Au cours de 2016, le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») a publié des directives d’une grande portée concernant la conformité à la Loi canadienne anti-pourriel (connue sous l’appellation « LCAP ») et pris d’importantes mesures pour appliquer cette loi aux entreprises canadiennes. Ces directives et ces mesures d’application sont instructives pour les organisations qui souhaitent se conformer aux règles de la LCAP qui régissent l’envoi de messages électroniques commerciaux.
LCAP
La LCAP crée un régime détaillé et complet d’infractions, de mécanismes de mise à exécution et de sanctions potentiellement lourdes (notamment à l’égard de la responsabilité personnelle d’employeurs, d’administrateurs de sociétés et de dirigeants) qui vise à interdire l’envoi de messages électroniques commerciaux (les « MEC ») non sollicités ou trompeurs, l’installation et l’utilisation commerciales non autorisées de programmes informatiques sur l’ordinateur d’une autre personne ainsi que d’autres formes de fraude en ligne (comme le vol d’identité et l’hameçonnage).
Pour la plupart des organisations, les principaux éléments de la LCAP sont les règles relatives aux MEC. Sous réserve de certaines exceptions, la LCAP crée un régime de consentement préalable (opt-in) qui interdit l’envoi d’un MEC, à moins que le destinataire n’ait signifié son consentement (expressément ou tacitement dans des circonstances particulières) à recevoir le MEC, que celui-ci ne soit conforme à des conditions prescrites, prévoyant notamment la mise en place rapide d’un mécanisme de désabonnement efficace, et qu’il ne soit pas trompeur. Il incombe à l’organisation qui envoie le MEC de prouver que le destinataire a donné son consentement à le recevoir.
La LCAP interdit par ailleurs, sous réserve d’un nombre limité d’exceptions, l’installation et l’utilisation commerciales d’un programme informatique dans l’ordinateur d’une autre personne sans le consentement exprès de celle-ci ou de l’utilisateur autorisé de cet ordinateur. Les règles visant les programmes informatiques s’appliquent à presque tous les programmes (pas seulement les logiciels malveillants ou espions, ou les autres programmes nocifs) installés sur la quasi-totalité des appareils mobiles (y compris les téléphones cellulaires) dans le cadre d’une activité commerciale (qu’on espère en tirer un profit ou pas).
Les infractions à la LCAP peuvent donner lieu à de lourdes sanctions administratives pécuniaires (jusqu’à 10 millions de dollars pour une infraction commise par une organisation et jusqu’à 1 million de dollars pour une infraction commise par un particulier) dans le cadre de procédures d’exécution des autorités de réglementation, à une responsabilité civile au titre de dommages-intérêts compensatoires et à des dommages-intérêts d’origine législative (non compensatoires) potentiellement importants dans le cadre d’un recours privé intenté par une personne ayant été lésée par une infraction à la LCAP (à compter du 1er juillet 2017), ainsi qu’à une responsabilité du fait d’autrui visant les employeurs, administrateurs et dirigeants qui ne sont pas en mesure de démontrer qu’ils ont pris toutes les précautions voulues afin de prévenir des infractions à la LCAP.
Le CRTC, le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada sont responsables de l’application de la LCAP et disposent de divers outils pour la faire respecter (p. ex., demandes de préservation de données, avis de communication et mandats).
Directives relatives au règlement d’application
En juillet 2016, le CRTC a publié l’Avis d’application – Avis aux entreprises et aux particuliers sur la façon de conserver les preuves de consentement qui fournit des lignes directrices sur les exigences de la LCAP concernant la façon de conserver les preuves de consentement à recevoir des MEC. On y traite de la nécessité de prouver le consentement, des avantages d’une bonne tenue de dossiers et du genre de documents papier ou d’enregistrements électroniques que les expéditeurs de MEC devraient envisager de conserver pour prouver le consentement. (Pour en savoir plus.)
Mesures d’application de la LCAP
En 2016, le CRTC a annoncé les mesures d’application de la LCAP suivantes :
- Exécution d’un mandat pour utilisation de logiciels malveillants : En janvier 2016, le CRTC a annoncé qu’il avait exécuté un mandat dans le cadre d’une enquête en cours portant sur l’installation de logiciels malveillants et l’altération de données de transmission. Dans l’annonce, le CRTC ne fournissait aucun détail sur le mandat ou son exécution, mais expliquait qu’il utilise des outils qui lui permettent d’appliquer la loi et des techniques de cyber-enquête pour faire enquête sur les infractions à la LCAP alléguées. (Pour un complément d’information en anglais, cliquez ici.)
- MEC envoyés sans consentement : En septembre 2016, le CRTC a annoncé un règlement volontaire avec Kellogg Canada Inc. concernant l’envoi allégué de MEC sans consentement. Dans le cadre du règlement, Kellogg a convenu de payer une amende de 60 000 $, de passer en revue et de mettre à jour son programme de conformité à la LCAP et de veiller à ce que les fournisseurs de service qu’elle engage pour envoyer des MEC se conforment la LCAP. (Pour un complément d’information en anglais, cliquez ici.)
- MEC envoyés sans consentement : En octobre 2016, le CRTC a rendu une décision en matière de conformité et d’enquêtes contre Blackstone Learning Corp. et imposé à celle-ci une sanction administrative pécuniaire de 50 000 $ (au lieu des 640 000 $ que l’enquêteur avait recommandés) pour avoir envoyé des MEC sans le consentement des destinataires. Cette décision donne d’importantes indications quant à l’interprétation et à l’application de la règle de « publication bien en vue » d’un consentement tacite à recevoir des MEC ainsi que des conseils utiles quant à la façon dont le CRTC aborde l’évaluation des sanctions administratives pécuniaires. (Pour un complément d’information, cliquez ici.)
