En 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes a continué d’appliquer la Loi canadienne anti-pourriel (communément appelée « LCAP ») et a publié un important bulletin d’information concernant la disposition de la LCAP qui institue une responsabilité indirecte en cas de violation de la loi. Le gouvernement fédéral a également publié une réponse officielle au rapport d’un comité parlementaire sur la LCAP.
LCAP
La LCAP crée un régime détaillé et complet d’infractions, de mécanismes de mise à exécution et de sanctions potentiellement lourdes qui vise à interdire l’envoi de messages électroniques commerciaux (« MEC ») non sollicités ou trompeurs, l’installation et l’utilisation commerciales non autorisées de programmes informatiques sur l’ordinateur d’une autre personne et la modification non autorisée de données de transmission dans des messages électroniques. La LCAP impose une responsabilité non seulement aux personnes qui enfreignent directement la loi, mais également à celles qui font accomplir, même indirectement, une infraction à la LCAP, ou qui aident ou encouragent quiconque à accomplir une telle infraction.
Pour la plupart des organisations, les parties clés de la LCAP sont les règles relatives aux MEC. La LCAP crée un régime de consentement préalable (opt-in) qui interdit, sous réserve d’exceptions circonscrites, l’envoi d’un MEC, à moins que le destinataire n’ait signifié son consentement (expressément ou implicitement, dans des circonstances particulières) à recevoir le MEC et que celui-ci se conforme à des conditions prescrites, notamment l’inclusion de renseignements sur l’expéditeur et l’existence d’un mécanisme d’exclusion efficace et rapide. Il incombe à l’organisation qui envoie le MEC de prouver que le destinataire a donné son consentement à le recevoir.
Les règles de la LCAP visant les programmes d’ordinateur interdisent, sous réserve d’exceptions circonscrites, l’installation et l’utilisation commerciales d’un programme dans l’ordinateur d’une autre personne sans le consentement exprès du propriétaire ou de l’utilisateur autorisé de l’ordinateur. Ces règles s’appliquent à presque tous les programmes (pas seulement les logiciels malveillants ou espions, ou les autres programmes nocifs) installés sur la quasi-totalité des appareils informatiques (y compris les téléphones cellulaires) dans le cadre d’une activité commerciale (que ce soit dans le but de réaliser un profit ou non).
Les infractions à la LCAP peuvent donner lieu à des sanctions administratives pécuniaires sévères – jusqu’à 10 millions de dollars pour une infraction commise par une organisation, et jusqu’à 1 million de dollars pour une infraction commise par un particulier – dans le cadre de procédures d’exécution des autorités de réglementation. La LCAP prévoit un droit privé d’action, qui n’est pas en vigueur.
Le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») est le principal responsable de l’application de la LCAP. Depuis l’entrée en vigueur de la LCAP le 1er juillet 2014, il a pris des mesures contre des organisations et des particuliers qui ont contrevenu à la LCAP, rendu des décisions en matière d’application et accepté des engagements (c’est-à-dire des règlements) volontaires.
Application par les organismes de réglementation
En 2018, le CRTC a annoncé trois mesures d’application.
- Envoi de MEC sans mécanisme d’exclusion valide : En janvier 2018, le CRTC a accepté un engagement d’Ancestry Ireland Unlimited Company, exploitant du service de généalogie en ligne Ancestry, en vue de régler une affaire d’infractions présumées à la LCAP concernant l’envoi de courriels promotionnel sans mécanisme d’exclusion conforme à la LCAP. Ancestry aurait envoyé deux types de MEC par courriel à ses clients, chacun doté de son propre mécanisme d’exclusion ou de gestion des préférences, de sorte qu’il était impossible pour le client de se désabonner des deux types de MEC en une seule opération. L’absence de mécanisme unique serait non conforme à la LCAP, qui exige un mécanisme permettant au destinataire de se désabonner facilement pour ne plus recevoir de MEC de l’expéditeur. (Pour en savoir plus.)
- Envoi de MEC à des appareils mobiles : Le 1er mai 2018, le CRTC a annoncé que les entreprises exploitant le commerce de revente de billets 514-BILLETS avaient accepté de payer 100 000 $ dans le cadre du règlement volontaire d’une affaire d’infractions présumées à la LCAP concernant l’envoi de messages texte sans le consentement des destinataires et sans les renseignements sur l’expéditeur requis par la loi. L’engagement était le premier règlement effectué au terme d’une enquête concernant l’envoi de messages texte à des appareils mobiles. (Pour en savoir plus.)
- Responsabilité pour avoir facilité une violation de la LCAP : Le 11 juillet 2018, le CRTC a signifié des procès-verbaux de violation imposant des sanctions totalisant 250 000 $ à deux entreprises de publicité en ligne qui auraient enfreint les règles sur les programmes informatiques de la LCAP en aidant leurs clients anonymes à distribuer des publicités en ligne qui installaient secrètement des programmes d’ordinateur malveillants. Selon l’annonce et le rapport d’enquête du CRTC, les deux entreprises avaient été prévenues que leurs services étaient utilisés pour distribuer ce type des publicités malveillantes, mais ont omis d’instaurer des mesures de sécurité pour prévenir ces activités. (Pour en savoir plus.)
Directives relatives au règlement d’application
En novembre 2018, le CRTC a publié le Bulletin d’information de Conformité et Enquêtes CRTC 2018-415, intitulé « Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP) », afin de fournir des indications concernant l’article 9 de la LCAP, qui institue la responsabilité de toute personne qui fait accomplir, même indirectement, une infraction à la LCAP ou qui aide ou encourage quiconque à commettre une telle infraction. Le bulletin explique l’approche du CRTC concernant l’article 9 et présente des exemples d’organisations auxquelles il pourrait s’appliquer et d’activités pouvant entraîner la non-conformité ainsi que des indications permettant aux organisations de gérer les risques connexes. Le CRTC est d’avis que l’article 9 impose une responsabilité sans faute aux personnes qui contribuent à une violation de la LCAP, et que les entreprises qui fournissent des produits ou des services susceptibles de servir à enfreindre la LCAP doivent mettre en œuvre des mesures proactives pour prévenir les risques répertoriés, quitte à aller au-delà les normes du secteur. (Pour en savoir plus.)
Réponse du gouvernement au rapport du comité parlementaire
En décembre 2017, le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes a publié un rapport intitulé « Des précisions s’imposent », dans lequel il recommande des modifications à la LCAP afin d’en clarifier la portée et l’application, de diminuer le coût du contrôle de la conformité et de mieux focaliser les efforts d’application. En avril 2018, le gouvernement fédéral a publié une réponse officielle au rapport. Dans la réponse, le gouvernement énonce son intention de « travailler étroitement avec les intervenants afin d’identifier des moyens d’améliorer les dispositions faisant l’objet des recommandations du Comité » ainsi que « d’analyser de manière plus approfondie l’éventuelle incidence de l’entrée en vigueur du droit privé d’action » et de « considérer diverses façons de l’appliquer ».