tout simplement pas ce qu’ils acceptent. Je crois qu'avec le RGPD, le Royaume-Uni et l’Union européenne ont oeuvré en ce sens afin que les gens soient bien informés avant de donner leur consentement. Je m’en tiendrai à cela, mais Alex a probablement certaines choses à dire.

    Oui, c’est une réponse possiblement en trois parties. Nous devons mieux comprendre que ce n'est pas un problème si certaines données se retrouvent sur certaines de ces plateformes. Par contre, il y a d'autres types de données qui ne devraient pas s'y retrouver. Le terme « renseignements personnels » est trop imprécis pour l’instant. Mais cela ne veut pas dire que nous ne pouvons pas discuter avec ces fournisseurs au sujet des valeurs que nous voulons inclure dans notre gestion des renseignements personnels, des exigences en matière de sécurité.

    Une partie de notre travail sur les politiques, par exemple, devrait être entièrement transparente et ouverte lorsqu’il s’agit d’évaluations d'impacts algorithmiques, parce que celles-ci auront une incidence directe sur le citoyen. Mettre ces évaluations sur Google Docs et, honnêtement, sur 10 autres plateformes, n’est pas nécessairement un problème. Voilà pour la première partie.

    Quant à l’autre partie, j’aimerais aborder la question des normes par rapport à la réglementation. Je pense que nous avons l'occasion d'établir dès le départ de meilleures normes à l’échelle du pays. Lorsque j’étais dans le secteur privé, et lorsque je travaillais pour OpenText, je voyais souvent d’autres pays se fixer des normes qui leur étaient propres et qui pouvaient franchement avantager leurs organisations et entreprises. Nous devons voir les normes comme des mécanismes tant offensifs que défensifs, et commencer à les considérer comme une première étape.

    En ce qui concerne la réglementation, le problème, c’est qu’elle pourrait étouffer l’innovation — c'est ce que vous diront à maintes reprises le secteur privé et certains de mes anciens collègues —, mais c'est probablement une étape. Il y a probablement d’autres mesures que vous pourriez envisager avant de vous lancer dans la réglementation, car c'est une arme à double tranchant.

    D’accord.

    Monsieur Snow.

    De toute évidence, les politiques et la question de savoir si ces fournisseurs chiffrent les données inactives et les données transmises, ou s’ils prennent diverses mesures pour protéger les données sont une partie de l’équation. L’autre partie, c’est comment nous protégeons notre propre gestion des comptes. S'assurer qu'on utilise des gestionnaires de mots de passe ou l’authentification à deux facteurs qu'offrent maintenant bon nombre de ces systèmes — et qui sera probablement de plus en plus exigée — est une autre mesure que le gouvernement peut encourager et aider à expliquer. Il y a donc là aussi un rôle à jouer.

    Madame Naylor, avez-vous également une réponse?

    Non, je n’ai pas de réponse à cette question.

    D’accord.

    Y a-t-il d’autres questions?

    Allez-y, monsieur Angus.

    Avant de lever la séance, j’aimerais simplement attirer l’attention du Comité sur le fait que, selon moi, nous devrions discuter de l’annonce faite par la ministre selon laquelle le comité de la procédure et des affaires de la Chambre se pencherait sur la menace que représente Facebook pour le processus électoral. Nous avons fait ce travail. Je trouve cela surprenant. Tout le travail que nous avons fait a été reconnu à l’échelle internationale. À quelques mois des élections, notre comité est complètement mis de côté. Notre rapport a été mis de côté. Nous n’avons reçu aucune réponse. Je pense que nous devrions exprimer notre préoccupation à la ministre. Si elle veut prendre connaissance de la menace que représente Facebook et saper la plateforme, nous avons déjà fait tout ce travail.

    Y a-t-il des réactions?

    J’avais cru comprendre que la ministre Gould figurait sur notre liste.

    Oui, nous avons adopté cette motion.

    D’accord. Je dirais qu’il est juste de lui poser toutes sortes de questions, y compris à ce sujet. Il serait insensé que le comité de la procédure entreprenne une étude que nous avons déjà menée et conclue.

    Je peux rédiger une lettre au comité expliquant ce que nous avons fait et la leur faire parvenir avec le rapport, si cela peut aider.

    Oui, c’est ce que je propose, monsieur le président, que nous envoyions la lettre à la ministre et au comité pour leur indiquer que ce travail a été fait. Nous y avons consacré un an et nous avons voyagé à l’étranger.

    Souhaitez-vous présenter une motion pour faire comparaître la ministre?

    J’aimerais proposer une motion pour que vous rédigiez une lettre. Certes, je pense que la ministre devrait comparaître, mais nous devrions également écrire une lettre officielle au président du comité de la procédure et à la ministre pour leur dire que nous avons fait ce travail. Il serait tout à fait absurde de recommencer à zéro.

    Je n'ai pas assisté à la comparution, mais je suppose qu'on lui posait des questions et qu'elle répondait au pied levé. Je n’en ai aucune idée. Il est évident qu'elle sait que nous avons fait une étude. Ne perdez pas votre temps à écrire des lettres. Quand doit-elle comparaître?

    Je n’en suis pas certain. Notre greffier est souffrant aujourd'hui. Nous le saurons à son retour.

    Oh, je vois. D’accord.

    Je pense qu’il est légitime d'avoir une telle conversation avec elle pour l'informer du travail que nous avons fait et pour lui demander pourquoi elle croit que le comité de la procédure est le comité approprié pour effectuer une telle étude et non pas le nôtre. Nous pourrons également lui demander si, selon elle, il y a d'autres questions que le Comité devrait approfondir. Le comité qui est déjà bien informé devrait être celui qui se penche sur la question. Elle doit déjà comparaître. Si vous voulez écrire des lettres, faites-le, mais je pense qu’elle va venir.

    Ma seule préoccupation est que si le comité de la procédure a reçu instruction d'entamer les travaux, notre conversation avec la ministre sera inutile. Je pense que le comité devrait également savoir que nous avons fait ce travail. Nous sommes tout à fait disposés à le conseiller.

    D'accord, écrivez une lettre au comité de la procédure.

    Autrement, d’ici à ce que le comité ait terminé sa liste de témoins, les prochaines élections seront passées. Pendant ce temps, notre rapport dort sur les tablettes.

    Absolument, faites parvenir une copie du rapport au président.

    Je suis au Parlement depuis trop longtemps pour voir les rapports parlementaires. On les aime le jour où ils sortent et, le lendemain, les seules personnes qui s'en souviennent sont les membres du comité qui les ont produits. Personne ne prête attention. Je vais me battre pour celui-ci.

    Je vais rédiger la lettre et l’envoyer.

    Une dernière chose. Le Grand Comité international a poursuivi sur sa lancée. Nous allons diffuser un communiqué de presse demain, je crois.

    Je pensais que c’était clair, mais notre greffier aussi m'a posé des questions au sujet de la diffusion de communiqués de presse et m'a demandé d'autoriser la diffusion en ma qualité de président. Est-ce toujours le cas? Je croyais que nous l’avions déjà approuvée.

    Nous sommes prêts.

    Je trouve le contenu du rapport du Royaume-Uni dévastateur. Dans nos propos, nous devons vraiment nous attarder à la question de Facebook. Si les Britanniques décrivent Facebook comme un « gangster numérique » international, notre comité doit être...

    Lorsque j’ai lu cela, j’ai pensé...

    M. Charlie Angus: Pourquoi n’avons-nous pas abordé la question ainsi?

    M. Nathaniel Erskine-Smith: ... c'est du Charlie tout craché.

    Oui, je sais. Maudits Britanniques!

    Je pense que nous devons parler de ce que fait la communauté internationale en réponse au rapport. Le comité du Royaume-Uni devrait nous donner son rapport et nous devrions discuter à l’échelle internationale des mesures à prendre.

    Oui. Il a été rendu public lundi, je crois, et j'enjoins à chacun d'entre nous de le lire. Notre présence là-bas, au sein du Grand Comité international, y est également mentionnée. C’est une belle reconnaissance pour nous.

    Merci.

    Merci encore aux témoins d’être venus. Nous avons beaucoup d’information et de sujets à traiter. Passez une bonne journée.

    La séance est levée.