En mars 2026, le gouvernement fédéral du Canada a déposé le projet de loi C-22, Loi concernant l’accès légal : une architecture de surveillance sans précédent qui pourrait affecter chaque outil numérique que nous utilisons au quotidien ! C-22 contient de vastes nouveaux pouvoirs qui pourraient obliger tout fournisseur de services numériques à conserver pour une période d’un an les métadonnées de chaque personne au Canada, portant ainsi atteinte à la vie privée de millions de personnes.

La portée absolument excessive de C-22 constitue une menace grave pour les libertés civiles au Canada, tout en créant des risques pour la cybersécurité si nos données devaient faire l’objet de fuite, de vol, ou de tout autre usage imprévu, grâce notamment à des portes dérobées installées chez les fournisseurs de services numériques à la demande des autorités canadiennes.

Que des pays partenaires du Canada aient adopté de telles dispositions ne justifie en rien la mise sur pied d’un État de surveillance et l’abandon de nos principes démocratiques et de nos droits constitutionnels. Bien au contraire, les dérives et abus qui accompagnent de telles dispositions appellent plutôt au rejet sans équivoque du projet C-22.

Le projet de loi C-22 est une catastrophe pour la protection de la vie privée. Nous venons d’apprendre que Signal, l’application de messagerie la plus sécurisée au monde, se retirera complètement du Canada si elle est contrainte d’adopter ce prétendu régime d’« accès légal » sans modifications majeures. Des avertissements similaires sont lancés par Apple, Meta, le Réseau des conseillers en cybersécurité et les présidents des commissions judiciaires et des affaires étrangères de la Chambre des représentants des États-Unis. Pourtant, le Comité permanent de la sécurité publique et de la sécurité nationale (SECU) a presque terminé l’examen du projet de loi.⁶ De façon alarmante, le gouvernement n’a promis que trois rencontres avec des témoins pour entendre les corrections nécessaires avant le vote.

Si le projet de loi C-22 est adopté, il pourrait obliger les entreprises technologiques à permettre à la police d’écouter nos conversations téléphoniques, nos ordinateurs portables ou nos enceintes connectées. Tous les fournisseurs de services électroniques dont nous dépendons — non seulement les fournisseurs d’accès Internet, mais aussi les services de stockage en nuage, les plateformes de médias sociaux et potentiellement les fabricants de matériel — pourraient être contraints d’installer des portes dérobées pour la police, le SCRS et les agences de sécurité.

Ce projet de loi obligera également les fournisseurs de services à conserver jusqu’à un an d’activité en ligne de chaque Canadien, y compris l’historique de navigation, l’historique de déplacement GPS et l’empreinte numérique. Jeudi dernier, lors de l’audience du comité chargé du projet de loi C-22, un responsable des politiques a tenté de repousser la durée de conservation des métadonnées au-delà de 12 mois, arguant que trois ans seraient « idéaux ».

La menace que représente le projet de loi C-22 n’est pas seulement un abus de pouvoir du gouvernement, c’est un grave risque pour la cybersécurité. Des experts en sécurité informatique avertissent que ces dispositions relatives à l’accès légal faciliteront l’exploitation des systèmes canadiens par les criminels. Même la Chambre de commerce du Canada – loin d’être un organisme de défense de la vie privée – a averti qu’« aucune juridiction comparable dans le monde occidental n’a adopté de dispositions relatives à l’accès légal d’une telle ampleur ».

C’est un moment décisif pour vos droits à la vie privée. Nous devons bloquer le projet de loi C-22 avant que des vulnérabilités systémiques imposées ne deviennent la loi pour tous les services dont nous dépendons. Veuillez prendre 30 secondes pour envoyer un message à votre député dès aujourd’hui.

➽ Ce que le gouvernement ne vous dit pas sur le projet de loi C-22

Le problème des portes dérobées

Au cœur du projet de loi C-22 se trouve une exigence imposée aux fournisseurs de services électroniques — c’est-à-dire les entreprises Internet, les plateformes de messagerie, les services infonuagiques, et potentiellement même les fabricants de matériel informatique — de concevoir et de maintenir des capacités techniques permettant au gouvernement d’accéder aux communications privées et aux données de leurs utilisateurs. Le gouvernement appelle ça une « infrastructure d’accès légal. » Les experts en sécurité, eux, appellent ça une porte dérobée que n’importe qui peut franchir.

Le gouvernement affirme que notre vie privée est protégée parce que le projet de loi C-22 n’obligera pas ces entreprises à introduire des « vulnérabilités systémiques » dans leurs systèmes. Mais c’est du théâtre : le gouvernement se réserve le droit de réinterpréter ce que signifie « vulnérabilité systémique » — ou toute autre définition utilisée dans C-22 — quand bon lui semble, sans avoir à retourner devant le Parlement. Ce n’est pas une simple omission : c’est une protection creuse par conception. Les experts en sécurité confirment que toute capacité d’interception intégrée à l’infrastructure d’une plateforme constitue une vulnérabilité systémique selon toute définition technique couramment utilisée.

Le précédent Salt Typhoon

Le projet de loi C-22 ne menace pas seulement notre vie privée face à notre propre gouvernement — il la compromet face à tous les acteurs malveillants de la planète. C’est parce qu’il n’existe pas de faille de confidentialité réservée aux seuls « bons » acteurs étatiques nationaux : une vulnérabilité technique accessible à une partie l’est aussi à quiconque y a accès.

Ce n’est pas une préoccupation hypothétique. À la fin de 2024, des pirates informatiques soutenus par l’État chinois ont infiltré plusieurs grandes entreprises de télécommunications américaines — AT&T, Verizon et d’autres — et ont maintenu un accès à leurs réseaux pendant des mois. Ils sont entrés par l’infrastructure d’interception légale que ces entreprises étaient légalement tenues de construire en vertu de la loi CALEA, l’équivalent américain, pourtant beaucoup plus limité, de ce que le projet de loi C-22 propose pour le Canada. La porte dérobée construite pour les forces de l’ordre américaines est devenue celle par laquelle le renseignement chinois s’est introduit — et les données privées de près d’un million de personnes ont été compromises.

Alors, le projet de loi C-22 est-il aussi problématique que la loi CALEA aux États-Unis? Non — il est bien pire. Contrairement à CALEA, C-22 s’étend aux applications de messagerie, aux services infonuagiques et à d’autres plateformes en ligne que la loi américaine n’a jamais visées. Et il ajoute quelque chose que CALEA n’a jamais exigé : l’obligation de conserver les données des Canadiens à l’avance.

La base de données de rétention des métadonnées

Le projet de loi C-22 autorise explicitement des règlements qui obligeront les entreprises à conserver des « catégories de métadonnées — incluant les données de transmission » pendant jusqu’à un an. Les métadonnées n’incluent pas le contenu de vos messages — mais elles n’en ont pas besoin. Elles peuvent brosser un portrait complet de avec qui vous avez communiqué, quand, pendant combien de temps, depuis où, et avec quel appareil. Une année de données de localisation, de schémas de communication et d’activité sur vos appareils dresse un tableau détaillé de la vie de n’importe qui : où vous dormez, où vous pratiquez votre foi, quels médecins vous consultez, à quelles manifestations vous participez.

Cette base de données doit exister pour chaque Canadien et Canadienne visé, qu’il ou elle soit sous enquête ou non. L’exigence d’un mandat encadre qui peut légalement y faire des recherches. Elle ne fait rien pour empêcher un acteur hostile de s’y introduire et d’en extraire les données.

Le gouvernement écrit ses propres règles — parfois en secret

L’article 47(1)(c) du projet de loi accorde au gouverneur en conseil le pouvoir de modifier l’interprétation de « tout terme ou expression » de la loi par voie réglementaire, longtemps après l’adoption de C-22. Cela inclut le sens de « protection électronique », « vulnérabilité systémique », « chiffrement » et « métadonnées ».

C’est demander au Parlement d’adopter un mécanisme habilitant vide, et non un véritable système d’accès légal ; le gouvernement en changera le sens plus tard, discrètement, sans débat. Ce n’est pas un choix de rédaction ordinaire. Cela signifie que les protections inscrites dans la loi ne sont que des jalons provisoires, destinés à être réinterprétés jusqu’à en perdre tout sens lorsque des gouvernements futurs les jugeront gênants.

La question de l’accès étranger

Le projet de loi C-22 modifie également la Loi sur l’entraide juridique en matière criminelle afin de faciliter l’accès des gouvernements étrangers aux données détenues par des entreprises canadiennes sur des Canadiens. Le processus actuel exige à la fois l’approbation ministérielle et une ordonnance judiciaire canadienne avant qu’une demande étrangère ne soit honorée. L’amendement proposé par le projet de loi crée une voie accélérée pour l’exécution de décisions étrangères portant sur des données de transmission et des renseignements sur les abonnés — et c’est au ministre de la Sécurité publique de décider si un juge canadien examinera encore ces demandes.

Ces problèmes sont trop profonds pour être corrigés par des amendements

L’an dernier, plus de 10 000 Canadiens et Canadiennes de la communauté d’OpenMedia se sont mobilisés contre le projet de loi C-2, la précédente législation de surveillance du gouvernement, et l’ont stoppé net.

Mais son architecture centrale est de retour dans C-22 ; et jumelée à un nouveau système national de rétention d’une année complète de métadonnées sur chaque Canadien et Canadienne, elle est bien pire. L’ampleur de cet État de surveillance en devenir ne peut pas être corrigée par des amendements. La seule réponse acceptable est le retrait complet du projet de loi C-22.

Abonnez-vous à ma lettre d’information

Et recevez un code de réduction de 40 % pour l’adhésion à mon Club VIP.

16 mai 2026

Loading read count...