Le projet de loi canadien C-22 impose une surveillance massive des métadonnées des Canadiens

 (michaelgeist.ca)
1 points par GN⁺ 2026-03-16 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le gouvernement canadien a présenté le projet de loi C-22, la « Lawful Access Act », renforçant les obligations de coopération en matière de surveillance et d’interception imposées aux opérateurs télécoms et aux fournisseurs d’accès à Internet (FAI)
  • Le nouveau texte réduit fortement les pouvoirs d’accès à l’information sans mandat, mais inclut toujours la mise en place d’une infrastructure de surveillance des réseaux et l’obligation de conservation des métadonnées, ce qui comporte encore de graves risques d’atteinte à la vie privée
  • Le projet de loi se compose de deux parties : la première améliore les procédures d’accès aux données, tandis que la seconde définit les exigences techniques de surveillance via la « Supported Access to Information Act (SAAIA) »
  • La SAAIA introduit une nouvelle notion de « fournisseur de services électroniques (ESP) », étendant potentiellement le champ réglementaire aux plateformes mondiales comme Google et Meta, et exigeant la conservation des métadonnées pendant un an maximum
  • Même si le gouvernement a partiellement limité l’accès sans mandat, le renforcement des capacités de surveillance et les clauses de confidentialité continuent d’alimenter les craintes d’un affaiblissement de la sécurité des réseaux et d’atteintes aux libertés civiles

Vue d’ensemble du projet de loi C-22

  • Le projet de loi C-22 (Lawful Access Act) est une nouvelle proposition législative canadienne sur la surveillance, présentée comme une version révisée de l’ancien projet de loi C-2
    • Le C-2 autorisait l’accès sans mandat à des informations personnelles, ce qui avait déclenché une controverse constitutionnelle
    • En réponse, le gouvernement a supprimé les dispositions d’accès du C-2 et présenté le C-22 dans un texte distinct
  • Le C-22 couvre deux grands volets
    • les procédures d’accès des forces de l’ordre aux informations personnelles détenues par les opérateurs télécoms (FAI, opérateurs mobiles, etc.)
    • la mise en place de capacités de surveillance et de monitoring sur les réseaux de communication au Canada

Évolution des procédures d’accès aux données

  • Le nouveau texte supprime l’ancien droit très large d’exiger des informations sans mandat et le remplace par un « confirmation of service »
    • la police peut uniquement demander si une personne donnée est cliente de l’opérateur concerné
    • tout accès à des informations personnelles supplémentaires nécessite une autorisation judiciaire (ordonnance de communication)
  • Ces changements limitent le périmètre des demandes sans mandat aux opérateurs télécoms et imposent un contrôle judiciaire pour l’accès aux données personnelles
  • Le projet de loi contient aussi des dispositions distinctes pour la communication volontaire d’informations, les situations d’urgence et les demandes d’autorités étrangères
    • toutefois, le seuil relativement bas des « motifs raisonnables de soupçonner » (reasonable grounds to suspect) reste une source d’inquiétude

Principaux éléments de la SAAIA (Supported Access to Information Act)

  • La seconde moitié du texte, la SAAIA, impose aux opérateurs télécoms de mettre en place des capacités de surveillance et de monitoring
    • ils doivent coopérer afin que le gouvernement et les forces de l’ordre puissent tester les fonctions d’accès aux réseaux et d’interception
    • toutes les demandes sont soumises à une obligation de confidentialité
  • Elle introduit une nouvelle définition de « fournisseur de services électroniques (ESP) »
    • elle vise tout fournisseur de services électroniques qui fournit des services ou exerce une activité au Canada
    • des plateformes mondiales comme Google et Meta peuvent donc être concernées
  • Les entreprises désignées comme « core providers » sont soumises à des obligations supplémentaires
    • mise en place et maintenance des fonctions de surveillance, installation et exploitation d’équipements, notification au gouvernement, et conservation des métadonnées pendant un an maximum, entre autres

Conservation des métadonnées et dispositions d’exception

  • L’obligation de conservation des métadonnées n’existait pas dans le C-2 et a été ajoutée dans le C-22
    • en revanche, le contenu des communications, l’historique de navigation web et l’activité sur les réseaux sociaux sont exclus du périmètre de conservation
  • Il existe une exception liée aux « vulnérabilités systémiques » (systemic vulnerability)
    • si une fonction de surveillance crée une faille de sécurité ou empêche sa correction, l’opérateur peut ne pas appliquer cette exigence
  • Cependant, des inquiétudes subsistent quant au fait que cette exception ne suffise pas à empêcher un affaiblissement de la sécurité
    • il est aussi souligné que certaines modifications pourraient être mises en œuvre secrètement, sans divulgation publique

Inquiétudes sur la surveillance, la sécurité et le partage international des données

  • La SAAIA soulève de nombreux problèmes liés à la sécurité des réseaux, à la confidentialité, aux coûts et au cadre de supervision
  • Certaines dispositions semblent pensées en vue de la coopération internationale en matière de partage d’informations avec le deuxième protocole additionnel (2AP) à la Convention de Budapest et le CLOUD Act des États-Unis
  • Au final, le projet de loi C-22 limite l’accès sans mandat, mais le renforcement de l’infrastructure de surveillance et la collecte massive de métadonnées font que
    les risques pour la vie privée et les libertés civiles restent élevés

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.