Le 18 juin, l’Association canadienne des libertés civiles s’est jointe à 39 organisations et 122 experts, dont OpenMedia, la Coalition pour la surveillance internationale des libertés civiles, la BC Civil Liberties Association et des chercheurs du Citizen Lab, pour demander au gouvernement fédéral de retirer le projet de loi C-2, la Loi sur la solidité des frontières, un projet de loi omnibus de grande envergure qui soulève d’importantes préoccupations en matière de protection de la vie privée et porte atteinte aux droits des migrants. Cette lettre fait partie d’une initiative plus large qui rassemble quatre coalitions majeures comprenant plus de 300 organisations qui s’opposent au projet de loi C-2.
Les éléments du projet de loi qui portent atteinte à la vie privée comprennent le pouvoir d’exiger des informations révélatrices sans autorisation indépendante de la part de tout fournisseur de services, pourraient ouvrir la voie à des accords internationaux élargis de partage d’informations et permettront au gouvernement d’augmenter considérablement la quantité de données auxquelles la police et les agences de sécurité peuvent avoir accès en obligeant les services numériques à revoir la conception de leurs services.
Accès facile aux informations sensibles
En vertu du projet de loi C-2, les fonctionnaires, y compris la police, les agents du SCRS et d’autres, pourront demander des informations à diverses entreprises sans aucun contrôle judiciaire et avec moins de preuves de soupçon. Le gouvernement affirme que ces informations sont inoffensives et ne comprennent que des détails généraux sur la nature des services fournis par une entreprise. Mais dans la pratique, les forces de l’ordre pourront, grâce à ces demandes, obtenir des informations très révélatrices sur les personnes, notamment si elles ont acheté quelque chose dans n’importe quelle entreprise, interagi avec n’importe quel site web ou séjourné dans n’importe quel hôtel. Ces demandes se feront dans le secret, et les organisations ne disposeront que de cinq jours pour contester les demandes trop larges devant les tribunaux.
Le projet de loi C-2 autorisera également un vaste partage d’informations sensibles sur les migrants et les demandeurs d’asile. Cela inclut le partage illimité d’informations au sein du ministère de la Citoyenneté et de l’Immigration à des fins liées au mandat du ministère. La suppression des restrictions à la protection de la vie privée dans le cadre du partage d’informations au sein d’un même département présente un risque important de centralisation des données, à l’image des efforts déployés récemment par le gouvernement fédéral des États-Unis pour éliminer les « silos d’information ». Le projet de loi C-2 autorisera en outre le partage de données sensibles sur l’immigration, y compris le statut et l’identité des demandeurs d’asile, avec toute agence ou société d’État canadienne si cela est généralement lié à leurs fonctions.
Le cloisonnement des informations – en particulier des informations sensibles relatives au statut d’immigrant – est une mesure de protection de la vie privée essentielle pour prévenir les atteintes à la sécurité et garantir que les données personnelles ne sont consultées qu’en cas de besoin. En vertu du projet de loi C-2, les agences bénéficiaires et les sociétés d’État resteront liées par leurs propres restrictions en matière de protection de la vie privée et devront obtenir une autorisation écrite pour partager des données à caractère personnel avec des gouvernements étrangers. Les lois fédérales canadiennes sur la protection de la vie privée et les restrictions relatives à la facilitation des mauvais traitements par les gouvernements étrangers sont gravement dépassées, ce qui crée un cadre qui met les migrants en danger.
Les accords transfrontaliers d’échange d’informations se profilent à l’horizon
Comme le souligne la recherche du Citizen Lab, le projet de loi C-2 ouvre également la voie à l’adoption potentielle d’accords internationaux problématiques en matière d’échange d’informations, ce qui pourrait être essentiel pour comprendre l’impact potentiel du projet de loi C-2 et sa justification.
Le deuxième protocole additionnel à la Convention de Budapest (appelé « 2AP ») est un traité que le Canada a signé, mais qu’il n’a pas encore entièrement adopté. Le deuxième protocole additionnel exigerait que le Canada applique les ordonnances étrangères relatives aux métadonnées et aux données d’identification. En vertu du projet de loi C-2, toute ordonnance étrangère relative à l’identification ou aux métadonnées émise par un État ayant conclu un accord d’échange de renseignements avec le Canada pourrait devenir une ordonnance exécutoire d’un tribunal canadien. Bien que les tribunaux canadiens doivent s’assurer que certaines conditions sont remplies avant de donner force exécutoire à l’ordonnance étrangère, le risque d’abus de la part des États étrangers reste élevé. Le 2AP obligerait le Canada à traiter les ordonnances relatives aux métadonnées ou à l’identification numérique émanant de tout autre pays ayant adopté le traité – une liste de plus de 80 pays éligibles qui comprend des États ayant l’habitude d’abuser des mécanismes de maintien de l’ordre pour réprimer les communautés de la diaspora à l’étranger. L’année dernière, par exemple, un agent de la GRC a été accusé d’avoir fourni des enregistrements d’une base de données de la police à des fonctionnaires rwandais. La Turquie est également connue pour son utilisation abusive des outils de coopération policière internationale afin d’opprimer ses détracteurs à l’étranger. Dans le cadre du 2AP, la suspension de l’échange d’informations personnelles avec des États abusifs ne peut avoir lieu que dans des circonstances limitées.
Depuis 2022, le Canada négocie également un accord sous les auspices d’une loi américaine appelée Clarifying Lawful Overseas Uses of Data Act (« CLOUD Act »). En vertu de la loi américaine, la constitution n’offre aucune protection aux droits à la vie privée des personnes non américaines, et les accords passés entre le Royaume-Uni et l’Australie dans le cadre du CLOUD Act n’ont rien fait pour remédier à cette absence de recours efficace. Les États-Unis n’ont pas non plus de loi fédérale sur la protection des données, ce qui signifie que peu de restrictions seront imposées aux informations personnelles qui se retrouvent entre les mains d’entreprises privées américaines après avoir été partagées avec le gouvernement américain. L’élargissement de l’échange d’informations avec le gouvernement américain constitue une menace accrue pour les manifestants pacifiques, les dissidents politiques et les personnes qui exercent leurs droits en matière de procréation au Canada, entre autres.
Comme le rapporte Citizen Lab, des représentants du gouvernement ont indiqué lors d’une réunion d’information que le projet de loi C-2 est destiné à faciliter la ratification par le Canada du 2AP. Bien que le Canada n’ait pas indiqué publiquement qu’il conclurait un accord CLOUD, bon nombre des nouveaux pouvoirs prévus par le projet de loi C-2 représentent une tentative inquiétante d’aligner le droit canadien sur les pratiques de surveillance des États-Unis, et les fonctionnaires canadiens ont reconnu que certains éléments du projet de loi C-2 répondent aux pressions politiques exercées par les États-Unis en faveur d’une coopération renforcée entre les services répressifs utilisant le « même type d’outils ». Avec ces accords de partage de données en arrière-plan, les propositions de partage d’informations du projet de loi C-2 représentent une menace particulièrement grave pour le droit à la vie privée au Canada, notamment à la lumière de la nature obsolète de notre cadre de protection des personnes au Canada contre les demandes d’assistance étrangère.
L’extension des capacités de surveillance compromet la cybersécurité et la protection de la vie privée
Une autre partie du projet de loi C-2 permettrait au gouvernement d’émettre des ordonnances de capacité de surveillance, ce qui pourrait obliger les fournisseurs de messagerie électronique, les réseaux privés virtuels, les sociétés de médias sociaux, les ordinateurs portables et les téléphones mobiles, ainsi que d’autres services numériques, à réorganiser leurs plateformes afin de faciliter l’accès aux informations par le SCRS et les services de police. Alors que les organismes chargés de l’application de la loi auraient toujours besoin d’une autorité indépendante pour accéder aux informations, le gouvernement pourrait forcer les services à être remaniés de manière à élargir considérablement les données accessibles et la possibilité d’y accéder sans contrôle.
Les obligations de refonte sont ouvertes et vastes, mais elles pourraient obliger à intégrer des équipements de surveillance, à créer toute « capacité technique » permettant d’extraire et d’organiser des informations, ou à fournir aux services répressifs la possibilité d’accéder directement aux informations provenant de leurs services. Une « capacité technique » pourrait même, en théorie, inclure l’obligation d’enregistrer des informations qu’un fournisseur de services ne transmet qu’à distance, ce qui élargirait considérablement l’accumulation de données personnelles par des entreprises privées.
Le régime proposé menace la sécurité numérique. Il autorise explicitement le gouvernement à mettre en place des conditions réglementaires qui sapent les mesures de protection de la cybersécurité tant qu’aucune « vulnérabilité systémique » n’est créée ou maintenue dans une catégorie limitée de mesures de protection techniques. La tentative du projet de loi C-2 de réduire les « vulnérabilités systémiques » est également défectueuse – le terme n’est pas défini dans la loi et les gouvernements du monde entier ont avancé des visions problématiques de ce qui constitue une vulnérabilité systémique, présentant souvent les capacités de surveillance de masse comme n’ayant un impact que sur les personnes contre lesquelles elles sont utilisées, en dépit de leurs dommages collatéraux importants.
Aucun élément du cadre réglementaire n’exige du gouvernement qu’il détermine spécifiquement que l’impact de ses ordonnances sur la vie privée et la cybersécurité est strictement minimisé, ou qu’il veille à ce que les ordonnances ne soient émises que lorsque cela est strictement nécessaire pour atteindre des objectifs spécifiques en matière d’application de la loi.
Si le gouvernement choisit d’émettre ses ordonnances en secret (et seulement dans ces cas-là), il doit également examiner si l’avantage de l’ordonnance pour l’administration de la justice peut justifier l’impact potentiel sur la base d’utilisateurs d’un fournisseur de services ciblé. Mais si le destinataire d’une ordonnance secrète ne choisit pas de la contester, l’ordonnance peut ne faire l’objet d’aucun examen indépendant digne de ce nom et les fournisseurs de services n’ont même pas le droit de divulguer l’existence d’une ordonnance.
Ces types de systèmes de surveillance technique, et les vulnérabilités qu’ils créent, sont régulièrement, secrètement et avec succès ciblés et compromis par des agences d’espionnage étrangères et des criminels. À deux reprises au moins, y compris l’année dernière, le système américain de capacités techniques de surveillance a été compromis par des groupes liés au gouvernement chinois, qui ont surveillé les cibles de surveillance américaines dans le but apparent de protéger les espions étrangers basés aux États-Unis s’ils devenaient suspects. Des exigences similaires en matière de capacités de surveillance ont également permis à la National Security Agency et à la Drug Enforcement Administration des États-Unis de compromettre l’ensemble du réseau cellulaire des Bahamas et d’enregistrer chaque appel de téléphone mobile dans le pays, tandis que des systèmes de capacités de surveillance similaires dans le réseau de Vodafone ont été exploités par des auteurs encore inconnus pour espionner plusieurs hauts responsables du gouvernement grec, notamment le Premier ministre grec, le ministre de la Défense nationale et d’autres personnes.
Le gouvernement a indiqué que le projet de loi C-2 était une priorité, le présentant comme une réponse aux demandes des États-Unis dans le cadre des négociations commerciales et de sécurité en cours. Le Parlement devrait reprendre son examen à la fin du mois de septembre.
Lisez la lettre ici. Lisez les déclarations d’autres coalitions s’opposant au projet de loi C-2 ici. Signez la pétition d’OpenMedia contre le projet de loi C-2 ici.
