Le gouvernement fédéral de Mark Carney se retrouve au cœur d’une controverse technologique, juridique et géopolitique majeure avec son projet de loi C-22 sur « l’accès légal » aux données numériques. Présenté officiellement comme une modernisation des outils d’enquête pour les forces policières et les agences de renseignement, le texte provoque maintenant une levée de boucliers d’une ampleur rarement vue de la part de l’industrie technologique mondiale.
Au cours des derniers jours, plusieurs grandes entreprises — dont Apple, Meta, Signal et NordVPN — ont publiquement averti Ottawa que le projet de loi pourrait les forcer à affaiblir leurs systèmes de chiffrement ou à intégrer des mécanismes de surveillance dans leurs infrastructures. Le Toronto Star et le Globe and Mail rapportent même que certaines entreprises envisageaient de quitter le Canada si le projet de loi était adopté sans modifications substantielles.
L’affaire dépasse désormais largement le simple débat canadien sur la sécurité publique. Catharine Tunney, de CBC News, rapporte que deux puissants comités du Congrès américain sont intervenus officiellement auprès du ministre fédéral de la Sécurité publique Gary Anandasangaree pour dénoncer les risques posés par le texte pour la sécurité des données des Américains eux-mêmes.
Selon la lettre envoyée par les présidents républicains Jim Jordan et Brian Mast, le projet de loi pourrait « drastiquement étendre les pouvoirs de surveillance et d’accès aux données du Canada » au point de créer des risques transfrontaliers majeurs pour les États-Unis.
Le débat rappelle déjà les tensions qui avaient éclaté entre le Royaume-Uni et Apple autour des demandes gouvernementales d’accès aux systèmes chiffrés de l’entreprise américaine.
Un projet de loi beaucoup plus vaste qu’un simple accès aux données
Officiellement, le projet de loi C-22 vise à adapter les capacités d’enquête des autorités canadiennes à l’ère des communications chiffrées, du crime organisé numérique, de l’exploitation sexuelle en ligne et des menaces terroristes.
Mais les critiques soutiennent que le texte va beaucoup plus loin.
Walid Tamtam, du Western Standard, rapporte que le projet permettrait au gouvernement fédéral d’obliger les « fournisseurs de services électroniques » à développer des capacités techniques permettant aux autorités d’accéder plus facilement à certaines données lors d’enquêtes criminelles ou de sécurité nationale.
Le texte prévoit également l’obligation de conserver certaines métadonnées — incluant des données de transmission et de localisation — pendant une période pouvant aller jusqu’à un an.
Dans son reportage pour CBC, Catharine Tunney souligne que Michael Geist, titulaire de la Chaire de recherche du Canada en droit de l’Internet et du commerce électronique à l’Université d’Ottawa, considère que cette architecture reviendrait essentiellement à créer « une carte de surveillance » des activités numériques des Canadiens.
Et contrairement à l’image parfois présentée d’un simple système de mandats ciblés, plusieurs critiques soutiennent que le texte ouvre la porte à des modifications structurelles permanentes des systèmes technologiques eux-mêmes afin de faciliter l’accès gouvernemental.
La question explosive des « backdoors »
Le cœur de la controverse tourne autour de la question des « backdoors » — des portes dérobées permettant éventuellement aux autorités d’accéder à des systèmes normalement protégés par chiffrement.
Le gouvernement affirme catégoriquement que le projet de loi ne force pas les entreprises à affaiblir le chiffrement ni à créer de « vulnérabilités systémiques ». Le ministère de la Sécurité publique répète que le texte est « encryption neutral ».
Mais pratiquement toutes les grandes entreprises technologiques ayant commenté publiquement le projet contestent cette interprétation.
Le Western Standard rapporte que Meta estime que la partie 2 du projet pourrait forcer les entreprises à installer des outils de surveillance gouvernementale directement dans leurs systèmes.
CBC rapportait également la réaction d’Apple, qui affirme que le projet de loi, tel que rédigé, pourrait permettre au gouvernement canadien « d’obliger les entreprises à briser le chiffrement en insérant des portes dérobées dans leurs produits », ajoutant qu’Apple « ne fera jamais cela ».
Marie Woolf, du Globe and Mail, révélait quant à elle que Signal allait encore plus loin : son vice-président Udbhav Tiwari a déclaré que l’entreprise préférerait quitter le Canada plutôt que de compromettre ses garanties de confidentialité.
NordVPN a émis un avertissement similaire. L’entreprise affirme qu’il n’existe « aucun scénario » où elle accepterait de compromettre son architecture « no logs » ou ses protections de chiffrement.
L’Electronic Frontier Foundation (EFF), l’une des plus importantes organisations de défense des libertés numériques au monde, soutient également que le projet ouvre bel et bien un mécanisme permettant au ministre de la Sécurité publique d’exiger des capacités d’accès qui reviennent concrètement à contourner le chiffrement.
Dans une analyse publiée par Thorin Klosowski, l’EFF affirme que prétendre qu’un système de surveillance intégré ne constitue pas une vulnérabilité systémique relève essentiellement d’un tour de passe-passe sémantique.
Les téléphones transformés en dispositifs d’écoute ?
L’un des angles les plus explosifs du débat a été soulevé par Tristin Hopper, du National Post.
Dans un article intitulé « FIRST READING: New bill could allow police to turn personal tech into listening devices », Hopper rapporte que certaines dispositions du projet de loi pourraient permettre aux autorités d’exiger des capacités d’interception transformant potentiellement des téléphones, ordinateurs portables ou haut-parleurs intelligents en dispositifs d’écoute à distance.
Lors d’une séance du comité parlementaire sur la sécurité publique, le député conservateur Dane Lloyd a directement demandé à l’experte en droit de la sécurité nationale Leah West si le projet de loi permettrait éventuellement d’ordonner des capacités de microphones à distance.
Selon le National Post, West a répondu qu’il s’agirait effectivement d’une « capacité d’interception » permise par les dispositions du projet, tant que cela ne créait pas officiellement une « vulnérabilité systémique ».
Hopper souligne également que les ordonnances pourraient être accompagnées de dispositions de secret obligeant les entreprises à ne pas révéler publiquement l’existence de certaines demandes gouvernementales.
Des inquiétudes alimentées par des précédents récents
Les critiques du projet de loi rappellent que les risques liés à ce type d’architecture ne sont pas théoriques.
Dans son analyse pour l’EFF, Thorin Klosowski cite notamment le piratage « Salt Typhoon » de 2024, où des infrastructures conçues pour permettre l’accès légal aux données ont finalement été exploitées par des acteurs malveillants.
Le Royaume-Uni constitue également un précédent extrêmement préoccupant pour plusieurs observateurs.
CBC rappelait récemment qu’Apple avait retiré certaines protections avancées de chiffrement pour les utilisateurs britanniques après des demandes du gouvernement britannique concernant l’accès aux données chiffrées d’iCloud.
Plusieurs craignent maintenant qu’un scénario similaire se reproduise au Canada.
Le débat dépasse même désormais les frontières canadiennes. Catharine Tunney rapporte que des responsables américains craignent qu’en forçant des entreprises américaines à modifier leurs systèmes pour le marché canadien, Ottawa crée indirectement des risques pour les utilisateurs américains eux-mêmes.
Dans leur lettre officielle, les élus américains ont averti qu’un tel précédent pourrait encourager d’autres pays à exiger des accès similaires aux infrastructures technologiques occidentales.
La police et les défenseurs du projet invoquent les victimes
Les partisans du projet de loi soutiennent toutefois que ses critiques ignorent complètement la réalité du travail policier moderne.
La CBC rapporte que le commissaire de la Police provinciale de l’Ontario et président de l’Association canadienne des chefs de police, Thomas Carrique, affirme que les enquêteurs se heurtent quotidiennement à des obstacles technologiques empêchant l’accès à des preuves pourtant autorisées judiciairement.
Il évoque notamment les enquêtes liées au trafic humain, à l’exploitation sexuelle des enfants, aux fusillades, à l’extorsion et au crime organisé.
Toujours selon CBC, le Centre canadien de protection de l’enfance soutient également le projet de loi, affirmant que les outils actuels sont insuffisants pour lutter contre l’explosion des crimes numériques visant les mineurs.
Les défenseurs de C-22 accusent également les géants technologiques de protéger avant tout leurs modèles d’affaires et leur réputation commerciale sous couvert de défense de la vie privée.
Mais les critiques rétorquent qu’il ne s’agit pas de choisir entre sécurité publique et vie privée, mais plutôt de déterminer jusqu’où un État démocratique peut restructurer l’infrastructure numérique de toute une société sans créer des risques systémiques majeurs.
Une nouvelle fracture Canada–États-Unis ?
Le dossier pourrait également devenir un nouvel irritant important dans les relations canado-américaines.
Après les tensions liées à la taxe sur les services numériques, à la loi C-18, au Streaming Act et aux débats commerciaux autour des plateformes américaines, C-22 ajoute maintenant un volet de sécurité nationale et de cybersécurité à la relation bilatérale.
Michael Geist affirmait à CBC que cette controverse est potentiellement beaucoup plus grave que les précédentes puisqu’elle touche directement à la confiance mondiale envers les infrastructures technologiques américaines.
Le gouvernement Carney semble pour l’instant croire qu’il peut calmer la controverse par des clarifications et des amendements limités. Gary Anandasangaree affirme que les entreprises « interprètent incorrectement » certaines dispositions du texte et insiste sur le fait que le chiffrement ne serait pas compromis.
Mais le fait même que des entreprises comme Signal, Apple ou NordVPN évoquent publiquement un retrait potentiel du Canada démontre à quel point la confiance semble déjà profondément ébranlée.
Et dans un contexte où la cybersécurité devient un enjeu géopolitique central, Ottawa pourrait rapidement découvrir que la simple perception d’un affaiblissement du chiffrement suffit déjà à provoquer une crise de confiance internationale.
