Le 11 juillet 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes a signifié des procès-verbaux de violation en vertu de la Loi canadienne anti-pourriel (communément appelée « LCAP ») à deux entreprises de publicité en ligne qui auraient facilité l’installation de programmes d’ordinateur malveillants par la distribution de publicité en ligne. Il s’agit de la première mesure d’application prise à l’encontre d’une organisation ayant facilité des infractions à la LCAP commises par ses clients.
LCAP
La LCAP crée un régime détaillé et complet d’infractions, de mécanismes de mise à exécution et de sanctions potentiellement lourdes qui vise à interdire l’envoi de messages électroniques commerciaux (« MEC ») non sollicités ou trompeurs, l’installation et l’utilisation commerciales non autorisées de programmes informatiques sur l’ordinateur d’une autre personne et d’autres formes de fraude en ligne.
Pour la plupart des organisations, les parties clés de la LCAP sont les règles relatives aux MEC. La LCAP crée un régime de consentement préalable (opt-in) qui interdit, sous réserve d’exceptions circonscrites, l’envoi d’un MEC, à moins que le destinataire n’ait signifié son consentement (expressément ou implicitement, dans des circonstances particulières) à recevoir le MEC et que celui-ci ne soit pas trompeur et se conforme à des conditions prescrites, notamment l’inclusion de renseignements sur l’expéditeur et l’existence d’un mécanisme d’exclusion efficace et rapide. Voir le bulletin de BLG La nouvelle Loi canadienne anti-pourriel et fraude en ligne – Foire aux questions.
Sous réserve d’exceptions circonscrites, la LCAP interdit également l’installation et l’utilisation d’un programme informatique sur l’ordinateur d’une autre personne dans le cadre d’une activité commerciale sans le consentement exprès du propriétaire ou de l’utilisateur autorisé de l’ordinateur. Ces règles s’appliquent à presque tous les programmes (pas seulement les logiciels malveillants ou espions, ou les autres programmes nocifs) installés sur la quasi-totalité des appareils informatiques (y compris les téléphones cellulaires) dans le cadre d’une activité commerciale (que ce soit dans le but de réaliser un profit ou non). Pour en savoir plus, voir les bulletins de BLG LCAP – Règles relatives à l’installation et à l’utilisation de programmes d’ordinateur et LCAP – Directives réglementaires concernant les règles d’installation de programmes d’ordinateur.
La LCAP impose une responsabilité non seulement aux organisations qui enfreignent directement la loi (par exemple, en envoyant un MEC ou en installant un programme d’ordinateur interdit), mais également à celles qui font accomplir, même indirectement, ou permettent que soit accomplie une infraction à la LCAP, ou qui aident ou encouragent quiconque à accomplir une telle infraction. La LCAP indique également qu’une organisation est responsable des violations commises par ses employés et mandataires (par exemple, ses fournisseurs de services de marketing numérique) dans le cadre de leur emploi ou de leurs pouvoirs, et que les administrateurs et dirigeants qui ordonnent ou autorisent des violations ou qui y consentent ou y participent en sont tenus personnellement responsables. Les organisations, les administrateurs et les dirigeants peuvent éviter d’être tenus responsables s’ils prouvent qu’ils ont pris toutes les précautions voulues pour prévenir la perpétration de l’infraction.
Les infractions à la LCAP peuvent donner lieu à des sanctions administratives pécuniaires sévères – jusqu’à 10 millions de dollars pour une infraction commise par une organisation, et jusqu’à 1 million de dollars pour une infraction commise par un particulier – dans le cadre de procédures d’exécution des autorités de réglementation. La LCAP prévoit un droit privé d’action, qui n’est pas en vigueur. Pour en savoir plus, voir le bulletin de BLG LCAP – Le gouvernement suspend le droit privé d’action.
Le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») est le principal responsable de l’application des règles de la LCAP concernant les MEC et l’installation de programmes d’ordinateur, et il dispose de divers outils pour ce faire. Depuis l’entrée en vigueur de la LCAP le 1er juillet 2014, le CRTC a pris des mesures contre des organisations et des particuliers qui ont contrevenu aux règles de la LCAP sur les MEC, rendu des décisions en matière d’application et accepté des engagements (ou règlements) volontaires. Pour en savoir plus, voir les bulletins de BLG LCAP – Retour sur 2017, LCAP – Retour sur 2016 et LCAP – Retour sur 2015.
En décembre 2017, le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes a publié un rapport intitulé La Loi canadienne anti-pourriel : des précisions s’imposent, qui recommande des modifications à la LCAP. En avril 2018, le gouvernement fédéral a publié une réponse officielle au rapport. Pour en savoir plus, voir le bulletin de BLG Dans un nouveau rapport, un comité souligne la nécessité d’apporter des éclaircissements à la LCAP et de faire davantage de sensibilisation.
Mesures d’application
e 11 juillet 2018, le CRTC a annoncé la signification de procès-verbaux de violation à l’endroit de Datablocks, Inc. et de Sunlight Media Network Inc. alléguant que ces sociétés auraient enfreint les règles sur les programmes informatiques de la LCAP en aidant leurs clients à distribuer des publicités en ligne qui installaient des programmes d’ordinateur malveillants. L’annonce et le résumé de l’enquête du CRTC donnent les explications suivantes :
- Les publicités en ligne sont l’un des principaux vecteurs de diffusion de logiciels malveillants : des « publicités malveillantes » entraînent l’installation de programmes d’exploitation non autorisés qui permettent l’installation d’un deuxième logiciel nuisible (comme un rançongiciel ou un cheval de Troie) servant à des activités malveillantes.
- Datablocks et Sunlight Media sont des entreprises étroitement liées engagées dans la distribution de publicités en ligne. Datablocks possède et exploite un système d’enchères en temps réel pour la distribution de publicités personnalisées aux utilisateurs de sites Web. Sunlight Media exploite un réseau publicitaire et agit à titre de courtier entre les annonceurs et les éditeurs (exploitants de site Web) au moyen du système de Datablocks.
- Les clients anonymes de Sunlight Media ont utilisé les services de Datablocks et de Sunlight Media pour distribuer des publicités malveillantes qui installaient des programmes d’ordinateur malveillants, une infraction aux règles sur les programmes d’ordinateur de la LCAP.
- Datablocks et Sunlight Media, par leurs actes et leurs omissions, auraient aidé leurs clients à enfreindre la LCAP. Plus particulièrement :
- Datablocks et Sunlight Media ont fourni les services et les ressources techniques ayant servi à distribuer des publicités malveillantes.
- Sunlight Media a activement fait la promotion de ses services utilisés pour la distribution de publicités malveillantes, établi des relations avec des clients connus pour distribuer des publicités malveillantes et adopté des pratiques qui ont permis et encouragé l’anonymat de ses clients.
- Datablocks a maintenu sa relation avec Sunlight Media malgré ses pratiques non conformes.
- Datablocks et Sunlight Media ont été averties par le Centre canadien de réponse aux incidents cybernétiques en 2015 et par le CRTC en 2016 que leurs services étaient utilisés pour distribuer des publicités malveillantes, mais elles ont omis d’instaurer des mesures de sécurité pour prévenir ces activités.
- Datablocks et Sunlight Media ont omis d’instaurer des mesures de sécurité fondamentales et bien connues pour empêcher leurs clients de distribuer des publicités malveillantes, comme des contrats écrits avec les clients exigeant la conformité à la LCAP, la surveillance de l’utilisation de leurs services par les clients et l’adoption de politiques et de procédures écrites sur la conformité à la LCAP.
- Datablocks et Sunlight ont profité financièrement de la violation de la LCAP par leurs clients, car elles étaient rémunérées selon un modèle d’affaires de paiement au clic.
Au terme de l’enquête, le cadre en chef de la conformité et des enquêtes du CRTC a signifié des procès-verbaux de violation imposant des sanctions administratives pécuniaires de 100 000 $ à Datablocks et de 150 000 $ à Sunlight Media.
Le cadre en chef de la conformité et des enquêtes du CRTC a fourni l’explication suivante : « Datablocks et Sunlight Media n’ayant pas mis en œuvre les mesures de protection fondamentales, le simple fait de voir certaines publicités en ligne peut avoir mené à l’installation de logiciels malveillants et indésirables. Nos mesures d’application envoient un message clair aux entreprises dont le modèle d’affaires peut permettre ce genre d’activités. Les entreprises doivent s’assurer que leurs activités commerciales ne compromettent pas la sécurité en ligne des Canadiens. »
Commentaire
Les mesures d’application du CRTC illustrent la responsabilité imposée aux organisations qui aident d’autres personnes à enfreindre la LCAP. Le CRTC a encouragé les organisations à concevoir et à mettre en œuvre un programme de conformité à la LCAP crédible et efficace comme stratégie de gestion des risques afin de réduire les probabilités d’infraction, de contribuer à établir une défense fondée sur la diligence raisonnable et d’alléger les sanctions possibles en cas de violation de la LCAP. Pour en savoir plus, lire le bulletin de BLG Programmes de conformité à la LCAP – Préparation d’un litige.