Article par article, en langage clair

Ce que dit vraiment le projet de loi C-34

Tout ce qui suit provient directement du texte de première lecture du projet de loi C-34, déposé à la Chambre des communes le 10 juin 2026 par le ministre de l'Identité et de la Culture canadiennes. Les numéros d'articles renvoient à la Loi sur la sécurité numérique qu'édicte le projet de loi. Lisez en parallèle le texte officiel — ne nous croyez pas sur parole.

1. L'architecture du projet de loi

Le projet de loi C-34 — titre abrégé : Loi sur les médias sociaux sécuritaires — édicte deux lois à la fois :

la Loi sur la sécurité numérique, qui impose des obligations aux « services de médias sociaux réglementés », aux « services d'agents conversationnels réglementés » et à d'autres « services en ligne réglementés »;
la Loi sur la Commission canadienne de la sécurité numérique, qui crée un nouvel organisme fédéral chargé d'appliquer la première.

Si la structure vous semble familière, c'est normal : le cœur — l'obligation de diligence — reprend de près la partie 1 du projet de loi C-63 de la législature précédente (la Loi sur les préjudices en ligne, morte au feuilleton). Ce qui est nouveau dans C-34 : l'interdiction des moins de 16 ans, les mesures obligatoires de vérification de l'âge et l'encadrement des agents conversationnels (chatbots) d'IA.

2. Qui est réglementé

Un « service de média social » est tout site ou application accessible au Canada dont l'objectif principal est de faciliter la communication en ligne interprovinciale ou internationale entre utilisateurs, en leur permettant d'accéder à du contenu et d'en partager par. 2(1). Un service devient réglementé quand il franchit un seuil d'utilisateurs — mais ce seuil n'est pas dans le projet de loi : il sera fixé plus tard par règlement art. 6. Des services plus petits peuvent aussi être assujettis individuellement, par règlement, si le Cabinet le juge utile.

Retenez bien ceci : tel qu'écrit, le texte ne s'applique à personne. Chaque service visé sera choisi après coup, par décret. Le professeur Michael Geist l'a dit crûment au lendemain du dépôt : à quels services de médias sociaux la loi s'applique-t-elle? « La réponse, pour l'instant : aucun » [traduction].

3. L'obligation de diligence — la partie à garder

Les exploitants de services de médias sociaux réglementés ont une « obligation d'agir de manière responsable » art. 31 à 41 :

mettre en œuvre des mesures « adéquates pour atténuer le risque » d'exposition des utilisateurs à sept catégories définies de contenu préjudiciable art. 32-33 — soit : le contenu intime communiqué sans consentement (hypertrucages compris), le contenu de victimisation sexuelle d'enfants, le contenu poussant un enfant à se porter préjudice, le contenu visant à intimider un enfant, le contenu fomentant la haine, le contenu incitant à la violence et le contenu de terrorisme ou d'extrémisme violent par. 2(1);
donner aux utilisateurs des outils pour bloquer d'autres utilisateurs et signaler du contenu préjudiciable art. 35-36;
étiqueter le contenu synthétique (généré par IA) et le contenu amplifié par des robots art. 37 à 39;
désigner une « personne-ressource » humaine que les utilisateurs peuvent réellement joindre art. 40;
rendre rapidement inaccessibles au Canada le matériel d'abus pédosexuels et les images intimes non consensuelles, avec recours à la Commission si la plateforme n'agit pas art. 43 à 47, 68;
publier un « plan de sécurité numérique » — une reddition de comptes publique sur les risques et leur atténuation art. 42.

Les exploitants de tous les services réglementés ont en outre une « obligation de protéger les enfants » au moyen de « caractéristiques de conception » adaptées à l'âge, à fixer par règlement art. 20-21 — paramètres par défaut, réglages des systèmes de recommandation, outils de signalement.

Notre position : cette architecture est saine. Elle réglemente des systèmes et de la conception, pas la parole individuelle; elle ne prévoit le retrait que pour les catégories où le droit a toujours tracé des lignes dures (matériel d'abus pédosexuels, images intimes non consensuelles); et elle ne touche pas à la messagerie privée. C'est ce que les spécialistes de la protection de l'enfance et la société civile demandaient depuis des années. Adoptez-la.

4. Les mesures d'âge — la partie qui gâche tout

L'interdiction de compte aux moins de 16 ans (art. 26 à 29)

Pour chaque service de média social réglementé désigné par règlement du Cabinet, l'exploitant doit intégrer « des mesures adéquates de vérification ou d'estimation de l'âge des utilisateurs conçues pour empêcher qu'une personne de moins de seize ans puisse avoir un compte ou être autrement inscrite auprès de ce service » par. 27(1).

Lisez attentivement. On ne peut pas vérifier que certains utilisateurs ont moins de 16 ans sans les contrôler tous. Le mécanisme d'une interdiction des moins de 16 ans, c'est nécessairement un contrôle d'âge imposé à chaque personne au Canada qui ouvre un compte — par pièce d'identité gouvernementale, par « estimation » biométrique du visage, ou par des méthodes d'exploration de données laissées au jugement du régulateur quant à leur « efficacité » al. 27(2)a).

La Commission pourra exempter une plateforme qui démontre la suffisance de ses mesures de protection des enfants art. 29 — un processus d'exemption dont les critères, encore une fois, n'existent pas.

Le contrôle d'âge pour la pornographie (art. 22-23)

Par ailleurs, tout exploitant ayant des « motifs raisonnables de soupçonner » que son service « donne accès à du contenu pornographique » doit y imposer un contrôle d'âge par. 22(1). Ce n'est pas limité aux sites pornographiques. Toute grande plateforme généraliste — réseau social, forum, hébergeur d'images — « donne accès » à du contenu pornographique, par simple arithmétique. La norme du soupçon place chaque grande plateforme à portée de l'obligation, et avec elle, chaque utilisateur adulte derrière un contrôle d'âge.

Pourquoi « vérification de l'âge » signifie infrastructure de surveillance. Chaque méthode disponible exige que l'utilisateur confie quelque chose de sensible à quelqu'un : une pièce d'identité, un balayage biométrique du visage, un dossier de crédit ou des données comportementales. L'Electronic Frontier Foundation, après une décennie d'étude de ces systèmes, résume le bilan sans détour : chaque dispositif force les utilisateurs à révéler des renseignements personnels sensibles à des tiers simplement pour accéder au web, et une fois ces données précieuses centralisées, elles deviennent une cible immédiate de fuites, de piratages et d'abus [traduction]. Les règles de destruction des données du projet de loi (ci-dessous) réduisent ce risque; elles ne l'éliminent pas, et elles ne réparent rien à la blessure plus profonde — la disparition de l'accès anonyme à l'espace public.

5. La porte du filtrage — par. 12(2)

Le paragraphe 12(1) fait une promesse bienvenue : la loi n'oblige pas l'exploitant « à chercher de façon proactive du contenu sur le service réglementé qu'il exploite dans le but d'identifier du contenu préjudiciable ». Pas d'obligation générale de surveillance — très bien.

Puis le paragraphe 12(2) ouvre une porte au travers de la promesse : malgré le paragraphe (1), des règlements peuvent obliger l'exploitant « à utiliser des moyens technologiques » pour empêcher le téléversement de contenu représentant de la victimisation sexuelle d'enfants.

Aujourd'hui, ce pouvoir est confiné au matériel d'abus pédosexuels — la seule catégorie où le filtrage au téléversement contre des bases de données de contenus connus est établi de longue date. Mais comprenez ce que fait ce paragraphe : il permet au Cabinet, par règlement, d'ordonner à des entreprises privées d'intégrer le balayage automatisé de contenu à leurs systèmes. La présidente de Signal, Meredith Whittaker, dit de ces architectures qu'il n'existe aucune façon de mettre en œuvre un balayage côté client de manière sûre et privée — « cette technologie n'existe pas » [traduction] — et Signal a déjà prévenu des gouvernements qu'elle quitterait leur marché plutôt que de la construire. Une infrastructure de balayage, une fois exigée et bâtie, est une capacité en attente de nouvelles catégories. L'histoire de la surveillance des communications est exactement l'histoire de cette expansion.

6. Le chèque en blanc au Cabinet

Comptez ce que le projet de loi remet à des règlements : quels services sont réglementés art. 5 à 8; quelles plateformes l'interdiction des moins de 16 ans vise par. 27(5); quelles mesures d'assurance de l'âge sont exigées art. 23, 28; les caractéristiques de conception dues aux enfants art. 21; le pouvoir de filtrage au téléversement al. 126(1)i); et des dizaines d'autres. Le professeur Geist dénombre 19 points de décision réservés au gouverneur en conseil et 31 habilitations réglementaires distinctes — une cinquantaine de choix déterminants faits après le vote du Parlement, par décret et par une Commission qui, note-t-il, n'existe pas encore : ni membres, ni présidence, ni personnel, ni budget [traduction].

Le verdict de l'Association canadienne des libertés civiles, au lendemain du dépôt : « un chèque en blanc au pouvoir fédéral est la mauvaise réponse à un vrai problème » [traduction]. Quand le Parlement ne peut pas savoir ce sur quoi il vote, le contrôle parlementaire d'une loi touchant l'expression n'a lieu qu'une fois — et pas au Parlement.

7. La Commission et ses pouvoirs

La nouvelle Commission canadienne de la sécurité numérique pourra :

contraindre à témoigner et à produire des documents « de la même façon et dans la même mesure qu'une cour supérieure d'archives » art. 73, alors qu'elle-même n'est « pas liée … par les règles juridiques ou techniques applicables en matière de preuve » art. 74;
désigner des inspecteurs qui peuvent entrer dans des lieux (avec mandat, ou avec consentement) pour vérifier la conformité — y compris « à distance par un moyen de télécommunication », avec le pouvoir d'examiner et de copier des documents et d'utiliser tout système informatique qui s'y trouve art. 77 à 80;
rendre des ordonnances de conformité art. 81;
imposer des sanctions administratives pécuniaires allant jusqu'à la plus élevée de deux sommes : 10 millions de dollars ou 3 % des revenus bruts globaux art. 88, et des amendes pénales jusqu'à 20 millions ou 5 % pour entrave ou violation d'ordonnance art. 107.

Ces pouvoirs visent les entreprises, pas les utilisateurs individuels — la distinction est réelle et nous la faisons. Mais combinez ces plafonds de sanctions à l'obligation floue d'atténuer le « contenu préjudiciable » (une liste qui comprend des catégories contestées comme le « contenu fomentant la haine »), et la réaction prévisible des entreprises est le sur-retrait : quand l'amende pour en bloquer trop peu atteint 3 % du chiffre d'affaires mondial et que bloquer trop ne coûte rien, c'est la parole licite qu'on sacrifie. L'ACLC avertit que les obligations sont si largement définies que les exploitants seront tentés de sur-appliquer la loi aux dépens de la liberté d'expression et de la vie privée des utilisateurs [traduction].

8. Les règles sur les agents conversationnels

C-34 est aussi le premier projet de loi canadien à encadrer directement les agents conversationnels d'IA art. 48 à 58 : les exploitants doivent atténuer le risque que l'agent communique du contenu préjudiciable, prévoir des mesures d'intervention en situation de crise quand un utilisateur exprime des idées suicidaires, atténuer des comportements préjudiciables définis, et publier des plans de sécurité numérique. Ces dispositions soulèvent leurs propres questions (les catégories sont fixées par règlement, encore), mais elles suivent le modèle de la diligence plutôt que celui de l'identification — le texte déposé ne contient pas d'obligation de vérification d'âge pour les agents conversationnels. Nous le signalons par souci d'exhaustivité, et nous surveillerons les règlements.

9. Les garanties qui sont réelles

Un bilan honnête exige de nommer ce que les rédacteurs ont réussi, car les amendements devront le préserver :

La messagerie privée est exclue de toutes les obligations art. 11.
Règles de vie privée pour l'assurance de l'âge : les mesures ne peuvent recueillir ou utiliser des renseignements personnels qu'aux fins d'âge, doivent les détruire une fois la vérification terminée, et les protéger jusqu'à leur destruction par. 22(2), 27(2).
Réserves sur l'expression : les dispositions d'âge n'obligent pas l'exploitant « à mettre en œuvre des mesures qui limitent d'une façon disproportionnée ou déraisonnable l'expression des utilisateurs » par. 22(3), 27(3) — notez toutefois que le texte se contente de ne pas exiger de telles mesures; il ne les interdit pas.
Préservation étroite : l'obligation de préserver du contenu ne vise que le contenu incitant à la violence ou terroriste déjà retiré, pour un an, après quoi la destruction est obligatoire art. 41.
Accès des chercheurs, pas de la police : le régime d'accès aux données de la partie 2 sert des organismes de recherche accrédités, sous conditions de confidentialité art. 60 à 64.
Aucun emprisonnement en vertu de la loi, point final art. 111.
Examen obligatoire des articles sur l'âge minimum dans les trois ans art. 129 — l'aveu implicite que même les rédacteurs doutent de l'interdiction.

Ces garanties montrent que les rédacteurs ont entendu les critiques des projets de loi antérieurs. Elles montrent aussi que la bataille de C-34 peut être gagnée : un gouvernement qui a écrit le paragraphe 27(3) peut être convaincu de retirer entièrement les mesures d'âge.

Suite : l'analyse fondée sur la Charte Passer à l'action : écrire à votre député·e