La plupart des Canadien·nes ne se soucient guère de la manière dont leurs communications Internet sont acheminées. Il est normal de croire qu’un message envoyé de Vancouver à Toronto reste au Canada. Trop souvent, ce n’est pas le cas. Le trafic Internet « national » peut faire un détour par les États-Unis avant de revenir au pays. Cela revêt aujourd’hui une importance bien plus grande dans le contexte actuel de tensions commerciales et de concurrence géopolitique.
Au début du mois de décembre, Microsoft Corp. annonçait un nouvel investissement de 7,5 milliards de dollars dans l’intelligence artificielle au Canada, associé à un plan visant à « promouvoir et protéger » la souveraineté numérique canadienne. L’annonce fut accueillie favorablement. Toutefois, cette revendication de souveraineté mérite d’être examinée de près.
Il y a à peine quelques mois, Microsoft a déclaré devant une commission sénatoriale française qu’il ne pouvait garantir que les données de l’Union européenne ne seraient jamais divulguées aux autorités américaines. En vertu de la loi américaine surnommée CLOUD ACT, les autorités américaines peuvent demander l’accès aux données détenues par des fournisseurs de services basés aux États-Unis, même lorsque ces données sont stockées à l’étranger, y compris lorsque les lois locales en matière de protection de la vie privée s’appliqueraient normalement. La leçon à tirer pour le Canada est simple : les données conservées au Canada ne sont pas à l’abri de la juridiction étrangère.
Maintenant, replacez cette réalité dans le contexte de ce qui va suivre. Cette année, le Canada, les États-Unis et le Mexique entameront l’examen conjoint obligatoire de l’ACEUM, notamment des règles commerciales numériques de l’accord de libre-échange telles que les flux transfrontaliers de données, les services infonuagiques et l’économie numérique au sens large. Le résultat déterminera la marge de manœuvre dont disposera le Canada pour réduire son exposition évitable aux États-Unis dans les infrastructures sur lesquelles reposent nos communications.
Il ne s’agit pas ici de plaider en faveur de la localisation des données ou de bloquer les flux transfrontaliers de données. Il s’agit plutôt d’un appel visant à s’assurer que le trafic Internet entre les Canadien·nes ne passe pas inutilement par les États-Unis, alors qu’il existe des alternatives techniques permettant de le conserver au pays.
Il ne s’agit pas là d’une simple théorie. Des chercheur·ses de l’Université de Toronto et de l’Université York ont découvert que 25 % des itinéraires intracanadiens figurant dans leur base de données transitaient par les États-Unis, ce qu’on appelle le « routage boomerang ». En termes simples, une connexion entre deux points canadiens peut faire un détour par les États-Unis avant de revenir, ce qui peut accroître l’exposition à la juridiction étrangère et créer un point de défaillance inutile pour tout, de la coordination des urgences au trafic commercial quotidien.
Le cadre de souveraineté numérique 2025 d’Ottawa reconnaît le défi, mais offre des orientations pratiques limitées. Voici trois mesures que le Canada devrait prendre dès maintenant.
Premièrement, les gouvernements devraient associer le financement du réseau public à large bande, les licences de spectre et les contrats gouvernementaux de connectivité à une attente fondamentale : maintenir le trafic Internet canadien sur des voies situées au Canada lorsque cela est techniquement possible. Cela signifie financer non seulement de nouvelles lignes, mais aussi des points d’échange Internet canadiens indépendants (PEI), c’est-à-dire des installations partagées où les réseaux échangent du trafic localement plutôt qu’à l’échelle internationale.
Deuxièmement, Ottawa et le Conseil de la radiodiffusion et des télécommunications canadiennes devraient établir des obligations minimales en matière d’interconnexion et de transparence pour les principaux opérateurs. Le trafic à destination et en provenance du Canada devrait être échangé uniquement au Canada, les opérateurs publiant des mesures vérifiables en matière de routage et d’interconnexion. Les PEI étendus peuvent réduire la latence et améliorer la résilience, mais uniquement si les opérateurs et les réseaux financés par des fonds publics les utilisent réellement.
Troisièmement, Ottawa devrait mettre en place des normes de routage et de redondance pour les réseaux qui acheminent le trafic canadien critique afin que le trafic national privilégie par défaut les chemins au Canada, avec des exceptions claires et limitées en cas de panne. Le Canada devrait également accélérer le développement des capacités est-ouest, notamment en installant de nouveaux réseaux fédérateurs nationaux à fibre optique, afin de réduire sa dépendance vis-à-vis du transit américain en cas de perturbations.
La réduction du routage boomerang permet de remédier à un type de vulnérabilité, mais le Canada a également besoin de mesures de protection pour les données sensibles, car celles-ci pourraient être divulguées si elles étaient contrôlées par un fournisseur étranger. Les politiques en matière d’infrastructure et d’approvisionnement devraient être coordonnées : maintenir le trafic critique au niveau national dans la mesure du possible et veiller à ce que les charges de travail sensibles soient régies par des normes claires qui correspondent à la tolérance au risque du Canada.
Certaines personnes diront que cette approche est trop stricte ou que les marchés régleront le problème. Toutefois, étant donné le climat politique et économique actuel, la souveraineté numérique est trop importante pour être entièrement laissée aux incitations du marché. D’autres craindront que cela risque d’isoler le Canada de l’Internet mondial, mais des alliés clés prennent déjà des mesures ciblées en faveur de la souveraineté : la Corée du Sud applique des normes infonuagiques strictes pour certaines parties de son secteur public, et le SecNumCloud français fixe des exigences nationales pour certains services infonuagiques. Si les alliés agissent pour réduire les risques, le Canada ne devrait pas considérer la résilience de base du routage national comme un sujet tabou.
La souveraineté numérique ne consiste pas à ériger des murs. Il s’agit de faire preuve de résilience. Nous devons réduire les dépendances évitables afin que le Canada puisse agir de manière indépendante lorsque cela s’avère nécessaire. Pour y parvenir, il faudra une coordination entre les gouvernements, les organismes de réglementation, les fournisseurs de télécommunications et la communauté technique.
Il ne s’agit pas d’un appel à une autonomie numérique totale, ce qu’Ottawa reconnaît à juste titre comme impossible. « La souveraineté ne signifie pas la solitude », a déclaré Evan Solomon, ministre chargé de l’IA. Et cela ne devrait pas signifier que les Canadien·nes doivent accepter par défaut une dépendance évitable.
À l’approche de l’examen de l’ACEUM, le Parlement devrait aller au-delà de la rhétorique et transformer la « souveraineté numérique » en résultats mesurables et applicables. Le Canada peut soit agir dès maintenant pour réduire son exposition, soit négocier plus tard à partir d’une position de dépendance plus profonde.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
