{"id":21968,"date":"2026-05-07T23:30:15","date_gmt":"2026-05-07T23:30:15","guid":{"rendered":"https:\/\/scannn.com\/metas-position-on-canadas-bill-c-22\/"},"modified":"2026-05-07T23:30:15","modified_gmt":"2026-05-07T23:30:15","slug":"metas-position-on-canadas-bill-c-22","status":"publish","type":"post","link":"https:\/\/scannn.com\/lv\/metas-position-on-canadas-bill-c-22\/","title":{"rendered":"Meta's Position on Canada's Bill C-22"},"content":{"rendered":"


\n<\/p>\n

\n

Today, Meta appeared in front of the Standing Committee on Public Safety and National Security, where a version of this post was delivered as speaking remarks. We are grateful to the Standing Committee for inviting us to share our perspective with committee members and Canadians.<\/span><\/p>\n

\u00a0<\/p>\n

Delivered by Rachel Curran, Director of Public Policy, Canada, Meta<\/span><\/em><\/p>\n

\u00a0<\/p>\n

Thank you, M. Chair.\u00a0<\/span><\/p>\n

Good afternoon and thank you for the opportunity to appear before the Committee today. My name is Rachel Curran and I\u2019m the Director of Public Policy for Canada at Meta. Joining me is my colleague Robyn Greene, who is an expert in the subject matter under consideration today.<\/span><\/p>\n

Meta is deeply committed to keeping our Canadian users safe online and offline, and we are in favour of providing law enforcement agencies with the authorities they need to obtain critical evidence and protect public safety. We routinely engage with Canadian law enforcement agencies at all levels of government, including by proactively reporting threats we identify or responding to valid legal demands and emergency requests from Canadian authorities.<\/span><\/p>\n

We commend the government for addressing many of the concerns that were raised about Part 14 of the previous Bill C-2. With narrowly tailored amendments, the current Part 1 of Bill 22 would provide law enforcement with an effective legal framework for obtaining necessary data in a timely manner.<\/span><\/p>\n

However, Part 2 is a different story. Its sweeping powers, minimal oversight, and lack of clear safeguards could have a significant negative impact on Canadians\u2019 privacy and cybersecurity, ultimately making Canadians less safe, not more.\u00a0<\/span><\/p>\n

First, the technical assistance obligations in Part 2 could conscript private companies into service as an arm of the government\u2019s surveillance apparatus \u2014 with expansive scope and insufficient safeguards. As drafted, the Bill could require companies like Meta to build or maintain capabilities that break, weaken, or circumvent encryption or other zero-knowledge security architectures, and force providers to install government spyware directly on their systems.\u00a0<\/span><\/p>\n

The Bill purports to protect against risks to encryption by allowing providers to challenge demands that would introduce a \u201csystemic vulnerability,\u201d however the definition of \u201csystemic vulnerability\u201d is unclear. Essential terms like \u201cencryption\u201d are left to be defined in regulation, while Ministerial orders can override those same regulations. Moreover, the bill contains no process for challenging a problematic order or liability protections for companies while a challenge is pending. These omissions leave companies in a very uncertain place legally, with no clear understanding of how these authorities may be used and the corresponding impact on Canadians\u2019 privacy and cybersecurity.\u00a0<\/span><\/p>\n

The technical community\u2019s consensus on this is clear: it is not possible to build backdoors to encrypted systems for law enforcement without creating vulnerabilities that will be exploited by malicious actors. <\/b>Weakening encryption does not just affect the target of an investigation \u2014 it affects every Canadian who depends on secure private communications to bank, access health care, run a business, or simply talk to their family.<\/span><\/p>\n

This is not a hypothetical risk. Governments around the world are still dealing with the fallout from China\u2019s state-sponsored Salt Typhoon cyberattacks, which targeted internet service providers and were a direct result of building technical assistance mechanisms for law enforcement as required under a far narrower U.S. law than Part 2. Canada\u2019s own security agencies understand this. CSIS and the Canadian Centre for Cyber Security joined multiple allied nations\u2019 cybersecurity agencies in issuing guidance that specifically advised adopting encryption and disabling non-encrypted systems as key defences against these kinds of attacks.<\/span><\/p>\n

Part 2 of Bill C-22 would move Canada in the opposite direction \u2014 and out of step with our closest allies. Last year, France and Sweden both abandoned similar proposals and the EU guaranteed robust encryption protections in its agreement on an online safety regulation. The UK\u2019s use of a similar authority \u2014 ordering Apple to break its encrypted cloud service \u2014 drew condemnation from the U.S. Government, including Congress and the FTC, and 200 global civil society organizations, and ultimately resulted in Apple withdrawing its Advanced Data Protection service.\u00a0<\/span><\/p>\n

Imposing obligations that Canada\u2019s closest trading partners have explicitly rejected would not only expose Canadian businesses and consumers to greater cybersecurity risks, it would\u00a0 chill domestic innovation and investment, and harm Canadian competitiveness abroad.<\/span><\/p>\n

In addition, Part 2\u2019s overly broad non-disclosure orders risk becoming a default secrecy rule, undermining public trust and transparency. The bill also enables mandatory bulk metadata retention for up to one year, capturing the private information of ordinary Canadians with no connection to any crime, and grants warrantless authority to search company premises and seize data.\u00a0<\/span><\/p>\n

In light of these significant challenges, we urge policymakers to separate Part 2 from Bill C-22 so that these critically important issues receive the time and attention they deserve.<\/span><\/p>\n

To avoid the worst privacy and security outcomes, required fundamental changes include:\u00a0<\/span><\/p>\n

    \n
  1. Removing obligations for companies to add government or third party surveillance tools or other software to their systems;\u00a0<\/span><\/li>\n
  2. Strengthening the definition of \u201csystemic vulnerability\u201d to explicitly rule out any requirement that would weaken or break encryption, mandate client-side scanning or otherwise introduce a security weakness;\u00a0<\/span><\/li>\n
  3. Codifying the process for companies to challenge problematic requests with liability protections pending adjudication.<\/span><\/li>\n<\/ol>\n

    Thank you for your time today. We remain committed to working with the government on an approach that balances the need for effective law enforcement tools with safeguarding privacy and security for Canadians.<\/span><\/p>\n

    \u00a0<\/p>\n

    ***<\/p>\n

    Prononc\u00e9es par Rachel Curran, directrice des politiques publiques pour le Canada, Meta<\/span><\/em><\/p>\n

    Monsieur le Pr\u00e9sident.<\/span><\/p>\n

    Nous vous remercions de nous donner l\u2019occasion de compara\u00eetre devant ce Comit\u00e9 aujourd\u2019hui. Je m\u2019appelle Rachel Curran et je suis directrice des politiques publiques pour le Canada chez Meta. Je suis accompagn\u00e9e de ma coll\u00e8gue Robyn Greene, experte du sujet \u00e0 l\u2019\u00e9tude du jour.<\/span><\/p>\n

    Meta est fermement engag\u00e9e \u00e0 prot\u00e9ger la s\u00e9curit\u00e9 de ses utilisateurs au Canada, tant en ligne que hors ligne. Nous reconnaissons \u00e9galement la n\u00e9cessit\u00e9 pour les organismes d\u2019application de la loi de disposer des moyens requis pour obtenir des preuves essentielles et assurer la s\u00e9curit\u00e9 publique. \u00c0 cet \u00e9gard, nous coop\u00e9rons r\u00e9guli\u00e8rement avec les autorit\u00e9s canadiennes \u00e0 tous les niveaux, notamment en signalant proactivement les menaces et en r\u00e9pondant aux demandes l\u00e9gales valides et aux situations d\u2019urgence.<\/span><\/p>\n

    Nous reconnaissons les efforts du gouvernement pour r\u00e9pondre \u00e0 plusieurs enjeux soulev\u00e9s \u00e0 l\u2019\u00e9gard de la partie 14 du pr\u00e9c\u00e9dent projet de loi C-2. Avec des amendements cibl\u00e9s, la partie 1 du projet de loi C-22 pourrait constituer un cadre juridique efficace permettant aux forces de l\u2019ordre d\u2019obtenir, en temps opportun, les donn\u00e9es essentielles.<\/span><\/p>\n

    Cependant, la partie 2 pose des enjeux fondamentalement diff\u00e9rents. L\u2019ampleur des pouvoirs pr\u00e9vus, combin\u00e9e \u00e0 une supervision limit\u00e9e et \u00e0 l\u2019absence de garanties claires, risque d\u2019avoir des effets n\u00e9gatifs importants sur la vie priv\u00e9e et la cybers\u00e9curit\u00e9 des Canadiens, les rendant ultimement moins en s\u00e9curit\u00e9.<\/span><\/p>\n

    Premi\u00e8rement, les obligations d\u2019assistance technique pr\u00e9vues \u00e0 la partie 2 risquent de transformer les entreprises priv\u00e9es en prolongement de l\u2019appareil de surveillance de l\u2019\u00c9tat, avec une port\u00e9e tr\u00e8s large et des garanties insuffisantes. Dans sa forme actuelle, le projet de loi pourrait contraindre des entreprises comme Meta \u00e0 affaiblir le chiffrement ou \u00e0 contourner d\u2019autres architectures de s\u00e9curit\u00e9 \u00e0 connaissance nulle, notamment en int\u00e9grant des logiciels espions gouvernementaux directement dans leurs syst\u00e8mes.<\/span><\/p>\n

    Le projet de loi pr\u00e9tend att\u00e9nuer les risques pour le chiffrement en permettant aux entreprises de contester des demandes qui introduiraient une \u00ab\u00a0vuln\u00e9rabilit\u00e9 syst\u00e9mique\u00a0\u00bb, mais cette notion n\u2019est pas clairement d\u00e9finie. Des termes essentiels comme \u00ab\u00a0chiffrement\u00a0\u00bb sont laiss\u00e9s \u00e0 la r\u00e9glementation, tandis que des ordonnances minist\u00e9rielles pourraient primer sur ces m\u00eames r\u00e8glements. De plus, le projet de loi ne pr\u00e9voit aucun m\u00e9canisme clair pour contester une ordonnance probl\u00e9matique ni de protections en mati\u00e8re de responsabilit\u00e9 pendant une contestation. Ces lacunes placent les entreprises dans une grande incertitude juridique, sans compr\u00e9hension claire de l\u2019usage qui pourrait \u00eatre fait de ces pouvoirs et de leurs cons\u00e9quences pour la vie priv\u00e9e et la cybers\u00e9curit\u00e9 des Canadiens.<\/span><\/p>\n

    Le consensus de la communaut\u00e9 technique est sans \u00e9quivoque : il est impossible d\u2019introduire un acc\u00e8s r\u00e9serv\u00e9 aux forces de l\u2019ordre dans un syst\u00e8me chiffr\u00e9 sans introduire des vuln\u00e9rabilit\u00e9s exploitables par des acteurs malveillants. Affaiblir le chiffrement ne touche pas seulement la cible d\u2019une enqu\u00eate, mais l\u2019ensemble des Canadiens qui d\u00e9pendent de communications s\u00e9curis\u00e9es pour leurs op\u00e9rations bancaires, l\u2019acc\u00e8s aux soins de sant\u00e9, la gestion de leur entreprise ou simplement pour communiquer avec leurs proches.<\/span><\/p>\n

    Ce risque n\u2019est pas hypoth\u00e9tique. Des gouvernements \u00e0 travers le monde subissent encore les cons\u00e9quences des cyberattaques parrain\u00e9es par l\u2019\u00c9tat chinois connues sous le nom de \u00ab Salt Typhoon \u00bb, qui visaient des fournisseurs de services Internet et r\u00e9sultaient directement de m\u00e9canismes d\u2019assistance technique exig\u00e9s par une loi am\u00e9ricaine pourtant beaucoup plus restreinte que la partie 2. Les agences de s\u00e9curit\u00e9 canadiennes en sont conscientes. Le SCRS et le Centre canadien pour la cybers\u00e9curit\u00e9 se sont joints \u00e0 plusieurs agences alli\u00e9es pour recommander explicitement l\u2019adoption du chiffrement et la d\u00e9sactivation des syst\u00e8mes non chiffr\u00e9s comme mesures cl\u00e9s de protection contre ce type d\u2019attaques.<\/span><\/p>\n

    La partie 2 du projet de loi C-22 irait dans la direction oppos\u00e9e et placerait le Canada en d\u00e9calage avec ses principaux alli\u00e9s. L\u2019an dernier, la France et la Su\u00e8de ont abandonn\u00e9 des propositions similaires et l\u2019Union europ\u00e9enne a garanti des protections robustes du chiffrement dans son r\u00e8glement sur la s\u00e9curit\u00e9 en ligne. L\u2019utilisation d\u2019un pouvoir comparable au Royaume-Uni, qui a ordonn\u00e9 \u00e0 Apple de compromettre son service de stockage infonuagique chiffr\u00e9, a suscit\u00e9 une condamnation du gouvernement am\u00e9ricain, du Congr\u00e8s, de la FTC (Federal Trade Commission) et de 200 organisations de la soci\u00e9t\u00e9 civile, et a finalement conduit Apple \u00e0 retirer son service de protection avanc\u00e9e des donn\u00e9es.<\/span><\/p>\n

    Imposer des obligations que les principaux partenaires commerciaux du Canada ont explicitement rejet\u00e9es exposerait non seulement les entreprises et les consommateurs canadiens \u00e0 des risques accrus en cybers\u00e9curit\u00e9, mais freinerait \u00e9galement l\u2019innovation et l\u2019investissement au pays, tout en nuisant \u00e0 la comp\u00e9titivit\u00e9 internationale du Canada.<\/span><\/p>\n

    Par ailleurs, les ordonnances de non-divulgation pr\u00e9vues \u00e0 la partie 2 sont tr\u00e8s larges et risquent de devenir la norme, ce qui minerait la transparence et la confiance du public. Le projet de loi permet aussi la conservation en vrac de m\u00e9tadonn\u00e9es pendant une p\u00e9riode pouvant aller jusqu\u2019\u00e0 un an, et pourrait ainsi viser des Canadiens sans lien avec une infraction. Il pr\u00e9voit \u00e9galement des pouvoirs de perquisition sans mandat dans les entreprises, ainsi que la saisie de donn\u00e9es.<\/span><\/p>\n

    Compte tenu de ces enjeux majeurs, nous recommandons aux d\u00e9cideurs de dissocier la partie 2 du projet de loi C-22 afin de permettre un examen approfondi de ces questions essentielles.<\/span><\/p>\n

    Pour \u00e9viter les cons\u00e9quences les plus n\u00e9fastes en mati\u00e8re de protection des donn\u00e9es et de s\u00e9curit\u00e9, des changements fondamentaux sont n\u00e9cessaires, notamment :<\/span><\/p>\n

      \n
    • Retirer toute obligation imposant aux entreprises d\u2019int\u00e9grer des outils de surveillance gouvernementaux ou tiers dans leurs syst\u00e8mes;\u00a0<\/span><\/li>\n
    • Renforcer la d\u00e9finition de \u00ab vuln\u00e9rabilit\u00e9 syst\u00e9mique \u00bb afin d\u2019exclure explicitement toute exigence qui affaiblirait ou compromettrait le chiffrement, imposerait une analyse c\u00f4t\u00e9 client ou introduirait une faille de s\u00e9curit\u00e9;\u00a0<\/span><\/li>\n
    • \u00c9tablir un processus clair permettant aux entreprises de contester les demandes probl\u00e9matiques, avec des protections en mati\u00e8re de responsabilit\u00e9 pendant le traitement de ces contestations.\u00a0<\/span><\/li>\n<\/ul>\n

      Nous vous remercions de votre attention et demeurons r\u00e9solus \u00e0 collaborer avec le gouvernement pour assurer un \u00e9quilibre entre des pouvoirs efficaces en mati\u00e8re d\u2019application de la loi et la protection de la vie priv\u00e9e et de la s\u00e9curit\u00e9 des Canadiens.<\/span><\/p>\n<\/p><\/div>\n