Projet de loi C-22 Canada : surveillance des données et risques de sécurité expliqués

Le gouvernement canadien examine actuellement le projet de loi C-22, un texte qui vise à moderniser le cadre juridique de l’accès légal aux communications électroniques pour les enquêtes criminelles. Présenté à la Chambre des communes sous le titre officiel de « Loi sur l’accès légal, 2026 », le projet élargit considérablement les obligations des fournisseurs de services en ligne, suscitant de vives critiques de la part d’acteurs de la cybersécurité.

Un champ d’application très large

Le texte définit comme « fournisseur de services électroniques » toute entité qui crée, stocke, traite, transmet, reçoit ou met à disposition des informations numériques. Cette définition englobe aussi bien les opérateurs téléphoniques traditionnels que les géants du web, mais également une multitude de services modernes – messageries, réseaux sociaux, stockage en nuage, réseaux privés virtuels (VPN) – dès lors qu’ils sont offerts au Canada ou par une société y exerçant des activités.

Le projet de loi distingue les « fournisseurs de base » qui pourraient être contraints de « développer, évaluer, tester et maintenir des capacités techniques d’accès » pour les autorités, et même d’installer, d’utiliser ou d’exploiter des équipements facilitant cet accès. En outre, le texte habilite le gouvernement à imposer la conservation de catégories de métadonnées, notamment les « données de transmission », pendant une durée pouvant aller jusqu’à un an.

Un recul contre la tendance mondiale

Cette obligation de conservation des métadonnées va à l’encontre des mouvements internationaux récents visant à réduire la rétention des données personnelles pour mieux protéger la vie privée, comme le Règlement général sur la protection des données (RGPD) en Europe. Dans son analyse, la société Tailscale, entreprise canadienne de cybersécurité, souligne que ces dispositions risquent d’inciter les entreprises à « maintenir toutes sortes d’informations personnelles qu’elles ne devraient pas conserver, au nom de la conformité ». Cette approche affaiblirait la sécurité globale en créant des cibles de données plus massives pour d’éventuelles fuites ou cyberattaques.

Les inquiétudes des spécialistes de la sécurité

Tailscale, qui fournit des solutions de réseau privé virtuel (VPN) et de zero trust, a publié une analyse du texte. L’entreprise y exprime son inquiétude face à ce qu’elle considère comme un cadre trop extensif. Elle rappelle que les demandes d’accès aux données doivent rester « spécifiques, légales et autorisées par un tribunal », et que les fournisseurs ne devraient fournir que les informations qu’ils possèdent déjà. Or, selon la société, Bill C-22 va au-delà de ce principe en exigeant potentiellement la conception de systèmes affaiblis – des « portes dérobées » – pour permettre un accès gouvernemental.

Les conséquences possibles sont doubles : d’une part, ces obligations techniques pourraient compromettre la robustesse des systèmes de chiffrement, exposant les utilisateurs à des risques supplémentaires ; d’autre part, la collecte et la conservation obligatoires de métadonnées élargiraient la surface d’attaque pour les pirates informatiques. Pour Tailscale, un tel cadre juridique « affecte tout le monde qui utilise des services cryptés modernes ».

Un débat entre sécurité publique et vie privée

Les autorités canadiennes justifient ce projet par la nécessité de doter la police et les agences de renseignement d’outils adaptés à l’ère numérique pour enquêter sur les crimes graves. Les demandes d’accès aux communications électroniques, lorsqu’elles sont ciblées et encadrées par un juge, peuvent être légitimes selon les défenseurs du texte.

Cependant, les critiques estiment que cette approche élargit démesurément les pouvoirs de surveillance sans garanties suffisantes. Plusieurs experts appellent à un débat public plus approfondi sur l’équilibre entre sécurité collective et droits individuels, notamment en ce qui concerne le chiffrement de bout en bout et la protection des communications privées.

Une portée qui dépasse le Canada

Si le projet de loi C-22 est canadien, les questions qu’il soulève sont universelles. De nombreux gouvernements dans le monde cherchent à moderniser leurs règles d’accès légal aux données numériques. Pour les entreprises technologiques internationales, ces législations créent un précédent : plusieurs pays pourraient s’en inspirer pour imposer des obligations similaires. Tailscale met en garde contre une tendance à « pousser les entreprises à conserver davantage de données, à construire des capacités de surveillance ou à rendre les systèmes sécurisés plus faciles d’accès par conception » – une tendance qui, selon elle, nuit à la sécurité collective.

Le débat autour du projet de loi C-22 illustre les tensions croissantes entre la volonté des États de lutter contre la criminalité et la nécessité de préserver la confiance dans les infrastructures numériques. L’issue de cette législation sera suivie de près par les acteurs de la cybersécurité et les défenseurs des libertés civiles, au Canada comme à l’étranger.

Le projet de loi C-22 au Canada : quand la collecte de données renforce les risques de sécurité

À lire ensuite

Le maire de New York Zohran Mamdani crée une commission d'efficacité gouvernementale inspirée du DOGE

Réseau d'agents chinois aux États-Unis : une enquête inédite dévoile l'ampleur de l'infiltration

Le feu d'artifice parisien du 14 juillet décalé au 13 en mémoire des victimes de l'attentat de Nice

L’ancien président yéménite Abd-Rabbu Mansour Hadi meurt en exil à 80 ans