NordVPN et Windscribe menacent de quitter le Canada si le projet de loi C-22 est adopté
Deux importants fournisseurs de VPN ont officiellement annoncé qu'ils quitteraient le marché canadien si le projet de loi C-22 devenait loi. NordVPN et l'entreprise d'origine canadienne Windscribe ont tous deux publié des déclarations confirmant qu'ils ne peuvent pas opérer sous une législation qui les obligerait à conserver les métadonnées des utilisateurs pendant un an et à intégrer des portes dérobées dans leur chiffrement. Ces annonces font suite à l'avertissement précédent de Signal, qui menaçait de cesser ses opérations au Canada dans les mêmes conditions.
Ce que le projet de loi C-22 exigerait
Le projet de loi C-22, actuellement devant le Parlement canadien, obligerait les fournisseurs de services de télécommunications et de messagerie à conserver les métadonnées (qui a communiqué avec qui, quand et d'où) pendant au moins 12 mois et à les mettre à la disposition des forces de l'ordre sans mandat dans certaines circonstances. Le projet de loi contient également des dispositions obligeant les fournisseurs à développer des capacités techniques permettant l'interception légale, ce qui, selon les critiques, équivaut fonctionnellement à imposer des portes dérobées de chiffrement.
Pour les fournisseurs de VPN, dont l'ensemble du modèle économique repose sur la non-journalisation de l'activité des utilisateurs, la conformité serait techniquement impossible sans trahir fondamentalement la promesse principale de leur produit. Un VPN qui conserve 12 mois de métadonnées de connexion n'est pas un VPN privé : c'est un journal de surveillance avec un abonnement mensuel.
Pourquoi la position de Windscribe est particulièrement importante
Le siège social de Windscribe est situé à Toronto. Contrairement à NordVPN, qui est constituée au Panama et peut simplement fermer sa base d'utilisateurs canadiens tout en poursuivant ses opérations ailleurs, Windscribe ne peut pas se délocaliser facilement. Son fondateur et son équipe sont canadiens. La déclaration de l'entreprise selon laquelle elle préférerait fermer ses portes plutôt que de s'y conformer est un signal particulièrement fort : une entreprise canadienne affirmant aux législateurs canadiens que leur propre législation est incompatible avec la gestion d'une entreprise légitime axée sur la confidentialité sur le sol canadien.
La position de NordVPN est moins compliquée sur le plan opérationnel mais tout aussi symbolique. En tant que l'une des marques de VPN les plus reconnues au monde, son refus public de s'y conformer a un poids important dans le débat politique.
La tendance générale : l'exode comme signal politique
Ce n'est pas la première fois que le Canada fait face à des retraits du marché liés à la confidentialité. Signal a créé un précédent pour cette conversation lorsqu'il a annoncé qu'il se retirerait du Canada plutôt que de compromettre son chiffrement. Le phénomène s'étend désormais aux fournisseurs de VPN, qui desservent une base d'utilisateurs différente mais qui se chevauche : les journalistes, les militants, les voyageurs d'affaires et les Canadiens ordinaires qui utilisent des VPN pour la confidentialité sur les réseaux publics plutôt que pour la messagerie de bout en bout.
À travers l'Europe et l'anglosphère, une dynamique similaire s'est jouée à plusieurs reprises. L'Online Safety Act du Royaume-Uni, la proposition de l'UE sur le Chat Control et la loi australienne Assistance and Access Act ont tous déclenché des avertissements similaires de la part des entreprises technologiques axées sur la confidentialité. Dans la plupart des cas, les législateurs ont considéré ces avertissements comme des menaces en l'air. Dans certains cas — le refus de Signal d'ajouter des portes dérobées sous la pression britannique étant le plus marquant — les entreprises sont allées jusqu'au bout.
Ce que les utilisateurs canadiens perdraient
Si le projet de loi C-22 est adopté dans sa forme actuelle et que les principaux fournisseurs de VPN quittent le marché, les utilisateurs canadiens seraient confrontés à un champ d'outils de confidentialité considérablement réduit. Les fournisseurs les plus susceptibles de rester sont ceux qui s'engagent le moins en matière de confidentialité — des services qui enregistrent déjà des données ou sont constitués dans des juridictions mal supervisées. Dans la pratique, le projet de loi n'éliminerait pas l'utilisation des VPN ; il pousserait les Canadiens vers des fournisseurs moins fiables ou vers l'exploitation de leurs propres serveurs pour éviter totalement la conformité.
Pour les nombreux Canadiens qui utilisent des VPN à des fins légitimes (sécurité d'entreprise, protection des données financières sur le Wi-Fi public, contournement des restrictions de contenu géographiques), l'impact pratique serait une dégradation de l'ensemble des outils disponibles et une perte de confiance dans les allégations de confidentialité des fournisseurs restants.
Statut et prochaines étapes
Le projet de loi C-22 est actuellement en cours de révision parlementaire. Des défenseurs de la vie privée, des entreprises technologiques et des organisations de défense des libertés civiles, dont l'Association canadienne des libertés civiles, ont déposé des objections formelles. Les promoteurs du projet de loi affirment que les dispositions relatives à la conservation des métadonnées sont d'une portée limitée et nécessaires pour que les forces de l'ordre puissent enquêter sur les crimes graves, et que la présentation de portes dérobées est une mauvaise caractérisation des exigences techniques.
NordVPN et Windscribe n'ont pas fixé de date de retrait spécifique et le projet de loi n'a pas encore été adopté. Cependant, les annonces formelles des deux fournisseurs indiquent que l'opposition de l'industrie est passée du lobbying à la planification d'urgence.
