Un projet de loi digne d’une dictature

Si les Canadiens ont élu Mark Carney comme premier ministre dans un rejet des tendances autoritaires au sud de la frontière, voilà que les choses commencent bien mal.

C’est ce que conclut Robert Diab en réaction au contenu du projet de loi C-2, la Loi visant une sécurité rigoureuse à la frontière, déposé en juin.

Il explique que si d’autres administrations ont tenté sans succès de faciliter l’accès de la police aux données privées des Canadiens et Canadiennes, en particulier les renseignements des comptes détenus auprès de fournisseurs d’accès Internet ou ceux liés aux adresses de protocole Internet (IP), la tentative du gouvernement actuel est d’un autre calibre.

« [Ces dispositions] vont plus loin que toute autre loi des dix dernières années pour élargir le pouvoir d’accès de l’État canadien aux renseignements personnels », affirme M. Diab, professeur de droit à l’Université Thompson Rivers et spécialiste en droit et technologie et en droit constitutionnel, dans un article écrit pour Tech Policy.

Dans une entrevue avec ABC National, il s’est dit étonné du nombre et de l’étendue des pouvoirs de perquisition ajoutés dans ce projet de loi de portée générale, d’autant plus que bon nombre de ces pouvoirs n’ont rien à voir avec la sécurité frontalière.

Parmi les dispositions d’accès légal enfouies sous les mesures de sécurité frontalière, il y a la définition des renseignements relatifs à l’abonné que le projet de loi vient élargir. Cette expression, toujours non définie dans le Code criminel, la Cour suprême du Canada l’avait interprétée en 2014 dans l’arrêt R. c. Spencer comme étant « le nom, l’adresse et le numéro de téléphone » d’une personne associée à une adresse IP.

L’an dernier, dans l’arrêt R. c. Bykovets, la Cour est allée un peu plus loin en déterminant qu’il s’agit des « nom, adresse et coordonnées » associés à l’adresse IP d’une personne.

Dans le projet de loi C-2, la définition proposée comprend « [les renseignements] que l’abonné ou le client a fourni à la personne afin de recevoir les services », « l’identifiant […] attribué à l’abonné ou au client » et « les renseignements relatifs aux services fournis […] au client ». Seraient donc inclus les types de services, les renseignements permettant d’identifier les dispositifs et l’équipement, les numéros de compte et les pseudonymes.

« Des pouvoirs d’une étendue ahurissante »

La définition proposée ne se limite pas aux renseignements associés à une adresse IP et ne vise pas seulement les fournisseurs d’accès Internet. Le projet de loi permettrait à la police et au Service canadien du renseignement de sécurité de requérir des renseignements à toute « personne fournissant des services au public ou [à tout] abonné aux services fournis par une telle personne ». Cela engloberait autant les hôpitaux, les refuges pour femmes et les psychiatres que les institutions financières par exemple.

Fait particulièrement inquiétant, ces ordres pourront être donnés à des fournisseurs de services sans mandat ni autorisation judiciaire tant qu’il existe des motifs raisonnables de croire qu’une infraction à une loi fédérale a été ou sera commise, et que l’information obtenue viendra éclairer l’enquête.

« C’est ahurissant de voir l’étendue des pouvoirs proposée », clame Michael Geist, titulaire de la Chaire de recherche du Canada en droit de l’Internet et du commerce électronique à la Faculté de droit de l’Université d’Ottawa.

« Le problème, c’est que ces pouvoirs pourront être exercés vraiment tous azimuts. »

Il s’interroge sur les conséquences pour les médecins et les juristes, qui ont des obligations déontologiques et légales à l’égard de ce type de renseignements : ceux-ci sont protégés soit par le secret professionnel, soit par de strictes règles de confidentialité.

« Les juristes devront-ils aller en cour pour maintenir le secret professionnel chaque fois qu’ils recevront une requête d’accès? »

L’ironie de la chose, c’est que le projet de loi sous-entend que la règle actuelle, qui oblige les forces de l’ordre à solliciter un mandat pour obtenir cette information, pose un problème important : un nombre élevé de mandats et d’ordres sont délivrés chaque année à ces fins. Selon le rapport annuel de transparence de Rogers (disponible uniquement en anglais), l’entreprise a reçu en 2023 près de 169 000 demandes de renseignements sur la clientèle par l’entremise d’un tribunal. Shaw en avait reçu plus de 1 100. Rogers a communiqué l’information demandée dans plus de 160 000 cas, et Shaw, dans 1 425 cas.

Or, comme la Cour suprême l’a noté dans l’arrêt Bykovets, obliger la police à obtenir une autorisation judiciaire pour pouvoir requérir une adresse IP « ne constitue pas une lourde mesure d’enquête ».

POUR EN SAVOIR PLUS : « Following the digital breadcrumbs » (en anglais)

C’est pourquoi M. Geist doute de la nécessité de ces dispositions d’accès légal dans le projet de loi C-2. Il croit plutôt que ces pouvoirs d’accès sans mandat déclencheront une avalanche de requêtes.

M. Geist rappelle qu’en 2011, le Commissariat à la protection de la vie privée du Canada avait demandé aux fournisseurs de services de télécommunication et d’accès Internet de lui indiquer le nombre de demandes de renseignements relatifs aux abonnés reçues des forces de l’ordre. D’après les réponses fournies par neuf fournisseurs seulement, plus d’un million de demandes avaient été reçues l’année précédente, dont bon nombre découlaient en général strictement d’enquêtes sur des cas d’enfants maltraités.

C’était avant l’arrêt Spencer, où la Cour suprême a remis cette pratique en cause et déterminé qu’une attente raisonnable en matière de vie privée protégeait les renseignements relatifs aux abonnés. La Cour a soutenu que de telles demandes de renseignements ne pouvaient être adressées que dans des circonstances contraignantes (c’est-à-dire une urgence) ou dans les cas où une loi raisonnable le permet.

« Une norme extrêmement faible »

David Fraser, un associé chez McInnes Cooper, à Halifax, qui se spécialise en confidentialité et en technologie, rappelle que les agents des forces de l’ordre peuvent accéder à ce genre de renseignements n’importe quand au moyen d’une ordonnance générale de communication. Ces ordonnances sont délivrées lorsqu’il y a des motifs raisonnables de penser qu’une infraction a été commise.

Il ajoute que la norme de soupçons raisonnables proposée est « extrêmement faible » et qu’elle sera probablement contestée devant les tribunaux.

« Il s’agit de la norme la plus faible en droit criminel, alors d’après moi, elle risque d’être rejetée. »

À la suite de l’arrêt Spencer, la Cour suprême a établi dans l’arrêt Bykovets que si l’attente raisonnable en matière de vie privée s’applique aux renseignements associés à une adresse IP, il en est de même pour l’adresse IP elle-même. Les requêtes de l’État visant ces renseignements constituent une « perquisition » au sens de l’article 8 de la Charte, qui garantit le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives. La Cour a indiqué clairement que cet article a pour objectif premier de protéger le droit à la vie privée et « le droit d’une personne de ne pas être importunée ».

« S’il doit protéger de manière significative la vie privée en ligne des Canadiens et des Canadiennes dans le monde actuel qui est très largement numérique, l’art. 8 doit protéger leurs adresses IP », peut-on lire dans la décision. 

« Considérée de manière normative, [l’adresse IP] est la clé donnant accès à l’activité Internet d’un utilisateur et, ultimement, à son identité. »

Cependant, la Cour n’a pas précisé dans l’arrêt Spencer ce qu’on entend par une loi raisonnable permettant la perquisition des renseignements d’un abonné.

« Actuellement, il est difficile de savoir si, pour requérir l’identité d’un abonné, il faut solliciter un mandat sur la base de soupçons raisonnables ou sur la base de motifs probables », explique M. Diab.

Dans l’arrêt Bykovets, si la Cour n’a pas défini ce que serait une loi raisonnable autorisant la requête d’une adresse IP, elle a bien mentionné l’ordonnance de communication prévue par le Code pour les données de transmission, que la police peut utiliser, et utilise déjà, pour obtenir une adresse IP. La norme applicable est alors celle du soupçon raisonnable.

« Donc, si cette norme convient pour une adresse IP, on peut déduire que les demandes de renseignements sur l’abonné, qui sont beaucoup plus invasives parce qu’elles établissent immédiatement un lien plus clair entre l’historique de recherche et la personne, devraient faire l’objet d’une norme plus restrictive » soutient M. Diab.

« C’est ce que la justice dira, à mon avis. »

Le projet de loi C-2 propose aussi de limiter la période de contestation d’une ordonnance de communication à cinq jours suivant la délivrance.

« À mes yeux, c’est complètement fou. Je crois qu’on veut empêcher la contestation des ordonnances de communication », réagit M^e Fraser.

« On parle de cinq jours après que l’ordonnance a été rendue, pas cinq jours après sa signification. Le policier pourrait attendre cinq jours avant de remettre l’ordonnance, et voilà, il n’y aurait plus aucun recours possible. »

Dans les affaires d’ordonnance de communication sur lesquelles M^e Fraser a travaillé, les entreprises ont pris plus de cinq jours pour décider de se lancer ou non dans cette démarche drastique.

« Je suis prêt à parier que les cours supérieures seraient plus qu’heureuses de mettre la main sur cette règle pour la déclarer absolument déraisonnable », ajoute M^e Fraser.

Un régime du secret

S’il est adopté, le projet de loi C-2 édictera la Loi sur le soutien en matière d’accès autorisé à de l’information, qui créera un cadre permettant au gouvernement d’obliger les fournisseurs de services électroniques, y compris les fournisseurs d’accès Internet et les plateformes comme Gmail, iCloud, Zoom et les médias sociaux, à accorder à des « personnes autorisées » l’accès légal aux lieux de stockage ou de transmission des données.

Selon M. Diab, l’on pourrait ainsi accéder par exemple à des fichiers, à des courriels ou à des conversations en clavardage, ou installer des dispositifs comme moyens d’accès direct pour intercepter les communications en temps réel.

M. Diab souligne que, malgré la nécessité d’un mandat dans les deux cas, on donnerait un pouvoir excessif aux policiers et aux services du renseignement.

Par exemple, un ministre pourrait obliger un fournisseur à installer un dispositif pour que la police ou le renseignement puissent accéder à des renseignements privés sans mandat ou d’une manière qui outrepasse leurs pouvoirs.

« Nous n’avons encore aucun mécanisme de transparence », indique M. Diab.

« Le rideau de la confidentialité entre les autorités et les fournisseurs dissimulera tant de choses que la surveillance sera très limitée. »

En effet, il sera illégal pour un fournisseur de services de révéler qu’il est soumis à une ordonnance du gouvernement ou de décrire cette ordonnance.

Ce n’est pas sans rappeler l’avis de capacité technique que le gouvernement britannique aurait signifié à Apple cette année, lui demandant ainsi de créer une porte dissimulée pour accéder aux données d’utilisateurs cryptées dans iCloud.

Pour M. Diab, l’idée que les autorités puissent accéder secrètement aux communications et aux fichiers et données stockés de tous les Canadiens est « malaisante »; c’est aussi un recul par rapport aux déclarations de la Cour suprême, qui a jugé que l’article 8 protège non seulement le droit de s’attendre raisonnablement au respect de sa vie privée, mais aussi l’intérêt à l’égard de l’anonymat en ligne.

« Ces présomptions sont remises en question ici, et pas d’une façon contestable en vertu de la Charte. »

Mais le projet de loi soulève encore d’autres réserves en matière de secret et de transparence.

M. Geist explique que depuis plus d’une décennie, avec le système de transparence que nous avons au Canada, nous avons une idée de l’étendue des renseignements communiqués aux forces de l’ordre par des entreprises comme Rogers, Telus, Bell et les grands fournisseurs d’accès Internet. Maintenant, ce ne sera plus le cas vu le large éventail d’acteurs qui pourront être visés par un ordre de fournir des renseignements.

En outre, le projet de loi permettra aux forces de l’ordre d’interdire au destinataire de l’ordonnance de divulguer celle-ci pendant un an et protégera sur le plan juridique les fournisseurs ayant volontairement fourni les renseignements demandés.

« Les cabinets juridiques ne publieront pas tous un rapport sur le nombre de demandes reçues par principe de transparence. Oubliez ça », poursuit M. Geist.

« Si on ouvre d’autres voies comme le gouvernement le propose, tout cela restera dans les arcanes. »

Ouvrir la porte à plus d’échanges de données et aux abus

D’après M^e Fraser, les dispositions sur l’accès autorisé sont aussi un terrain fertile pour les abus.

Même si un fournisseur de services au Canada pourra contester un ordre si celui-ci risque d’ouvrir des brèches dans son système de protection électronique, « tout ce projet de loi viendra créer des vulnérabilités systémiques de toutes sortes de façons ».

« Si on force Rogers, Bell ou Telus à installer des dispositifs pour permettre à la GRC de se connecter directement, ces mêmes dispositifs pourront être utilisés par des pirates chinois ou d’autres malfaiteurs », avance-t-il.

Le projet de loi autorisera en outre les forces de l’ordre à obliger une entreprise étrangère de services publics à fournir des renseignements sur les abonnés et les données de transmission. On a vu la réaction scandalisée des politiciens américains dans le dossier Apple, lorsque le gouvernement britannique a ordonné à l’entreprise d’appliquer une mesure susceptible de conséquences pour les utilisateurs américains, et on peut donc douter de l’accueil que recevra cet élargissement des pouvoirs au Canada.

« Le gouvernement canadien offensera à coup sûr s’il dit quoi faire à des entreprises non canadiennes, » assure M^e Fraser.

M. Diab croit que l’échange de données est une motivation importante derrière ce projet de loi contrôlant. Dans une séance d’information technique tenue en juin, le gouvernement a reconnu que l’intention qui sous-tend certaines des dispositions envisagées est d’aider le Canada à mettre en œuvre et à ratifier un nouveau traité sur l’échange de données, connu comme le « Deuxième Protocole additionnel » à la Convention de Budapest.

D’ailleurs, le Citizen Lab de l’Université de Toronto a soulevé des questions quant aux conséquences de cette loi sur l’échange de données avec les forces de l’ordre américaines.

Dans une analyse de ce groupe – dont le travail est axé sur la recherche, le développement, les grands politiques stratégiques et les démarches légales au croisement des technologies de l’information et de la communication, des droits de la personne et de la sécurité mondiale –, on signale que ce projet de loi coïncide avec les négociations menées à huis clos concernant une éventuelle entente bilatérale d’échange de données entre les forces de l’ordre sous le régime de la législation américaine, plus précisément la Clarifying Lawful Overseas Use of Data Act.

« C’est censé permettre aux forces de l’ordre canadiennes de se concerter avec celles d’autres pays pour les aider, dans une sorte d’approche réciproque », explique M. Diab. 

« Mais en fait, la communication abusive de données risquera d’entraîner des conséquences encore plus graves. Les brèches et les accès inappropriés ne seront plus l’apanage de la police au Canada : les données [pourront être transmises] partout sur la planète, alors c’est encore plus inquiétant. »

Ainsi, le Citizen Lab avertit qu’en plus d’ouvrir la porte à tout un éventail de pratiques d’exploration de données, le projet de loi permettra l’échange d’information avec les forces de l’ordre d’États comme le Mississippi, l’Idaho ou le Tennessee, où l’avortement est illégal, et ces forces de l’ordre pourront accéder sans mandat à des renseignements indiquant si une personne a recouru aux services d’une clinique d’avortement au Canada.

Excès tous azimuts

Il n’est pas surprenant que les experts juridiques, les chercheurs et les groupes de défense des libertés civiles aient vivement critiqué le projet de loi. Des appels répétés exhortant le gouvernement à faire marche arrière ont été lancés par plus de 300 organisations et 120 experts, dont l’Association canadienne des libertés civiles, la Coalition internationale de surveillance des libertés civiles, la BC Civil Liberties Association et le Citizen Lab.

« C’est un excès tous azimuts », dit M^e Fraser.

Le ministre de la Sécurité́ publique, Gary Anandasangaree, a déclaré en juin que le projet de loi est conforme à la Charte, tout comme le gouvernement l’a fait par la suite dans son énoncé concernant la Charte. Il a insisté sur le fait qu’il ne présenterait jamais un projet de loi dangereux pour les libertés civiles des Canadiens.

« Il fallait l’harmoniser avec les valeurs de la Charte canadienne des droits et libertés », a-t-il dit aux journalistes.

« Je crois fondamentalement qu’on peut trouver l’équilibre entre l’expansion des pouvoirs dans certains cas et la mise en place de garde-fous pour garantir les libertés et les droits de la personne. »

Certes, il pourrait être opportun d’accroître les pouvoirs policiers en cette ère numérique, mais M. Geist estime qu’il faudrait alors rédiger un projet de loi distinct et en étudier le bien-fondé. Le gouvernement espérait faire passer ce projet de loi sous le radar, une intention qui semble bien opportuniste.

« Un terrible précédent s’ensuit, et c’est vraiment troublant de voir que le gouvernement crible ainsi ce projet de loi de dispositions hautement problématiques en matière de vie privée. »

La situation lui rappelle la célèbre citation du chef de la direction de Sun Microsystems, Scott McNealy : « Vous n’avez aucune vie privée, acceptez-le. »

« Ça me semble être le genre de position dans laquelle se campe le gouvernement. Si consolation il y a, ce sera de voir, à n’en pas douter, la Cour suprême du Canada s’en éloigner. »