Le projet de loi canadien C-2 menace de porter atteinte à la vie privée et au cryptage.

Après le Royaume-Uni, les États-Unis et l'Australie, c'est au tour du Canada de se prononcer sur l'un des pires projets de loi sur la surveillance, dissimulé cette fois dans une loi contre le blanchiment d'argent.

Canada's Bill C-2 threatens to undermine privacy and encryption

Chez Tuta, nous avons à maintes reprises dénoncé les lois qui menacent votre vie privée, et nous devons maintenant le faire à nouveau. Aujourd'hui, nous tirons la sonnette d'alarme au sujet du projet de loi C-2, qui vise à modifier la législation canadienne en matière de lutte contre le blanchiment d'argent en actualisant la loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Bien qu'il vise à lutter contre le blanchiment d'argent, ce projet de loi constitue l'une des menaces les plus graves pour la vie privée et la sécurité numériques, à l'instar de ce qui s'est passé récemment au Royaume-Uni, aux États-Unis et en Australie.


Le Canada - un autre des cinq yeux - prévoit de mettre à jour son projet de loi C-2 avec des menaces similaires pour votre vie privée, comme la loi britannique sur la sécurité en ligne, la loi australienne TOLA et la réglementation américaine FISA.

Bien que le projet de loi C-2 n’oblige pas les fournisseurs à casser le cryptage, il laisse la possibilité aux (futurs) gouvernements d’abuser de cette loi exactement de cette manière.

Et, comme nous l’avons vu avec l’ordre donné par le Royaume-Uni à Apple de supprimer le chiffrement de son nuage, il ne s’agit pas du tout d’une menace en l’air, mais de quelque chose que nous devons prendre au sérieux.

Les trois principales menaces du projet de loi C-2

Les dangers du projet de loi C-2, en particulier de sa partie 15, se résument à trois risques principaux :

1. Ordres ministériels secrets et excès de pouvoir

En vertu de l’article 7, paragraphe 1, du projet de loi C-2, les ministres canadiens seraient en mesure d’adresser des demandes secrètes à tout fournisseur de services de communications électroniques (FSCE) - pas seulement aux grands opérateurs de télécommunications ou fournisseurs de services Internet, mais potentiellement à tout fournisseur de communications cryptées, y compris les applications de messagerie, les services en nuage ou les fournisseurs de courrier électronique.

Ces pouvoirs permettraient au gouvernement de contraindre l’accès en secret, sans aucune transparence significative ou contrôle judiciaire. Cela ressemble beaucoup à la loi FISA aux États-Unis, qui a été largement critiquée pour avoir permis une surveillance de masse à huis clos. En bref : le projet de loi canadien confère des pouvoirs de surveillance étendus aux responsables politiques, avec un minimum de contrôle et d’équilibre.

2. L’illusion de la protection du chiffrement

Le projet de loi C-2 prétend protéger le chiffrement en stipulant que le gouvernement ne peut pas exiger des entreprises qu’elles créent une “vulnérabilité systémique”, ce qui pourrait être interprété comme un “non aux portes dérobées”. Cependant, cette prétendue protection est fondamentalement creuse. Le terme “vulnérabilité systémique” n’est pas défini dans la loi. Pire encore, le gouvernement se réserve le droit de le définir après l’adoption de la loi, par le biais d’une réglementation future. C’est l’équivalent juridique de dire aux citoyens : “Nous ne vous communiquerons les règles exactes qu’APRÈS l’adoption de la loi”.

3. Accès par des portes dérobées

Sans porter explicitement atteinte au chiffrement, le projet de loi C-2 ouvrirait discrètement la porte aux (futurs) gouvernements pour qu’ils introduisent facilement des portes dérobées secrètes. Cela pourrait se faire sans nécessiter de nouvelle législation tant que le gouvernement affirme (sur la base de ses propres critères non définis) que ces mesures ne créent pas de “vulnérabilité systémique”. Il s’agit d’une faille alarmante qui pourrait éroder le fondement même sur lequel reposent les communications sécurisées et confidentielles : le chiffrement de bout en bout.

Des regards indiscrets où que vous vous tourniez

Le Canada rejoint un club de plus en plus nombreux de démocraties - dont le Royaume-Uni (Online Safety Act), l’Australie (TOLA) et les États-Unis (FISA, Cloud Act) - qui se dotent de pouvoirs étendus pour obliger les entreprises à communiquer des données cryptées. Les autorités peuvent prétendre que ces pouvoirs ne seront jamais utilisés de manière abusive, mais le fait que le Royaume-Uni ait ordonné à Apple de supprimer le cryptage de ses données dans le nuage est un exemple effrayant de ce que nous verrons plus souvent à l’avenir : Une fois que le pouvoir existe, les gouvernements l’utiliseront pour porter atteinte à la sécurité et à la vie privée.

Pour tous ceux qui utilisent des services cryptés et sécurisés, cette incertitude fait qu’il est plus difficile de faire confiance à une juridiction dotée de pouvoirs de surveillance vagues et incontrôlés. La confiance ne peut exister lorsque la loi permet discrètement aux gouvernements d’accéder aux communications privées.

La surveillance est une tendance

Malheureusement, le projet de loi canadien C-2 n’est pas le fruit d’un changement politique soudain. Chez Tuta, nous suivons les politiques de surveillance depuis plus de dix ans maintenant, et il semble de plus en plus que l’Alliance des cinq yeux renforce ses mesures de surveillance pays par pays, en testant les limites à chaque fois, dans le but de parvenir à une surveillance ultime et généralisée. Et elle n’est pas la seule dans ce mouvement, comme nous l’avons vu avec l’introduction récente de “ProtectEU”, contre laquelle nous nous battons à Tuta.

Les gouvernements du monde entier semblent suivre ce que la Chine, avec ses méthodes de surveillance, a prouvé être possible dans un monde numérisé - et c’est incroyablement effrayant. C’est bien pire que ce qu’Orwell avait prédit dans son roman “1984”.

Si vous vous souciez de la vie privée, de la sécurité et de l’avenir de la liberté d’expression, c’est le moment de vous exprimer. Car une fois que ces pouvoirs sont en place, il est pratiquement impossible de les faire reculer.

Chez Tuta, nous nous battons pour pouvoir construire un service crypté de bout en bout qui respecte votre vie privée et protège vos données. Et nous continuerons à nous opposer à toute législation - que ce soit au Canada ou ailleurs - qui cherche à porter atteinte à votre droit humain à la vie privée.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.