Today, Meta appeared in front of the Standing Committee on Public Safety and National Security, where a version of this post was delivered as speaking remarks. We are grateful to the Standing Committee for inviting us to share our perspective with committee members and Canadians.
Delivered by Rachel Curran, Director of Public Policy, Canada, Meta
Thank you, M. Chair.
Good afternoon and thank you for the opportunity to appear before the Committee today. My name is Rachel Curran and I’m the Director of Public Policy for Canada at Meta. Joining me is my colleague Robyn Greene, who is an expert in the subject matter under consideration today.
Meta is deeply committed to keeping our Canadian users safe online and offline, and we are in favour of providing law enforcement agencies with the authorities they need to obtain critical evidence and protect public safety. We routinely engage with Canadian law enforcement agencies at all levels of government, including by proactively reporting threats we identify or responding to valid legal demands and emergency requests from Canadian authorities.
We commend the government for addressing many of the concerns that were raised about Part 14 of the previous Bill C-2. With narrowly tailored amendments, the current Part 1 of Bill 22 would provide law enforcement with an effective legal framework for obtaining necessary data in a timely manner.
However, Part 2 is a different story. Its sweeping powers, minimal oversight, and lack of clear safeguards could have a significant negative impact on Canadians’ privacy and cybersecurity, ultimately making Canadians less safe, not more.
First, the technical assistance obligations in Part 2 could conscript private companies into service as an arm of the government’s surveillance apparatus — with expansive scope and insufficient safeguards. As drafted, the Bill could require companies like Meta to build or maintain capabilities that break, weaken, or circumvent encryption or other zero-knowledge security architectures, and force providers to install government spyware directly on their systems.
The Bill purports to protect against risks to encryption by allowing providers to challenge demands that would introduce a “systemic vulnerability,” however the definition of “systemic vulnerability” is unclear. Essential terms like “encryption” are left to be defined in regulation, while Ministerial orders can override those same regulations. Moreover, the bill contains no process for challenging a problematic order or liability protections for companies while a challenge is pending. These omissions leave companies in a very uncertain place legally, with no clear understanding of how these authorities may be used and the corresponding impact on Canadians’ privacy and cybersecurity.
The technical community’s consensus on this is clear: it is not possible to build backdoors to encrypted systems for law enforcement without creating vulnerabilities that will be exploited by malicious actors. Weakening encryption does not just affect the target of an investigation — it affects every Canadian who depends on secure private communications to bank, access health care, run a business, or simply talk to their family.
This is not a hypothetical risk. Governments around the world are still dealing with the fallout from China’s state-sponsored Salt Typhoon cyberattacks, which targeted internet service providers and were a direct result of building technical assistance mechanisms for law enforcement as required under a far narrower U.S. law than Part 2. Canada’s own security agencies understand this. CSIS and the Canadian Centre for Cyber Security joined multiple allied nations’ cybersecurity agencies in issuing guidance that specifically advised adopting encryption and disabling non-encrypted systems as key defences against these kinds of attacks.
Part 2 of Bill C-22 would move Canada in the opposite direction — and out of step with our closest allies. Last year, France and Sweden both abandoned similar proposals and the EU guaranteed robust encryption protections in its agreement on an online safety regulation. The UK’s use of a similar authority — ordering Apple to break its encrypted cloud service — drew condemnation from the U.S. Government, including Congress and the FTC, and 200 global civil society organizations, and ultimately resulted in Apple withdrawing its Advanced Data Protection service.
Imposing obligations that Canada’s closest trading partners have explicitly rejected would not only expose Canadian businesses and consumers to greater cybersecurity risks, it would chill domestic innovation and investment, and harm Canadian competitiveness abroad.
In addition, Part 2’s overly broad non-disclosure orders risk becoming a default secrecy rule, undermining public trust and transparency. The bill also enables mandatory bulk metadata retention for up to one year, capturing the private information of ordinary Canadians with no connection to any crime, and grants warrantless authority to search company premises and seize data.
In light of these significant challenges, we urge policymakers to separate Part 2 from Bill C-22 so that these critically important issues receive the time and attention they deserve.
To avoid the worst privacy and security outcomes, required fundamental changes include:
- Removing obligations for companies to add government or third party surveillance tools or other software to their systems;
- Strengthening the definition of “systemic vulnerability” to explicitly rule out any requirement that would weaken or break encryption, mandate client-side scanning or otherwise introduce a security weakness;
- Codifying the process for companies to challenge problematic requests with liability protections pending adjudication.
Thank you for your time today. We remain committed to working with the government on an approach that balances the need for effective law enforcement tools with safeguarding privacy and security for Canadians.
***
Prononcées par Rachel Curran, directrice des politiques publiques pour le Canada, Meta
Monsieur le Président.
Nous vous remercions de nous donner l’occasion de comparaître devant ce Comité aujourd’hui. Je m’appelle Rachel Curran et je suis directrice des politiques publiques pour le Canada chez Meta. Je suis accompagnée de ma collègue Robyn Greene, experte du sujet à l’étude du jour.
Meta est fermement engagée à protéger la sécurité de ses utilisateurs au Canada, tant en ligne que hors ligne. Nous reconnaissons également la nécessité pour les organismes d’application de la loi de disposer des moyens requis pour obtenir des preuves essentielles et assurer la sécurité publique. À cet égard, nous coopérons régulièrement avec les autorités canadiennes à tous les niveaux, notamment en signalant proactivement les menaces et en répondant aux demandes légales valides et aux situations d’urgence.
Nous reconnaissons les efforts du gouvernement pour répondre à plusieurs enjeux soulevés à l’égard de la partie 14 du précédent projet de loi C-2. Avec des amendements ciblés, la partie 1 du projet de loi C-22 pourrait constituer un cadre juridique efficace permettant aux forces de l’ordre d’obtenir, en temps opportun, les données essentielles.
Cependant, la partie 2 pose des enjeux fondamentalement différents. L’ampleur des pouvoirs prévus, combinée à une supervision limitée et à l’absence de garanties claires, risque d’avoir des effets négatifs importants sur la vie privée et la cybersécurité des Canadiens, les rendant ultimement moins en sécurité.
Premièrement, les obligations d’assistance technique prévues à la partie 2 risquent de transformer les entreprises privées en prolongement de l’appareil de surveillance de l’État, avec une portée très large et des garanties insuffisantes. Dans sa forme actuelle, le projet de loi pourrait contraindre des entreprises comme Meta à affaiblir le chiffrement ou à contourner d’autres architectures de sécurité à connaissance nulle, notamment en intégrant des logiciels espions gouvernementaux directement dans leurs systèmes.
Le projet de loi prétend atténuer les risques pour le chiffrement en permettant aux entreprises de contester des demandes qui introduiraient une « vulnérabilité systémique », mais cette notion n’est pas clairement définie. Des termes essentiels comme « chiffrement » sont laissés à la réglementation, tandis que des ordonnances ministérielles pourraient primer sur ces mêmes règlements. De plus, le projet de loi ne prévoit aucun mécanisme clair pour contester une ordonnance problématique ni de protections en matière de responsabilité pendant une contestation. Ces lacunes placent les entreprises dans une grande incertitude juridique, sans compréhension claire de l’usage qui pourrait être fait de ces pouvoirs et de leurs conséquences pour la vie privée et la cybersécurité des Canadiens.
Le consensus de la communauté technique est sans équivoque : il est impossible d’introduire un accès réservé aux forces de l’ordre dans un système chiffré sans introduire des vulnérabilités exploitables par des acteurs malveillants. Affaiblir le chiffrement ne touche pas seulement la cible d’une enquête, mais l’ensemble des Canadiens qui dépendent de communications sécurisées pour leurs opérations bancaires, l’accès aux soins de santé, la gestion de leur entreprise ou simplement pour communiquer avec leurs proches.
Ce risque n’est pas hypothétique. Des gouvernements à travers le monde subissent encore les conséquences des cyberattaques parrainées par l’État chinois connues sous le nom de « Salt Typhoon », qui visaient des fournisseurs de services Internet et résultaient directement de mécanismes d’assistance technique exigés par une loi américaine pourtant beaucoup plus restreinte que la partie 2. Les agences de sécurité canadiennes en sont conscientes. Le SCRS et le Centre canadien pour la cybersécurité se sont joints à plusieurs agences alliées pour recommander explicitement l’adoption du chiffrement et la désactivation des systèmes non chiffrés comme mesures clés de protection contre ce type d’attaques.
La partie 2 du projet de loi C-22 irait dans la direction opposée et placerait le Canada en décalage avec ses principaux alliés. L’an dernier, la France et la Suède ont abandonné des propositions similaires et l’Union européenne a garanti des protections robustes du chiffrement dans son règlement sur la sécurité en ligne. L’utilisation d’un pouvoir comparable au Royaume-Uni, qui a ordonné à Apple de compromettre son service de stockage infonuagique chiffré, a suscité une condamnation du gouvernement américain, du Congrès, de la FTC (Federal Trade Commission) et de 200 organisations de la société civile, et a finalement conduit Apple à retirer son service de protection avancée des données.
Imposer des obligations que les principaux partenaires commerciaux du Canada ont explicitement rejetées exposerait non seulement les entreprises et les consommateurs canadiens à des risques accrus en cybersécurité, mais freinerait également l’innovation et l’investissement au pays, tout en nuisant à la compétitivité internationale du Canada.
Par ailleurs, les ordonnances de non-divulgation prévues à la partie 2 sont très larges et risquent de devenir la norme, ce qui minerait la transparence et la confiance du public. Le projet de loi permet aussi la conservation en vrac de métadonnées pendant une période pouvant aller jusqu’à un an, et pourrait ainsi viser des Canadiens sans lien avec une infraction. Il prévoit également des pouvoirs de perquisition sans mandat dans les entreprises, ainsi que la saisie de données.
Compte tenu de ces enjeux majeurs, nous recommandons aux décideurs de dissocier la partie 2 du projet de loi C-22 afin de permettre un examen approfondi de ces questions essentielles.
Pour éviter les conséquences les plus néfastes en matière de protection des données et de sécurité, des changements fondamentaux sont nécessaires, notamment :
- Retirer toute obligation imposant aux entreprises d’intégrer des outils de surveillance gouvernementaux ou tiers dans leurs systèmes;
- Renforcer la définition de « vulnérabilité systémique » afin d’exclure explicitement toute exigence qui affaiblirait ou compromettrait le chiffrement, imposerait une analyse côté client ou introduirait une faille de sécurité;
- Établir un processus clair permettant aux entreprises de contester les demandes problématiques, avec des protections en matière de responsabilité pendant le traitement de ces contestations.
Nous vous remercions de votre attention et demeurons résolus à collaborer avec le gouvernement pour assurer un équilibre entre des pouvoirs efficaces en matière d’application de la loi et la protection de la vie privée et de la sécurité des Canadiens.
