NordVPN menace de quitter le Canada à cause de la loi de surveillance C-22

Ce que la loi canadienne sur l'accès légal exigerait réellement des fournisseurs de VPN

Le projet de loi C-22 du Canada, connu sous le nom de Loi sur l'accès légal, suscite de vives critiques de la part des entreprises technologiques, des organisations de défense des libertés civiles, et désormais d'au moins un grand fournisseur de VPN. La législation créerait un cadre juridique obligeant les fournisseurs de services électroniques à conserver des métadonnées et, fait crucial, à développer des capacités techniques permettant aux agences gouvernementales d'accéder à ces données sur demande.

Pour la plupart des services internet, la conformité impliquerait de journaliser l'activité des utilisateurs ou d'ajuster les politiques de conservation des données. Pour les fournisseurs de VPN, les enjeux sont plus élevés. La proposition de valeur fondamentale d'un VPN est qu'il ne conserve aucun enregistrement indiquant qui s'est connecté, quand, ou ce qu'il a fait en ligne. Le projet de loi C-22 ne demanderait pas simplement aux fournisseurs de modifier un paramètre de politique. Il leur demanderait de restructurer leur architecture de manière à compromettre fondamentalement le produit qu'ils vendent. Les critiques avertissent également que le libellé du projet de loi concernant les « capacités techniques » est suffisamment large pour imposer des contournements du chiffrement, créant ainsi des portes dérobées que les gouvernements pourraient exploiter, et que des acteurs malveillants pourraient finir par découvrir.

Le débat sur le projet de loi canadien sur l'accès légal et les VPN a également attiré l'attention aux États-Unis, où des responsables du Congrès auraient exprimé des préoccupations quant aux effets potentiels des dispositions de surveillance du projet de loi sur les données transfrontalières et les intérêts de sécurité nationale.

Pourquoi NordVPN affirme préférer quitter le marché plutôt que de se conformer

NordVPN a été direct dans sa réponse : si le projet de loi C-22 contraint l'entreprise à compromettre son architecture sans journaux ou à affaiblir les protections de chiffrement, elle quittera le marché canadien plutôt que de se conformer. La position de l'entreprise reflète un principe plus large selon lequel la conformité à certains mandats de surveillance est techniquement incompatible avec l'exploitation d'un service VPN digne de confiance.

Il ne s'agit pas d'une menace en l'air. Lorsque des gouvernements dans d'autres juridictions ont adopté des exigences similaires, certains fournisseurs ont mis à exécution leurs menaces de retrait du marché. Le schéma est familier : la législation est adoptée, les fournisseurs disposent d'un délai pour se conformer, ceux qui refusent de créer des portes dérobées ferment leurs serveurs locaux et dirigent les utilisateurs vers des serveurs situés dans des juridictions plus favorables. Les utilisateurs dans le pays concerné peuvent souvent encore accéder au service via des serveurs étrangers, mais les protections juridiques et les garanties de performance s'en trouvent considérablement affaiblies.

L'avertissement de NordVPN sert également un objectif secondaire. En rendant sa position publique, l'entreprise exerce une pression politique durant le processus législatif, signalant aux législateurs canadiens que les mandats de surveillance agressifs entraînent de réels coûts économiques et en termes de réputation. D'autres entreprises technologiques, dont Apple, auraient également repoussé certains aspects du projet de loi.

Quels autres fournisseurs de VPN pourraient suivre et lesquels pourraient rester

NordVPN ne sera probablement pas seul si le projet de loi C-22 est adopté sous sa forme actuelle. Les fournisseurs construits autour de politiques strictes de non-journalisation et de rapports de transparence feraient face au même choix impossible : reconstruire leur infrastructure pour permettre la surveillance, ou retirer leurs serveurs canadiens. Les fournisseurs plus petits, disposant de moins de levier politique et de moins de ressources pour engager des recours juridiques, pourraient partir encore plus rapidement.

Cependant, tous les fournisseurs ne partiraient pas. Certains services VPN opèrent selon des engagements de confidentialité moins stricts et ont historiquement coopéré avec les demandes gouvernementales dans d'autres pays. Pour les utilisateurs qui se servent principalement des VPN pour débloquer du contenu en streaming plutôt que pour la protection de leur vie privée, ces fournisseurs pourraient rester disponibles. Le risque est que les utilisateurs canadiens qui restent avec des fournisseurs conformes ne réalisent pas à quel point leur trafic pourrait devenir accessible aux autorités.

Cette dynamique reflète ce qui s'est produit dans certaines parties de l'Europe, où des ordonnances judiciaires et des pressions législatives ont déjà contraint les fournisseurs de VPN à des positions de conformité difficiles. La répression des VPN en Europe offre un aperçu clair de la façon dont cela se déroule en pratique : les fournisseurs qui privilégient la confidentialité tendent à résister ou à partir, tandis que ceux dont les engagements sont plus faibles s'adaptent et restent. Les utilisateurs canadiens devraient prendre ce précédent au sérieux lorsqu'ils évaluent leurs options dès maintenant.

Pour les utilisateurs qui comparent spécifiquement NordVPN à des alternatives disposant de structures juridiques et de propriété différentes, il vaut la peine de comparer les fournisseurs en termes de politique de confidentialité, de juridiction et de conception d'infrastructure avant que tout résultat législatif ne force la décision. Une comparaison comme NordVPN vs Windscribe est un exemple de la façon d'évaluer ces compromis côte à côte, d'autant plus que Windscribe est un fournisseur dont le siège est au Canada et qui ferait lui-même face à des questions de conformité dans le cadre du projet de loi C-22.

Ce que les utilisateurs canadiens devraient faire maintenant pour protéger leur vie privée

Le projet de loi C-22 n'a pas encore été adopté, et le processus législatif pourrait aboutir à des amendements qui en réduisent la portée en matière de surveillance. Mais attendre que le projet de loi devienne loi avant d'agir est la mauvaise approche. Voici les mesures pratiques que les utilisateurs canadiens devraient prendre dès maintenant.

Auditez votre fournisseur de VPN actuel. Regardez où l'entreprise a son siège social, ce que dit sa politique de non-journalisation publiée, et si elle a déjà fait l'objet d'un audit indépendant. Les fournisseurs dont le siège est au Canada seront directement exposés juridiquement en vertu du projet de loi C-22. Les fournisseurs dont le siège est ailleurs mais qui exploitent des serveurs canadiens pourraient également être contraints de se conformer, selon la façon dont la loi est rédigée.

Lisez les déclarations des fournisseurs sur le projet de loi. NordVPN a rendu publique sa position. Vérifiez si votre fournisseur actuel a publié une déclaration sur la législation canadienne en matière de surveillance. Le silence peut lui-même être révélateur.

Comprenez ce que « sans journaux » signifie réellement. Toutes les affirmations de non-journalisation ne se valent pas. Recherchez des fournisseurs qui ont publié des résultats d'audits tiers confirmant leur architecture, et pas seulement des arguments marketing.

Tenez compte de la diversité des juridictions. Si la confidentialité est une priorité, comprenez où la société mère de votre fournisseur est immatriculée et à quels systèmes juridiques elle est soumise. Un fournisseur basé en dehors de l'alliance de renseignement des Cinq Yeux opère sous des contraintes différentes de celui dont le siège est au Canada, aux États-Unis, au Royaume-Uni ou en Australie.

La situation du projet de loi canadien sur l'accès légal et les VPN est toujours en évolution, et le texte final de la législation est d'une importance capitale. Mais la direction est claire. Les utilisateurs canadiens qui se soucient de la confidentialité numérique devraient commencer à évaluer leurs options dès maintenant, pendant que des alternatives compétitives sont encore largement disponibles. Attendre que les fournisseurs commencent à fermer leur infrastructure canadienne vous laisse réagir sous pression plutôt que de faire un choix éclairé.