En novembre 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») a publié un bulletin d’information concernant la Loi canadienne anti-pourriel (communément appelée « LCAP »). Le bulletin indique que le CRTC entend interpréter avec fermeté la disposition de la LCAP qui impose une responsabilité aux personnes qui font accomplir, même indirectement, une infraction à la LCAP, ou qui aident ou encouragent quiconque à accomplir une telle infraction. En outre, le bulletin explique que les entreprises qui fournissent des produits ou des services susceptibles de servir à enfreindre la LCAP doivent mettre en œuvre des mesures proactives pour prévenir les risques connus, quitte à aller au-delà des normes du secteur.
LCAP
La LCAP crée un régime exhaustif d’infractions, de mécanismes d’application et de sanctions potentiellement lourdes qui vise à interdire : (1) le fait d’envoyer des messages électroniques commerciaux (« MEC »), d’en faire envoyer ou d’en permettre l’envoi sans consentement (exprès ou tacite) ou sans conformité avec les formalités réglementaires; (2) le fait de modifier ou de faire modifier les données de transmission d’un message électronique dans le cadre d’activités commerciales sans consentement exprès; (3) le fait d’installer ou de faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne, ou d’utiliser le programme d’ordinateur pour envoyer un message électronique, sans consentement exprès. La LCAP impose une responsabilité non seulement aux personnes qui enfreignent directement la loi, mais également à celles qui font accomplir, même indirectement, une infraction à la LCAP, ou qui aident ou encouragent quiconque à accomplir une telle infraction.
Les infractions à la LCAP peuvent donner lieu à des sanctions administratives pécuniaires sévères – jusqu’à 10 millions de dollars pour une infraction commise par une organisation, et jusqu’à 1 million de dollars pour une infraction commise par un particulier – dans le cadre de procédures d’exécution des autorités de réglementation La LCAP prévoit un droit privé d’action, qui n’est pas en vigueur.
Principal responsable de l’application de la LCAP, le CRTC dispose de divers outils à cet effet. Depuis l’entrée en vigueur de la LCAP le 1er juillet 2014, il a pris des mesures contre des organisations et des particuliers qui ont contrevenu à la LCAP et a rendu des décisions en matière d’application ainsi qu’accepté des engagements (ou règlements) volontaires.
En décembre 2017, le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes a recommandé des modifications à la LCAP afin d’en clarifier la portée et l’application, de diminuer le coût du contrôle de la conformité et de mieux focaliser les efforts d’application. Le gouvernement a indiqué son intention d’apporter certaines modifications explicatives à la LCAP.
Exemples de mesures d’application pour infractions indirectes à la LCAP
Le CRTC a pris des mesures d’application de la loi à l’encontre d’organisations et d’individus fondées sur la responsabilité indirecte ou du fait d’autrui pour des infractions à la LCAP commises par autrui.
Responsabilité pour avoir facilité la distribution de publicité malveillante : En juillet 2018, le CRTC a publié des avis de violation imposant des sanctions administratives pécuniaires à deux entreprises de publicité en ligne qui auraient aidé leurs clients à installer des programmes d’ordinateur malveillants par la distribution de publicité en ligne. Les entreprises en cause auraient adopté des pratiques permettant et favorisant l’anonymat de leurs clients, auraient établi des relations avec des clients connus pour distribuer des publicités malveillantes et auraient négligé d’instaurer des mesures de protection après avoir été prévenues que leurs services étaient utilisés pour distribuer ce type de publicité.
- Responsabilité personnelle du chef de la direction pour MEC non conformes : En juin 2017, le CRTC a accepté l’engagement volontaire d’un groupe de sociétés et de leur chef de la direction en vue de régler une affaire d’infractions présumées à la LCAP concernant l’envoi de MEC sans le consentement des destinataires et sans mécanisme d’exclusion conforme. Le CRTC prétendait que le chef de la direction était personnellement responsable des infractions à la LCAP commises par ses sociétés.
- Responsabilité d’une organisation pour MEC envoyés par des fournisseurs : En septembre 2016, le CRTC a annoncé un règlement à l’amiable avec une organisation concernant l’envoi présumé de MEC illicites par l’organisation et ses fournisseurs de services.
Approche du CRTC concernant l’article 9
L’article 9 de la LCAP prévoit qu’il est interdit de faire accomplir, même indirectement, ou d’aider ou d’encourager quiconque à accomplir une violation des règles de la LCAP se rapportant à l’envoi de MEC, à la modification des données de transmission d’un message ou à l’installation et à l’utilisation d’un logiciel d’ordinateur dans l’ordinateur d’une autre personne.
En novembre 2018, le CRTC a publié le Bulletin d’information de Conformité et Enquêtes CRTC 2018-415, intitulé « Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP) », dans le but déclaré de présenter des lignes directrices générales sur la conformité et les pratiques exemplaires à suivre relativement à l’article 9 de la LCAP. Le bulletin explique l’approche du CRTC concernant l’article 9 et présente des exemples d’organisations auxquelles l’article 9 pourrait s’appliquer et d’activités pouvant entraîner la non-conformité ainsi que des indications permettant aux organisations de gérer les risques connexes.
Voici un résumé des principaux points du bulletin :
- Application : L’article 9 peut s’appliquer aux particuliers et aux organisations qui facilitent le commerce électronique en fournissant des services habilitants, de nature technique ou autre, utilisés pour commettre une infraction à la LCAP, et peut également s’appliquer aux particuliers et aux organisations qui « bénéficient d’un avantage financier direct ou indirect découlant » d’une infraction à la LCAP. Le bulletin contient une liste non exhaustive d’« intermédiaires » pouvant être tenus responsables en application de l’article 9 : les courtiers en publicité, les commerçants en ligne, les développeurs de logiciels et d’applications, les distributeurs de logiciels et d’applications, les fournisseurs de services de télécommunication et de services Internet et les opérateurs de systèmes de traitement des paiements.
- Facteurs considérés :Pour évaluer la responsabilité d’un particulier ou d’une organisation en application de l’article 9 pour une infraction à la LCAP commise par une autre personne, le CRTC tiendra compte de divers facteurs, notamment : a) le niveau de contrôle du particulier ou de l’organisation sur l’infraction, et la mesure dans laquelle il avait la possibilité de prévenir ou d’arrêter cette infraction; b) l’importance du lien entre les actions du particulier ou de l’organisation et l’infraction; c) la question de savoir si le particulier ou l’organisation a pris des mesures raisonnables, y compris des mesures préventives et de protection, pour prévenir ou arrêter l’infraction.
- Responsabilité sans faute :Un particulier ou une organisation peut être tenu responsable d’une infraction à l’article 9 de la LCAP « même si le particulier ou l’organisation n’avait pas l’intention de contrevenir à la LCAP et même s’il ou elle ignorait que ses activités ont habilité [autrui] à contrevenir [à] la LCAP ou ont facilité la contravention ». Le CRTC apporte les précisions suivantes : « Même si le fait d’être au courant des violations peut être un facteur lors de l’évaluation des contraventions à l’article 9 de la LCAP, il n’est pas nécessaire pour que le particulier ou l’organisation soit jugé responsable. [...] Les entreprises se doivent de comprendre les risques de non-conformité relatifs à la nature de leurs secteurs respectifs et de prendre les précautions nécessaires pour atténuer ces risques, permettant ainsi de réduire leur responsabilité potentielle aux termes de l’article 9 de la LCAP. »
- Exemples : Une personne pourrait enfreindre l’article 9 de la LCAP en prêtant assistance à une autre personne pour commettre une infraction à la LCAP ou en l’habilitant à la commettre (par exemple, en lui donnant accès à l’équipement ou aux outils nécessaires ou en lui fournissant de l’assistance ou des conseils techniques). Le bulletin présente des exemples d’infraction potentielle à l’article 9 de la LCAP : a) une entreprise de services de marketing en ligne fournit un modèle de message sans les renseignements requis sur l’expéditeur ou sans un mécanisme d’exclusion, et elle ne s’assure pas du consentement des personnes qui figurent sur ses listes d’envoi; b) une entreprise de services d’hébergement Web n’exige pas, dans ses modalités d’utilisation, que les activités de ses clients soient conformes à la LCAP, n’a pas de processus pour assurer cette conformité et ne prend aucune mesure pour arrêter des infractions à la LCAP après en avoir été prévenue; c) l’exploitant d’un magasin d’applications en ligne continue de distribuer une application qui a des fonctions non divulguées (comme des publicités poussées) et est installée sans consentement exprès en bonne et due forme, même après avoir reçu des plaintes à son sujet.
- Précautions voulues : L’article 33 de la LCAP prévoit qu’une organisation ou un particulier ne peut être tenu responsable d’une violation de la LCAP s’il prouve qu’il a pris toutes les précautions voulues pour prévenir sa commission. Les organisations peuvent prouver qu’elles ont pris les précautions voulues si elles ont des mesures documentées en place pour atténuer les risques de non-conformité, mais un programme de conformité préconisant une mise en œuvre sans suivi n’est pas suffisant. Les organisations doivent instaurer des mesures de conformité appropriées, adaptées aux risques pertinents, et prendre des mesures raisonnables (notamment la gestion continue et la surveillance active) pour en garantir le fonctionnement efficace. Toute organisation « se doit donc de prendre les mesures nécessaires pour toujours se tenir au courant des derniers développements et pour intervenir de manière décisive, rapide et continue afin de prévenir les violations de la LCAP, ou pour les arrêter une fois décelées ».
- Programme de conformité : Le bulletin encourage les particuliers et les organisations à mettre en œuvre « un programme de conformité solide » qui convient aux risques connus, compte tenu de toutes les circonstances pertinentes. Il présente des exemples d’éléments qui devraient faire partie d’un programme de conformité à la LCAP : évaluations régulières des menaces et des risques; validation de l’identité des clients; établissement d’ententes écrites obligeant les clients à se conformer à la LCAP; examen de l’usage des services par les clients et signalement de toute violation possible de la LCAP aux autorités compétentes; et prise rapide de mesures pour répondre aux violations de la LCAP et pour empêcher que des violations semblables ne se produisent à l’avenir. Le Conseil prévient que « le simple fait de respecter les normes d’une industrie peut s’avérer insuffisant », et que des mesures devront être prises à l’égard des menaces et des vulnérabilités identifiées « quitte à aller au-delà des normes existantes ».
Commentaire
Le bulletin rappelle un fait important, à savoir que la LCAP impose une responsabilité non seulement aux personnes qui commettent directement une infraction, mais également à celles qui causent une infraction ou y contribuent par le fait de l’encourager, d’aider à la commettre ou de la faire commettre, notamment en fournissant des produits ou des services utilisés pour la commettre.
Le bulletin indique en outre que le CRTC entend interpréter avec fermeté l’article 9 de la LCAP. On y présente le point de vue du CRTC voulant que l’article 9 de la LCAP impose une responsabilité sans faute aux personnes qui font accomplir, même indirectement, une infraction à la LCAP, ou qui aident ou encouragent quiconque à accomplir une telle infraction, et que les entreprises qui fournissent des produits ou des services susceptibles de servir à enfreindre la LCAP doivent mettre en œuvre des mesures proactives pour répertorier et prévenir les risques, quitte à aller au-delà des normes du secteur. Or, dans bien des cas, l’application des précautions recommandées par le Conseil peut s’avérer contraignante, coûteuse et difficilement réalisable.
Certaines des incertitudes découlant du bulletin pourraient être dissipées par l’adoption de modifications explicatives à la LCAP en réponse aux recommandations du Comité de la Chambre des communes. Dans l’intervalle, les entreprises qui fournissent des produits ou des services susceptibles d’être utilisés pour commettre des infractions à la LCAP devraient envisager de rendre leur programme de conformité conforme au bulletin et aux indications antérieures du CRTC.
