Le projet de loi canadien C-22 impose une surveillance massive des métadonnées des Canadiens

 (michaelgeist.ca)
1 points par GN⁺ 2026-03-16 | 1 commentaires | Partager sur WhatsApp
  • Le gouvernement canadien a présenté le projet de loi C-22, la « Lawful Access Act », renforçant les obligations de coopération en matière de surveillance et d’interception imposées aux opérateurs télécoms et aux fournisseurs d’accès à Internet (FAI)
  • Le nouveau texte réduit fortement les pouvoirs d’accès à l’information sans mandat, mais inclut toujours la mise en place d’une infrastructure de surveillance des réseaux et l’obligation de conservation des métadonnées, ce qui comporte encore de graves risques d’atteinte à la vie privée
  • Le projet de loi se compose de deux parties : la première améliore les procédures d’accès aux données, tandis que la seconde définit les exigences techniques de surveillance via la « Supported Access to Information Act (SAAIA) »
  • La SAAIA introduit une nouvelle notion de « fournisseur de services électroniques (ESP) », étendant potentiellement le champ réglementaire aux plateformes mondiales comme Google et Meta, et exigeant la conservation des métadonnées pendant un an maximum
  • Même si le gouvernement a partiellement limité l’accès sans mandat, le renforcement des capacités de surveillance et les clauses de confidentialité continuent d’alimenter les craintes d’un affaiblissement de la sécurité des réseaux et d’atteintes aux libertés civiles

Vue d’ensemble du projet de loi C-22

  • Le projet de loi C-22 (Lawful Access Act) est une nouvelle proposition législative canadienne sur la surveillance, présentée comme une version révisée de l’ancien projet de loi C-2
    • Le C-2 autorisait l’accès sans mandat à des informations personnelles, ce qui avait déclenché une controverse constitutionnelle
    • En réponse, le gouvernement a supprimé les dispositions d’accès du C-2 et présenté le C-22 dans un texte distinct
  • Le C-22 couvre deux grands volets
    • les procédures d’accès des forces de l’ordre aux informations personnelles détenues par les opérateurs télécoms (FAI, opérateurs mobiles, etc.)
    • la mise en place de capacités de surveillance et de monitoring sur les réseaux de communication au Canada

Évolution des procédures d’accès aux données

  • Le nouveau texte supprime l’ancien droit très large d’exiger des informations sans mandat et le remplace par un « confirmation of service »
    • la police peut uniquement demander si une personne donnée est cliente de l’opérateur concerné
    • tout accès à des informations personnelles supplémentaires nécessite une autorisation judiciaire (ordonnance de communication)
  • Ces changements limitent le périmètre des demandes sans mandat aux opérateurs télécoms et imposent un contrôle judiciaire pour l’accès aux données personnelles
  • Le projet de loi contient aussi des dispositions distinctes pour la communication volontaire d’informations, les situations d’urgence et les demandes d’autorités étrangères
    • toutefois, le seuil relativement bas des « motifs raisonnables de soupçonner » (reasonable grounds to suspect) reste une source d’inquiétude

Principaux éléments de la SAAIA (Supported Access to Information Act)

  • La seconde moitié du texte, la SAAIA, impose aux opérateurs télécoms de mettre en place des capacités de surveillance et de monitoring
    • ils doivent coopérer afin que le gouvernement et les forces de l’ordre puissent tester les fonctions d’accès aux réseaux et d’interception
    • toutes les demandes sont soumises à une obligation de confidentialité
  • Elle introduit une nouvelle définition de « fournisseur de services électroniques (ESP) »
    • elle vise tout fournisseur de services électroniques qui fournit des services ou exerce une activité au Canada
    • des plateformes mondiales comme Google et Meta peuvent donc être concernées
  • Les entreprises désignées comme « core providers » sont soumises à des obligations supplémentaires
    • mise en place et maintenance des fonctions de surveillance, installation et exploitation d’équipements, notification au gouvernement, et conservation des métadonnées pendant un an maximum, entre autres

Conservation des métadonnées et dispositions d’exception

  • L’obligation de conservation des métadonnées n’existait pas dans le C-2 et a été ajoutée dans le C-22
    • en revanche, le contenu des communications, l’historique de navigation web et l’activité sur les réseaux sociaux sont exclus du périmètre de conservation
  • Il existe une exception liée aux « vulnérabilités systémiques » (systemic vulnerability)
    • si une fonction de surveillance crée une faille de sécurité ou empêche sa correction, l’opérateur peut ne pas appliquer cette exigence
  • Cependant, des inquiétudes subsistent quant au fait que cette exception ne suffise pas à empêcher un affaiblissement de la sécurité
    • il est aussi souligné que certaines modifications pourraient être mises en œuvre secrètement, sans divulgation publique

Inquiétudes sur la surveillance, la sécurité et le partage international des données

  • La SAAIA soulève de nombreux problèmes liés à la sécurité des réseaux, à la confidentialité, aux coûts et au cadre de supervision
  • Certaines dispositions semblent pensées en vue de la coopération internationale en matière de partage d’informations avec le deuxième protocole additionnel (2AP) à la Convention de Budapest et le CLOUD Act des États-Unis
  • Au final, le projet de loi C-22 limite l’accès sans mandat, mais le renforcement de l’infrastructure de surveillance et la collecte massive de métadonnées font que
    les risques pour la vie privée et les libertés civiles restent élevés

À lire aussi

1 commentaires

 
GN⁺ 2026-03-16
Avis sur Hacker News

  • Je me dis qu’on pourrait créer un agent de surveillance qui enverrait automatiquement une alerte aux députés et à l’opposition dès qu’un nouveau projet de loi est déposé, afin d’empêcher les responsables politiques de présenter sans cesse des textes qui portent atteinte à la vie privée

  • En lisant le texte du projet de loi, on voit qu’un mandat (warrant) est requis. Mais dans les nouvelles dispositions ajoutées, il est indiqué que le juge peut décider, « s’il l’estime justifié dans certaines circonstances », de ne pas remettre de copie du mandat à la personne concernée. Cela ressemble à une faille subjective permettant de contourner les libertés civiles

    • Je ne vois pas de gros problème avec cette disposition. Au final, il faut quand même qu’un juge délivre le mandat, et cela ne fait qu’ajouter une exception permettant de retarder la remise d’une copie. Il est très peu probable que la police puisse simplement prétendre « on a un mandat, mais pas besoin de vous le montrer », et dans un tel cas il est probable que la preuve ne soit pas recevable devant le tribunal
    • Les juges ne vont pas l’autoriser sans motif. Cela peut certes flouter un peu les limites du droit, mais ce n’est pas un problème majeur. Le Canada a, comme l’Europe, une culture bureaucratique très axée sur le droit et les procédures ; le système peut déraper, mais ce n’est pas du même ordre qu’une dictature politique ou qu’un emballement institutionnel

  • Résumé pour les plus pressés : le Bill C‑22 (2026) du Canada modifie la loi pour permettre aux autorités d’enquête d’accéder plus rapidement et plus clairement aux données numériques. Il élargit les pouvoirs d’obtention des informations d’abonné, des données de transmission et des données de localisation auprès des opérateurs télécoms, des fournisseurs de services en ligne et des entreprises étrangères, et met en place un cadre juridique pour que les prestataires de services électroniques soutiennent les enquêtes

    • Mais le résumé omet la partie sans mandat (warrantless). Si le gouvernement pousse ce type de pouvoir, c’est parce que le Canada est le seul pays des Five Eyes à ne pas encore en disposer
    • Cela ressemble à une version canadienne du CALEA (Communications Assistance for Law Enforcement Act) aux États-Unis

  • La coopération entre les pays des Five Eyes (ou 9, 14 Eyes) remonte à la guerre froide, mais elle n’a pas été actualisée pour tenir compte des évolutions géopolitiques et technologiques actuelles. Au contraire, au moment même où cette coopération se renforce, les électeurs doutent de l’avenir de l’alliance avec les États-Unis. J’aimerais que les dirigeants de chaque pays soient plus francs sur les pressions étrangères. Garder le silence sur l’influence des alliés tout en ne dénonçant que celle des pays non alliés constitue une menace pour la démocratie

    • On parle de « silence », mais le Premier ministre canadien a déjà pris publiquement la parole sur l’évolution des relations avec les États-Unis et a cherché à obtenir un nouvel accord diplomatique
    • Rompre avec les États-Unis serait un choix aussi absurde que celui de Trump lorsqu’il a rompu avec l’Europe

  • À lire le texte du projet de loi, cela semble comparable aux pouvoirs d’accès légal dont disposent les services de sécurité d’autres démocraties occidentales. Sans se lancer dans des fantasmes dystopiques exagérés, je me demande précisément ce qui pose problème

  • Le projet de loi affirme qu’il « n’accorde pas de nouveaux pouvoirs », mais il précise en réalité qu’on peut être passible d’une amende ou d’une peine de prison si l’on ne conserve pas les métadonnées pendant jusqu’à un an

  • En tant que citoyen canadien, il est frustrant de voir le gouvernement continuer à pousser des projets de loi de surveillance déjà rejetés à plusieurs reprises.
    Je ne comprends pas pourquoi il veut connecter directement une infrastructure de surveillance nationale au backbone des FAI.
    Cela ne revient guère à autre chose que si la police me suivait sans aucun soupçon, en notant avec qui je parle et à quelle heure.
    En plus, si ces données sont stockées par des prestataires privés, le risque de fuite ou de contentieux civil augmente.
    Le projet de loi introduit d’ailleurs un nouveau terme, « fournisseur de services électroniques (electronic service provider) », qui semble viser non seulement les opérateurs télécoms, mais aussi des plateformes comme Google et Meta.
    La Cour suprême du Canada a déjà montré qu’elle était défavorable à la communication de données personnelles sans mandat.
    Les pouvoirs d’enquête existants sont déjà suffisants ; alors pourquoi vouloir transformer les plateformes en auxiliaires d’enquête ?
    Un tel système ressemble à quelque chose qu’on verrait dans un État autoritaire, avec un risque d’abus bien trop élevé et des effets nocifs pour la démocratie

    • Ce genre de mesure est peut-être une préparation aux politiques impopulaires qui arriveront dans les dix prochaines années. Cela revient à poser à l’avance les bases nécessaires pour suivre de grands groupes d’opposants

  • À la différence d’autres pays, le gouvernement canadien ne prend même pas la peine d’invoquer des prétextes comme la « protection de l’enfance » ou la « vérification de l’âge » : il pousse simplement, de façon assumée, un système de surveillance de masse. Étonnamment efficace pour un gouvernement canadien ; c’est dans ces moments-là qu’il sait aller vite, sans bureaucratie

  • À peine deux heures après la publication, près de la moitié des commentaires sont critiqués pour leurs réactions extrêmes.
    Il est décevant de voir qu’on continue à promouvoir ce type de législation de surveillance « au cas où ».
    À choisir, il vaudrait mieux que les contenus publics soient modérés directement par les hébergeurs, même si cela comporte aussi des effets pervers, par exemple sur la définition des contenus à signaler

  • Les gouvernements qui se vantaient autrefois de défendre la liberté et l’équité procédurale semblent désormais se transformer en régimes de surveillance qui enferment leurs propres citoyens