Le très honorable Mark Carney, P.C., O.C., Député
Premier ministre du Canada
L’honorable Gary Anandasangaree P.C., Député
Ministre de la sécurité publique
CC:
L’honorable Lena Metlege Diab P.C., Députée
Ministre de l’Immigration, des Réfugiés et de la Citoyenneté
L’honorable Sean Fraser P.C., Député
Ministre de la Justice et procureur général du Canada
Lettre ouverte : Loi visant une sécurité rigoureuse à la frontière
Monsieur le premier ministre Carney, et Monsieur le ministre Anandasangaree,
Les organisations de la société civile, les entreprises et les experts en cybersécurité soussignés, y compris les membres de la Global Encryption Coalition, exhortent le gouvernement fédéral à retirer le projet de loi C-2, Loi concernant certaines mesures liées à la sécurité de la frontière entre le Canada et les États-Unis et d’autres mesures connexes liées à la sécurité (Loi visant une sécurité rigoureuse à la frontière).
Le projet de loi C-2 a pour objectif d’améliorer la sécurité, mais les sections 14 et 15 auraient l’effet inverse en accordant au gouvernement canadien des pouvoirs étendus pour accéder à des informations privées sans mandat et obliger les services à installer des « capacités techniques » pour accéder aux communications et aux données sensibles cryptées des Canadiens. Le consensus parmi les experts en cybersécurité est clair. Il n’existe aucun moyen de fournir une porte dérobée aux données et communications cryptées sans compromettre la confidentialité et la sécurité de millions de citoyens respectueux de la loi.
Obliger les entreprises à créer des portes dérobées pour les forces de l’ordre et les agences de renseignement aurait pour effet :
- de compromettre la sécurité et la confidentialité des personnes au Canada et à l’étranger, y compris les enfants et les communautés vulnérables
- d’exposer les Canadiens à la surveillance nationale et internationale
- de nuire à la croissance et à la résilience de l’économie numérique canadienne
- d’exposer les Canadiens à l’augmentation du coût de la cybercriminalité
Un cryptage puissant est essentiel pour empêcher que des informations privées ne tombent entre de mauvaises mains. Dans une société numérique où les services en ligne, y compris les entreprises d’IA, collectent, compilent et vendent de plus en plus de données identifiables et sensibles, le cryptage est souvent notre dernière ligne de défense pour la confidentialité et la sécurité en ligne. Empêcher les particuliers et les entreprises de se protéger à l’aide des outils de sécurité les plus puissants disponibles serait désastreux.
L’accès aux données cryptées est une menace à la sécurité des frontières et à la sécurité nationale
Il n’existe pas de porte dérobée accessible uniquement aux forces de l’ordre et aux agences de renseignement. Et si vous en créez une, la question n’est pas de savoir « si » vos adversaires exploiteront cette vulnérabilité, mais « quand ».
La campagne de cyber espionnage de Salt Typhoon en 2024 nous rappelle brutalement que les portes dérobées ne sont jamais seulement réservées aux « gentils ». Des pirates informatiques d’États-nations ont eu accès à des informations de sécurité nationale américaines extrêmement sensibles en utilisant une capacité d’écoute électronique intégrée aux réseaux de télécommunications américains. De plus, les entreprises de télécommunications américaines infectées peuvent ne jamais être en mesure de réparer les dommages causés à leurs réseaux par cette campagne d’espionnage. La violation de la capacité d’écoute télephonique mené par Salt Typhoon était le résultat d’une décision politique américaine qui obligeait les entreprises d’infrastructures de télécommunications à créer un une porte dérobée dont les pirates informatiques pouvaient exploiter. La section 15 du projet de loi C-2 aurait des conséquences bien plus graves, menaçant la sécurité de pratiquement tous les services Internet (au Canada et à l’étranger) qui reçoivent des demandes similaires, ainsi que celle des particuliers et des entreprises qui en dépendent.
Le Centre canadien pour la cybersécurité a récemment publié un bulletin sur les cybermenaces distinctes présentent le Salt Typhoon aux organisations canadiennes2.
Le Canada deviendra un foyer de cyber incidents et les Canadiens en assumeront le coût
Les Canadiens sont de plus en plus exposés aux risques de violations de données et de cybercriminalité motivée par les gains financiers. Selon Statistique Canada, les entreprises canadiennes ont dépensé 1,2 milliard de dollars pour se remettre de cyber incidents en 2023. Un cryptage puissant est crucial afin de prévenir et d’atténuer l’impact de cyber incidents. Il permet aux particuliers, aux entreprises et aux réseaux d’acheminer des informations sensibles sur l’Internet sans que des espions ou des pirates ne puissent voir ou altérer leur contenu. Cela est essentiel pour garantir que les services en ligne (les services bancaires, le commerce électronique, les déclarations fiscales, la télémédecine) – ainsi que l’infrastructure Internet qui les rend possibles – fonctionnent de la manière attendue par les particuliers et les entreprises. Le volume et l’impact des cyber incidents pourraient monter en flèche en raison des sections 14 et 15 du projet de loi C-2, et les coûts seront très certainement répercutés sur les consommateurs, contribuant ainsi à l’augmentation déjà croissante du coût de la vie et des affaires au Canada.
Le projet de loi C-2 fera fuir l’innovation, les talents et les investissements hors du Canada
Exiger des entreprises qu’elles reconfigurent leurs systèmes spécifiquement pour permettre l’accès aux systèmes de communication afin de se conformer aux ordonnances gouvernementales les obligerait à choisir entre affaiblir la sécurité de leurs services, mettant ainsi à risque la sécurité et la confidentialité des utilisateurs, ou retirer leurs services/produits sécurisés du Canada. L’un ou l’autre de ces choix affaiblirait la sécurité des Canadiens.
Cela s’est déjà produit. Une récente décision du gouvernement britannique prise à l’encontre d’Apple en vertu de la loi sur les pouvoirs d’enquête (Investigatory Powers Act) a conduit Apple à cesser d’offrir la protection avancée des données au Royaume-Uni, plutôt que d’affaiblir la sécurité de son produit en fournissant au gouvernement l’accès à une porte dérobée. Les soi-disant protections relatives aux « vulnérabilités systémiques » figurant dans la section 15 du projet de loi C-2 ne suffisent pas pour protéger la sécurité et l’intégrité des données canadiennes.
Si certaines entreprises peuvent choisir de quitter définitivement le Canada, d’autres qui ne sont pas en mesure de le faire subiront probablement les conséquences économiques d’un secteur technologique en perte de confiance. Un rapport commandé par l’Internet Society sur les conséquences économiques des lois qui affaiblissent le cryptage a révélé que la loi australienne sur les télécommunications et autres modifications législatives (assistance et accès) (TOLA) a provoqué une méfiance massive envers le secteur technologique australien et des pertes financières importantes. Une entreprise interrogée a estimé l’« impact économique négatif » à environ 1 milliard de dollars australiens.
Les populations vulnérables seront davantage exposées à des risques
Les dispositions relatives à l’accès légal prévues dans le projet de loi C-2 éroderaient la dernière ligne de défense permettant de garantir la sécurité des personnes en ligne et hors ligne. Les organismes internationaux de défense des droits humains et les experts en sécurité des enfants ont reconnu l’importance du cryptage pour protéger la sécurité et la confidentialité des personnes, y compris les enfants et les communautés vulnérables. Le cryptage garantit aux personnes des moyens de communication en ligne sécurisés lorsqu’elles en ont le plus besoin. Pour les victimes de violence familiale, le cryptage est un rempart qui sécurise les communications confidentielles concernant les plans d’évasion et la protection des victimes (y compris les enfants) contre leurs agresseurs. Pour les enfants, cela signifie que les écoles et les autorités sanitaires peuvent continuer à protéger leurs données sensibles des prédateurs. Pour les communautés autochtones et les groupes marginalisés, cela peut aider à créer des espaces sûrs pour mener des actions de sensibilisation et entrer en contact avec d’autres communautés tout en évitant le harcèlement et la surveillance en ligne. Le cryptage protège également les personnes contre la répression transnationale en préservant les données d’autres gouvernements qui pourraient les utiliser à mauvais escient pour faire taire les critiques par l’intimidation ou les menaces de violence.
Le projet de loi C-2 expose les Canadiens à la surveillance internationale
Le projet de loi C-2 pourrait exposer tous les Canadiens à la surveillance internationale. Cela inclurait le partage d’informations entre partenaires du renseignement tels que les États-Unis, l’Australie et le Royaume-Uni si ses pouvoirs étaient utilisés pour répondre à des demandes d’application de la loi étrangères. Par exemple, le Canada est présentement en train de négocier un accord CLOUD Act (Clarifying Lawful Overseas Use of Data Act) avec les États-Unis qui pourrait donner à ces derniers un pouvoir accru pour faire valoir leurs intérêts en matière d’application de la loi au Canada en demandant au gouvernement canadien d’obliger les entreprises à créer des portes dérobées de cryptage. Permettre aux gouvernements d’accéder sans mandat à des informations sensibles pourrait avoir pour effet de transformer les citoyens et les institutions ordinaires en actifs étrangers, notamment les avocats spécialisés en immigration, les prestataires de soins de santé et les établissements universitaires.
Monsieur le premier ministre Carney et Monsieur le ministre Anandasangaree: Ne faites pas en sorte que l’une de vos premières mesures au Parlement mette en péril la sécurité numérique, la confidentialité et la sûreté du Canada, tant en ligne que hors ligne.
Les signataires soussignés demandent au gouvernement fédéral de retirer le projet de loi C-2 pour contrer les menaces immédiates des sections 14 et 15, et d’effectuer une étude complète, comprenant des consultations et une évaluation de l’impact sur l’Internet, afin d’atténuer les autres risques que comporte le projet de loi. Ce devoir de faire preuve de diligence aidera à assurer que le projet de loi s’aligne sur ses objectifs en vue d’améliorer la sécurité au Canada, en garantissant que les personnes et les entreprises disposent des outils les plus efficaces pour éviter les violations de données et la prochaine cyberattaque majeure, en promouvant une croissance résiliente de l’économie numérique canadienne et en protégeant les personnes et les communautés vulnérables contre tout préjudice.
Signataires :
Organisations
Africa Rural Internet and STEM Initiative (AFRISTEMI)
British Columbia Civil Liberties Association
Center for Democracy & Technology
Emerald Onion
Indigenous Connectivity Institute
International Civil Liberties Monitoring Group
Internet Society
Internet Society UK England Chapter
Internet Society Manitoba Chapter Inc.
Internet Society Québec Chapter
LGBT Tech
OpenMedia
Privacy & Access Council of Canada
SECURECRYPT
The Tor Project
Tuta Mail
Experts individuels*
Sofia Celi, Brave / University of Bristol
Robert Diab, Thompson Rivers University
Dr. Jean Dinco
Jeff Doctor, Animikii Indigenous Technology
Dr. Richard Forno, UMBC Cybersecurity Institute
Ronald L. Rivest, MIT
Kate Robertson, Citizen Lab, Munk School of Global Affairs & Public Policy, University of Toronto
Adam Shostack, Author, Threat Modeling: Designing for Security
Kris Shrishak, ICCL – Enforce
Chad Walter, Paperclip Inc.
Daniel Zappala, Brigham Young University
* Affiliations répertoriées à des fins d’identification
