Le gouvernement fédéral a déposé jeudi dernier le projet de loi C-22, intitulé Loi de 2026 sur l’accès légal, un texte législatif présenté comme la modernisation la plus importante des outils d’enquête numérique depuis l’ère des bottins téléphoniques. Porté par le ministre de la Sécurité publique Gary Anandasangaree, ce projet de loi touche au Code criminel, à la Loi sur le Service canadien du renseignement de sécurité (SCRS) et crée de toutes pièces une nouvelle loi, la Loi sur le soutien en matière d’accès autorisé à l’information (LSMAAI). Partisans et détracteurs s’entendent sur au moins un point : ce projet de loi remodèle en profondeur la relation entre l’État, les fournisseurs de services numériques et les droits individuels des citoyens.
Genèse d’un projet de loi longuement attendu
L’histoire de C-22 commence bien avant son dépôt. Depuis plus de vingt ans, les corps policiers canadiens réclament un cadre législatif structuré pour accéder aux données numériques dans le cadre d’enquêtes criminelles. Le Canada est le seul pays membre des Five Eyes — le réseau de partage du renseignement qui regroupe le Canada, les États-Unis, le Royaume-Uni, l’Australie et la Nouvelle-Zélande — à ne pas disposer d’une telle loi.
Une tentative précédente, soit le projet de loi C-2 déposé au printemps 2025, avait prévu des dispositions d’accès légal à l’intérieur d’un projet de loi sur les mesures frontalières. La réaction avait été immédiate et sévère : groupes de défense des libertés civiles, experts en droit constitutionnel et associations d’entreprises technologiques avaient dénoncé les pouvoirs d’accès sans mandat comme inconstitutionnels. Le gouvernement avait alors retiré ces dispositions de C-2, mandaté l’ex-ministre provincial britanno-colombien Murray Rankin pour conduire des consultations auprès des corps policiers, des groupes de victimes, des universitaires et de l’industrie, et promis un projet de loi distinct et amélioré. C-22 est ce projet de loi.
Le ministre Anandasangaree a tenu à le souligner lors d’une conférence de presse à Vancouver aux côtés de la ministre de la Sécurité publique de la Colombie-Britannique, Nina Krieger, et du chef du Service de police de Vancouver, Steve Rye : « C-22 n’est pas de la surveillance des Canadiens qui vaquent à leurs occupations quotidiennes. Il s’agit d’assurer leur sécurité dans l’espace numérique. »
Ce que le projet de loi prévoit, concrètement
Le texte se divise en trois parties distinctes, chacune avec sa propre portée.
Partie 1 — Accès aux données en temps opportun
La première partie modernise plusieurs lois existantes, notamment le Code criminel et la Loi sur le SCRS, pour accélérer l’accès aux informations lors d’enquêtes. Elle introduit trois nouveaux outils principaux.
Le premier est l’ordre de confirmation de service. Sans avoir à obtenir de mandat, un agent de la paix peut demander à une télécompagnie de confirmer, par oui ou par non, si un numéro de téléphone, une adresse IP ou un identifiant de compte est associé à ses services. Le délai de réponse minimal est fixé à 24 heures. La compagnie de télécom peut demander la révision de cet ordre devant un juge dans un délai de cinq jours ouvrables.
Le deuxième est l’ordonnance de communication pour les renseignements d’abonné. Avec l’autorisation d’un juge, et sur la base du critère des « motifs raisonnables de soupçonner » qu’une infraction a été ou sera commise — un seuil moins exigeant que les « motifs raisonnables de croire » requis pour un mandat traditionnel —, les enquêteurs peuvent obtenir les renseignements d’identification d’un abonné : nom, adresse, pseudonyme, adresse courriel, type de services utilisés et identifiants des appareils. Le fournisseur de services dispose de dix jours ouvrables pour contester l’ordonnance.
Le troisième est l’ordonnance de communication pour les données de transmission. Ce pouvoir existait déjà, mais le projet de loi en clarifie et en élargit la portée. S’il requiert généralement le critère plus élevé des « motifs raisonnables de croire » pour les fournisseurs nationaux, le projet de loi crée une nouveauté de taille : il permet d’exiger ces mêmes données de la part d’entités étrangères (comme Google ou Meta) sur la simple base de « motifs raisonnables de soupçonner ». Il permet notamment d’obtenir des métadonnées telles que les données de localisation et les horodatages de communications.
La Partie 1 prévoit également une disposition d’urgence permettant à un agent de la paix d’obtenir des renseignements d’abonné sans ordonnance préalable, à condition qu’il soit « difficile » d’obtenir l’autorisation judiciaire dans l’immédiat.
Partie 2 — La Loi sur le soutien en matière d’accès autorisé à l’information
C’est la partie nouvelle du projet de loi et celle qui suscite le plus de débat. Elle n’accorde pas de nouveaux pouvoirs d’interception en soi, mais oblige certains fournisseurs de services électroniques (FSE) à se doter — et à maintenir — des capacités techniques leur permettant de respecter les ordres légaux existants. En clair : les entreprises doivent s’assurer que leur infrastructure permet concrètement à la police d’accéder aux données pour lesquelles elle dispose déjà d’une autorisation judiciaire.
La loi définit deux catégories de fournisseurs. Les « fournisseurs principaux » — les grandes entreprises de télécommunications comme Bell, Rogers ou Telus — seront identifiés par règlement et soumis à un ensemble d’obligations publiques. Les autres FSE, soit toute entreprise offrant des services numériques au public, peuvent se voir imposer des obligations supplémentaires par arrêté ministériel. Cet arrêté doit d’abord obtenir l’approbation du commissaire au renseignement avant d’entrer en vigueur. Sa durée est limitée et il peut être contesté en contrôle judiciaire.
Partie 3 — Examen parlementaire
Le projet prévoit qu’un comité parlementaire de chaque chambre procède à un examen approfondi des Parties 1 et 2 au cours de la troisième année suivant l’entrée en vigueur de l’ensemble des dispositions de la loi. Un rapport annuel public sur l’application de la Partie 2 doit être préparé par le ministre dans les 90 jours suivant la fin de chaque année civile, puis rendu public dans les 60 jours suivant sa préparation.
La réalité du terrain, selon les corps policiers
À la conférence de presse de Vancouver, le commissaire adjoint de la GRC en Colombie-Britannique, Dwayne McDonald, a illustré l’enjeu avec un cas concret : lors d’une enquête sur l’exploitation sexuelle d’enfants en ligne en 2025, un enquêteur avait signifié une ordonnance de communication à un fournisseur de services. Ce dernier avait répondu 27 jours plus tard que le délai de traitement serait de 25 à 30 jours supplémentaires. L’enquête a été paralysée pendant cette période, laissant des victimes potentielles exposées.
L’Unité d’exploitation des enfants sur Internet du Service de police de Vancouver reçoit plus de 600 dossiers par année. Dans 90% des cas, l’enquête débute avec très peu d’information. Les enquêteurs doivent obtenir des autorisations judiciaires et signifier des ordonnances à plusieurs fournisseurs de services — souvent plusieurs entreprises différentes pour un seul dossier — avant même de pouvoir identifier à qui appartient un numéro de téléphone ou une adresse IP.
Le surintendant Mike Rowe, du Service de police de Vancouver, a précisé que, selon lui, la réduction du délai de réponse aux ordonnances de communication — de 30 à 10 jours ouvrables — aurait un effet en cascade sur la durée totale des enquêtes, puisque chaque ordonnance en génère généralement d’autres.
Ce que la loi ne fait pas — et ce qu’elle ne dit pas
Lors d’un breffage technique tenu le jour du dépôt du projet de loi, des représentants gouvernementaux ont précisé que C-22 ne donne pas accès à l’historique de navigation, aux messages privés, aux courriels, ni au contenu des communications sur les réseaux sociaux. Ces données demeurent soumises aux critères habituels des mandats de perquisition.
La loi protège également formellement le chiffrement de bout en bout : aucun fournisseur ne peut être contraint d’introduire une « vulnérabilité systémique » dans ses services, définie comme une faille créant un risque substantiel d’accès non autorisé à des données protégées.
Par ailleurs, le projet de loi abandonne une mesure qui figurait dans C-2 : l’élargissement des pouvoirs de fouille du courrier sans mandat en vertu de la Loi sur la Société canadienne des postes.
Les points de friction
Malgré ces balises, plusieurs aspects du projet de loi ont alimenté la controverse depuis son dépôt.
La rétention des métadonnées de localisation. C-22 introduit un pouvoir entièrement absent de C-2 : le gouvernement pourra désormais exiger par règlement que les fournisseurs principaux conservent des catégories de métadonnées — dont les données de localisation par antenne cellulaire — pendant une période pouvant aller jusqu’à un an. Cette obligation de conservation ne constitue pas en soi un accès policier : les enquêteurs auraient besoin d’un mandat pour y accéder. Mais elle crée une base de données permanente de déplacements qui n’existait pas nécessairement avant. Le professeur Robert Diab, de la Faculté de droit de l’Université Thompson Rivers, qualifie cette mesure — signalée en premier par Michael Geist — de « subtile mais potentiellement très invasive ».
Les arrêtés ministériels secrets. La Partie 2 permet au ministre d’imposer des obligations techniques à des FSE qui ne sont pas des fournisseurs principaux — ce qui pourrait inclure des plateformes comme Zoom, Gmail, Signal ou des développeurs d’applications — par arrêté ministériel confidentiel. La loi interdit au destinataire de divulguer l’existence même de cet arrêté à ses propres utilisateurs. OpenMedia, un organisme de défense de la liberté sur Internet, dénonce cette disposition : « La partie 2 de C-22 permet des arrêtés ministériels secrets à tout service numérique dont les Canadiens dépendent, sans registre public, sans approbation parlementaire, et sans que les Canadiens aient le droit de savoir que cela se passe. »
La portée de la définition de « renseignements d’abonné ». La définition retenue dans le projet de loi inclut non seulement le nom et l’adresse, mais aussi le « type de services fournis », les numéros de compte et les identifiants d’appareils. Le professeur Diab soulève la question : les abonnements à des services de diffusion, les niveaux d’adhésion à des plateformes ou les données de compte peuvent révéler beaucoup sur les modes de vie des individus. Il note que la Cour suprême du Canada a reconnu, dans les arrêts Spencer (2014) et Bykovets, que des informations permettant d’identifier un individu à partir d’une adresse IP touchaient au noyau biographique protégé par l’article 8 de la Charte. Il estime que le seuil du « soupçon raisonnable » retenu dans C-22 pourrait ne pas satisfaire à cette exigence constitutionnelle.
L’interdiction de notification aux citoyens. En vertu du projet de loi, aucune disposition n’oblige un fournisseur de services à informer l’utilisateur dont les données ont été consultées. Les ordres de confirmation de service peuvent même être assortis d’une clause de non-divulgation d’une durée maximale d’un an.
L’accès aux données détenues à l’étranger. C-22 crée un mécanisme formel permettant aux enquêteurs canadiens de demander, avec autorisation judiciaire, à des entités étrangères comme Google, Meta ou OpenAI de produire des données de transmission ou des renseignements d’abonné. Fait crucial soulevant des questions : cette demande peut être autorisée sur le critère allégé des « motifs raisonnables de soupçonner », contournant ainsi le seuil plus strict habituellement requis au Canada pour les données de transmission. Cette coopération internationale, absente d’un cadre légal structuré jusqu’ici, est saluée par les corps policiers. Mais elle ouvre aussi la porte à la réciprocité : d’autres gouvernements pourraient à terme invoquer des mécanismes similaires pour accéder à des données sur des personnes au Canada.
Ce que disent les experts indépendants
Michael Geist, titulaire de la Chaire de recherche du Canada en droit d’Internet à l’Université d’Ottawa, reconnaît dans une analyse publiée le 12 mars que le gouvernement a fait des concessions importantes par rapport à C-2, notamment en limitant les demandes sans mandat aux companies de télécoms seulement et à une simple confirmation d’existence d’un compte. Il écrit que les limitations apportées par rapport à C-2 représentent « une concession majeure » qui démontre que l’ancien projet de loi « était trop large, dangereux du point de vue de la vie privée et peu susceptible de résister à un examen constitutionnel ». Mais sur la Partie 2, il avertit que « une fois établies, ces capacités de surveillance des réseaux seront là pour rester » et qu’elles nécessiteront un examen attentif et des amendements potentiels en comité.
Chantal Bernier, ancienne commissaire fédérale à la protection de la vie privée par intérim et co-présidente du groupe vie privée et cybersécurité de Dentons Canada, est plus nuancée. Elle reconnaît que les outils policiers ont été conçus pour un monde analogique et qu’ils doivent évoluer. Mais elle ajoute : « Les principes, eux, ne peuvent pas changer : l’État ne peut pas accéder à des données personnelles sans motifs démontrés et sans surveillance judiciaire. » Elle note que si C-22 est plus restreint que C-2, il élargit aussi la coopération internationale en matière d’application de la loi, ce qui comporte ses propres risques.
Robert Diab estime que C-22 corrige plusieurs lacunes de C-2, mais que l’obligation de rétention des métadonnées de localisation et la portée des arrêtés ministériels de la Partie 2 sont des zones de risque qui n’étaient pas présentes dans la version précédente du projet de loi.
Pour sa part, OpenMedia dénonce ce qu’elle appelle une « porte dérobée de surveillance » réemballée, en s’appuyant notamment sur l’exemple britannique : en 2025, le gouvernement du Royaume-Uni avait émis un ordre secret à Apple exigeant l’accès aux données iCloud chiffrées dans le monde entier. Apple avait alors temporairement retiré sa fonction de chiffrement avancé du marché britannique plutôt que de s’y conformer. OpenMedia souligne que toute capacité d’accès construite pour un gouvernement ne peut être contenue à ce seul gouvernement.
Les garde-fous qui subsistent
Pour les défenseurs du projet de loi, le texte contient des protections substantielles qui distinguent l’accès légal de la surveillance de masse.
L’autorisation judiciaire est requise pour tout accès au-delà de la confirmation de service. Le contenu des communications — messages, courriels, historique de navigation — demeure protégé par les critères habituels des mandats. La Charte canadienne des droits et libertés s’applique à tout acte pris en vertu de la loi, et toute disposition inconstitutionnelle peut être contestée devant les tribunaux. Les fournisseurs bénéficient d’une immunité civile et pénale lorsqu’ils agissent de bonne foi. La confidentialité avocat-client et l’information médicale sont explicitement protégées. Le commissaire au renseignement doit approuver les arrêtés ministériels de la Partie 2. Un examen parlementaire est prévu. Un rapport annuel public sera obligatoire.
Prochaines étapes
Déposé en première lecture le 12 mars 2026, C-22 devra franchir les étapes habituelles du processus législatif : deuxième lecture, étude en comité, rapport, troisième lecture à la Chambre des communes, puis le même processus au Sénat. C’est en comité que la grande majorité des amendements sont traditionnellement proposés — et où experts, groupes de la société civile et représentants des secteurs concernés auront l’occasion de se faire entendre.
Le gouvernement a demandé aux député(e)s d’adopter rapidement le projet de loi, invoquant l’urgence des crimes numériques transnationaux. Les critiques, eux, plaident pour un examen approfondi d’un texte dont les implications techniques et constitutionnelles sont, selon eux, loin d’être toutes résolues.
