Le 18 juin, l’Association canadienne des libertés civiles s’est jointe à 39 organisations et 122 experts , dont OpenMedia, le Groupe international de surveillance des libertés civiles, l’Association des libertés civiles de la Colombie-Britannique et des chercheurs du Citizen Lab, pour demander au gouvernement fédéral de retirer le projet de loi C-2, la Loi sur les frontières fortes, un vaste projet de loi omnibus qui soulève d’importantes préoccupations en matière de vie privée et porte atteinte aux droits des migrants. La lettre fait partie d’une initiative plus large qui réunit quatre grandes coalitions composées de plus de 300 organisations opposées au projet de loi C-2.
Les éléments du projet de loi qui érodent la vie privée incluent le pouvoir d’exiger la divulgation d’informations sans autorisation indépendante de tout fournisseur de services, pourrait ouvrir la voie à l’élargissement des accords internationaux de partage d’informations, et donnera au gouvernement le pouvoir d’élargir considérablement la quantité de données auxquelles la police et les agences de sécurité peuvent accéder en obligeant les services numériques à repenser leurs services.
Accès facile à des informations sensibles
En vertu du projet de loi C-2, les responsables publics, y compris la police, les agents du SCRS et d’autres, pourront exiger des informations de diverses entreprises sans aucune supervision judiciaire et avec moins de preuves de suspicion. Le gouvernement soutient que ces informations sont anodines et ne contiennent que des détails généraux sur la nature des services offerts par l’entreprise. Mais en pratique, les forces de l’ordre pourront obtenir des informations très révélatrices sur les personnes ayant ces exigences, y compris si elles ont acheté quelque chose dans une entreprise, interagi avec un site web ou séjourné dans un hôtel. Ces demandes se feront dans le secret, et les organisations n’ont que 5 jours pour contester des demandes trop larges devant les tribunaux.
Le projet de loi C-2 autorisera également le partage étendu d’informations sensibles sur les migrants et les demandeurs d’asile. Cela inclut le partage illimité d’informations au sein du ministère de la Citoyenneté et de l’Immigration pour toutes les fins liées au mandat du ministère. La suppression des restrictions de confidentialité sur le partage d’informations intra-départements présente un risque important que les données soient centralisées, reflétant des efforts similaires pour éliminer les « silos d’information » observés récemment dans le gouvernement fédéral des États-Unis. Le projet de loi C-2 autorisera en outre le partage de données sensibles sur l’immigration, y compris le statut et l’identité des demandeurs d’asile, avec toute agence canadienne ou société d’État si cela concerne généralement leurs fonctions.
Isoler les informations — en particulier celles sensibles relatives au statut d’immigration — est une garantie essentielle de confidentialité pour prévenir les violations de sécurité et garantir que les données personnelles ne soient accessibles que sur la base du besoin de savoir. En vertu du projet de loi C-2, les agences bénéficiaires et les sociétés d’État resteront liées par leurs propres restrictions à la vie privée et auront besoin d’une autorisation écrite pour partager des données personnelles avec des gouvernements étrangers. Cependant, il n’est pas clair si cette autorisation écrite sera accordée au cas par cas et les lois fédérales canadiennes sur la vie privée ainsi que les restrictions sur la facilitation des mauvais traitements par des gouvernements étrangers sont gravement dépassées, ce qui donne un cadre qui met les migrants en danger.
Des accords transfrontaliers de partage d’informations planent en arrière-plan
Comme le soulignent des recherches du Citizen Lab, le projet de loi C-2 ouvre aussi la voie à l’adoption potentielle d’accords internationaux problématiques de partage d’informations, qui pourraient être essentiels pour comprendre l’impact potentiel du projet de loi C-2 et sa justification.
Le deuxième Protocole additionnel à la Convention de Budapest (appelé « 2AP ») est un traité de 2022 que le Canada a signé, mais n’a pas encore pleinement adopté. Le 2AP exigerait que le Canada fasse respecter les ordonnances étrangères sur les métadonnées et les données d’identification. En vertu du projet de loi C-2, toute ordonnance étrangère sur l’identification ou les métadonnées émise par un État ayant une entente applicable de partage d’informations avec le Canada pourrait devenir une ordonnance contraignante d’un tribunal canadien. Bien que les tribunaux canadiens doivent être convaincus que certaines conditions sont remplies avant de donner la force à l’ordre étranger, le potentiel d’abus par des États étrangers demeure élevé. La 2AP exigerait que le Canada traite les métadonnées ou les ordonnances d’identification numérique de tout autre pays adoptant le traité — une liste de 80+ pays admissibles incluant des États ayant un historique d’abus des mécanismes policiers pour réprimer les communautés de la diaspora à l’étranger. L’an dernier, par exemple, un agent de la GRC a été accusé d’avoir fourni des dossiers provenant d’une base de données policière à des responsables rwandais. La Turquie est également tristement célèbre pour son abus des outils de coopération policière internationale afin d’opprimer ses détracteurs à l’étranger. Selon les 2AP, la suspension du partage d’informations personnelles avec des États abusifs ne peut se faire que dans des circonstances limitées.
Depuis 2022, Canda négocie également un accord sous l’égide d’une loi américaine appelée Clarifying Lawful Overseas Uses of Data Act (« CLOUD Act »). L’accord représente une tentative problématique d’élargir le partage bilatéral d’informations à une époque de tensions accrues entre le Canada et les États-Unis. Selon la loi américaine, la constitution ne protège pas les droits à la vie privée des non-américains. les personnes et les accords passés du CLOUD Act entre le Royaume-Uni et l’Australie n’ont rien fait pour remédier à ce manque de réparation efficace. Les États-Unis ne disposent pas non plus d’une loi fédérale sur la protection des données, ce qui signifie que peu de restrictions seront imposées à toute information personnelle qui se retrouve entre les mains d’entreprises privées américaines après leur partage avec le gouvernement américain. L’élargissement du partage d’informations avec le gouvernement américain représente une menace accrue pour les manifestants pacifiques, les dissidents politiques et ceux qui exercent leurs droits reproductifs au Canada, entre autres.
Comme le rapporte Citizen Lab, des responsables gouvernementaux ont indiqué lors d’un point de presse que le projet de loi C-2 vise à faciliter la ratification par le Canada du 2AP. Bien que le Canada n’ait pas publiquement indiqué qu’il conclurait une entente CLOUD, plusieurs des nouveaux pouvoirs du projet de loi C-2 représentent une tentative préoccupante d’aligner la loi canadienne avec les pratiques de surveillance américaines , et les responsables publics canadiens ont reconnu que certains éléments du projet de loi C-2 répondent à la pression politique américaine pour une coopération accrue en matière d’application de la loi en utilisant « le même type de boîte à outils ». Avec ces accords de partage de données qui planent en arrière-plan, les propositions du projet de loi C-2 sur le partage de l’information représentent une menace particulièrement grave pour les droits à la vie privée au Canada, surtout à la lumière du caractère dépassé de notre cadre de protection des personnes canadiennes contre les demandes d’aide étrangère.
L’élargissement des capacités de surveillance mine la cybersécurité et la vie privée
Une autre partie du projet de loi C-2 permettrait au gouvernement d’émettre des ordonnances de capacité de surveillance, exigeant potentiellement que les fournisseurs de courriel, les réseaux privés virtuels, les entreprises de médias sociaux, les ordinateurs portables et mobiles, ainsi que d’autres services numériques réingénierolent leurs plateformes afin de faciliter l’accès à l’information par le SCRS et les agences policières. Bien que les agences d’application de la loi aient toujours besoin d’une autorité indépendante pour accéder à l’information, le gouvernement pourrait forcer la refonte des services de manière à élargir considérablement les données accessibles et la possibilité d’y accéder sans surveillance.
Les obligations de refonte sont ouvertes et étendues, mais pourraient obliger l’intégration d’équipements de surveillance, la création de toute « capacité technique » pour extraire des informations et des organisations, ou la nécessité de fournir aux agences policières la possibilité d’accéder directement aux informations de leurs services. Une « capacité technique » pourrait même, en théorie, inclure l’obligation d’enregistrer des informations qu’un fournisseur de services ne transmet qu’à partir de maintenant, ce qui augmenterait considérablement l’accumulation de données personnelles par les entreprises privées.
Le régime proposé menace la sécurité numérique. Elle permet explicitement au gouvernement d’instaurer des conditions réglementaires qui sapent les garanties de cybersécurité tant qu’aucune « vulnérabilité systémique » n’est créée ou maintenue dans une catégorie limitée de garanties techniques. La tentative du projet de loi C-2 de réduire les « vulnérabilités systémiques » est tout aussi erronée — le terme n’est pas défini dans la loi et les gouvernements du monde entier ont avancé des visions problématiques de ce qui constitue une vulnérabilité systémique, présentant souvent les capacités de surveillance de masse comme n’affectant que les personnes contre lesquelles elles sont utilisées malgré les dommages collatéraux importants.
Aucun élément du cadre réglementaire n’exige que le gouvernement détermine spécifiquement que l’impact de ses ordonnances sur la vie privée et la cybersécurité est strictement minimisé, ni qu’il veille à ce que les ordonnances ne soient émises que lorsque cela est strictement nécessaire pour atteindre des objectifs précis d’application de la loi.
Si le gouvernement choisit d’émettre ses ordres en secret (et seulement dans ces cas-là), il doit aussi considérer si le bénéfice de l’ordonnance pour l’administration de la justice peut justifier l’impact potentiel sur la base d’utilisateurs d’un fournisseur de services ciblé. Mais si le destinataire d’un ordre secret ne choisit pas de le contester, l’ordre peut ne faire l’objet d’aucun examen indépendant significatif et les fournisseurs de services n’ont même pas le droit de divulguer l’existence d’un ordre.
Ces types de systèmes de surveillance technique, ainsi que les vulnérabilités qu’ils créent, sont régulièrement, efficacement et secrètement ciblés et compromis par des agences d’espionnage étrangères et des criminels. À au moins deux occasions, dont l’an dernier, le système américain de capacités de surveillance technique a été compromis par des groupes liés au gouvernement chinois, qui surveillaient des cibles de surveillance américaines dans un effort apparent pour protéger les espions étrangers basés aux États-Unis s’ils devenaient suspects. Des exigences similaires en matière de capacité de surveillance ont également permis à la National Security Agency américaine et à la Drug Enforcement Administration de compromettre l’ensemble du réseau cellulaire des Bahamas et d’enregistrer chaque appel téléphonique mobile dans le pays, tandis que des systèmes de surveillance similaires dans le réseau de Vodafone étaient exploités par des auteurs encore inconnus pour espionner plusieurs hauts responsables du gouvernement grec, dont le Premier ministre grec, le ministre de la Défense nationale et d’autres.
Le gouvernement a indiqué que le projet de loi C-2 est une priorité, le présentant comme une réponse aux demandes des États-Unis dans le cadre des négociations commerciales et de sécurité en cours. On s’attend à ce que le Parlement reprenne son examen à la fin septembre.
Lisez la lettre ici. Lisez ici les déclarations d’autres coalitions opposées au projet de loi C-2. Signez la pétition d’OpenMedia contre le projet de loi C-2 ici.
