Des représentants du gouvernement fédéral ont indiqué cette semaine qu’ils seraient ouverts à l'idée de modifier certaines dispositions de la Loi concernant l’accès légal, mieux connue sous le nom de projet de loi C-22, après que celle-ci a soulevé l’ire d’experts en matière de vie privée, mais aussi de législateurs américains et d’entreprises technologiques comme Apple, Meta et NordVPN, qui estiment qu’elle compromettrait la sécurité des données des utilisateurs.

En principe, le projet de loi C-22 vise à faciliter l’accès à certaines données numériques par les forces de l’ordre dans le cadre de leurs enquêtes.

La partie du projet de loi qui a retenu le plus l’attention sur les réseaux sociaux demande aux fournisseurs de services électroniques – qui ne sont pas nommés dans le projet de loi, mais qui pourraient inclure des entreprises comme Meta et Apple – de développer des systèmes capables de répondre efficacement aux demandes des forces de l’ordre, notamment en leur fournissant des données sur les utilisateurs. Ces demandes doivent être formulées avec un mandat judiciaire.

Le projet de loi permet aux fournisseurs en question de se soustraire à leurs obligations si le fait de s’y plier les oblige à briser leurs systèmes de chiffrement ou à créer d’autres vulnérabilités systémiques.

Néanmoins, des experts en vie privée consultés par les Décrypteurs estiment que le projet de loi, dans son état actuel, est ambigu et semble malgré tout ouvrir la voie à l'introduction de portes dérobées – c'est-à-dire des accès secrets permettant de contourner les mécanismes de sécurité habituels d'un système informatique.

L'idée que le gouvernement puisse imposer, par voie de réglementation, le type de systèmes qui doivent être intégrés au réseau pourrait ouvrir la porte à des vulnérabilités au sein du réseau lui-même, estime Michael Geist, professeur de droit à l'Université d'Ottawa et titulaire de la Chaire de recherche du Canada en droit de l'Internet et du commerce électronique.

C'est un argument qui revient souvent : si l'on affaiblit ces systèmes, on ne peut pas choisir de ne les affaiblir que pour les "gentils", n'est-ce pas? Et donc, dès que l'on crée ce genre de failles, le risque est que les "méchants" soient en mesure d'exploiter exactement les mêmes vulnérabilités, ajoute le professeur Geist.

C’est notamment pour cette raison que Meta, Apple et plusieurs spécialistes de la vie privée ont émis de sérieuses réserves au sujet du projet de loi C-22 lors d’une récente séance du Comité permanent (nouvelle fenêtre) de la sécurité publique et nationale.

Dans sa version actuelle, le projet de loi pourrait obliger des entreprises comme Meta à développer ou à maintenir des capacités techniques permettant de briser, d'affaiblir ou de contourner le chiffrement [...] en plus de forcer les fournisseurs à installer des logiciels espions gouvernementaux directement sur leurs systèmes, a soutenu (nouvelle fenêtre) la directrice de la politique publique de Meta Canada, Rachel Curran.

De nombreux fournisseurs de réseaux privés virtuels (VPN) ont également menacé de quitter le Canada ou de ne pas se plier à la loi si C-22 était adopté dans sa forme actuelle. Nous examinerons toutes les options possibles, y compris la limitation ou, si nécessaire, le retrait de notre présence du territoire sous juridiction canadienne, a écrit l’entreprise NordVPN sur le réseau social X (nouvelle fenêtre).

Michael Geist, professeur de droit à l'Université d'Ottawa et titulaire de la Chaire de recherche du Canada en droit de l'Internet et du commerce électronique (Photo d'archives)

Photo : Radio-Canada / La facture

Mauvaise compréhension, selon le gouvernement

Certaines interprétations du projet de loi relèvent surtout d’une mauvaise compréhension des enjeux, a soutenu le sous-ministre adjoint par intérim du secteur national et de la cybersécurité de Sécurité publique Canada, Richard Bilodeau, lors d’une séance d’information technique avec les Décrypteurs. Des représentants fédéraux ont tenu des rencontres semblables avec d’autres médias, cette semaine, après la vague de critiques à l’égard du projet de loi C-22.

Le projet de loi, pour être très clair, ne donne pas accès directement aux forces de l'ordre aux renseignements qui seront préservés par les fournisseurs principaux. L'accès aura besoin d'être fait à travers un mandat, donc le service de police donne le mandat à un service de télécommunications, par exemple. Le service de télécommunications va devoir aller chercher l'information, s'il l'a, et puis transmettre cette information-là de façon sécure, explique M. Bilodeau.

On a aussi mis dans le projet de loi des critères qui devront être pris en considération dans le développement des règlements et dans le développement des ordonnances ministérielles, [...] [soit] l'impact sur la vie privée et l'impact sur la cybersécurité, ajoute le sous-ministre. Sécurité publique Canada a aussi répété plusieurs fois dans les dernières semaines que l’objectif de C-22 n’était pas de créer des portes dérobées.

Néanmoins, le gouvernement se dit prêt à modifier le projet de loi pour renforcer les précautions entourant la sécurité des données.

S'il y a des choses qui peuvent être clarifiées, le gouvernement est définitivement ouvert. On suit le débat, on le vit tous les jours. S'il y a des manières de clarifier certaines choses, ce sera au Parlement, lorsque le processus en arrivera là, de décider des amendements législatifs qui pourraient clarifier certaines choses, dit le sous-ministre Bilodeau, en se référant notamment au chiffrement. Il assure que le projet de loi ne demandera pas aux fournisseurs de services électroniques de déchiffrer des données.

Cet article a initialement été publié dans l'édition du 23 mai de l'infolettre des Décrypteurs. Pour obtenir des contenus exclusifs comme celui-ci ainsi que des analyses sur tout ce qui touche la désinformation web, abonnez-vous en cliquant ici.

Conservation de métadonnées

Un autre aspect du projet de loi qui fait sourciller les experts en vie privée concerne la conservation obligatoire de métadonnées par les fournisseurs de services pour une période allant jusqu’à un an.

Lorsqu’il est question, par exemple, de télécommunications, les métadonnées ne concernent pas le contenu des communications des utilisateurs, mais d’autres informations, comme leur emplacement géographique approximatif, les numéros des personnes qu'ils contactent ou dont ils reçoivent des appels ou des textos, ainsi que la durée de ces communications.

Grâce à ces informations, on peut en apprendre beaucoup sur ce qu'une personne fait et sur son mode de vie. Ce sont des données que de nombreux tribunaux ont qualifiées de hautement privées, et les conserver pendant jusqu’à un an est une forme de surveillance, dénonce Robert Diab, professeur de droit à la Thompson Rivers University spécialisé en technologie et en droit constitutionnel.

Le professeur Diab rappelle que les fournisseurs de services devront enregistrer et conserver les données de chaque citoyen, qu'il soit ou non soupçonné d'un crime. Cela soulève, selon lui, de sérieuses questions quant à la constitutionnalité de la mesure. De plus, les États-Unis n'imposent aucune obligation similaire de rétention des métadonnées, et plusieurs tribunaux européens ont déjà jugé que de telles mesures étaient inconstitutionnelles.

Selon le sous-ministre Richard Bilodeau, de Sécurité publique Canada, retenir les métadonnées pendant une période allant jusqu’à un an est une approche équilibrée, considérant notamment que l’Australie les retient pendant deux ans. Il estime par ailleurs que ce type de mesures est nécessaire pour aider les forces de l’ordre dans leur travail.

Si les données n'existent pas parce qu'elles ne sont pas retenues au-delà d'une certaine période de temps, ça empêche la police de faire son travail et de tenir responsables les criminels, explique M. Bilodeau. Le projet de loi vient s'assurer que ces données-là sont préservées et sont accessibles si jamais il y a un mandat qui est autorisé par un juge.

Sur son site web (nouvelle fenêtre), le gouvernement donne l’exemple d’une enquête sur les drogues et sur la traite de personnes qui a été abandonnée parce qu’un fournisseur de services électroniques n’avait pas la capacité technique d’exécuter un mandat visant à intercepter les données cellulaires d’un suspect.

Richard Bilodeau assure également que le gouvernement est persuadé que le projet de loi respecte la Charte canadienne des droits et libertés, et que sa conformité avait préalablement été examinée par le ministère de la Justice.