La plus récente tentative du gouvernement fédéral visant à faciliter l’accès des services de police et de renseignement aux données personnelles des gens au Canada, si elle est adoptée, renforcerait considérablement la surveillance d’État et menacerait gravement le droit à la vie privée, affirme la Coalition pour la surveillance internationale des libertés civiles (CSILC).

« Ce projet de loi représente l’une des plus grandes menaces à la vie privée au Canada des deux dernières décennies », a déclaré Tim McSorley, coordonnateur national de la CSILC, une coalition canadienne vouée à la défense des libertés civiles dans le contexte de la lutte contre le terrorisme et de la sécurité nationale. « Ses dispositions affaibliront les règles régissant l’accès de la police aux renseignements personnels, tout en facilitant une expansion considérable de la surveillance d’État. Il s’agit là d’un autre exemple flagrant de la tendance, observée depuis des décennies, des gouvernements à utiliser la sécurité nationale comme prétexte pour porter atteinte aux libertés civiles et aux droits de la personne. Nous encourageons tou-tes les député-es à s’opposer à ces nouveaux pouvoirs. »

Le 12 mars 2026, le gouvernement libéral a présenté le projet de loi C-22, la Loi concernant l’accès légal. Cette initiative fait suite à la tentative du gouvernement de présenter, en juin 2025, un vaste projet de loi omnibus sur les frontières et la sécurité, connu sous le nom de projet de loi C-2. Ce dernier avait été vivement critiqué pour avoir menacé de nombreux droits protégés par la Charte; y compris certaines dispositions du projet de loi C-2 qui sont presque identiques à celles du nouveau projet de loi C-22. Le gouvernement a finalement été contraint de mettre de côté le projet de loi C-2, anticipant qu’il n’obtiendrait jamais l’appui nécessaire au sein d’un gouvernement minoritaire.

Le projet de loi C-22 a une portée plus limitée que son prédécesseur, puisqu’il concerne exclusivement l’accès légal, et comprend certaines modifications visant à répondre aux critiques formulées précédemment. Cependant, non seulement ces changements ne vont pas assez loin, mais le gouvernement a ajouté au projet de loi C-22 une nouvelle disposition relative à la conservation des données qui soulève d’importantes préoccupations supplémentaires en matière de protection de la vie privée.

Le projet de loi est divisé en deux parties : la loi sur l’Accès aux données et aux renseignements en temps opportun (ADRTO), qui facilite l’accès des agent-es de police et des services de renseignement aux données personnelles, et la Loi sur le soutien en matière d’accès autorisé à de l’information (LSMAAI), qui obligerait un large éventail de « fournisseurs de services électroniques » (FSE) à modifier leurs systèmes afin de faciliter l’accès des forces de l’ordre aux informations qu’ils détiennent ou qui transitent par leurs systèmes, notamment en leur permettant d’exiger des FSE qu’ils conservent des informations relatives à des communications privées pendant une période pouvant aller jusqu’à un an.

Ce qui est le plus préoccupant, ce sont les dispositions de la LSMAAI, la deuxième partie du projet de loi C-22. Cette loi confèrerait au ministre de la Sécurité publique le pouvoir d’émettre des arrêtés secrets à l’encontre de toutes les plateformes numériques qui mettent « à disposition des informations sous toute forme immatérielle, notamment électronique ou numérique ». Il ne s’agit pas seulement de Facebook, d’Instagram ou de Gmail, ce qui serait déjà suffisamment inquiétant, mais aussi des détaillants en ligne, allant d’Amazon à votre librairie locale, ainsi que des fournisseurs de services qui vous permettent de prendre des rendez-vous ou de communiquer en ligne, comme les professionnel-les de la santé mentale ou les institutions financières. Ces arrêtés pourraient obliger les fournisseurs de services à modifier leurs systèmes de la manière jugée nécessaire par le gouvernement, y compris en installant des systèmes de surveillance que les forces de l’ordre ou d’autres agences gouvernementales pourraient utiliser pour surveiller ou recueillir des communications privées s’ils reçoivent une autorisation légale d’accéder à ces informations, par exemple au moyen d’un mandat ou d’autres pouvoirs législatifs, tels que la collecte d’ensembles de données par le SCRS (voir plus bas). Une nouvelle disposition de la LSMAAI, qui ne figurait pas dans le projet de loi C-2 initial, permet au gouvernement d’ordonner à ces entreprises de conserver de manière proactive des métadonnées—par exemple, des informations sur nos communications, telles que l’expéditeur, l’appelant, le destinataire, le lieu, la date et l’heure—pendant une période pouvant aller jusqu’à un an, simplement parce qu’elles pourraient éventuellement s’avérer utiles.

Les dispositions générales concernant les plus grandes entreprises seraient publiées par voie de réglementation publique, mais les arrêtés ministériels visant un prestataire de services spécifique seraient émis en secret et ne nécessiteraient pas d’autorisation judiciaire, seulement l’approbation du commissaire au renseignement. Bien que ce rôle soit occupé par un ancien juge fédéral, il ne remplace en aucun cas le contrôle exercé par les tribunaux, ni, mieux encore, par le public.

Les risques sont bien réels : plus on crée de portes dérobées pour accéder aux communications privées, et plus les entreprises sont contraintes de conserver nos données personnelles, plus le risque de piratages, de fuites et d’utilisations abusives est élevé. Bien que le projet de loi contienne des dispositions censées garantir que les arrêtés gouvernementaux ne créeront pas de vulnérabilités systémiques susceptibles de compromettre les mesures de protection des données, telles que le chiffrement, ces vulnérabilités resteraient tout de même acceptables dans les cas où le gouvernement estime que le risque qu’elles soient exploitées par des acteurs malveillants est faible. Or, nous savons qu’une fois que ce type de vulnérabilités existe, elles deviennent des cibles pour les pirates informatiques et les agences de renseignement étrangères. Et c’est sans même parler du fait que ces vulnérabilités peuvent également être exploitées par les forces de l’ordre et les services de renseignement nationaux, ni du fait que, dès que des « portes dérobées » ou d’autres failles sont introduites dans le chiffrement, celui-ci est, à toutes fins utiles, compromis.

Ce qui complique encore la situation, c’est que les organismes gouvernementaux se sont vu octroyer des pouvoirs élargis en matière de collecte de données au cours de la dernière décennie. Le Service canadien du renseignement de sécurité (SCRS) est ainsi désormais autorisé à recueillir des « ensembles de données » complets. Obliger les entreprises à structurer leurs systèmes et leurs bases de données de manière à faciliter l’accès du SCRS pourrait entraîner la collecte de nouvelles quantités considérables d’informations, non pas parce qu’elles sont liées à une menace particulière, mais parce qu’elles peuvent être utilisées à des fins d’analyse, de prévision des menaces et d’autres usages secrets.

La première partie du projet de loi, intitulée la loi sur l’Accès aux données et aux renseignements en temps opportun, a subi une modification importante : elle restreint les pouvoirs auparavant étendus que le projet de loi C-2 accordait aux agent-es de police et des services de renseignement, qui pouvaient exiger des entreprises offrant des services au public qu’elles fournissent des informations sur les titulaires de comptes, et ce, sans mandat. Désormais, ces demandes seraient limitées aux fournisseurs de services de télécommunications (FST) et se limiteraient à des réponses simples par oui ou par non indiquant si un FST détient un compte associé au nom, à l’adresse courriel, au numéro de téléphone, etc., d’une personne. Bien que cette mesure soit plus restrictive, la possibilité pour les agent-es de demander des informations sans mandat, sur la seule base d’un soupçon—plutôt que d’une conviction—que ces informations seraient utiles à une enquête criminelle, demeure alarmante et soulève des inquiétudes quant à la possibilité de l’élargissement de cette pratique à l’avenir, à mesure qu’elle gagnera en acceptation.

Malheureusement, d’autres problèmes graves présents dans cette partie de la loi n’ont pas été réglés, notamment :

• Créer un nouveau pouvoir « d’ordonnance de communication » fondé sur le seuil très bas de « motifs raisonnables de soupçonner » permettant à la police d’obtenir des renseignements personnels sur les client-es de toute entité offrant un service au public (appelés « renseignements relatifs à l’abonné »).
• Autoriser les forces de l’ordre canadiennes à demander ces renseignements à des entités étrangères, et mettre en place un nouveau régime permettant aux gouvernements et organismes étrangers de demander des renseignements détenus au Canada.

« À maintes reprises, les gouvernements fédéraux de tous bords ont tenté d’affaiblir les mesures de protection de la vie privée sous le prétexte de « l’accès légal ». Et pourtant, à chaque fois, y compris avec le projet de loi C-2, ils n’ont pas réussi à en justifier la nécessité et ont été contraints de faire marche arrière », a déclaré McSorley. « Le projet de loi C-22 ne fait que répéter les erreurs du passé, et nous continuerons à travailler avec nos partenaires pour contester cette loi, protéger le droit à la vie privée de toutes les personnes au Canada et lutter contre tout élargissement dangereux des pouvoirs de surveillance. »