Dans moins de neuf mois, dès le 1er juillet 2017, les personnes touchées par une infraction à la Loi canadienne anti-pourriel (connue sous l’appellation « LCAP ») pourront faire valoir un droit privé d’action et intenter des poursuites en indemnisation et obtenir ainsi des dommages-intérêts d’origine législative potentiellement élevés. Les organisations devraient évaluer leur conformité à la LCAP et se préparer à se défendre contre d’éventuelles poursuites en passant en revue et actualisant leur programme de conformité.
LCAP
La LCAP crée un régime détaillé et complet d’infractions, de mécanismes de mise à exécution et de sanctions potentiellement importantes (notamment à l’égard de la responsabilité personnelle d’employeurs, d’administrateurs de sociétés et de dirigeants) qui vise à interdire l’envoi de messages électroniques commerciaux (les « MEC ») non sollicités ou trompeurs, l’installation et l’utilisation commerciales non autorisées de programmes informatiques sur l’ordinateur d’une autre personne ainsi que d’autres formes de fraude en ligne (comme le vol d’identité et l’hameçonnage).
Pour la plupart des organisations, les principaux éléments de la LCAP sont les règles concernant les MEC. Sous réserve d’exceptions circonscrites, la LCAP crée un régime de consentement préalable (opt-in) qui interdit l’envoi d’un MEC, à moins que le destinataire n’ait signifié son consentement (expressément ou implicitement, dans des circonstances particulières) à recevoir le MEC et que celui-ci ne soit conforme à des conditions prescrites, prévoyant notamment la mise en place rapide d’un mécanisme de désabonnement efficace, et qu’il ne soit pas trompeur. Il incombe à l’organisation qui envoie un MEC de prouver que le destinataire a consenti à le recevoir.
Les infractions aux règles de la LCAP qui régissent les MEC peuvent donner lieu à de lourdes sanctions administratives pécuniaires (jusqu’à 1 million de dollars pour une infraction commise par un particulier et jusqu’à 10 millions de dollars pour une infraction commise par une organisation) et entraîner la responsabilité civile au moyen d’un droit privé d’action (à compter du 1er juillet 2017) ainsi que la responsabilité du fait d’autrui visant les employeurs, administrateurs et dirigeants qui ne sont pas en mesure de démontrer qu’ils ont pris toutes les précautions voulues afin de prévenir des infractions à la LCAP.
Toute personne qui prétend avoir été lésée par une infraction à la LCAP, notamment parce qu’on lui a envoyé un MEC sans son consentement, pourra faire valoir un droit privé d’action. Le tribunal qui tient une organisation responsable d’une infraction à la LCAP pourra ordonner à celle-ci d’indemniser le demandeur pour les pertes et dommages qu’il a réellement subis et les frais qu’il a réellement engagés, et de lui verser des dommages-intérêts d’origine législative (non compensatoires) potentiellement élevés. À titre d’exemple, chaque infraction aux règles de la LCAP concernant les MEC peut entraîner des dommages-intérêts d’origine législative de 200 $, à concurrence de 1 000 000 $ par jour pour l’ensemble des infractions. La LCAP prévoit que le montant de ces dommages-intérêts doit être fixé à la lumière de toutes les circonstances pertinentes.
Documents d’orientation portant sur les programmes de conformité à la LCAP
La LCAP confère au Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») un pouvoir réglementaire et exécutoire à l’égard des MEC et d’autres affaires. Le CRTC a encouragé les organisations à concevoir et à mettre sur pied une programme de conformité à la LCAP crédible et efficace comme stratégie de gestion des risques afin de réduire les probabilités d’infraction, de contribuer à établir une défense fondée sur la diligence raisonnable et d’alléger les sanctions possibles en cas de violation de la LCAP.
Le Bulletin d’information de Conformité et Enquêtes CRTC 2014-326 — Lignes directrices visant à aider les entreprises à élaborer des programmes de conformité (2014-06-19) du CRTC fournit une orientation utile sur le programme de conformité à la LCAP. Les principales recommandations du CRTC sont résumées ci-après :
- Engagement de la haute direction : Dans le cas des grandes organisations, la haute direction devrait jouer un rôle actif et visible dans la promotion d’une culture de la conformité, et un membre de la haute direction devrait être nommé responsable de la conformité de l’entreprise, devenant ainsi chargé du développement, de l’administration et de l’application du programme de conformité et étant considéré comme redevable à ces titres. Dans le cas des petites et moyennes organisations, l’entreprise devrait nommer une personne-ressource responsable de la conformité à la LCAP et redevable à ce titre.
- Évaluation des risques : Chaque organisation devrait procéder à une évaluation des risques afin de recenser ceux qui menacent la conformité à la LCAP, puis élaborer et appliquer des procédures et des politiques en vue de les réduire.
- Politique écrite : Chaque organisation devrait rédiger et mettre en place une politique de conformité à la LCAP comprenant les éléments suivants : 1) des procédures internes visant la conformité; 2) la formation du personnel; 3) des mécanismes de surveillance et de vérification; 4) des procédures relatives aux relations avec des tiers (p. ex., des associés et des sous-traitants); 5) la tenue de dossiers (p. ex., des registres de consentements); 6) un mécanisme permettant aux employés de communiquer leurs commentaires. La politique devrait être réexaminée et mise à jour périodiquement pour tenir compte des nouveaux changements législatifs, des nouvelles questions de non-conformité et de l’apparition de nouveaux produits ou services.
- Tenue de dossiers : Chaque organisation devrait appliquer des pratiques exemplaires en matière de tenue de dossiers afin de pouvoir mieux 1) déceler d’éventuels problèmes de non-conformité; 2) analyser les plaintes des consommateurs et y répondre; 3) répondre aux questions sur ses pratiques et procédures; 4) surveiller et vérifier son programme de conformité; 5) déterminer si des mesures correctives s’imposent et prouver qu’elles ont bel et bien été mises en place; 6) élaborer une défense fondée sur la diligence raisonnable en cas de plaintes. Les dossiers devraient porter sur tous les aspects de la conformité à la LCAP, y compris les politiques et procédures relatives aux MEC, les preuves d’un consentement exprès, les demandes de désabonnement et les mesures qui en résultent, les campagnes par courriel, la formation du personnel (y compris des attestations de formation signées), des vérifications et des mesures correctives.
- Formation : Chaque organisation devrait établir un programme de formation efficace (y compris un perfectionnement et des mises à niveau périodiques) pour l’ensemble du personnel, actuel et nouveau, à tous les échelons (y compris les gestionnaires et les dirigeants) de façon que chacun comprenne les règles pertinentes de la LCAP ainsi que la politique de conformité à la LCAP et les procédures connexes de l’organisation. L’organisation devrait surveiller régulièrement la prestation de son personnel afin d’évaluer l’efficacité de la formation.
- Évolution de la législation : Chaque organisation devrait surveiller toute modification législative apportée à la LCAP ainsi que les lignes directrices concernant sa réglementation et modifier sa politique de conformité de même que ses procédures et formation connexes en conséquence.
- Assurance de la qualité : Chaque organisation devrait établir un programme d’assurance de la qualité documenté, qui comprendrait une vérification et une surveillance licites, afin de prévenir et de détecter les infractions à la LCAP et d’évaluer l’efficacité du programme de conformité.
- Plaintes : Toute organisation devrait mettre sur pied un système de traitement des plaintes pour permettre aux particuliers de déposer des plaintes et à l’organisation de les résoudre dans un délai raisonnable ou préétabli.
- Mesures correctives : Chaque organisation devrait adopter un code de discipline en vue de traiter les infractions à la LCAP et répondre à celles-ci en appliquant des mesures correctives ou disciplinaires, ou, selon le cas, en offrant une formation de perfectionnement au besoin.
L’Avis d’application – Avis aux entreprises et aux particuliers sur la façon de conserver les preuves de consentement du CRTC (2016-07-27) fournit des lignes directrices supplémentaires pour la tenue des dossiers relatifs au consentement à recevoir des MEC. (Voir le bulletin de BLG intitulé Loi canadienne anti-pourriel – Directives relatives au règlement d’application.)
Commentaires
Dans ses lignes directrices, le CRTC reconnaît que tous les éléments constituant un programme de conformité décrits ci-dessus ne sont peut-être pas nécessaires ni pratiques pour toutes les organisations et que celles-ci doivent les adapter à leur situation particulière. Néanmoins, il y a tout lieu de penser que les dirigeants du CRTC et les tribunaux à qui il revient de faire respecter la LCAP verront dans les lignes directrices du CRTC une indication des pratiques exemplaires à appliquer pour assurer la conformité à la LCAP. Voilà pourquoi ces lignes directrices sont un outil utile pour toute organisation qui souhaite améliorer son programme de conformité à la LCAP.
