Le Canada devient le nouveau terrain d'expérimentation en matière de protection de la vie privée en ligne, alors que le projet de loi C-22 suscite la controverse

Les géants technologiques américains, les législateurs et les services de messagerie cryptée s'opposent au projet de loi canadien sur l'accès légal, la plateforme de messagerie Signal avertissant qu'elle préférerait se retirer du pays plutôt que de se conformer à la loi si elle était adoptée, compte tenu de ses dispositions actuelles.

Les critiques affirment que le projet de loi proposé, connu sous le nom de projet de loi C-22, s'il est adopté, briserait le chiffrement et imposerait la collecte massive de métadonnées.

Le ministre de la Sécurité publique, Gary Anandasangaree, a présenté le projet de loi, qui obligerait les entreprises de télécommunications, les fournisseurs d'accès Internet et les plateformes de messagerie à développer des capacités de surveillance pour la police et le Service canadien du renseignement de sécurité (SCRS). Il obligerait également les principaux fournisseurs à conserver les métadonnées des utilisateurs pendant un an.

Signal marque une ligne rouge en matière de cryptage

de Signaldent de la stratégie et des affaires mondiales a déclaré aux journalistes du Globe and Mail que l'entreprise « préférerait se retirer du pays plutôt que d'être contrainte de faire des compromis sur les promesses de confidentialité que nous avons faites à nos utilisateurs ».

Signal est réputé pour ses fonctionnalités de protection de la vie privée et ne conserve quasiment aucune donnée utilisateur sur ses serveurs, se limitant aux numéros de téléphone, aux horodatages de dernière connexion et aux dates de création de compte. Les messages, contacts et autres informations des utilisateurs restent sur leurs appareils.

Apple a également indiqué qu'elle pourrait retirer ses fonctionnalités de protection de la vie privée au Canada si le projet de loi est adopté sans modification. Ce n'est pas la première fois qu'elle prend une telle mesure : l'entreprise avait déjà agi de la sorte au Royaume-Uni l'année dernière en supprimant son outil de protection avancée des données après que le gouvernement britannique a exigé l'accès aux données chiffrées des utilisateurs.

Le Congrès américain tire la sonnette d'alarme transfrontalière

Deux commissions du Congrès américain ont accentué la pression sur le projet de loi la semaine dernière. Les républicains Jim Jordan, président de la commission judiciaire de la Chambre des représentants, et Brian Mast, président de la commission des affaires étrangères, ont adressé une lettre à Anandasangaree affirmant que le projet de loi « étendrait considérablement les pouvoirs de surveillance et d’accès aux données du Canada, créant ainsi des risques transfrontaliers importants pour la sécurité et la confidentialité des données des Américains »

La lettre soulignait que le projet de loi pourrait contraindre les entreprises basées aux États-Unis à affaiblir la sécurité pour tous les utilisateurs, y compris les Américains, ou à quitter complètement le marché canadien.

Pour les deux présidents, ces deux résultats nuisent à la « sécurité nationale et aux intérêts économiques des États-Unis en sapant la confiance dans la technologie américaine et en suscitant des demandes réciproques de la part d'autres nations »

Les portes dérobées ne restent pas verrouillées

L'affirmation du gouvernement selon laquelle seuls les forces de l'ordre et le SCRS utiliseraient ces capacités de surveillance a été contestée par des critiques qui affirment qu'elle ignore le fonctionnement concret des portes dérobées.

Des entreprises de télécommunications ont déjà été victimes de violations de données. On peut citer le cas de la cyberattaque de 2024 contre d'importantes sociétés de télécommunications américaines, perpétrée par des pirates informatiques de l'État chinois, qui ont exploité des failles de sécurité créées en vertu de la loi américaine CALEA (Communications Assistance for Law Enforcement Act).

Cette loi américaine n'est pas aussi étendue que la loi C-22 car elle ne couvre pas les applications de messagerie ni les services cloud, et elle n'exige pas le stockage préventif des métadonnées.

, directrice des politiques publiques de Meta Canada Rachel Curran, a déclaré que le projet de loi « pourrait enrôler des entreprises privées comme bras armé du système de surveillance gouvernemental ». Devant le comité de la Chambre des communes chargé d'examiner le projet de loi C-22, elle a témoigné que celui-ci pourrait contraindre les entreprises à « développer ou maintenir des capacités permettant de casser, d'affaiblir ou de contourner le chiffrement ».

Anandasangaree affirme que le projet de loi est « neutre en matière de cryptage », ajoutant que les entreprises technologiques interprètent mal ses mesures de protection.

Cependant, Kate Robertson, chercheuse principale associée au Citizen Lab de l'Université de Toronto, a déclaré au Globe and Mail que lorsque des représentants du gouvernement ont été récemment pressés de s'engager à protéger le chiffrement, ils se sont montrés « réticents »

Le projet de loi est actuellement examiné par un comité de la Chambre des communes, et les experts juridiques s'attendent à ce que les dispositions relatives aux métadonnées fassent l'objet de contestations judiciaires fondées sur ladent établissant que les métadonnées reliant l'activité en ligne à l'dentconstituent des renseignements privés.

La surveillance exercée par divers pays est actuellement en hausse. Le fondateur de Telegram, Pavel Durov, a dénoncé la censure pratiquée par des pays comme la France et la Russie , affirmant que la première n'est pas un pays libre et appelant les Russes à former une résistance numérique contre les tentatives du gouvernement de bloquer Telegram. 

Cryptopolitan a également rapporté que les fabricants de smartphones comme Apple, Google et Samsung ont rejeté les initiatives des fournisseurs de télécommunications en Inde visant à activer tracqui ne peut pas être désactivé par les utilisateurs.