Retour aux projets de loi

Loi de 2026 sur l'accès légal

Titre complet:
Loi concernant l'accès légal

Résumé#

  • Le projet de loi C-22, la Loi sur l'accès légal, 2026, met à jour les lois criminelles et de sécurité nationale du Canada pour l'ère numérique. Il vise à aider la police et les agences de renseignement à obtenir plus rapidement des informations numériques de base tout en établissant des règles sur la manière dont les entreprises technologiques doivent aider.

  • Il crée également une nouvelle loi qui peut exiger des fournisseurs de services électroniques (comme les télécommunications, les médias sociaux, le cloud et les services de messagerie) de construire et de maintenir des outils qui soutiennent l'accès légal, avec une surveillance indépendante.

  • Changements clés :

    • La police et le SCRS peuvent exiger des télécommunications de confirmer si une personne ou un compte nommé est un client, et les juges peuvent ordonner aux entreprises de remettre des « informations sur les abonnés » (nom, adresse, identifiants de compte et détails du service).
    • En cas d'urgence urgente, la police peut obtenir certaines données (y compris des informations sur les abonnés) sans mandat ; les agents peuvent également agir sur des informations publiques et sur des informations qui leur sont fournies volontairement.
    • Les mandats pour les données de suivi (localisation) et les données de transmission (acheminement non contenu et données techniques) peuvent couvrir des dispositifs ou des comptes « similaires » non connus au moment de l'émission du mandat.
    • Les juges peuvent autoriser l'examen des données informatiques saisies et retarder l'avis au propriétaire ou à la personne concernée, dans certains cas jusqu'à trois ans.
    • Une nouvelle loi permet au ministre d'ordonner aux fournisseurs de services de maintenir des capacités d'accès et de conserver certaines métadonnées pendant un an (pas de contenu, d'historique de navigation ou d'activité sur les réseaux sociaux). Les ordres doivent être approuvés par le Commissaire au renseignement.

Ce que cela signifie pour vous#

  • Utilisateurs d'Internet et de téléphone

    • La police peut demander à votre fournisseur de confirmer si vous avez un compte. Cela ne nécessite pas de juge, mais doit être lié à une infraction présumée et donner au moins 24 heures pour répondre. Votre fournisseur peut être interdit de vous en informer pendant un an.
    • La police ou un juge peuvent ordonner aux entreprises de fournir des informations sur les abonnés vous concernant (nom, adresse, numéros de compte, identifiants de dispositif et dates de service). Le contenu des messages n'est pas inclus ici.
    • En cas d'urgence (circonstances urgentes), certaines données peuvent être obtenues sans ordonnance du tribunal.
    • Votre fournisseur peut être tenu de conserver certaines métadonnées (telles que les données de transmission) pendant un an si les règlements l'exigent. Ils ne peuvent pas être tenus de conserver le contenu, votre historique de navigation ou votre activité sur les réseaux sociaux.
    • Vous ne serez peut-être pas informé immédiatement si vos données informatiques sont examinées ; l'avis peut être retardé dans certains cas.

  • Confidentialité et sécurité

    • Le projet de loi interdit au gouvernement de forcer les entreprises à créer des « vulnérabilités systémiques » (pas de portes dérobées obligatoires qui affaiblissent le chiffrement).
    • Les agents peuvent recevoir et utiliser des informations qui sont publiquement disponibles ou partagées volontairement par une entreprise, avec immunité pour l'entreprise si le partage est légal.

  • Entreprises technologiques et télécommunications (y compris les plateformes et les services cloud)

    • Les « fournisseurs principaux » (classes définies par règlement) peuvent être tenus de construire et de maintenir des capacités techniques pour localiser, extraire et livrer des informations autorisées, et d'installer ou d'exploiter des équipements qui permettent l'accès.
    • Vous pourriez être tenu de conserver des catégories spécifiques de métadonnées pendant un an (pas de contenu, d'historique de navigation ou d'activité sur les réseaux sociaux).
    • Le ministre peut émettre des ordres spécifiques à l'entreprise (sous réserve de l'approbation du Commissaire au renseignement), après vous avoir donné la chance de répondre. Les ordres peuvent inclure des délais et, à la discrétion du ministre, une compensation pour les coûts.
    • Vous devez aider à tester les outils d'accès (sans exposer d'informations personnelles), garder les affaires confidentielles et accepter des inspections, des ordres d'audit interne et des ordres de conformité.
    • Les pénalités pour violations peuvent atteindre 50 000 $ pour les particuliers et 250 000 $ pour les entreprises (administratif), et des amendes plus élevées pour les infractions.

  • Agences d'application de la loi et de sécurité

    • Outils plus rapides pour identifier quel fournisseur détient un compte et pour obtenir des données sur les abonnés et de transmission, y compris auprès de fournisseurs étrangers avec l'autorisation d'un juge.
    • Mandats de suivi et de transmission de données plus larges qui couvrent des dispositifs ou des comptes similaires non connus au départ.

  • Personnes au Canada dont les données sont demandées par des autorités étrangères

    • Un juge canadien peut faire appliquer une décision étrangère qui oblige à produire des données sur les abonnés ou de transmission détenues au Canada si les conditions légales canadiennes sont remplies, avec des délais fixés (environ 20 jours pour les informations sur les abonnés et 45 jours pour les données de transmission). Des ordonnances de non-divulgation peuvent s'appliquer.

Dépenses#

Coût annuel estimé : Aucune information disponible publiquement.

  • Les fournisseurs seront probablement confrontés à de nouveaux coûts de conformité pour construire et maintenir des capacités techniques, conserver certaines métadonnées et respecter les règles de sécurité et de confidentialité.
  • Le gouvernement peut encourir des coûts pour la surveillance, les inspections, les procédures judiciaires et les examens du Commissaire au renseignement.
  • Le ministre peut fixer des frais réglementés pour l'assistance des fournisseurs et peut inclure une compensation discrétionnaire dans les ordres ministériels.

Point de vue des partisans#

  • Aide à résoudre les crimes plus rapidement en reliant rapidement les suspects à des comptes et des dispositifs, en particulier dans des affaires sensibles au temps.
  • Maintient les protections essentielles : de nombreuses étapes nécessitent encore un juge, et les ordres aux entreprises doivent être approuvés par le Commissaire au renseignement.
  • Protège la cybersécurité en interdisant les exigences qui affaibliraient le chiffrement ou créeraient des portes dérobées.
  • Limite la conservation des données aux métadonnées uniquement et interdit expressément de conserver le contenu, l'historique de navigation ou l'activité sur les réseaux sociaux.
  • Améliore la clarté : les agents peuvent s'appuyer sur des informations publiques et un partage volontaire légal, réduisant les retards.
  • Ajoute de la transparence et de la responsabilité grâce à des rapports publics annuels et un examen parlementaire formel après trois ans.

Point de vue des opposants#

  • Élargit l'accès sans mandat dans des domaines clés (demandes de confirmation de compte et pouvoirs d'urgence), ce qui pourrait éroder la vie privée.
  • Utilise un seuil plus bas (« soupçon raisonnable ») pour plusieurs outils de production, que les critiques disent qu'il pourrait être trop facile à atteindre.
  • Permet de longues périodes de secret (ordonnances de bâillon jusqu'à un an ; avis retardé pour les données informatiques jusqu'à trois ans), limitant la capacité des gens à connaître et à contester les recherches.
  • Permet au ministre d'ordonner aux entreprises de construire des capacités permettant la surveillance, avec des pénalités pour non-conformité, soulevant des préoccupations concernant l'extension des missions et le fardeau sur les petites entreprises.
  • Permet la conservation des métadonnées pendant un an, augmentant la quantité de données personnelles à risque de violations ou d'abus.
  • Encourage le partage volontaire avec immunité légale, ce que les critiques disent peut contourner la surveillance judiciaire et créer des protections de la vie privée inégales entre les fournisseurs.