Les chercheurs de l’ACLC et du Citizen Lab publient une analyse détaillée des nombreuses failles du projet de loi C-22

L’Association canadienne des libertés civiles, Kate Robertson et Cynthia Khoo du Citizen Lab ont publié une analyse conjointe détaillée du projet de loi C-22, la Loi sur l’accès légal, qui mettrait en place de vastes obligations et réformes en matière de surveillance au Canada.

La législation a fait l’objet de nombreuses critiques de la part d’organisations et d’experts de la société civile(FR), de la Global Encryption Coalition, de techniciens canadiens et internationaux, de professeurs de droit, de fournisseurs d’outils de sécurité essentiels tels que le VPN de DuckDuckGo, le projet Tor et l’application de messagerie Signal, de la Chambre de commerce du Canada, de l’Association du Barreau canadien, du Barreau du Québec et même de deux commissions du Congrès des États-Unis.

Le public canadien rejette également l’approche adoptée par cette proposition, une majorité substantielle d’entre eux indiquant que les protocoles tels que le cryptage ne peuvent être affaiblis pour faciliter l’application de la loi – la sécurité numérique doit passer en premier.

Comme le souligne l’analyse conjointe, certains éléments du projet de loi sont presque certainement inconstitutionnels. C’est notamment le cas de l’obligation de conservation des métadonnées prévue par la loi SAAIA, qui permet au gouvernement d’obliger tout service numérique à enregistrer et à conserver des données sensibles sur chaque client pendant une période pouvant aller jusqu’à un an. Les obligations de conservation équivalent à une saisie de facto et, par conséquent, leur nature indiscriminée est incompatible avec l’article 8 de la Charte.

L’analyse, intitulée « Erreurs (non) forcées : An Analysis of Proposed Surveillance Expansion under Bill C-22, An Act respecting lawful access« , peut être consultée ici. Le résumé de l’analyse est reproduit ci-dessous et peut également être téléchargé ici:

Résumé

1. Le projet de loi C-22, la Loi sur l’accès légal, propose une série de nouvelles autorisations de surveillance à mettre à la disposition des organismes canadiens chargés de l’application de la loi et du Service canadien du renseignement de sécurité (« SCRS »), et adopte un régime de grande envergure pour imposer des obligations de surveillance aux fournisseurs de services électroniques, y compris la mise en place de capacités techniques qu’ils n’ont peut-être pas déjà. Le projet de loi réintroduit en fait les anciennes parties 14 et 15 du projet de loi C-2, la loi sur la solidité des frontières, avec des modifications. Bien que le gouvernement se soit efforcé de résoudre certains des problèmes soulevés par le projet de loi C-2, plusieurs questions très préoccupantes subsistent et d’autres ont été exacerbées par l’élargissement de certains éléments du projet de loi antérieur. Plus d’un aspect du projet de loi est presque certainement fatal d’un point de vue constitutionnel.
2. Dans ce mémoire, nous fournissons une analyse et des recommandations ciblées sur les aspects du projet de loi C-22 ayant des implications urgentes et profondes.^[1] En raison du calendrier strict imposé à l’étude législative du projet de loi par le Comité permanent de la Chambre des communes sur la sécurité publique et nationale ( » SECU « ), l’analyse fournie dans ce mémoire est loin d’être exhaustive. En effet, certains éléments très problématiques de cette proposition législative ne sont pas du tout abordés dans cette analyse, compte tenu des contraintes de temps.
3. En fait, l’extrême rapidité avec laquelle le gouvernement a traité ce projet de loi est en soi une source d’inquiétude et une raison de se demander si la procédure en commission est capable de remédier aux nombreuses lacunes de la proposition législative. En comparaison, le projet de loi C-8, moins complexe, le Critical Cyber Systems Protection Act, a bénéficié de beaucoup plus de temps en commission pour un examen approfondi et une large contribution d’experts, tandis que l’équivalent australien du régime de capacité de surveillance technique proposé dans la partie 2 de ce projet de loi a fait l’objet de pas moins de 173 amendements avant d’être adopté[2].^[2] Pourtant, le gouvernement a alloué à peine trois semaines à l’étude de ce projet de loi par la commission. Le fait que le gouvernement n’ait pas confirmé à l’avance l’interaction entre le projet de loi C-22 et les accords internationaux d’échange d’informations en cours, comme il est tenu de le faire, est un autre vice de procédure qui a gravement entravé l’étude législative efficace de cette proposition.
4. Bien que le document propose des amendements susceptibles d’atténuer certaines des conséquences destructrices du projet de loi C-22, notre principale recommandation est que les éléments incriminés du projet de loi soient retirés. Le gouvernement doit également se conformer à sa propre politique de transparence en matière de mise en œuvre des traités avant que toute disposition du projet de loi relative à un accord de partage de données avec l’étranger ne soit mise en œuvre.

La SAAIA crée un risque insoutenable pour la vie privée et la cybersécurité

5. Dans la partie A de notre mémoire, nous abordons la façon dont le projet de loi C-22 promulguerait la Loi sur le soutien de l’accès autorisé à l’information (« SAAIA ») dans le cadre de la partie 2 du projet de loi. La SAAIA proposée créerait un régime de capacité de surveillance par lequel le gouvernement peut imposer toute obligation à tout fournisseur de services électroniques (« ESP ») dans le but de faciliter l’utilisation légale des autorisations de surveillance. Ces obligations pourraient consister à exiger des fournisseurs de services électroniques qu’ils modifient leur mode de fonctionnement ou qu’ils intègrent des outils de surveillance dans leurs services. Outre ce régime de capacité de surveillance, l’ASAI prévoit également un régime obligatoire de conservation des métadonnées que le gouvernement pourrait éventuellement utiliser pour exiger de tout fournisseur de services électroniques qu’il accède à des métadonnées sensibles concernant toute personne au Canada ou à l’étranger, qu’il les enregistre et les conserve pendant une période pouvant aller jusqu’à un an.
6. La possibilité d’imposer un ensemble d’obligations illimitées à un large éventail d’ESP pose des problèmes directs à toute tentative de limiter de manière significative la SAAIA, ne laissant que peu ou pas de moyens de garantir qu’elle sera appliquée d’une manière conforme à la vie privée et aux autres droits de l’homme tout en respectant l’intégrité de la cybersécurité. Cela sera d’autant plus vrai que les technologies de surveillance continuent d’évoluer. Avec un arsenal de plus en plus important de technologies basées sur l' »IA » [3], les technologies de surveillance sont de plus en plus nombreuses.^[3] à l’horizon, le potentiel d’intrusion de la SAAIA augmentera rapidement.
7. Le mécanisme de conservation des données de la SAAIA est presque certainement inconstitutionnel. Il permet au gouvernement d’obliger n’importe quel ESP à conserver des métadonnées sans distinction, sans qu’il soit nécessaire de démontrer que la personne est impliquée dans un acte répréhensible. Les métadonnées ne sont pas définies, mais elles sont au moins susceptibles d’inclure un enregistrement des personnes avec lesquelles chaque personne a interagi, un suivi détaillé des mouvements de chaque personne et une vue d’ensemble de chaque application utilisée par une personne. Les métadonnées peuvent être extrêmement sensibles. Une analyse limitée aux enregistrements des appels téléphoniques a révélé que « les métadonnées téléphoniques ont des incidences importantes sur la vie privée » et qu’elles « donnent lieu à des déductions sensibles », notamment en ce qui concerne les perspectives politiques, les opinions religieuses et autres[4].^[4] Les lois canadiennes sur la protection de la vie privée imposent des limites strictes aux métadonnées que les entreprises peuvent collecter,^[5] mais la loi SAAIA passerait outre ces limitations tout en n’imposant aucune limite quant au moment où ces données peuvent être consultées ou à leur finalité.
8. Le gouvernement a présenté l’ASAIA comme nécessaire pour aligner le Canada sur ses partenaires « Five Eye ». Or, la moitié de ces partenaires n’ont rien de comparable à l’ASAI. La Nouvelle-Zélande et les États-Unis n’ont pas du tout d’exigences obligatoires en matière de conservation des données et leurs régimes de capacité de surveillance se limitent à imposer des obligations d’écoute électronique aux sociétés d’accès à Internet et aux compagnies de téléphone. ^[6]
9. Deux des Cinq Yeux, l’Australie et le Royaume-Uni, ont des régimes qui s’approchent de l’étendue de la SAAIA. Toutefois, la constitutionnalité du régime britannique est actuellement contestée après la divulgation d’une ordonnance gouvernementale secrète du ministère britannique de l’intérieur adressée à Apple[7].^[7] Suite à cette ordonnance, Apple a supprimé une garantie de cryptage essentielle pour les sauvegardes iCloud (« Advanced Data Protection ») pour tous les appareils Apple se connectant depuis le Royaume-Uni. Alors que les lois australiennes ne peuvent pas être contestées pour violation des droits de l’homme devant les tribunaux, la Commission parlementaire mixte des droits de l’homme a estimé que le régime australien de capacité de surveillance était « incompatible avec les droits [de l’homme] » parce qu’il était « peu susceptible de constituer une limitation proportionnée des droits à la vie privée et à la liberté d’expression » dans son évaluation obligatoire de la proposition de loi. ^[8]
10. Même les régimes de surveillance plus restreints, tels que ceux adoptés aux États-Unis et en Nouvelle-Zélande, restent vulnérables aux attaques de cybersécurité et ont été pris pour cible à plusieurs reprises, avec succès et en secret, par des agences de renseignement étrangères[9].^[9] Un document de l’Agence nationale de sécurité américaine ayant fait l’objet d’une fuite explique par exemple comment l’agence cible et exploite activement les capacités d' »interception légale » imposées par d’autres juridictions pour faciliter la collecte de renseignements à l’étranger[10].^[10] La compromission la plus récente, attribuée à un acteur de menace persistante avancée ayant des liens avec le gouvernement chinois, Salt Typhoon, a été qualifiée de l’une des plus graves atteintes à la sécurité nationale de l’histoire des États-Unis[11].^[11] Les modifications techniques apportées conformément à ces obligations sont également notoirement difficiles à sécuriser. Lorsque l’Agence nationale de sécurité des États-Unis (NSA) a testé des équipements conformes à la loi américaine sur la capacité de surveillance, CALEA[12],^[12] elle a constaté que « chaque commutateur testé présentait une faille de sécurité »[13].^[13] La NSA et d’autres agences de renseignement étrangères ont également reconnu que les régimes de surveillance étaient des cibles lucratives à exploiter[14],^[14] ce qui rend ces exigences encore plus difficiles à mettre en œuvre de manière sécurisée.
11. Aujourd’hui, les gouvernements reconnaissent généralement l’importance de la cybersécurité et du chiffrement.^[15] Cependant, à différents moments au fil des ans, diverses agences gouvernementales ont avancé de nombreuses propositions différentes qui compromettraient, contourneraient ou affaibliraient le chiffrement[16].^[16] Au départ, ces propositions ne sont jamais présentées comme une « porte dérobée » ou une tentative d’affaiblir le chiffrement, mais plutôt comme un mécanisme permettant à la sécurité publique et à d’autres agences gouvernementales d’accéder à des données sécurisées au cas par cas. Bien qu’aucune de ces propositions n’ait résisté à l’examen public et qu’il ait été démontré qu’elles présentaient toutes une menace importante pour la cybersécurité, la croyance sous-jacente persiste au sein de diverses agences gouvernementales qu’un accès exceptionnel à des données sécurisées est possible.
12. Dans ce contexte, l’ASAIA représente un cadre inquiétant à travers lequel le gouvernement sera en mesure d’imposer ses priorités de surveillance en constante évolution. Compte tenu de la vitesse à laquelle se déroule l’étude du projet de loi C-22, notre principale recommandation est de retirer entièrement la partie 2 du projet de loi. Telle qu’elle est présentée, la SAAIA présente des lacunes fondamentales qu’il est difficile d’aborder dans le cadre du processus d’examen en commission. Cela est dû à la combinaison d’un champ d’application ouvert avec des garanties flexibles et mal définies et d’un cadre de surveillance conçu pour le renseignement étranger et, par conséquent, fortement protégé de la participation des parties prenantes, du contrôle judiciaire et de l’obligation de rendre compte au public. Dans l’ensemble, la partie 2 offre au gouvernement une flexibilité maximale, des restrictions minimales et un contrôle judiciaire minimal ; il s’agit là d’une combinaison inacceptable qui rend la législation proposée tout simplement impropre à l’objectif poursuivi. Les amendements que nous recommandons doivent être considérés comme une mesure de dernier recours dans l’esprit de la réduction des risques, et non comme un indicateur de l’acceptabilité de la partie 2 ; d’un point de vue constitutionnel et des droits de l’homme, ce n’est pas le cas.

Les dispositions relatives aux informations accessibles au public et à la divulgation volontaire sont incompatibles avec la jurisprudence relative à la Charte canadienne.

13. Dans les parties B et D de ce mémoire, nous recommandons que les dispositions qui prétendent clarifier la loi, « pour plus de certitude », concernant les « informations accessibles au public » et la « fourniture volontaire » d’informations soient toutes deux supprimées du projet de loi. Les deux dispositions impliquent des caractérisations trompeuses de l’état actuel de la loi, et sont inutiles pour leurs objectifs respectifs ostensibles. Pire encore, si elles étaient adoptées telles quelles, elles iraient à l’encontre de décennies de jurisprudence de la Cour suprême du Canada. Au cas où ces dispositions ne seraient pas supprimées, nous proposons à nouveau des amendements, uniquement à titre de mesure d’atténuation.
14. Le projet de loi C-22 propose d’ajouter une disposition au Code pénal qui indique « pour plus de certitude » que les forces de l’ordre n’ont pas besoin d’une ordonnance de production ou d’un mandat pour les informations qui sont disponibles au public. En considérant le caractère public de l’information comme déterminant pour tout intérêt de protection constitutionnelle de la vie privée, la disposition crée un cadre qui va à l’encontre de décennies de jurisprudence de la Charte canadienne, qui a toujours reconnu que l’information publique n’est pas catégoriquement exemptée de la protection de l’article 8.
15. L’intégration de ce cadre dans le Code pénal a des implications particulièrement troublantes à la lumière de la myriade de façons dont les informations personnelles sont collectées en masse et divulguées régulièrement par la prolifération des technologies numériques et des industries telles que les outils de surveillance basés sur l’IA, les plateformes de médias sociaux, les courtiers en données, le profilage algorithmique et les fournisseurs de surveillance commerciale axés sur l’application de la loi. Cette approche soulève des problèmes supplémentaires car elle n’exclut pas les informations qui ont été initialement collectées ou sont devenues publiques par des moyens illégaux. Un certain nombre de services de police canadiens ont utilisé l’application intrusive de reconnaissance faciale de Clearview AI, alors même que la base de données de reconnaissance faciale de l’entreprise avait été créée en violation des lois canadiennes sur la protection de la vie privée[17].^[17] De plus en plus d’informations personnelles deviennent accessibles au public, comme condition de participation à la société numérisée d’aujourd’hui, et souvent sans que nous le sachions ou y consentions[18],^[18] il est d’autant plus important que le projet de loi n’intègre pas un cadre fondé sur la notion qu’aucune protection de la vie privée n’existe pour les informations accessibles au public.
16. Une autre disposition du projet de loi C-22 indique « pour plus de certitude » qu’aucune autorisation n’est nécessaire pour que la police reçoive des informations divulguées volontairement ou de manière proactive. Cette disposition n’est pas non plus conforme à la jurisprudence existante en matière de Charte, en particulier en ce qui concerne le consentement d’un tiers (lorsqu’une personne consent à une perquisition ou à la saisie des informations d’une autre personne). La jurisprudence canadienne a toujours rejeté le consentement d’un tiers comme moyen de renoncer aux protections de l’article 8. Le cadre catégorique mis en place par le projet de loi C-22 représente une menace particulièrement grave pour la vie privée si les fournisseurs de services commerciaux sont autorisés à renoncer au droit à la vie privée de leurs utilisateurs et à divulguer proactivement leurs informations personnelles à la police.

Le lien entre le projet de loi C-22 et les accords internationaux de partage de données doit être révélé

17. Enfin, dans la partie C de ce mémoire, nous expliquons comment le projet de loi C-22 propose d’introduire de nouvelles dispositions qui élargiraient les circonstances dans lesquelles les autorités étrangères chargées de l’application de la loi peuvent obtenir l’accès à des données au Canada. Lorsque le prédécesseur du projet de loi C-22 (projet de loi C-2, Loi sur la solidité des frontières) a été présenté en 2025, le personnel du ministère de la Justice a reconnu, lors de la phase de questions-réponses d’une séance d’information technique, que l’intention de certaines dispositions était de permettre au Canada de mettre en œuvre un traité international de partage de données connu sous le nom de « Deuxième protocole additionnel » à la Convention de Budapest sur la cybercriminalité (« 2AP »). Le personnel présent à la séance d’information a reconnu que d’autres outils de « coopération » transfrontalière étaient prévisibles.
18. Cependant, le gouvernement fédéral n’a pas informé le grand public ni le Parlement de ces projets. Près d’un an plus tard, le gouvernement fédéral a de nouveau refusé d’apporter des éclaircissements au Parlement, malgré le fait que le projet de loi C-22 introduise de nouveau des réformes relatives aux demandes d’information « en vertu d’un accord ou d’un arrangement international auquel le Canada et [un] État étranger sont parties »[19].^[19]
19. Le projet de loi C-22 est également déposé à un moment où il est de notoriété publique que le gouvernement canadien a entamé des négociations à huis clos avec les États-Unis au sujet d’un éventuel accord bilatéral de partage des données de police entre les deux pays.^[20] L’accord serait établi en vertu d’une loi américaine appelée Clarifying Lawful Overseas Use of Data Act (« CLOUD Act »).
20. Les autorités canadiennes ont déjà établi un lien entre les réformes proposées en matière de surveillance, lorsqu’elles ont été présentées dans le projet de loi C-2, et les États-Unis.^[21] Cependant, le gouvernement fédéral n’a pas expliqué au public ou au Parlement pourquoi les États-Unis ont fait pression sur le Canada pour qu’il adopte les réformes en matière de surveillance prévues dans le projet de loi C-2, qui ont été réintroduites dans le projet de loi C-22 près d’un an plus tard.
21. En mai 2026, les dirigeants des commissions de la Chambre des représentants sur le pouvoir judiciaire et les affaires étrangères du Congrès américain ont envoyé une lettre au ministre canadien de la sécurité publique au sujet du projet de loi C-22. La lettre décrit les discussions sur le CLOUD Act entre le Canada et les États-Unis comme étant toujours « en cours », et note qu’ils espèrent une « collaboration rapide » du Canada pour parvenir à un accord sur le CLOUD Act.
22. Notre analyse identifie de nombreux domaines de chevauchement entre la partie 1 des dispositions proposées par le projet de loi C-22 et les domaines anticipés de la réforme du droit nécessaire pour permettre au Canada de conclure l’un ou l’autre des traités susmentionnés, ou les deux. Nous discutons ensuite d’une série de questions constitutionnelles et de droits de l’homme qui découleraient de l’un ou l’autre de ces accords, ou des deux, ou de la perspective générale que les fournisseurs de services canadiens partagent les données personnelles des personnes se trouvant au Canada avec des entités étrangères chargées de l’application de la loi, comme l’envisage le projet de loi.
23. Le principal problème est que le droit constitutionnel canadien protège mieux les droits de l’homme que celui de nombreux signataires du Pacte de stabilité et de croissance, y compris les États-Unis. C’est particulièrement le cas en ce qui concerne la protection des droits à la vie privée, la liberté d’expression et le droit à l’égalité et à la non-discrimination, qui sont tous garantis par la Charte. La conclusion d’un accord entre le Canada et les États-Unis dans le cadre du CLOUD Act menacerait d’affaiblir les normes constitutionnelles du Canada. Rejoindre le 2AP signifierait jouer un rôle dans la dilution des normes internationales en matière de droits de l’homme, tout en permettant aux organismes canadiens chargés de l’application de la loi de conclure des accords secrets avec leurs homologues étrangers afin d’ignorer les quelques protections de la vie privée prévues par le traité. Dans les deux cas, le Canada pourrait se rendre complice de violations des droits de l’homme perpétrées par les États-Unis ou d’autres gouvernements étrangers qui criminalisent des activités qui sont légales ou protégées par la Constitution en vertu du droit canadien.
24. En outre, les informations personnelles des personnes ciblées au Canada seraient transmises à des régimes juridiques dont les lois sur la protection de la vie privée sont plus faibles ou qui ne se considèrent pas légalement tenus de protéger ces personnes, leurs droits de l’homme ou leurs informations. Ces traités ne prévoient pas non plus de recours juridique ou de réparation pour les personnes dont la vie privée ou d’autres droits constitutionnels sont violés dans le processus de transfert par le Canada de leurs données personnelles à des organismes étrangers chargés de l’application de la loi, ni pour les conséquences négatives résultant de ce transfert.
25. Jusqu’à présent, le gouvernement fédéral n’a pas expliqué pourquoi aucun de ces éléments ne devrait préoccuper le public canadien, ni comment il s’assurera que les informations personnelles des Canadiens – ou des personnes dont les informations sont détenues – resteront protégées, une fois partagées avec des entités étrangères, au niveau garanti par les lois canadiennes en matière de constitution, de droits de l’homme et de protection de la vie privée. Et ce, en dépit du fait que la Politique du gouvernement du Canada sur le dépôt des traités au Parlement exige que le gouvernement fédéral fournisse au Parlement un avis et une explication publiée avant de pouvoir déposer un projet de loi qui fait partie de la mise en œuvre d’un traité avec un pays étranger. Cette politique démocratise davantage les processus d’élaboration des traités au Canada et permet aux parlementaires d’étudier les dispositions législatives tout en comprenant comment ces dispositions seront réellement utilisées.
26. Nous recommandons donc à la SECU de suspendre son étude de la partie 1 jusqu’à ce que le gouvernement fédéral se conforme à la politique de dépôt des traités au Parlement. Notre analyse de ce projet de loi a soulevé de sérieuses inquiétudes quant aux répercussions de ce que le projet de loi C-22 semble préparer, y compris un système d’application de la loi et un régime juridique plus étroitement liés à ceux des États-Unis. Le gouvernement canadien devrait être tenu de faire preuve d’une transparence totale quant à l’adoption potentielle par le Canada du 2AP et d’un accord CLOUD Act entre le Canada et les États-Unis. Dans le cas où le gouvernement persisterait à adopter l’un ou l’autre de ces accords, ou les deux, nous recommandons plusieurs garanties nécessaires qui doivent être ajoutées en tant qu’amendements au projet de loi C-22, afin d’assurer un minimum de protection des droits de l’homme pour tout partage de données avec des autorités policières étrangères.

Conclusion

27. Le projet de loi C-22 contient des lacunes importantes et son étude législative a été entachée de vices de procédure qui ont empêché toute tentative significative de remédier à ces lacunes par le biais du processus législatif. Comme le montre ce mémoire, de nombreuses dispositions du projet de loi C-22 auront des implications considérables, avec des effets néfastes qui pourraient se faire sentir pendant des décennies, même si l’une ou l’autre de ces dispositions est abrogée à la suite d’inévitables recours constitutionnels. En plus de ces préoccupations générales, cette analyse propose 18 recommandations concernant le projet de loi, que nous considérons comme faisant partie intégrante de la réponse à la portée considérable du projet de loi proposé, aux risques significatifs correspondants pour les droits constitutionnels et les droits de l’homme, aux déficits de transparence et de responsabilité dans la législation, et aux dangers qu’il pose pour la cybersécurité et le cryptage dans les réseaux d’information et de communication du Canada.

Références

^[1] La version originale de cette soumission a été envoyée aux membres du Comité permanent de la Chambre sur la sécurité publique et nationale (SECU) le 28 mai 2026, pour qu’ils l’examinent. Cette version a été polie pour publication.

^[2] Parlement d’Australie, Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018, Parlement no 45, en ligne : <https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6195>; Parlement australien, Chambre des représentants, Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018, EK171, en ligne : <https://parlinfo.aph.gov.au/parlInfo/download/legislation/amend/r6195_amend_2ef65c47-7a59-45e1-9427-cf3e7400ef4d/upload_pdf/EK171.pdf>.

^[3] Aux fins du présent document, nous utilisons le terme « intelligence artificielle » (« IA ») pour désigner de manière générale les catégories de technologies actuellement considérées comme relevant du terme général « IA » au moment de la rédaction du présent document, qu’elles répondent ou non strictement à une définition scientifique ou technique donnée associée à l' »IA », et compte tenu du fait que l’expression est le plus souvent utilisée comme un terme de marketing ou pour faire avancer un programme politique et économique régressif. Les technologies auxquelles il est fait référence peuvent inclure, par exemple, les grands modèles de langage (« LLM »), les chatbots d’IA générative ou les outils algorithmiques de prise de décision, de surveillance ou d’analyse. Pour plus de détails, voir British Columbia Law Institute, Report on Artificial Intelligence and Civil Liability, BCLI Report no 96 (avril 2024) aux pages 5-8 (« 2. Definitional Elements »), en ligne (PDF) : <https://www.bcli.org/wp-content/uploads/Report-AI-and-civil-liability-final.pdf>; Kara Williams & Ben Winters, « Specific Terms for Specific Risks : The Need for Accurate Definitions of AI Systems in Policymaking » (1er octobre 2025), en ligne : EPIC <https://epic.org/specific-terms-for-specific-risks-the-need-for-accurate-definitions-of-ai-systems-in-policymaking/>; et Emily Tucker, « Artifice and Intelligence », Tech Policy Press (16 mars 2022), en ligne : <https://www.techpolicy.press/artifice-and-intelligence/>.

^[4] Sur la sensibilité des différents types de métadonnées, voir : Jonathan Mayer, Patrick Mutchler et John C Mitchell, « Evaluating the Privacy Properties of Telephone Metadata », (2016) 113(20) PNAS 5536 ; Jonathan Mayer & Patrick Mutchler, « Metaphone : The Sensitivity of Telephone Metadata », Web Policy (12 mars 2014), en ligne : <http://webpolicy.org/2014/03/12/metaphone-the-sensitivity-of-telephone-metadata/>; Written Testimony of Ed Felten, House of Representatives, Subcommittee on Crime and Federal Government Surveillance of the Committee on the Judiciary (2 octobre 2013), en ligne : Commission judiciaire, Hearing on Continued Oversight of the Foreign Intelligence Surveillance Act (audition sur la surveillance continue de la loi sur la surveillance du renseignement étranger). <https://www.judiciary.senate.gov/imo/media/doc/10-2-13FeltenTestimony.pdf>.

^[5] Commissariat à la protection de la vie privée du Canada, Joint Investigation Into Location Tracking by the Tim Hortons App, PIPEDA Findings #2022-001 (1 juin 2022), en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2022/pipeda-2022-001>.

^[6] Comité parlementaire sur le renseignement de sécurité nationale, « Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement » (septembre 2025), page 15 (tableau 2.1), en ligne : <https://nsicop-cpsnr.ca/reports/rp-2025-09-15-sr/250915_NSICOP_Lawful_access_report.pdf>.

^[7] Privacy International, « PI Apple TCN Challenge », en ligne : <https://privacyinternational.org/legal-action/pi-apple-tcn-challenge>; Privacy International, « The Second Order : The UK Government’s new secret order still strikes at Apple’s security » (1er octobre 2025), en ligne : <https://privacyinternational.org/news-analysis/5685/second-order-uk-governments-new-secret-order-still-strikes-apples-security>; Apple Inc v Secretary of State for the Home Department, [2025] UKPITrib 1, en ligne : <https://investigatorypowerstribunal.org.uk/wp-content/uploads/2025/04/IPT-25-68-CH-Judgment.pdf>; Human Rights Watch, « UK Encryption Order Threatens Global Privacy Rights » (14 février 2025), en ligne : <https://www.hrw.org/news/2025/02/14/uk-encryption-order-threatens-global-privacy-rights>; Joseph Menn, « U.K. orders Apple to let it spy on users’ encrypted accounts », Washington Post (7 février 2025), en ligne : <https://www.washingtonpost.com/technology/2025/02/07/apple-encryption-backdoor-uk/>.

^[8] Australie, Parliamentary Joint Committee on Human Rights, Human Rights Scrutiny Report (4 décembre 2018) au paragraphe 2.196, en ligne : <https://www.aph.gov.au/-/media/Committees/Senate/committee/humanrights_ctte/reports/2018/Report_13/Report_13_of_2018.pdf>.

^[9]  » L’ACLC et la coalition des coalitions demandent le retrait du projet de loi C-2 « , (11 juillet 2025), en ligne : Association canadienne des libertés civiles <https://staging.ccla.org/privacy/ccla-joins-calls-for-withdrawal-of-bill-c-2/>; Ryan Devereux, Glenn Greenwald & Laura Poitras,  » Data Pirates des Caraïbes « , Intercept (19 mai 2024), en ligne : <https://theintercept.com/2014/05/19/data-pirates-caribbean-nsa-recording-every-cell-phone-call-bahamas/>; Vassilis Prevelakis & Diomidis Spinellis, « The Athens Affair », (2007) 44(7) IEEE Spectrum, en ligne : <https://spectrum.ieee.org/the-athens-affair>; Susan Landau, « CALEA Was a National Security Disaster Waiting to Happen », Lawfare (13 novembre 2024), en ligne : <https://www.lawfaremedia.org/article/calea-was-a-national-security-disaster-waiting-to-happen>; Testimony of Susan Landau, House of Representatives, Subcommittee on Crime and Federal Government Surveillance of the Committee on the Judiciary (5 juin 2025) at page 8, online (PDF) : <https://www.congress.gov/119/meeting/house/118335/witnesses/HHRG-119-JU08-Wstate-LandauS-20250605.pdf>.

^[10] États-Unis, National Security Agency, « Exploiting Foreign Lawful Intercept (LI) Roundtable », TOP SECRET//SI/REL TO USA, FVEY », en ligne (PDF) : <https://christopher-parsons.com/wp-content/uploads/2023/01/nsa-exploiting-foreign-lawful-intercept-li-roundtable.pdf>, document publié dans James Bamford, « A Death in Athens », Intercept (28 septembre 2015), en ligne : <https://theintercept.com/2015/09/28/death-athens-rogue-nsa-operation/>. Pour un résumé, voir Christopher Parsons, « Exploiting Foreign Lawful Intercept (LI) Roundtable », en ligne : Technology, Thoughts & Trinkets <https://christopher-parsons.com/resources/the-sigint-summaries/nsa-summaries/#exploiting-foreign-lawful-intercept-li-roundtable>.

^[11] Internet Society, « Lettre ouverte : Bill C-22, An Act Respecting lawful access », en ligne : <https://www.hilltimes.com/sponsored/open-letter-bill-c-22-an-act-respecting-lawful-access/>; Susan Landau, « CALEA Was a National Security Disaster Waiting to Happen », Lawfare (13 novembre 2024), en ligne : <https://www.lawfaremedia.org/article/calea-was-a-national-security-disaster-waiting-to-happen>; Joe Mullin et Cindy Cohn, « Salt Typhoon Hack Shows There’s No Security Backdoor That’s Only for the ‘Good Guys' » (9 octobre 2024), en ligne : Electronic Frontier Foundation <https://www.eff.org/deeplinks/2024/10/salt-typhoon-hack-shows-theres-no-security-backdoor-thats-only-good-guys>; David E Singer, Julian E Barnes, Devlin Barrett & Adam Goldman, « Emerging Details of Chinese Hack Leave US Officials Increasingly Concerned », New York Times (22 novembre 2024), en ligne : <https://www.nytimes.com/2024/11/22/us/politics/chinese-hack-telecom-white-house.html>; Marie Woolf,  » Lawful-access bill could threaten encryption, deter investment « , Globe and Mail (1 mai 2026), en ligne : <https://www.theglobeandmail.com/politics/article-lawful-access-bill-could-threaten-encryption-deter-investment-chamber/>.

^[12] Communications Assistance for Law Enforcement Act (CALEA), 47 USC 1002.

^[13] Témoignage de Susan Landau, Chambre des représentants, sous-commission sur la criminalité et la surveillance du gouvernement fédéral de la commission judiciaire (5 juin 2025), page 8, en ligne (PDF) : <https://www.congress.gov/119/meeting/house/118335/witnesses/HHRG-119-JU08-Wstate-LandauS-20250605.pdf>.

^[14] États-Unis, National Security Agency, « Exploiting Foreign Lawful Intercept (LI) Roundtable », TOP SECRET//SI/REL TO USA, FVEY », en ligne (PDF) : <https://christopher-parsons.com/wp-content/uploads/2023/01/nsa-exploiting-foreign-lawful-intercept-li-roundtable.pdf>, document publié dans James Bamford, « A Death in Athens », Intercept (28 septembre 2015), en ligne : <https://theintercept.com/2015/09/28/death-athens-rogue-nsa-operation/>. Pour un résumé, voir Christopher Parsons, « Exploiting Foreign Lawful Intercept (LI) Roundtable », en ligne : Technology, Thoughts & Trinkets <https://christopher-parsons.com/resources/the-sigint-summaries/nsa-summaries/#exploiting-foreign-lawful-intercept-li-roundtable>.

^[15] Mason Boycott-Owen, « UK intelligence : 100 nations have spyware that can hack Britain », Politico (22 avril 2026), en ligne : <https://www.politico.eu/article/u-k-intelligence-100-nations-have-spyware-that-can-hack-britain/>.

^[16] Lex Gill, Tamir Israel et Christopher Parsons,  » Faire la lumière sur le débat sur le chiffrement : A Canadian Field Guide « , publication de recherche conjointe, Citizen Lab & la Clinique d’intérêt public et de politique d’Internet du Canada (mai 2018) aux pages 21-29 ( » Part 3 : Going Dark ? Four Decades of Debate « ), en ligne : <https://citizenlab.ca/wp-content/uploads/2018/05/Shining-A-Light-Encryption-CitLab-CIPPIC.pdf>.

^[17] Nicole Brockbank, « Toronto police used Clearview AI facial recognition software in 84 investigations », CBC (23 décembre 2021), en ligne : <https://www.cbc.ca/news/canada/toronto/toronto-police-report-clearview-ai-1.6295295>; Commissariat à la protection de la vie privée du Canada, Enquête conjointe sur Clearview AI, Inc, conclusions de la LPRPDE #2021-001 (2 février 2021), en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into- businesses/2021/pipeda-2021-001>; et Clearview AI Inc v British Columbia (Information and Privacy Commissioner), 2026 BCCA 67.

^[18] Voir par exemple Commissariat à la protection de la vie privée du Canada, Joint investigation of TikTok Pte Ltd, PIPEDA Findings #2025-003 (23 septembre 2025), en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2025/pipeda-2025-003>; Commissariat à la protection de la vie privée du Canada, Enquête conjointe sur OpenAI OpCo, LLC, PIPEDA Findings #2026-002 (6 mai 2026) en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2026/pipeda-2026-002>; Commissariat à la protection de la vie privée du Canada, Enquête sur le respect de la LPRPDE par Aylo (anciennement MindGeek), Conclusions de la LPRPDE #2024-001 (29 février 2024), en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2024/pipeda-2024-001>; et Commissariat à la protection de la vie privée du Canada, Joint investigation into location tracking by the Tim Hortons App, PIPIEDA Findings #2022-001 (1 June 2022), en ligne : <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2022/pipeda-2022-001/>.

^[19] Projet de loi C-22, Partie 1, cl 7, art. 487.0181(4) proposé.

^[20] Département américain de la justice, « United States and Canada Welcome Negotiations of a CLOUD Act Agreement » (22 mars 2022), en ligne : <https://www.justice.gov/archives/opa/pr/united-states-and-canada-welcome-negotiations-cloud-act-agreement>.

^[21] En juillet 2025, un représentant anonyme du gouvernement canadien – qui aurait une connaissance directe des négociations commerciales entre les États-Unis et le Canada – a informé Politico que les États-Unis souhaitaient que le Canada adopte le projet de loi C-2 afin de renforcer la coopération avec les États-Unis en matière d’application de la loi. Le fonctionnaire a déclaré que « [l]e cœur de ce que les États-Unis veulent, c’est joindre les armes avec le Canada en matière d’application de la loi, avec le même type d’outils qu’ils utilisent : interceptions en vertu de mandats FISA, le Patriot Act ». Mickey Djuric, Mike Blanchfield et Nick Taylor-Vaisey, « Stars, stripes and side-eye », Politico (4 juillet 2025), en ligne : <https://www.politico.com/newsletters/canada-playbook/2025/07/04/stars-stripes-and-side-eye-00439998>.