Le Canada est sur le point d'adopter une loi qui obligerait les plateformes de messagerie chiffrée à installer des portes dérobées secrètes pour les forces de l'ordre - et des acteurs majeurs comme Signal et Apple avertissent déjà qu'ils pourraient quitter le marché canadien plutôt que de s'y plier. Le projet de loi C-22, présenté en mai 2026, représente la loi de déchiffrement obligatoire la plus agressive proposée par un pays du G7 à ce jour, et les défenseurs de la vie privée préviennent qu'il établit un dangereux précédent que d'autres gouvernements occidentaux surveillent de près.
Ce que le projet de loi C-22 exige réellement
La législation, officiellement intitulée Loi sur la protection des Canadiens contre les préjudices en ligne (dispositions sur le chiffrement), obligerait les plateformes de communication opérant au Canada à fournir à la police et aux services de renseignement un accès technique discret aux communications chiffrées - sans avertir les utilisateurs que leurs messages sont interceptés. Le projet de loi couvre les applications chiffrées de bout en bout, ce qui signifie que le gouvernement obligerait effectivement les entreprises à briser les garanties cryptographiques sur lesquelles reposent leurs produits.
Contrairement aux lois traditionnelles sur les écoutes téléphoniques qui interceptent les données en transit, la loi C-22 obligerait les plateformes à créer des capacités techniques permanentes qui pourraient être activées à la demande par ordonnance du gouvernement. Les clauses de confidentialité du projet de loi interdiraient aux entreprises de révéler aux utilisateurs qu'elles ont reçu une telle ordonnance - créant ainsi un système de conformité secrète sans aucun mécanisme de responsabilité publique.
- Portée : Toutes les plateformes de messagerie chiffrée opérant au Canada, y compris Signal, iMessage, WhatsApp et d'autres.
- Mécanisme : Accès technique par une porte dérobée secrète, et non interception du trafic non chiffré existant.
- Ordonnance de non-publication : Interdiction pour les plateformes d'informer les utilisateurs des demandes d'accès gouvernementales.
- Sanction en cas de non-conformité : Pas encore totalement définie, mais des amendes importantes et une potentielle exclusion du marché.
La forte opposition de Signal et Apple
Signal, la référence en matière de messagerie privée, a été direct dans sa réponse : l'organisation a déclaré qu'elle se retirerait du marché canadien plutôt que de développer des portes dérobées. La position de Signal est techniquement justifiée - son modèle de sécurité repose sur la garantie mathématique qu'elle ne peut pas lire les messages des utilisateurs, même si un tribunal l'y oblige. Créer une porte dérobée nécessiterait de repenser fondamentalement le protocole d'une manière qui compromettrait la sécurité de tous les utilisateurs à l'échelle mondiale, et pas seulement au Canada.
Apple a émis un avertissement indiquant qu'elle pourrait être contrainte de retirer iMessage et FaceTime de l'App Store canadien si on l'obligeait à briser leur chiffrement de bout en bout. Cela correspond à la position précédente d'Apple au Royaume-Uni, où des dispositions similaires du Online Safety Act ont incité l'entreprise à menacer de retirer ses services chiffrés plutôt que d'affaiblir la sécurité à l'échelle mondiale pour une seule juridiction.
L'Electronic Frontier Foundation (EFF) a été encore plus tranchante dans son analyse, qualifiant le C-22 de « cauchemar de surveillance reconditionné » et établissant des comparaisons explicites avec la proposition de l'UE sur le contrôle des chats (Chat Control), qui a fait face à des années d'opposition de la part des groupes de défense des libertés civiles et des experts techniques avant d'être repoussée à plusieurs reprises. L'EFF a noté que le Canada, en tant que partenaire du renseignement des « Five Eyes », pourrait effectivement étendre l'accès par porte dérobée à l'ensemble de l'alliance.
Pourquoi les portes dérobées ne peuvent pas être sécurisées
Le consensus technique parmi les cryptographes et les chercheurs en sécurité est sans ambiguïté : il n'y a aucun moyen de créer une porte dérobée qui ne soit accessible qu'aux gouvernements autorisés. Une vulnérabilité créée pour les forces de l'ordre canadiennes est une vulnérabilité qui peut être exploitée par des États-nations hostiles, des pirates criminels et des services de renseignement étrangers. L'histoire le confirme - la doctrine NOBUS de la NSA (« Nobody But Us », personne d'autre que nous), qui supposait que les portes dérobées pouvaient rester l'exclusivité du renseignement américain, s'est avérée catastrophiquement fausse lorsque ses propres outils de piratage ont fuité et ont été transformés en armes par des groupes de ransomwares.
Si le C-22 est adopté dans sa forme actuelle, le résultat pratique ne sera pas un système ordonné de surveillance sur ordonnance du tribunal. Ce sera un écosystème de sécurité dégradé dans lequel les communications des Canadiens seront moins protégées que celles des citoyens de pays n'ayant pas de telles lois - et dans lequel les acteurs malveillants, des criminels aux pirates commandités par des États, auront une plus grande surface d'attaque à exploiter.
Le problème du modèle pour le G7
Ce qui rend le C-22 particulièrement important au-delà des frontières du Canada, c'est son potentiel en tant que modèle. L'Online Safety Act du Royaume-Uni, l'Assistance and Access Act d'Australie et les propositions Chat Control de l'UE ont tous tenté d'instaurer des versions d'un accès légal obligatoire aux communications chiffrées, avec divers degrés de sophistication technique et de protection des libertés civiles. La version canadienne se distingue par la combinaison d'un accès obligatoire par porte dérobée et d'un bâillon total sur la notification aux utilisateurs - une combinaison plus agressive que la plupart des propositions comparables dans les démocraties.
Si le Canada - un pays doté d'une forte tradition d'État de droit et d'une population technophile - normalise l'accès secret aux communications chiffrées, il devient beaucoup plus facile pour d'autres gouvernements du G7 de faire valoir que la même approche est raisonnable pour eux. La crainte de l'EFF selon laquelle le C-22 est un modèle surveillé par les gouvernements alliés n'est pas une hyperbole - elle reflète la façon dont les lois de surveillance se sont historiquement propagées dans les démocraties occidentales une fois qu'un pays brise le consensus.
La leçon plus large du C-22 est celle que les défenseurs de la vie privée soulignent depuis des années : le chiffrement n'est pas une fonctionnalité que les gouvernements peuvent affaiblir de manière sélective pour les « mauvais acteurs » tout en la laissant intacte pour les « bons acteurs ». C'est une propriété mathématique qui fonctionne ou ne fonctionne pas. Toute loi qui impose un accès par porte dérobée est une loi qui impose une sécurité plus faible pour tous - et à une époque où les infrastructures critiques, les systèmes financiers et les communications personnelles dépendent tous des mêmes fondations cryptographiques, ce n'est pas un compromis qui peut être fait en toute sécurité.
Ce que vous pouvez réellement faire
Il est important d'être honnête sur ce que les outils peuvent et ne peuvent pas protéger contre des législations comme le C-22. Un VPN chiffre votre trafic au niveau du réseau et cache votre adresse IP ainsi que votre activité de navigation à votre fournisseur d'accès Internet et aux observateurs du réseau - mais il ne peut pas protéger le contenu des messages si l'application de messagerie elle-même est légalement tenue d'intégrer une porte dérobée dans son propre code. Ce que les outils de confidentialité de la couche réseau protègent, ce sont vos métadonnées : qui vous avez contacté, quand, à quelle fréquence et d'où. Dans le cadre d'une loi de surveillance qui force les plateformes à signaler secrètement les communications, masquer votre identité au niveau du réseau reste l'une des rares mesures techniques encore sous votre contrôle - et une mesure qui devient de plus en plus pertinente à mesure que le chiffrement de la couche applicative subit des pressions juridiques.
