Le Canada veut mettre à jour ses outils d’enquête à l’ère numérique. Mais le projet de loi C-22, aussi appelé Lawful Access Act, 2026, est en train de devenir bien plus qu’un débat juridique à Ottawa. Il touche maintenant à une question très concrète : jusqu’où un État peut-il demander aux entreprises technologiques d’être capables d’aider la police sans affaiblir la vie privée de tout le monde ?
Le projet de loi est actuellement étudié en comité à la Chambre des communes, après sa deuxième lecture et son renvoi au Comité permanent de la sécurité publique et nationale le 20 avril 2026.
Ce que le gouvernement veut faire
Selon Ottawa, C-22 vise à moderniser l’« accès légal » aux informations numériques. L’idée officielle est simple : les enquêtes criminelles et de sécurité nationale passent aujourd’hui par des téléphones, des applications, des comptes en ligne, des adresses IP, des services cloud et des messageries chiffrées. Les lois actuelles, elles, auraient encore un pied dans l’époque du téléphone fixe.
Le gouvernement affirme que la partie 2 du projet de loi ne crée pas de nouveaux pouvoirs d’interception pour la police ou le SCRS. Elle viserait plutôt à s’assurer que certains fournisseurs de services électroniques soient techniquement capables de répondre à des ordonnances ou mandats déjà prévus par la loi.
En clair, Ottawa dit : ce n’est pas une nouvelle permission d’espionner, c’est une obligation technique de pouvoir obéir à une demande légale.
C’est précisément là que le débat commence.
Le mot qui change tout : métadonnées
Le projet de loi prévoit que certains fournisseurs pourraient devoir conserver des catégories de métadonnées, incluant des données de transmission, pendant une période raisonnable pouvant aller jusqu’à un an. Le texte précise toutefois que cette rétention ne doit pas viser le contenu des communications, l’historique de navigation web ou les activités sur les réseaux sociaux.
Sur papier, la distinction est importante. Le contenu, c’est ce que vous dites. Les métadonnées, c’est autour de ce que vous dites : quand, comment, avec quel service, parfois avec quel identifiant technique.
Mais dans le monde numérique, les métadonnées peuvent déjà raconter beaucoup. Elles ne disent pas toujours le message, mais elles dessinent la silhouette du comportement. C’est pour cela que les défenseurs de la vie privée s’inquiètent. Une archive massive de signaux, même sans contenu, peut devenir une carte très précise de la vie numérique.
Pourquoi les VPN et les services chiffrés montent au front
C-22 a déclenché une réaction forte de plusieurs entreprises du secteur de la confidentialité. NordVPN a indiqué qu’il pourrait envisager de limiter ou retirer sa présence au Canada si la loi l’obligeait à compromettre son architecture sans journaux ou son chiffrement.
Signal, Windscribe, Proton VPN, ExpressVPN et d’autres acteurs de la confidentialité ont aussi exprimé des inquiétudes. Le cœur du problème est simple : un VPN ou une messagerie chiffrée qui promet de ne pas conserver certaines données ne peut pas soudainement devenir un coffre rempli de journaux d’activité sans trahir sa propre raison d’exister.
Apple, Google et Meta ont également soulevé des préoccupations autour du chiffrement, des ordres secrets et du besoin de supervision judiciaire plus forte. Reuters rapporte qu’Apple et Google demandent des modifications au projet de loi afin d’ajouter davantage de garanties, notamment sur la transparence, le chiffrement et le contrôle judiciaire.
Le gouvernement dit que le chiffrement est protégé
Le texte de C-22 inclut une restriction importante : un fournisseur ne serait pas tenu de se conformer à une exigence si cela l’obligeait à introduire une « vulnérabilité systémique » dans un service électronique, ou l’empêchait de corriger une telle vulnérabilité.
C’est l’argument de défense du gouvernement : la loi ne forcerait pas explicitement les entreprises à casser le chiffrement.
Mais plusieurs entreprises tech répondent que le risque n’est pas seulement dans ce qui est écrit noir sur blanc. Il est dans l’application future, dans les règlements, dans les ordres confidentiels, dans la pression technique, et dans la façon dont les fournisseurs seront forcés d’interpréter leurs obligations.
Autrement dit : Ottawa dit qu’il ne veut pas de porte dérobée. Les entreprises craignent qu’on leur demande quand même de construire une porte qui y ressemble.
Une suite logique aux débats sur les mineurs, l’âge et l’identité
C-22 arrive dans un climat déjà très sensible. Depuis plusieurs mois, le Canada et d’autres pays débattent de vérification d’âge, de réseaux sociaux pour les mineurs, de sites pour adultes, d’identité numérique et de responsabilité des plateformes.
C’est pourquoi le sujet dépasse la police et les criminels. Il rejoint une question plus large : est-ce que la protection en ligne passe forcément par plus d’identification, plus de conservation de données et plus d’obligations techniques pour les plateformes ?
À lire aussi sur Branchez-vous : L’industrie pour adultes face au mur : vers un renouveau pour notre jeunesse
À lire aussi : Ottawa prépare un « couvre-feu numérique » : vers une interdiction des réseaux sociaux pour les moins de 16 ans ?
Ces deux dossiers ne sont pas identiques à C-22, mais ils appartiennent au même grand chantier : la fin de l’Internet anonyme par défaut, ou du moins la fin de l’Internet sans contrôle technique visible.
Le vrai débat : sécurité publique ou infrastructure de surveillance ?
La version gouvernementale de C-22 repose sur un argument difficile à ignorer : les crimes ont changé. Fraude, extorsion, exploitation sexuelle d’enfants, traite de personnes, blanchiment d’argent, espionnage et menaces transnationales utilisent des outils numériques. Les forces de l’ordre veulent pouvoir suivre la cadence.
Mais la version critique repose sur une peur tout aussi sérieuse : une fois qu’une infrastructure d’accès existe, elle ne sert pas toujours uniquement aux cas extrêmes. Elle peut s’élargir, se normaliser, puis devenir invisible.
C’est ce qui ressort fortement des discussions en ligne. Les lecteurs ne se demandent pas seulement si la police doit pouvoir enquêter sur des crimes graves. Ils se demandent qui contrôle les outils, qui vérifie les abus, qui stocke les données, qui paie les coûts, et ce qui arrive si les meilleurs services de confidentialité préfèrent quitter le Canada plutôt que de modifier leur technologie.
Ce qu’il faut surveiller maintenant
La suite va se jouer dans les amendements. Les points clés seront probablement :
- La définition exacte des fournisseurs visés.
- La portée réelle des métadonnées conservées.
- La durée et les conditions de conservation.
- Le rôle des tribunaux et du commissaire au renseignement.
- Les protections réelles autour du chiffrement.
- La possibilité pour les entreprises de contester certaines obligations.
- La transparence publique autour des ordres confidentiels.
C-22 pourrait encore changer. Mais le signal est déjà clair : le Canada entre dans une nouvelle phase de régulation numérique. Après les contenus, les mineurs, les plateformes et les services de diffusion, c’est maintenant l’infrastructure invisible du web qui passe sous la loupe.
Le débat n’est donc pas de savoir si la sécurité publique compte. Elle compte. Le débat est de savoir si, pour mieux voir les criminels, on accepte de construire un système qui regarde aussi tout le monde de plus près.
