Apple et Google avertissent que la législation canadienne sur la sécurité en ligne pourrait permettre aux autorités de contraindre secrètement les entreprises technologiques à affaiblir les protections contre le chiffrement sur les téléphones, les plateformes cloud et les services de messagerie.
Les préoccupations portent sur le projet de loi C-22, un projet de loi actuellement débattu à la Chambre des communes du Canada. Le projet de loi vise à étendre les pouvoirs d’accès légal des forces de l’ordre et des agences de renseignement enquêtant sur les menaces à la sécurité et les activités criminelles. Les responsables canadiens affirment que la proposition aiderait les autorités à obtenir plus rapidement des preuves numériques et à répondre plus efficacement aux risques pour la sécurité nationale.
Cependant, Apple, Google, Meta et les défenseurs de la vie privée soutiennent que la législation pourrait créer un cadre permettant au gouvernement d’ordonner discrètement aux entreprises de développer des capacités de surveillance ou de contourner les systèmes de chiffrement sans en informer les utilisateurs.
Lors d’un témoignage devant le Comité permanent canadien de la sécurité publique et nationale, des représentants d’Apple et de Google ont poussé les parlementaires à ajouter des protections de chiffrement renforcées et une surveillance judiciaire obligatoire au projet de loi.
Jeanette Patell, directrice des affaires gouvernementales et des politiques publiques de Google au Canada, a averti que des ordres gouvernementaux secrets compromettraient la transparence et la confiance du public. Apple a également soutenu que le projet de loi pourrait nuire aux protections de la vie privée dont les utilisateurs comptent pour sécuriser les communications personnelles, les informations financières et les données sensibles.
La loi proposée n’exige pas explicitement que les entreprises brisent le chiffrement. Pourtant, les critiques affirment qu’un langage vague entourant les « vulnérabilités systémiques » et les pouvoirs d’accès légalement pourrait pousser les entreprises à créer des portes dérobées cachées ou à affaiblir les architectures de sécurité au fil du temps.
Apple a cité son récent conflit avec le Royaume-Uni comme exemple des risques posés par les exigences secrètes du gouvernement. L’année dernière, Apple a retiré les services de sauvegarde cloud chiffrés du Royaume-Uni après avoir reçu apparemment un ordre confidentiel exigeant l’accès aux données des utilisateurs chiffrés.
Lorsque les législateurs canadiens ont demandé si Apple pouvait quitter le Canada si elle était contrainte d’affaiblir le chiffrement, le cadre d’Apple Erik Neuenschwander a refusé de spéculer mais a déclaré que l’entreprise espérait que des amendements seraient apportés à la législation.
Meta a également averti que le projet de loi pourrait contraindre les entreprises à installer des logiciels espions gouvernementaux ou à maintenir des capacités contournant les protections contre le chiffrement. L’entreprise a indiqué que de telles mesures pourraient finalement rendre les utilisateurs moins sécurisés en introduisant des faiblesses exploitables dans des systèmes conçus pour résister aux cyberattaques et à la surveillance.
Sécurité publique Canada a rejeté les allégations selon lesquelles la législation exigerait que des vulnérabilités systémiques soient introduites dans les services chiffrés. Des responsables gouvernementaux ont déclaré que le projet de loi vise à rester « neutre en matière de chiffrement » tout en permettant des enquêtes légales sur des menaces graves.