Depuis plusieurs années déjà, le Canada fait face à un problème récurrent d’exode des cerveaux vers les États-Unis, particulièrement dans les secteurs de la haute technologie, de l’intelligence artificielle, du capital de risque et des industries numériques. Or, selon une nouvelle analyse publiée cette semaine par The Hub et rédigée par le juriste et spécialiste du numérique Michael Geist, le projet de loi fédéral C-22 pourrait désormais accentuer ce phénomène de manière spectaculaire dans l’industrie technologique canadienne.
L’analyse, publiée le 22 mai, soutient que les dispositions du projet de loi — particulièrement celles contenues dans le Supporting Authorized Access to Information Act (SAAIA) — imposeraient des obligations de surveillance et de conservation de données suffisamment lourdes pour pousser plusieurs entreprises technologiques à quitter le Canada plutôt que de compromettre leurs modèles de sécurité et de confidentialité.
Au cours des derniers jours, plusieurs entreprises majeures du secteur numérique ont publiquement exprimé leurs inquiétudes face au projet de loi. Selon le texte relayé par The Globe and Mail et analysé par Geist, le PDG de Windscribe, Yegor Sak, aurait indiqué envisager activement de déplacer son entreprise hors du Canada si le projet de loi demeure inchangé. De son côté, Udbhav Tiwari, vice-président de Signal, aurait déclaré que l’entreprise « préférerait quitter le pays plutôt que d’être forcée de compromettre les promesses de confidentialité faites à ses utilisateurs ».
Selon l’analyse de Geist, le problème fondamental réside dans la définition extrêmement large des « fournisseurs de services électroniques » contenue dans C-22. Celle-ci ne viserait pas seulement les fournisseurs Internet traditionnels, mais aussi les plateformes numériques, les applications de messagerie chiffrée, les services VPN, les fabricants d’appareils et pratiquement toute entreprise traitant des données numériques au Canada.
Le projet de loi imposerait notamment des obligations générales d’assistance aux autorités, des exigences de conservation de métadonnées et certaines capacités techniques permettant l’accès aux informations autorisées par mandat. Or, pour plusieurs entreprises spécialisées dans la confidentialité numérique, ces exigences seraient incompatibles avec leur modèle d’affaires même.
Dans le cas des VPN comme Windscribe, le simple fait d’imposer une conservation obligatoire des métadonnées irait directement à l’encontre du principe du « no-log », c’est-à-dire l’absence volontaire de conservation des données des utilisateurs. Geist rappelle que Sak aurait expliqué au Globe and Mail que son entreprise n’est actuellement pas capable de fournir certaines données à la GRC tout simplement parce qu’elle ne les conserve pas.
Le même problème toucherait les services de messagerie chiffrée de bout en bout comme Signal. Leur architecture repose précisément sur le fait que l’entreprise elle-même ne peut pas accéder au contenu des communications. Selon Geist, toute obligation légale imposant des capacités d’extraction ou d’organisation des données nécessiterait donc une modification fondamentale du système de chiffrement.
L’analyse insiste surtout sur un point stratégique majeur : ces obligations n’existent pas actuellement aux États-Unis sous une forme comparable.
Geist rappelle que le droit américain ne comporte aucune loi fédérale imposant une conservation généralisée des données comparable à celle envisagée par C-22. Les mécanismes américains actuels permettent essentiellement aux autorités de demander la préservation temporaire de données déjà existantes dans des cas ciblés, mais non d’imposer une conservation systématique de toutes les métadonnées des utilisateurs.
De plus, les lois américaines sur l’interception légale — notamment le Communications Assistance for Law Enforcement Act (CALEA) — excluent explicitement plusieurs services numériques modernes comme les applications de messagerie ou les VPN. Plusieurs tentatives américaines visant à imposer des obligations similaires aux services chiffrés auraient d’ailleurs échoué au Congrès depuis plus d’une décennie.
Pour Geist, cette différence réglementaire crée un désavantage compétitif évident pour les entreprises canadiennes. Une entreprise américaine pourrait continuer à offrir légalement des services sans conservation de données, tandis qu’une entreprise canadienne serait forcée de modifier son infrastructure ou de quitter le pays.
L’analyse souligne également que ce type de réaction s’est déjà produit ailleurs dans le monde.
En Inde, après l’imposition en 2022 de nouvelles exigences de conservation des données, plusieurs grands fournisseurs VPN comme NordVPN, ExpressVPN et Surfshark auraient retiré leurs serveurs physiques du pays. En Europe, plusieurs tribunaux — notamment la Cour de justice de l’Union européenne — ont invalidé des régimes généralisés de conservation des données au nom des droits fondamentaux à la vie privée.
Le Royaume-Uni fait également face à des tensions similaires. Geist rappelle qu’Apple aurait récemment retiré certaines fonctionnalités avancées de protection des données du marché britannique plutôt que de se conformer à certaines exigences d’accès gouvernemental aux données chiffrées.
Même la Suisse, souvent perçue comme un bastion de la confidentialité numérique, aurait vu Proton commencer à déplacer une partie de son infrastructure vers l’Allemagne à la suite de propositions réglementaires similaires.
Au-delà du débat juridique, l’enjeu devient donc économique et géopolitique. Le Canada tente depuis des années de se présenter comme un pôle technologique mondial, notamment dans les domaines de l’intelligence artificielle, du cloud computing et des technologies numériques avancées. Montréal, Toronto et Waterloo ont attiré d’importants investissements et talents internationaux.
Or, les critiques de C-22 soutiennent qu’Ottawa risque maintenant d’envoyer exactement le signal inverse : celui d’un environnement réglementaire lourd, imprévisible et potentiellement hostile aux technologies axées sur la confidentialité.
Dans un contexte où les entreprises technologiques peuvent déplacer rapidement leurs infrastructures et leurs sièges sociaux vers des juridictions plus favorables, plusieurs observateurs craignent que le Canada ne transforme progressivement son retard en véritable fuite des talents et des capitaux technologiques vers les États-Unis ou certaines juridictions européennes.
