Le Canada est actuellement en train de préparer le projet de loi C-22, une législation qui suscite de fortes inquiétudes parmi les acteurs de la vie privée numérique. Si adoptée, cette loi obligerait les services en ligne à conserver pendant un an un ensemble de métadonnées sur leurs utilisateurs, comprenant notamment leurs contacts, horaires, localisations, mais sans accéder au contenu des messages eux-mêmes.
Face à ces mesures, plusieurs entreprises réputées pour leur respect de la vie privée ont clairement indiqué leur intention de quitter le marché canadien plutôt que de se plier à ces nouvelles exigences. Signal, une application de messagerie chiffrée reconnue pour son engagement en faveur de la confidentialité, a affirmé qu’elle pourrait se retirer si on lui imposait de violer ses principes. De leur côté, DuckDuckGo, connu pour son moteur de recherche respectueux de la vie privée, ainsi que NordVPN, spécialiste du VPN, ont également menacé de retirer leurs services, voire de délocaliser leurs sièges, afin de préserver leurs standards.
Le gouvernement canadien insiste sur le fait qu’il pourrait imposer ces mesures sans nécessiter un mandat judiciaire, avec pour seul contrôle l’approbation d’un commissaire au renseignement.
La construction de capacités d’accès à ces données se heurte à un obstacle majeur : le chiffrement, qui doit souvent être affaibli ou compromis pour permettre l’accès légal. La promesse du gouvernement d’amender la loi pour éviter l’obligation de casser le chiffrement contraste avec la persistance de la rétention d’un an de métadonnées. Les entreprises qui doivent assurer la confidentialité de leurs utilisateurs se trouvent ainsi dans une position délicate, devant choisir entre se conformer ou fuir le marché canadien.
« Tous les acteurs internationaux de la technologie et de la sécurité numérique ont exprimé leurs réserves face à ces mesures coercitives, craignant qu’elles n’ouvrent la voie à une surveillance massive et à une atteinte aux droits fondamentaux de leurs utilisateurs », souligne un rapport récent. La fin de l’article résume ainsi la situation :
Les entreprises prônant la confidentialité préféreraient quitter le marché plutôt que d’enfreindre leurs principes, soulignant la nature intrusive de ces nouvelles obligations.
Ce projet de loi suscite donc un véritable tollé dans le secteur technologique, avec des implications potentielles très lourdes pour la protection de la vie privée et la sécurité numérique au Canada. La musique semble s’accorder difficilement entre les exigences législatives du gouvernement et le respect des engagements en matière de chiffrement et de confidentialité. La question demeure : jusqu’où l’État peut-il aller pour garantir la sécurité sans compromettre les libertés individuelles ?
