J’ai passé une bonne partie de ma semaine à lire la fameuse loi C-22. Pas par plaisir masochiste, je t’assure. Parce que les alertes fusaient de partout, les réactions sur le web s’accumulaient, et je voulais comprendre ce qui se passe réellement avant d’écrire quoi que ce soit.
Ce que j’ai trouvé est à la fois plus précis et plus inquiétant que la plupart des posts Twitter/X que je j’ai pu lire.
La loi C-22, ce n’est pas une loi qui va « espionner tout le monde dès demain ». Mais c’est une loi qui installe l’infrastructure pour le faire. Et ça, c’est exactement le genre de chose que je me devais d’expliquer le plus clairement possible dans mon blog.
Table des matières
Un gouvernement en mode « recyclage de loi »
En juin 2025, le gouvernement fédéral avait déposé le projet de loi C-2, un omnibus sécuritaire qui avait déclenché une opposition quasi unanime : plus de 300 organisations, des dizaines de milliers de citoyens, des experts en droit constitutionnel, des groupes de défense des libertés civiles.
C-2 n’a même pas survécu jusqu’au comité. Le gouvernement l’a mis de côté, reconnaissant qu’il n’aurait jamais le soutien nécessaire dans un parlement minoritaire.
Le 12 mars 2026, rebelote !
Le même gouvernement Carney déposait C-22, officiellement baptisé « Loi concernant l’accès légal« .
Le contenu est essentiellement le même, légèrement retouché pour répondre aux critiques les plus criantes. L’avocat en droit de la vie privée Jean-Sébastien Doyon l’a bien décrit dans Le Devoir : le contraste entre le maigre bilan législatif du gouvernement et son empressement à satisfaire les forces de l’ordre est frappant.
Ce n’est pas une coïncidence, c’est stratégique ! On remballe, on redépose, on espère que la fatigue fera le travail.
Le projet de loi est actuellement étudié en comité à la Chambre des communes, où il a été renvoyé après sa deuxième lecture le 20 avril 2026. Il n’est pas encore adopté. C’est maintenant qu’on peut agir.
Ce que la loi dit vraiment (et c’est déjà assez)
La loi C-22 est divisée en deux parties.
La première (ADRTO) codifie et élargit la façon dont la police et le SCRS peuvent demander des informations à des entreprises en ligne. Rien de révolutionnaire en surface, mais les détails inquiètent les juristes.
La deuxième partie, la LSMAAI, c’est là que ça devient vraiment problématique.
Elle donne au ministre de la Sécurité publique le pouvoir d’émettre des arrêtés secrets contre des fournisseurs de services numériques. Ces arrêtés pourraient obliger les entreprises à modifier leurs systèmes techniques pour faciliter l’accès aux données.
Et voici la partie qui fait chialer tout le monde : une nouvelle disposition permet au gouvernement d’ordonner à ces entreprises de conserver des métadonnées sur leurs utilisateurs pendant une période pouvant aller jusqu’à un an.
Ces métadonnées incluent : qui tu contactes, quand, avec quel service, depuis quel appareil, et parfois ta localisation. Pas le contenu de tes messages. Mais tout ce qui les entoure.
Et la portée de « fournisseur de services électroniques » dans le texte est extrêmement large.
On ne parle pas juste de Rogers et Bell. On parle de n’importe quelle entreprise qui met à disposition des informations sous forme numérique. Ton service de télémédecine, ta plateforme de comptabilité, ton VPN, ton gestionnaire de courriels… Shopify (qui est une entreprise canadienne) s’est d’ailleurs battu publiquement contre cette loi.
Avant de paniquer sur le sujet des backdoors (portes dérobées), nuançons.
Le gouvernement dit clairement que la loi ne demandera pas aux entreprises de déchiffrer des données. Officiellement, il ne crée pas de nouvelles portes dérobées.
Mais plusieurs experts en cybersécurité, dont le professeur de droit Michael Geist de l’Université d’Ottawa, soulignent que le texte est ambigu et que les obligations techniques imposées pourraient, dans les faits, mener exactement là.
La notion de « vulnérabilité systémique » que les entreprises pourraient invoquer pour refuser n’est nulle part définie précisément. C’est là le problème.
Comme l’a dit Yanik Guillemette, entrepreneur tech québécois : « Il n’y a pas de backdoor sûre. ». J’suis pas mal d’accord… C’est le genre de porte qu’on veut garder fermée.
Quand Signal et NordVPN disent « non merci »
Les entreprises tech ne sont pas des saintes. Elles défendent aussi leurs intérêts commerciaux. Il faut le dire. Mais quand Signal, NordVPN, Windscribe, Apple, Meta, ExpressVPN et Proton VPN s’alignent tous pour dire que cette loi est inacceptable, ça mérite qu’on écoute.
NordVPN a été catégorique : si C-22 passe dans sa forme actuelle et s’ils sont soumis à des obligations contraignantes, il n’y a aucun scénario où ils compromettront leur architecture sans journaux ou leur chiffrement. « Nous examinerons toutes les options viables, y compris le retrait de notre présence du territoire canadien. »
Signal (mon app de messagerie préférée) a menacé de quitter carrément le marché canadien et de rapatrier ses serveurs aux États-Unis. Windscribe, entreprise canadienne, a évoqué déplacer son siège social hors du pays.
Apple, de son côté, a dit ce qu’elle dit toujours dans ce type de situation : elle ne créera jamais de backdoor, pour aucun gouvernement. C’est la même position qu’elle avait défendue face au FBI en 2016 et face au Royaume-Uni en 2024, où elle avait préféré retirer sa fonctionnalité Advanced Data Protection plutôt que de se soumettre.
Ce qui est révélateur, c’est aussi qui d’autre s’oppose à cette loi.
Les présidents des comités Judiciary et Foreign Affairs du Congrès américain ont écrit directement au ministre canadien de la Sécurité publique pour signaler que C-22 menace la sécurité nationale américaine et l’intégrité des flux de données transfrontaliers.
Quand Washington s’implique dans une loi canadienne sur la surveillance, c’est que le dossier dépasse largement nos frontières.
Pis la Ligue des droits et libertés a présenté un mémoire au Comité permanent en mai 2026, en concluant que C-22 représente l’une des plus grandes menaces au droit à la vie privée au Canada des deux dernières décennies.
La question des métadonnées (plus grave que tu penses)
Je t’entends dire : « Mais ce ne sont que des métadonnées, pas le contenu de mes messages. »
Ben justement, c’est un argument que le gouvernement utilise aussi. C’est pourquoi je veux te montrer concrètement ce qu’on peut reconstruire avec des métadonnées.
Imagine une archive d’un an de tes activités numériques : pas un seul texte de tes conversations, mais les timestamp (heure/date), les destinataires, la localisation de ton appareil, le service utilisé.
Avec ça, quelqu’un peut savoir que tu appelles régulièrement une clinique spécialisée le jeudi après-midi. Que tu utilises une application de planification familiale. Que tu communiques avec un syndicat. Que tu contactes un journaliste. Que tu t’es trouvé à un endroit précis à un moment précis.
Le professeur de droit Robert Diab, de la Thompson Rivers University, a dit quelque chose d’important devant les médias : plusieurs tribunaux ont déjà qualifié les métadonnées de données « hautement privées ». Et les tribunaux européens ont jugé à répétition que la rétention massive de ce type de données était inconstitutionnelle. Même les États-Unis n’imposent aucune obligation similaire à leurs fournisseurs.
Une base de données nationale de métadonnées sur tous les Canadiens pendant un an, c’est exactement le type d’infrastructure que les régimes autoritaires rêvent d’avoir. Et une fois qu’elle existe, le risque de fuite, de détournement ou d’abus est permanent.
Comment se protéger si ça passe
Commençons par quelque chose d’important : tu n’es pas sans ressources, même si C-22 passe.
Sur les VPN centralisés
Note en partant : si ce terme ne te dit rien, c’est que tu es totalement passé à côté de mon article sur les VPN. Va le lire de ce pas.
NordVPN qui menace de partir, c’est une bonne chose. Mais s’ils restent et qu’ils se conforment, ton VPN devient un outil de surveillance. La solution n’est pas forcément de trouver un autre VPN commercial. La solution est de comprendre ce que tu veux vraiment protéger.
Pour la confidentialité des métadonnées, un VPN commercial qui opère encore au Canada après l’adoption de la loi sera soumis aux obligations. Les VPN qui ont déplacé leurs serveurs hors du pays, comme Windscribe l’a annoncé, seront moins exposés, mais pas à l’abri de demandes d’entraide judiciaire internationale. C’est une couche de protection, pas une garantie absolue.
Les outils qui résistent mieux
Pour les « connaisseux », Tor reste une option solide pour anonymiser le trafic. Son architecture décentralisée fait qu’il n’y a pas de « fournisseur de service » canadien à contraindre. Le réseau passe par des relais volontaires à travers le monde. C-22 ne peut pas ordonner grand-chose à un réseau qui n’a pas de siège social.
Aussi, Signal continuera de chiffrer de bout en bout même si ses serveurs quittent le Canada.
Le chiffrement de bout en bout ne dépend pas de la juridiction des serveurs. Si Signal retire ses serveurs canadiens, il continuera de fonctionner pour les utilisateurs canadiens via ses serveurs américains. Le contenu de tes messages reste inaccessible.
Pour les appareils téléphoniques, GrapheneOS demeure le king absolu des systèmes d’exploitation Android privés, qui soient. Si tu souhaites te doter d’un appareil du genre, sache que j’en fournis et configure.
Les systèmes d’exploitation comme Windows et macOS transmettent des données à leurs fabricants par défaut, et ces fabricants sont des « fournisseurs de services électroniques » au sens de C-22.
Linux, lui, n’a pas de maison mère à contraindre. Un ordinateur sous Linux Mint ou Ubuntu ne répond à personne d’autre que toi. Si tu veux t’initier à Linux, sache que j’ai aussi un service d’installation/configuration de Linux sur ta machine.
Proton Mail et Proton VPN, basés en Suisse, ont des contraintes légales différentes.
La Suisse n’a pas de traité d’entraide judiciaire automatique avec le Canada sur les données numériques, et la loi suisse sur la vie privée est plus protectrice. C’est une des meilleures options disponibles aujourd’hui.
Pour les communications vraiment sensibles, Matrix et Element avec chiffrement activé est une alternative décentralisée robuste. La messagerie tourne sur des serveurs que tu peux auto-héberger, ce qui sort du périmètre de C-22.
Ce qui ne change pas
Le chiffrement de bout en bout fonctionne indépendamment de la loi, tant que les applications qui l’implémentent ne sont pas forcées d’insérer une backdoor. C’est pourquoi les engagements d’Apple et Signal sont importants. Ils signalent clairement qu’ils préféreront quitter un marché plutôt que de compromettre le chiffrement. Ce signal fort limite ce que C-22 peut réellement obtenir en pratique.
Comment résister maintenant, avant que ça passe
C-22 n’est pas adopté, c’est encore en comité. Les pressions ont déjà forcé des modifications de C-2 à C-22. Elles peuvent forcer d’autres modifications, voire bloquer l’adoption.
Voici ce que tu peux faire concrètement :
Signer la lettre ouverte de la Ligue des droits et libertés.
La ligue a coordonné un appel conjoint au retrait de C-22, signé par de nombreuses organisations.
Tu peux la trouver sur leur site, liguedesdroits.ca.
Écrire à ton député fédéral.
Pas un template générique : deux paragraphes personnels qui expliquent pourquoi tu t’y opposes.
Les lettres individuelles ont plus d’impact que les pétitions.
Le site de la Chambre des communes te permet de trouver ton représentant en deux clics.
Partager l’information.
La fatigue informationnelle est réelle. Beaucoup de gens n’ont pas encore entendu parler de C-22.
Chaque partage est une conversation de plus. (Faque partage mon article!)
Suivre la Coalition pour la surveillance internationale des libertés civiles (CSILC).
Ils sont les plus actifs sur ce dossier au Canada et fournissent des analyses détaillées à mesure que le projet de loi évolue.
C-2 a échoué parce que les citoyens et les organisations ont fait du bruit. C-22 peut connaître le même sort, ou être suffisamment amendé pour perdre ses dents.
L’histoire des lois de surveillance au Canada, c’est une longue succession de tentatives, de reculs sous pression et de nouvelles tentatives. C-22 n’est pas le premier. Ce ne sera pas le dernier. Mais chaque victoire compte, et les victoires passées ont été possibles parce que des gens ordinaires se sont informés et ont agi.
Tu t’rends compte ? On est en 2026 et on doit encore se battre pour que l’État ait besoin d’un mandat individuel avant de fouiller nos données. C’est ça, la souveraineté numérique. Ce n’est pas une option, c’est une condition de base.
Partage cet article si tu penses que d’autres personnes dans ton entourage devraient être informées.
Et dis-moi en commentaire : toi, qu’est-ce que tu as déjà mis en place pour protéger ta vie privée numérique ?
Sources :
- Commissariat à la protection de la vie privée du Canada, mémoire au comité, mai 2026 – priv.gc.ca
- Branchez-vous, « Loi C-22 : les VPN sous pression au Canada », mai 2026 – branchez-vous.com
- Electronic Frontier Foundation, analyse de C-22, avril 2026 – eff.org
- Meta, prise de position officielle sur C-22, mai 2026 – about.fb.com
- Texte officiel du projet de loi C-22 – parl.ca
Une réponse
Trop de perversités