Avant un débat clé à la Chambre des communes prévu aujourd’hui, des groupes de la société civile avertissent que le gouvernement doit corriger des failles constitutionnelles fondamentales et une dangereuse faille dans une législation controversée sur la cybersécurité, qui a été réintroduite sous le nom de projet de loi C-8 (anciennement projet de loi C-26). Si cette législation ne reçoit pas l’examen nécessaire et les modifications nécessaires lors du processus d’examen en comité, elle pourrait porter atteinte de façon permanente aux droits à la vie privée au Canada.
Depuis l’introduction du projet de loi C-26 en 2022, le manque de garanties en matière de vie privée de cette proposition législative, sa forte dépendance au secret et son potentiel à miner la cybersécurité ont fait l’objet de vives controverses et critiques de la part d’un chœur de témoins témoignant sur la nécessité de modifier la législation, y compris de la part des commissaires à la vie privée et au renseignement du Canada. Le projet de loi C-8 reproduit bon nombre de ces défauts essentiels.
Des experts et la société civile ont averti que la législation conférerait des pouvoirs ministériels qui pourraient être utilisés pour compromettre délibérément ou involontairement la sécurité des normes de chiffrement dans les réseaux de télécommunications sur lesquels les populations, les gouvernements et les entreprises à travers le Canada comptent chaque jour.
Le commissaire au renseignement du Canada a averti lors d’un témoignage que, s’il était adopté, le projet de loi autoriserait la saisie sans mandat de renseignements privés sensibles, et a remis en question si cette approche pouvait être justifiée constitutionnellement. Son témoignage a également souligné que « [l]a absentéisme flagrant dans ce projet de loi est le public canadien. Les renseignements recueillis sont des renseignements personnels des Canadiens », concluant que :
« Compte tenu de la nature intrusive du projet de loi, il est important que des garanties significatives en fassent partie afin que les Canadiens aient confiance dans le système de cybersécurité.
»Le commissaire à la protection de la vie privée du Canada a souligné que la législation pourrait, par exemple, entraîner la collecte et le partage inappropriés des informations sur les comptes d’abonnés, des données de communication, des visites sur les sites web, des métadonnées, des données de localisation et des données financières.
Malgré l’étendue extraordinaire des pouvoirs du projet de loi C-8, même les garanties minimales du projet de loi ne s’appliquent pas à ses vastes nouveaux pouvoirs de collecte d’informations.
En réintroduisant le projet de loi sans changements critiques, le gouvernement fédéral redouble d’efforts sur les pouvoirs de décryptage qui avaient été fortement critiqués dans la version précédente. La société civile et des experts exhortent maintenant les députés à modifier le projet de loi C-8 pour interdire au gouvernement d’émettre des ordres qui pourraient compromettre la sécurité des installations et services de télécommunications. Leur appel fait suite à une série d’avertissements d’experts en cybersécurité du Canada et des États-Unis concernant les risques que le fait de ne pas traiter cette question ferait peser pour l’économie canadienne et pour le droit fondamental à la vie privée des gens partout au Canada :
- Écrivant pour The Globe & Mail, Kate Robertson et Ron Deibert de Citizen Lab avertissent que les « pouvoirs secrets de brisage du chiffrement » contenus dans le projet de loi C-8 « menacent la sécurité en ligne de tous au Canada », et que le projet de loi « donne aux responsables gouvernementaux le pouvoir d’ordonner secrètement aux compagnies de télécommunications d’installer des portes dérobées à l’intérieur d’éléments chiffrés dans les réseaux canadiens ».
- Dans son témoignage sur le projet de loi C-26, Eric Smith, vice-président principal de l’Association canadienne des télécommunications, a fait référence aux pouvoirs « très larges » en matière d’ordonnance dans la législation, affirmant que « Cela pourrait exiger que vous retiriez non nécessairement de l’équipement de votre infrastructure, mais que vous y installiez certains équipements, ou que vous respectiez certaines normes. Cela pourrait affaiblir le chiffrement, ou vous demander d’intercepter les communications. »
- Citant les États-Unis comme exemple d’excès gouvernemental que le Canada devrait éviter, la Electronic Frontier Foundation a déclaré que « l’expérience américaine offre un avertissement sur ce qui peut arriver lorsqu’un gouvernement s’accorde de larges pouvoirs pour surveiller et diriger les réseaux de télécommunications, sans protections correspondantes pour les droits de la personne », et a averti que « sans garanties adéquates, [le projet de loi C-8] pourrait ouvrir la porte à des pratiques et des ordonnances similaires. »
Bien que le gouvernement fédéral ait récemment réaffirmé qu’il ne cherche pas à compromettre le chiffrement au Canada, jusqu’à présent, il a été réticent à reconnaître, encore moins à modifier , les pouvoirs de brisage du chiffrement qui sont maintenant de nouveau avancés dans le projet de loi C-8. Le projet de loi C-8 donnerait au gouvernement fédéral le pouvoir d’ordonner secrètement aux fournisseurs de télécommunications « de faire quoi que ce soit ou de s’abstenir de faire quoi que ce soit », sans aucune limite empêchant de tels ordres d’être utilisés pour imposer des obligations de surveillance aux entreprises privées, et pour affaiblir les normes de chiffrement — ce que le public rejette depuis longtemps comme étant incompatible avec nos droits à la vie privée.
Une série de solutions sensées aux problèmes du projet de loi C-26, héritées par le projet de loi C-8, n’ont pas reçu un examen approfondi puisque le projet de loi a été adopté précipitamment au Sénat à la veille de la prorogation du Parlement. Pourtant, les Canadiens méritent un projet de loi qui ne sape pas leur vie privée ni la cybersécurité même qu’il est censé régler.
Depuis le dépôt du projet de loi C-8, près de 3 000 membres de la communauté d’OpenMedia ont écrit à leurs députés pour demander que les problèmes de vie privée du projet de loi C-8 soient réglés.
Citations
« En ne garantissant pas que les protocoles critiques de chiffrement de bout en bout ne seront pas compromis, le projet de loi C-8 risque de faire plus de tort que de bien à la cybersécurité. L’inclusion continue de mécanismes d’accès aux données sans mandat et l’utilisation d’une approche de secret par défaut représentent une menace supplémentaire pour la vie privée et d’autres libertés civiles. Nous exhortons le gouvernement et les parlementaires à adopter des solutions importantes pour corriger ces défauts. »
Tamir Israel, directeur, Programme de confidentialité, surveillance et technologie, Association canadienne des libertés civiles (CCLA)
« Il n’existe pas de message privé intercepté, ni de porte dérobée qui n’existe que pour les forces de l’ordre. Notre gouvernement le sait, pourtant leur projet de loi sur la cybersécurité, le projet de loi C-8, peut être abusé pour surveiller les Canadiens en secret, bien au-delà de son objectif légitime. Nous demandons à notre gouvernement de régler des problèmes clés qui ont été négligés lors des délibérations du projet de loi C-26, et d’adopter une législation protégeant la cybersécurité canadienne et notre vie privée.
Matt Hatfield, directeur exécutif chez OpenMedia
« La campagne d’espionnage cybernétique Salt Typhoon qui a exploité une porte dérobée obligatoire dans les compagnies américaines de télécommunications est un signal d’alarme dangereux que le Canada ne peut pas se permettre d’ignorer. Verrouiller vos portes d’entrée n’empêchera pas les mauvaises personnes d’entrer par une porte arrière que vous êtes légalement tenu de garder ouverte pour les forces de l’ordre. Le C-8 pourrait implanter des portes dérobées dans pratiquement tous les aspects de notre vie, sur et hors ligne, en empêchant les réseaux de télécommunications d’utiliser les dernières normes et technologies Internet comme le chiffrement. Si vous la construisez, il ne fait aucun doute que des criminels et des adversaires viendront chercher à exploiter, voler, vendre et reproduire la porte dérobée — exposant les personnes, les entreprises et la sécurité nationale au Canada à un risque de préjudice sans précédent. »
Natalie Campbell, Directeur principal, Affaires gouvernementales et réglementaires nord-américaines, Internet Society
