Open Letter on Bill C-22, An act respecting lawful access

On 28 April 2026, civil society organizations, companies, and cybersecurity experts, including Global Encryption Coalition members, published an open letter to Canada’s Prime Minister Mark Carney, Canadian Public Safety Minister Gary Anandasangaree, and Minister of Justice and Attorney General of Canada Sean Fraser P.C., M.P., urging the federal government to withdraw Bill C-22,An Act respecting lawful access. By undermining encryption, Bill C-22 would jeopardize Canada’s digital security, privacy, and safety on and offline.

We are welcoming civil society organizations, companies, and cybersecurity experts to sign on to this open letter! Signatures will continue to be accepted until 12 May 2026.

Sign The Letter

The Right Honourable. Mark Carney, P.C., O.C., M.P.

Prime Minister of Canada

The Honourable Gary Anandasangaree P.C., M.P.

Minister of Public Safety

The Honourable Sean Fraser P.C., M.P.

Minister of Justice and Attorney General of Canada

The undersigned civil society organizations, companies, and cybersecurity experts, including members of the Global Encryption Coalition, urge the federal government to withdraw Bill C-22,An Act respecting lawful access.

While Bill C-22 aims to make Canadian’ safer, Part 2 of the Bill, the Supporting Authorized Access to Information Act, will instead force services to install “technical capabilities” to access Canadians’ communications and sensitive data.¹ The consensus among cybersecurity experts is clear. There is no way to provide backdoor access to encrypted data and communications without compromising the privacy and security of millions of law-abiding citizens. This is particularly true in the wake of new AI systems that can autonomously scan software, find the vulnerabilities created by encryption backdoors, and write attacks to break in. AI has collapsed the timeline from discovery to exploitation from months to mere hours, ensuring that any mandated backdoor will be weaponized by adversaries almost instantly.

In 2025, the federal government attempted to pass Bill C-2, which included lawful access provisions. Part 2 of Bill C-22 would create the same and worse problems as last year’s legislation.

By forcing companies to build encryption backdoors into their services, Bill C-22 would:

expose Canadians and Canadian institutions to foreign surveillance and interference.
jeopardize the security and privacy of people in Canada and abroad, including children and vulnerable communities.
undermine the growth and resilience of Canada’s digital economy.
subject Canadians to the rising cost of cybercrime

The Bill’s so-called protections related to “systemic vulnerabilities” in Part 2 of Bill C-22 are not adequate to protect the security and integrity of Canadian data. The term “systemic vulnerability” is vaguely defined and “encryption” remains undefined in the legislation. Furthermore, the Bill gives the Governor in Council wide remit to make changes to the definitions and processes in Part 2 of the Bill. This risk of limited safeguards being eroded even further is even greater with the government’s admission that it is open to broadening C-22 powers for law enforcement.

Strong encryption is crucial to keep private information out of the wrong hands. In a digital society where online services are increasingly collecting, compiling, and selling identifiable and sensitive data, encryption is often our last line of defense for privacy and security online. Preventing people and businesses from protecting themselves with the strongest security tools available would be disastrous.

Bill C-22 will expose Canadians and Canadian institutions to foreign surveillance and interference.

Bill C-22 could expose everyone in Canada to international surveillance and undermine Canada’s efforts to improve national security amid geopolitical uncertainty. There is no such thing as a backdoor that is only open to law enforcement and intelligence agencies. And if you build it, the question is not ‘if’ adversaries will exploit the vulnerability, but ‘when’.

The threat to Canada is real. In March 2026, the Canadian Centre for Cyber Security (CCCS) noted that “Russian cyber threat actors are very likely targeting Canadian government, military, private sector and critical infrastructure networks.” Furthermore, a CCCS 2025 bulletin, found that a Chinese hacking group, Salt Typhoon, “almost certainly” targeted the Canadian telecommunications sector and other industries.

The 2024 Salt Typhoon cyber espionage campaign is a stark reminder that backdoors are never only available to the ‘good guys’. Nation-state attackers gained access to highly sensitive US national security information by taking over the built-in wiretap capabilities of US telecommunications networks.¹ Crucially, the attackers did not need to exploit a technical flaw in the intercept system itself to break in. They breached the perimeter using everyday software bugs and stolen credentials, and then simply commandeered the mandated backdoor to conduct their own espionage. Furthermore, infected US telecommunications companies may never be able to undo the espionage campaign’s compromise to their networks. Salt Typhoon’s devastation happened because a US policy decision forced the creation of a powerful “dual-use” tool, proving that any mandated access system will become a weapon for anyone who compromises the host network.

Bill C-22 could do far worse—threatening the security of virtually any Internet-based service (within Canada and abroad) that receives similar orders, as well as the individuals and businesses that rely on them. New AI tools recently showed how quickly and cheaply attackers can spot and exploit vulnerabilities. Because AI drastically lowers the cost and skill floor for vulnerability discovery, the “time to exploit” window has collapsed. Cyber security professionals already face a significant challenge in combatting this threat, but C-22 would force services to introduce new vulnerabilities for these models to exploit, not fix them.

Bill C-22 will jeopardize the security and privacy of people in Canada and abroad, including children and vulnerable communities.

Bill C-22’s lawful access provisions would erode a last line of defense to ensure people can have safe experiences on and offline. International human rights bodies and child safety experts have recognized the importance of encryption to protect the safety and privacy of people, including children and vulnerable communities. Encryption ensures people have safe lines of communication online when they need it most. For survivors of domestic violence, encryption is a lifeline that secures confidential communication about escape plans and protecting victims (including children) from abusers. For children, it means schools and health authorities can help keep their sensitive data out of the hands of predators. For Indigenous communities and marginalized groups, it can help create safe spaces to engage in advocacy and connect with communities while avoiding harassment and surveillance online. Encryption also protects people from transnational repression, shielding sensitive data from other governments that could misuse it to silence criticism through intimidation or threats of violence.

Bill C-22 will push innovation, talent, and investment dollars away from Canada

Requiring businesses to reconfigure their systems specifically to enable access to communications systems to comply with government orders would force businesses to choose between weakening the security of their services and putting users’ security and privacy at risk, or withdrawing their secure services and/or products from Canada altogether. Either choice will weaken Canadians’ security.

Businesses have already faced this impossible choice. A recent United Kingdom (UK) government order issued to Apple under its Investigatory Powers Act led Apple to stop offering Advanced Data Protection within the UK, rather than weaken the security of its product by providing the UK government with backdoor access. While some businesses may choose to move out of Canada altogether, Canadian companies that are not able to leave the jurisdiction will likely suffer the economic consequences of a distrusted tech sector. An Internet Society-commissioned report on the economic consequences of laws that weaken encryption found that Australia’s Telecommunications and Other Legislation Amendment (Assistance and Access) (TOLA) Act caused massive distrust in Australia’s tech sector and significant financial losses. One company interviewed estimated an “adverse economic impact” to the order of AU$1 billion. With the tech sector employing 2.2 million Canadians, the economic consequences of this disruption would be large.

Canada will become a hotbed for cyber incidents and Canadians will shoulder the cost

Canadians are increasingly at risk of data breaches and financially motivated cybercrime. Statistics Canada says Canadian businesses spent 1.2 billion on cyber incident recovery in 2023. Strong encryption is crucial to help prevent and mitigate the impact of cyber incidents. It allows people, businesses, and networks to send sensitive information over the Internet so eavesdroppers and attackers cannot see or tamper with the content. This is critical to making sure online services (e.g., banking, ecommerce, tax filing, telemedicine)—as well as the Internet infrastructure that makes them possible—operate in the way that people and businesses expect. The volume and impact of cyber incidents could soar under Part 2 of Bill C-22 and the cost will most certainly be passed onto consumers, contributing to an already growing cost of living and doing business in Canada.

The undersigned signatories ask that the federal government withdraw Bill C-22 to address the immediate threats Part 2 and conduct a full study including consultations and an Internet Impact Assessment to mitigate risks in the Bill.

Only by making sure people and businesses have the strongest tools to avoid data breaches and the next major cyberattack, can we promote the resilience of Canada’s digital economy and protect people and vulnerable communities from harm.

There are a range of concerns with the current draft of Bill C-22—many of which have already been raised by other organizations and experts— including around surveillance and online privacy, however, the focus of this open letter is on Part 2 of the Bill. ↩︎

Signatories:

Organizations

3 Steps Data

Africa Media and Information Technology Initiative (AfriMITI)

Betapersei SC

Canadian Muslim Public Affairs Council (CMPAC)

Center for Democracy & Technology

Comunitatea Internet Association

Cryptopocalypse

Cybersecurity Advisors Network

DNS Africa Media and Communications

DNS World Media and Comnmunications

Fight for the Future

Human Rights Journalists Network Nigeria

International Civil Liberties Monitoring Group

Internet Infrastructure Coalition

Internet Society

Internet Society Catalan Chapter (ISOC-CAT)

Internet Society Colombia Chapter

Internet Society Ecuador Chapter

Internet Society Uganda Chapter

JCA-NET

LGBT tech

Open Knowledge Nepal

OpenMedia

Privacy and Access Council of Canada

TiBaza

The Tor Project

Tuta

VPN Trust Initiative

Webfala Digital Skills for all Initiative

YOUTH FORUM FOR SOCIAL JUSTICE

Individual Experts*

Jessie Arsenault

Christian Brière, cybersecurity professional

Jon Callas, Indiana University

Jean Camp, Fellow of the IEEE, ACM, and AAAS

Dr. Richard F. Forno, University of Maryland Baltimore County

John Gilmore, co-founder of the Electronic Frontier Foundation and the Cypherpunks

Ian Goldberg, University of Waterloo

Shane Grant

Rubia Reis Guerra, University of British Columbia

Nguyen Phong Hoang, University of British Columbia

Youssef Hojeij

Susan Landau, Tufts University

Gabrielle Lim, University of Toronto

Steven Mansour, Center for Agentic AI Research

Puneet Mehrotra, University of British Columbia

Sascha Meinrath, X-Lab

Mr Michele Neylon, Founder & CEO of Blacknight

Caleb Ogundele

Mitch Richard, Hivenet

Margo Seltzer, The University of British Columbia

Adam Shostack, Author, Threat Modeling: Designing for Security

Eugene H. Spafford, Distinguished Professor, Purdue University

Joel Templeman, Internet Society Manitoba Chapter Inc.

*Affiliations listed for identification purposes only

Le très honorable Mark Carney, C.P., O.C., député

Premier ministre du Canada

L’honorable Gary Anandasangaree, C.P., député

Ministre de la Sécurité publique

L’honorable Sean Fraser, C.P., député

Ministre de la Justice et procureur général du Canada

Les organisations de la société civile, les entreprises et les experts en cybersécurité soussignés, y compris les membres de la Global Encryption Coalition (coalition mondiale pour le chiffrement), exhortent le gouvernement fédéral à retirer le projet de loi C-22, Loi concernant l’accès légal.

Même si le projet de loi C-22 vise à renforcer la sécurité des Canadiens, sa deuxième partie, la Loi sur le soutien en matière d’accès autorisé à de l’information, obligera au contraire les fournisseurs de services à mettre en place des « moyens techniques » permettant d’accéder aux communications et aux données sensibles des Canadiens.[1] Le consensus parmi les experts en cybersécurité est clair. Il est impossible de fournir un accès dérobé aux données et aux communications chiffrées sans compromettre la vie privée et la sécurité de millions de citoyens respectueux des lois. Cela est particulièrement vrai avec l’apparition de nouveaux systèmes d’IA capables d’analyser de manière autonome les logiciels, de détecter les vulnérabilités créées par les portes dérobées de chiffrement et de concevoir des attaques pour s’introduire dans les systèmes. L’intelligence artificielle a réduit le délai entre la découverte et l’exploitation de plusieurs mois à quelques heures seulement, garantissant ainsi que toute porte dérobée imposée sera exploitée par les pirates presque instantanément.

En 2025, le gouvernement fédéral a tenté de faire adopter le projet de loi C-2, qui comprenait des dispositions relatives à l’accès légal. La deuxième partie du projet de loi C-22 entraînerait les mêmes problèmes, voire des problèmes plus graves, que la loi de l’année dernière.

En obligeant les entreprises à intégrer des portes dérobées dans leurs services, le projet de loi C-22 aurait pour effet :

d’exposer les Canadiens et les institutions canadiennes à la surveillance et à l’ingérence étrangères;
de compromettre la sécurité et la vie privée des personnes au Canada et à l’étranger, y compris les enfants et les communautés vulnérables;
de nuire à la croissance et à la résilience de l’économie numérique canadienne;
d’exposer les Canadiens à l’augmentation du coût de la cybercriminalité.

Les mesures dites de protection prévues dans la partie 2 du projet de loi C-22 concernant les « vulnérabilités systémiques » ne suffisent pas à garantir la sécurité et l’intégrité des données canadiennes. Le terme « vulnérabilité systémique » est défini de manière vague et le terme « chiffrement » n’est pas défini dans la législation. En outre, le projet de loi confère au gouverneur en conseil un large pouvoir pour modifier les définitions et les procédures prévues à la partie 2 du projet de loi. Ce risque de voir les garanties déjà limitées s’éroder encore davantage est d’autant plus grand que le gouvernement a admis qu’il était disposé à élargir les pouvoirs conférés par le projet de loi C-22 aux forces de l’ordre.

Un chiffrement solide est essentiel pour empêcher que des informations privées ne tombent entre de mauvaises mains. Dans une société numérique où les services en ligne collectent, compilent et vendent de plus en plus de données identifiables et sensibles, le chiffrement est souvent notre dernier rempart pour préserver la confidentialité et la sécurité en ligne. Empêcher les particuliers et les entreprises de se protéger à l’aide des outils de sécurité les plus puissants disponibles serait désastreux.

Le projet de loi C-22 exposera les Canadiens et les institutions canadiennes à la surveillance et à l’ingérence étrangères

Le projet de loi C-22 pourrait exposer l’ensemble de la population canadienne à une surveillance internationale et compromettre les efforts déployés par le Canada pour renforcer la sécurité nationale dans un contexte d’incertitude géopolitique. Il n’existe pas de « porte dérobée » réservée exclusivement aux forces de l’ordre et aux services de renseignement. Et si vous la créez, la question n’est pas de savoir « si » les pirates exploiteront cette vulnérabilité, mais « quand ».

La menace qui pèse sur le Canada est bien réelle. En mars 2026, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a indiqué que « les cybercriminels russes ciblaient très probablement les réseaux du gouvernement canadien, de l’armée, du secteur privé et des infrastructures essentielles ». Par ailleurs, un bulletin de 2025 du Centre pour la cybersécurité a révélé qu’un groupe de pirates informatiques chinois, Salt Typhoon, avait « presque certainement » pris pour cible le secteur canadien des télécommunications ainsi que d’autres secteurs d’activité.

La campagne de cyberespionnage « Salt Typhoon » de 2024 nous rappelle brutalement que les portes dérobées ne sont jamais réservées aux « gentils ». Des pirates informatiques agissant pour le compte d’États ont réussi à accéder à des informations hautement sensibles relatives à la sécurité nationale américaine en prenant le contrôle des dispositifs d’écoute intégrés aux réseaux de télécommunications américains.¹ Il est important de noter que les pirates n’ont pas eu besoin d’exploiter une faille technique du système d’interception lui-même pour s’introduire dans le système. Ils ont franchi le périmètre de sécurité en exploitant des failles logicielles courantes et des identifiants volés, puis ont simplement pris le contrôle de la porte dérobée imposée pour mener leurs propres activités d’espionnage. De plus, les entreprises de télécommunications américaines touchées pourraient ne jamais parvenir à remédier aux dommages causés à leurs réseaux par cette campagne d’espionnage. Les ravages causés par Salt Typhoon sont dus au fait qu’une décision politique américaine a imposé la création d’un puissant outil « à double usage », démontrant ainsi que tout système d’accès obligatoire peut se transformer en arme entre les mains de quiconque parvient à compromettre le réseau hôte.

Le projet de loi C-22 pourrait avoir des conséquences bien plus graves : il menacerait la sécurité de pratiquement tous les services en ligne (au Canada et à l’étranger) qui reçoivent des ordonnances de ce type, ainsi que celle des particuliers et des entreprises qui en dépendent. De nouveaux outils d’IA ont récemment montré à quel point les pirates peuvent repérer et exploiter des vulnérabilités rapidement et à moindre coût. L’IA réduisant considérablement les coûts et le niveau de compétence requis pour détecter les vulnérabilités, le délai avant l’exploitation de celles-ci s’est considérablement raccourci. Les professionnels de la cybersécurité sont déjà confrontés à un défi de taille pour lutter contre cette menace, mais le projet de loi C-22 obligerait les services à introduire de nouvelles vulnérabilités que ces modèles pourraient exploiter, au lieu de les corriger.

Le projet de loi C-22 mettra en péril la sécurité et la vie privée des personnes au Canada et à l’étranger, y compris celles des enfants et des communautés vulnérables

Les dispositions du projet de loi C-22 relatives à l’accès légal porteraient atteinte à l’un des derniers remparts garantissant la sécurité des utilisateurs, tant en ligne que hors ligne. Les organismes internationaux de défense des droits de la personne et les experts en protection de l’enfance ont reconnu l’importance du chiffrement pour protéger la sécurité et la vie privée des personnes, notamment des enfants et des communautés vulnérables. Le chiffrement garantit aux personnes des moyens de communication en ligne sécurisés lorsqu’elles en ont le plus besoin. Pour les victimes de violence familiale, le chiffrement est un rempart qui sécurise les communications confidentielles concernant les plans d’évasion et la protection des victimes (y compris les enfants) contre leurs agresseurs. Pour les enfants, cela signifie que les écoles et les autorités sanitaires peuvent continuer à protéger leurs données sensibles contre les prédateurs. Pour les communautés autochtones et les groupes marginalisés, cela peut aider à créer des espaces sûrs pour mener des actions de sensibilisation et entrer en contact avec d’autres communautés tout en évitant le harcèlement et la surveillance en ligne. Le chiffrement protège également les personnes contre la répression transnationale en préservant les données d’autres gouvernements qui pourraient les utiliser à mauvais escient pour faire taire les critiques par l’intimidation ou les menaces de violence.

Le projet de loi C-22 fera fuir l’innovation, les talents et les investissements hors du Canada

Exiger des entreprises qu’elles reconfigurent leurs systèmes spécifiquement pour permettre l’accès aux systèmes de communication afin de se conformer aux ordonnances gouvernementales les obligerait à choisir entre affaiblir la sécurité de leurs services et mettre en péril la sécurité et la vie privée des utilisateurs, ou retirer purement et simplement leurs services et/ou produits sécurisés du marché canadien. Quel que soit le choix retenu, il compromettra la sécurité des Canadiens.

Les entreprises ont déjà été confrontées à ce choix cornélien. Une récente décision du gouvernement britannique, prise à l’encontre d’Apple en vertu de la loi sur les pouvoirs d’enquête (Investigatory Powers Act) a conduit Apple à cesser d’offrir la protection avancée des données au Royaume-Uni, plutôt que d’affaiblir la sécurité de son produit en fournissant au gouvernement l’accès à une porte dérobée. Si certaines entreprises peuvent choisir de quitter définitivement le Canada, d’autres qui ne sont pas en mesure de le faire subiront probablement les conséquences économiques d’un secteur technologique en perte de confiance. Un rapport commandé par l’Internet Society sur les conséquences économiques des lois qui affaiblissent le chiffrement a révélé que la loi australienne sur les télécommunications et autres modifications législatives (assistance et accès) (TOLA) a provoqué une méfiance massive envers le secteur technologique australien et des pertes financières importantes. Une des entreprises interrogées a estimé que les « répercussions économiques négatives » s’élèveraient à environ 1 milliard de dollars australiens. Le secteur des technologies employant 2,2 millions de Canadiens, les conséquences économiques de cette perturbation seraient considérables.

Le Canada deviendra un foyer de cyberincidents et les Canadiens en assumeront le coût

Les Canadiens sont de plus en plus exposés aux risques de violations de données et de cybercriminalité motivée par les gains financiers. Selon Statistique Canada, les entreprises canadiennes ont dépensé 1,2 milliard de dollars pour se remettre de cyberincidents en 2023. Un chiffrement puissant est crucial afin de prévenir et d’atténuer l’impact de cyberincidents. Il permet aux particuliers, aux entreprises et aux réseaux d’acheminer des informations sensibles sur l’Internet sans que des espions ou des pirates ne puissent voir ou altérer leur contenu. Cela est essentiel pour garantir que les services en ligne (les services bancaires, le commerce électronique, les déclarations fiscales, la télémédecine), ainsi que l’infrastructure Internet qui les rend possibles, fonctionnent de la manière attendue par les particuliers et les entreprises. Le nombre et l’impact des cyberincidents pourraient monter en flèche en vertu de la partie 2 du projet de loi C-22, et les coûts seront très certainement répercutés sur les consommateurs, ce qui contribuera à aggraver le coût de la vie et le coût des affaires au Canada, déjà en hausse.

Les signataires ci-dessous demandent au gouvernement fédéral de retirer le projet de loi C-22 afin de remédier aux menaces immédiates découlant de la partie 2 et de mener une étude approfondie, comprenant des consultations et une analyse d’impact sur Internet, afin d’atténuer les risques liés à ce projet de loi.

Ce n’est qu’en veillant à ce que les particuliers et les entreprises disposent des outils les plus efficaces pour prévenir les fuites de données et la prochaine cyberattaque de grande ampleur que nous pourrons renforcer la résilience de l’économie numérique canadienne et protéger la population ainsi que les communautés vulnérables contre tout préjudice.

Signé

Organisations