Le gouvernement fédéral de Mark Carney compte exaucer le vœu des forces policières et leur permettre d’accélérer leurs traques en ligne, ce qui est loin de faire l’affaire de plusieurs entreprises technologiques.

Des fournisseurs de réseaux privés virtuels (VPN), comme NordVPN et Windscribe, menacent de ne plus faire affaire au Canada ; l’application de messagerie cryptée Signal pourrait aussi plier bagage. À la suite des critiques formulées par Apple et Meta, le p.-d.g. de la plateforme canadienne Shopify, Tobias Lütke, s’attend d’ailleurs à « un coup fatal » porté à l’industrie technologique canadienne.

À l’origine de la grogne : le projet de loi C-22 « sur l’accès légal ». Déposé en mars dernier, il fait davantage parler de lui ces temps-ci puisque son étude entre dans la délicate phase de la révision par un comité parlementaire.

Signe que les forces de l’ordre tiennent à ce texte législatif, des responsables de la Gendarmerie royale du Canada (GRC) et du Service canadien du renseignement de sécurité (SCRS) se sont rendus disponibles pour un appel de 50 minutes avec Le Devoir, lors duquel ils ont expliqué leur position et défendu le projet de loi.

Vieille idée, nouveau texte

C-22 reprend l’esprit des chapitres les plus controversés de l’un des premiers projets de loi du jeune gouvernement Carney, C-2. Le Devoir avait fait état l’an dernier des craintes suscitées par deux paragraphes de ce projet de loi omnibus portant surtout sur le renforcement des frontières. (On se souviendra que le président américain, Donald Trump, blâmait à l’époque le Canada pour le trafic de fentanyl.) Ce texte législatif est négligé depuis septembre dernier.

Certaines de ses dispositions avaient déjà été proposées en 2012 par le gouvernement conservateur de Stephen Harper. Leurs détracteurs avaient toutefois eu raison de ce projet de loi, qui visait officiellement à aider les policiers à piéger les prédateurs sexuels en ligne.

L’idée revient donc en 2026 dans cette ultime version.

Les forces de l’ordre considèrent que C-22 ne se contente que d’adapter leurs pouvoirs existants à un contexte de hausse de la criminalité en ligne, et jurent que son adoption permettra de retrouver et de juger davantage de délinquants.

Accéder aux métadonnées

Le projet de loi fait deux choses : il codifie la façon dont la police peut demander des informations sur des internautes aux entreprises en ligne, et exige que certaines d’entre elles compilent des données sur leurs usagers.

C’est cette seconde partie qui suscite l’ire des compagnies technologiques, qui craignent d’être forcées de conserver des données qu’elles ne récoltent simplement pas à l’heure actuelle — ou qu’elles ne souhaitent pas collecter pour des raisons de confidentialité. D’autant que, selon Michel Liboiron, directeur des politiques publiques chez Shopify, n’importe quelle entreprise pourrait être visée, pour peu qu’elle soit présente sur le Web.

Il n’est pas ici question du contenu de messages ou de fichiers transmis, mais de leurs « données de transmission » : on parle de métadonnées comme le moment de la connexion d’un usager, son adresse IP ou bien sa localisation. Les entreprises devront conserver ces métadonnées, dont la liste exacte sera définie par règlement pour une période qui sera elle aussi à définir (mais qui serait tout au plus un an).

Selon le sergent Aaron Gilkes, de la GRC, le projet de loi C-22 doit surtout garantir que des données existent toujours quand vient le temps de faire enquête. « Les fournisseurs de services collectent déjà des métadonnées, mais pas pour [assez] longtemps. Certains [les conservent] seulement 7 ou 10 jours », explique-t-il.

Localiser des téléphones

La GRC affirme que ce nouveau texte législatif lui permettra notamment de résoudre davantage de crimes d’extorsion en localisant plus rapidement la provenance d’un appel au numéro usurpé. Ou l’aidera à identifier plus aisément les téléphones se trouvant sur les lieux d’une fusillade, par exemple.

Le projet de loi C-22 offre une marche à suivre. La police peut d’abord demander, sans mandat, aux entreprises de services de télécommunications si elles comptent ou non un suspect parmi leurs abonnés ; elle n’a besoin que de soupçonner qu’une infraction a été ou sera commise. Ensuite, un juge doit être consulté pour l’obtention d’une ordonnance ; celle-ci permet d’aller chercher des informations sur le suspect, comme ses données de localisation. Ce pouvoir existe déjà, mais les opérateurs n’auraient maintenant que cinq jours pour contester l’ordre.

Le sergent Gilkes estime que cette méthode ne met pas les informations d’honnêtes citoyens plus à risque que dans le cas où ils se retrouveraient par hasard sur les enregistrements d’une caméra de surveillance recueillis sur une scène de crime classique.

Un responsable du SCRS a ajouté de son côté que cette procédure permettrait par exemple le suivi électronique d’une personne suspectée de planifier un attentat — une méthode bien moins risquée qu’une filature traditionnelle, dit-il.

Pouvoirs disproportionnés

Ces arguments ne tiennent pas la route, selon l’avocat David Fraser, du cabinet McInnes Cooper. « C’est absolument clair qu’ils veulent être capables de retrouver la trace de n’importe quel téléphone cellulaire au Canada en temps réel », s’inquiète le spécialiste en droit du Web.

Selon sa lecture de C-22, le ministre pourrait théoriquement forcer des compagnies à élaborer des « capacités opérationnelles et techniques », comme demander à Amazon d’allumer à distance les microphones d’enceintes connectées Echo ou Alexa.

Il juge aussi « très problématique » la promesse générale, incluse dans la loi, de ne rien exiger des compagnies qui puisse créer une « vulnérabilité systémique ». Ottawa promet d’ailleurs de consulter les entreprises du Web avant d’exiger la collecte de données qu’elles seraient incapables de bien protéger.