(English version available here)
Après des années d’attente, le gouvernement fédéral a finalement introduit le projet de loi sur les préjudices en ligne. Alors que la politique en matière de cybersécurité avait fait la part belle à la sécurité des infrastructures, elle se penche enfin sur la sécurité numérique des personnes. Heureusement, les pires craintes, nées d’années de politique numérique mal pensée ne semblent pas s’être concrétisées.
Comme ce projet de loi est très complexe, son étude nécessitera une longue analyse et des débats démocratiques afin d’assurer un juste équilibre entre la protection contre les contenus préjudiciables en ligne et la protection de droits fondamentaux tels que la liberté d’expression et la vie privée. Mais pour la première fois depuis longtemps, le gouvernement semble avoir visé juste en matière de numérique en proposant un cadre qui apparaît équilibré et qui répond aux craintes de précédentes propositions formulées en 2021.
Contrairement à ce qu’affirment certaines critiques, le projet de loi ne restreint pas inopportunément la liberté d’expression qui, doit-on le rappeler, n’a jamais été absolue. Il renforce au contraire les mécanismes existants et les sanctions contre les contenus déjà prohibés au Canada, comme ceux liés au terrorisme et à l’extrémisme violent, l’incitation à la haine, la pornographie juvénile, l’intimidation des enfants ou les messages les incitant à se faire du mal, ainsi que la pornodivulgation et la revictimisation des survivants de crimes sexuels. Certaines modifications devront être discutées – car quelques sanctions proposées, comme l’emprisonnement à vie, ne semblent pas appropriées –, mais le projet de loi ne s’avance pas sur le terrain dangereux de réguler les discours qui seraient légaux, mais horribles, et qui auraient pu présenter des enjeux de liberté d’expression.
Le cœur du projet est ailleurs : on y retrouve trois obligations pour les opérateurs des grandes plateformes numériques et la création de nouvelles instances pour soutenir les victimes.
De nouvelles règles pour les opérateurs des plateformes numériques
Inspiré des recommandations d’experts et de l’approche européenne, le projet met l’accent sur le devoir d’agir de manière responsable, le devoir de rendre certains contenus inaccessibles et le devoir de protéger les enfants. De manière générale, les opérateurs devront minimiser le risque d’exposition à un contenu préjudiciable par leurs choix de conception et leurs mécanismes de modération de contenus.
Ces nouvelles obligations ne s’appliqueront qu’aux très grandes plateformes de réseaux sociaux et de partage de contenus. S’il faudra être vigilant à la définition des critères qui définiront lesquelles seront assujetties, il faut noter que le projet de loi ne s’applique pas aux services de messagerie privée, comme WhatsApp ou Signal, sauf dans le cas où les messages peuvent être diffusés de manière illimitée. Une telle approche permettra d’éviter certains écueils touchant la vie privée et la liberté d’expression tout en incitant les opérateurs à limiter les partages de certains messages sur leurs plateformes, qui deviennent souvent des véhicules de désinformation.
Le projet propose aussi la nomination d’une personne-ressource au sein des opérateurs de plateformes. Celle-ci devra connaître les procédures internes et pourra soutenir les victimes. Sur le modèle des meilleures pratiques en matière de vie privée, on aurait pu espérer la création de « délégués à la sécurité numérique », pouvant agir en cas de problème et influencer la politique de l’organisation avec des garanties de protection et d’indépendance, comme les « délégués à la protection des données ».
Surtout, il est regrettable que la loi n’exige pas que cette personne-ressource soit située au Canada. Une telle obligation permettrait de garantir, tant pour les opérateurs que pour le public, que cette personne soit en phase avec le contexte local particulier, les valeurs, les réalités linguistiques et les peuples autochtones.
De nouvelles instances pour soutenir les victimes
Suivant les recommandations des experts, le projet de loi repose sur la création de trois instances, à savoir une commission de la sécurité numérique, qui supervisera la mise en œuvre de la loi, un ombusdman de la sécurité numérique et un bureau de la sécurité numérique du Canada qui les soutiendra dans leurs efforts.
Composée de trois à cinq membres, la commission aura d’importants pouvoirs d’enquête, d’ordonnance et de sanction à l’encontre des opérateurs des plateformes. Le fait que le pouvoir de décision ne repose pas sur un seul commissaire, mais plutôt sur une commission, semble une excellente proposition qui devrait permettre, sous réserve de la composition de la commission, d’assurer un équilibre dans les décisions prises.
Contrairement au commissaire à la vie privée du projet de loi C-27, cette commission ne sera pas soumise à un nouveau tribunal administratif, qui ajouterait des délais pour la protection des Canadiens. Afin d’éviter toute interférence politique, la future commission sera un véritable organe indépendant du gouvernement, contrairement, par exemple, au Commissaire à l’IA et aux données du projet de loi C-27.
Outre son pouvoir de surveillance, la commission disposera également d’un mandat de littératie en matière de sécurité en ligne. Ce mandat est renforcé par la création d’un poste d’ombusdman indépendant qui fournira du soutien aux utilisateurs des plateformes et défendra l’intérêt public en ce qui concerne les « enjeux systémiques relatifs à la sécurité en ligne ». Ceux-ci demeurent toutefois à définir.
On pourrait croire qu’en raison des importantes amendes envisagées (la somme la plus élevée entre 10 millions $ ou jusqu’à 6% du revenu brut global d’une plateforme numérique), la commission pourrait être tentée d’imposer des sanctions pour s’autofinancer. Néanmoins, les amendes seront à verser au Receveur général du Canada et le projet de loi est assorti d’une proposition de recommandation d’affectation des deniers publics pour financer les organismes étant donné que le gouvernement n’avait pas prévu de fonds à cet effet dans le Budget 2023.
Un élément curieux et problématique du projet de loi reste la mention de possibles redevances fixées par le gouvernement et qui– c’est ce qu’on comprend à la lecture du projet de loi – devraient être payées par les plateformes numériques pour opérer au Canada. Un tel mécanisme de financement pourrait d’ailleurs avoir un effet pervers pour la qualité de l’information et la concurrence dans l’écosystème qui repose déjà sur une poignée d’acteurs.
Si on tire des leçons de la plus récente tentative de prélever des redevances numériques, dans le cadre de la loi C-18, il faut s’attendre à ce que certains opérateurs pourraient se retirer du marché canadien, entraînant un renforcement des oligopoles informationnels existants et coupant les Canadiens de certaines plateformes essentielles dans un monde globalisé. Cela pourrait être dramatique pour des plateformes sans but lucratif, comme Wikipedia, qui pourraient se retrouver régulées selon les critères mis en place, mais dans l’impossibilité de payer des redevances.
Des lanceurs d’alerte inégaux devant la loi
Enfin, une des plus grosses lacunes du projet de loi est l’absence de protection pour les lanceurs d’alerte. De nombreuses affaires récentes ont démontré leur rôle essentiel pour mettre en lumière les décisions des opérateurs qui seraient contraires aux objectifs de la loi.
Certes, le projet de loi obligera la commission à protéger l’identité des personnes lui communiquant des observations, mais il n’en sera pas de même pour les employés des opérateurs qui devront demander l’anonymat en précisant ce qui pourrait les mettre en danger.
Un employé peu au fait de certaines techniques de surveillance pourrait ainsi se mettre en danger, surtout que la future loi ne prévoit aucune protection contre de possibles représailles de l’employeur. Elle ne comporte aucune exception aux dispositions du Code criminel protégeant les secrets d’affaires ou aux clauses de confidentialité des employés qui courent ainsi un risque de poursuites criminelles ou civiles en cas de divulgation.
En somme, il manque des éléments, et comme pour tout projet de loi aussi complexe, le diable se cache très probablement dans les détails. Mais, pour une fois, l’infrastructure globale du projet de loi semble bien pensée pour une fois. Espérons que ces lacunes seront corrigées lors des débats parlementaires.
L’auteur faisait partie du comité d’experts du Conseil des académies canadiennes sur la sécurité publique numérique qui a contribué au rapport Connexions vulnérables publié en 2023 pour soutenir les politiques publiques canadiennes.