À la veille d’un débat clé à la Chambre des communes prévu aujourd’hui, des groupes de la société civile avertissent le gouvernement qu’il doit corriger des failles constitutionnelles fondamentales et une dangereuse faille dans la législation controversée sur la cybersécurité qui a été réintroduite sous le nom de projet de loi C-8 (anciennement projet de loi C-26). Si cette loi ne reçoit pas l’attention et les amendements nécessaires au cours du processus d’examen en commission, elle pourrait porter atteinte de façon permanente au droit à la vie privée au Canada.
Depuis l’introduction du projet de loi C-26 en 2022, l’absence de garanties en matière de protection de la vie privée, le recours massif au secret et le risque de compromettre la cybersécurité ont fait l’objet d’une vive controverse et de critiques de la part d’un groupe de personnes ayant témoigné de la nécessité de modifier la législation, y compris les commissaires à la protection de la vie privée et au renseignement du Canada. Le projet de loi C-8 reprend un grand nombre de ces défauts critiques.
Les experts et la société civile ont prévenu que cette législation conférerait des pouvoirs ministériels qui pourraient être utilisés pour compromettre délibérément ou par inadvertance la sécurité des normes de cryptage au sein des réseaux de télécommunications dont dépendent chaque jour les citoyens, les gouvernements et les entreprises à travers le Canada.
Le commissaire au renseignement du Canada a averti dans son témoignage que, s’il était adopté, le projet de loi autoriserait la saisie sans mandat d’informations privées sensibles, et s’est demandé si cette approche pouvait être justifiée d’un point de vue constitutionnel. Il a également souligné que « [l]e grand absent de ce projet de loi est le public canadien. Les informations collectées sont les informations personnelles des Canadiens », concluant que :
«
Compte tenu du caractère invasif du projet de loi, il est important qu’il soit assorti de garanties significatives afin que les Canadiens aient confiance dans le système de cybersécurité
. »
La commissaire à la protection de la vie privée du Canada a souligné que la législation pourrait, par exemple, entraîner la collecte et le partage inappropriés d’informations sur les comptes d’abonnés, de données de communication, de visites de sites web, de métadonnées, de données de localisation et de données financières.
Malgré la portée extraordinaire des pouvoirs conférés par le projet de loi C-8, même les garanties minimales prévues par le projet de loi ne s’appliquent pas aux nouveaux pouvoirs de collecte d’informations.
En réintroduisant le projet de loi sans y apporter de modifications essentielles, le gouvernement fédéral double également les pouvoirs de briser le chiffrement qui ont été fortement critiqués dans la version précédente. La société civile et les experts demandent maintenant aux députés d’amender le projet de loi C-8 afin d’interdire au gouvernement d’émettre des ordonnances qui pourraient compromettre la sécurité des installations et des services de télécommunications. Cet appel fait suite à une série de mises en garde d’experts en cybersécurité au Canada et aux États-Unis sur les risques que l’absence de solution à ce problème ferait peser sur l’économie canadienne et sur le droit fondamental à la vie privée des citoyens du pays :
- Kate Robertson et Ron Deibert, de Citizen Lab, ont écrit pour le Globe & Mail que les « pouvoirs secrets et destructeurs de cryptage » du projet de loi C-8 « menacent la sécurité en ligne de tous les Canadiens » et que le projet de loi « habilite les fonctionnaires à ordonner secrètement aux entreprises de télécommunications d’installer des portes dérobées à l’intérieur des éléments cryptés des réseaux du Canada ».
- Dans son témoignage sur le projet de loi C-26, Eric Smith, vice-président principal de l’Association canadienne des télécommunications, a fait référence aux pouvoirs d’ordonnance « très larges » de la législation, déclarant que « cela pourrait vous obliger non pas nécessairement à retirer des équipements de votre infrastructure, mais à mettre certains équipements dans votre infrastructure, ou à vous conformer à certaines normes. Il pourrait s’agir d’affaiblir le cryptage ou de vous obliger à intercepter des communications ».
- Citant les États-Unis comme un exemple d’ingérence gouvernementale que le Canada devrait éviter, l’Electronic Frontier Foundation a déclaré que « l’expérience américaine offre une mise en garde contre ce qui peut se produire lorsqu’un gouvernement s’octroie des pouvoirs étendus pour surveiller et diriger les réseaux de télécommunications, en l’absence de protections correspondantes pour les droits de l’homme », et a averti que « sans garanties adéquates, [le projet de loi C-8] pourrait ouvrir la porte à des pratiques et à des ordonnances similaires ».
Bien que le gouvernement fédéral ait récemment réaffirmé qu’il ne cherchait pas à compromettre le chiffrement au Canada, il s’est montré jusqu’à présent peu enclin à reconnaître, et encore moins à modifier, les pouvoirs de destruction du chiffrement qui sont aujourd’hui à nouveau mis en avant dans le projet de loi C-8. Le projet de loi C-8 permettrait au gouvernement fédéral d’ordonner secrètement aux fournisseurs de télécommunications « de faire quelque chose ou de s’abstenir de faire quelque chose », sans aucune limite qui empêcherait ces ordres d’être utilisés pour imposer des obligations de surveillance aux entreprises privées et pour affaiblir les normes de cryptage – ce que le public rejette depuis longtemps comme étant incompatible avec nos droits en matière de vie privée.
Une série de correctifs judicieux aux problèmes du projet de loi C-26, hérités du projet de loi C-8, n’ont pas été pris en compte de manière significative lorsque le projet de loi a été adopté à la hâte par le Sénat à la veille de la prorogation du Parlement. Pourtant, les Canadiens méritent un projet de loi qui ne porte pas atteinte à leur vie privée ou à la cybersécurité qu’il est censé régler.
Depuis le dépôt du projet de loi C-8, près de 3 000 membres de la communauté OpenMedia ont écrit à leur député pour demander que les problèmes de protection de la vie privée du projet de loi C-8 soient résolus.
Citations
« En ne garantissant pas que les protocoles essentiels de chiffrement de bout en bout ne seront pas compromis, le projet de loi C-8 risque de faire plus de mal que de bien à la cybersécurité. L’inclusion continue de mécanismes d’accès aux données sans mandat et l’utilisation d’une approche de secret par défaut constituent une menace supplémentaire pour la vie privée et d’autres libertés civiles. Nous demandons instamment au gouvernement et aux parlementaires d’adopter des mesures correctives importantes pour remédier à ces lacunes.
Tamir Israel, directeur du programme « Vie privée, surveillance et technologie », Association canadienne des libertés civiles(ACLC)
« Il n’existe pas de message privé intercepté, ni de porte dérobée qui n’existerait que pour les forces de l’ordre. Notre gouvernement le sait, mais son projet de loi sur la cybersécurité, le projet de loi C-8, peut être utilisé de manière abusive pour surveiller les Canadiens en secret, bien au-delà de son objectif légitime. Nous demandons à notre gouvernement de résoudre les principaux problèmes qui ont été négligés lors des délibérations sur le projet de loi C-26, et d’adopter une loi qui protège la cybersécurité canadienne et notre vie privée.
Matt Hatfield, directeur exécutif d’OpenMedia
« La campagne de cyberespionnage Salt Typhoon, qui a exploité une porte dérobée obligatoire dans les entreprises de télécommunications américaines, est un dangereux signal d’alarme que le Canada ne peut se permettre d’ignorer. Verrouiller vos portes d’entrée n’empêchera pas les mauvaises personnes d’entrer par une porte dérobée que vous êtes légalement tenu de garder ouverte pour les forces de l’ordre. Le projet de loi C-8 pourrait introduire des portes dérobées dans pratiquement tous les aspects de notre vie, en ligne et hors ligne, en empêchant les réseaux de télécommunications d’utiliser les normes et technologies Internet les plus récentes, telles que le cryptage. Si vous le construisez, il ne fait aucun doute que les criminels et les adversaires viendront chercher à exploiter, voler, vendre et reproduire la porte dérobée, exposant ainsi les personnes, les entreprises et la sécurité nationale du Canada à un risque de préjudice sans précédent ».
Natalie Campbell, directrice principale, Affaires gouvernementales et réglementaires en Amérique du Nord, Internet Society
