Le 23 avril 2019, le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») a rendu la Décision de Conformité et Enquêtes 2019-111, par laquelle il a imposé une sanction administrative de 100 000 $ à Brian Conley (président et chef de la direction de nCrowd) pour infraction aux obligations de la Loi canadienne anti-pourriel (« LCAP ») relatives au consentement et au mécanisme d’exclusion.
LCAP
La LCAP crée un régime exhaustif d’infractions, de mécanismes d’application et de sanctions potentiellement lourdes qui vise à interdire l’envoi de messages électroniques commerciaux (« MEC ») non sollicités ou trompeurs, l’installation et l’utilisation commerciales non autorisées de programmes informatiques sur l’ordinateur d’une autre personne et d’autres formes de fraude en ligne. Pour en savoir davantage sur la LCAP, consultez notre bulletin précédent.
Décision nCrowd
Après avoir acquis les actifs de Couch Commerce, dont une liste de diffusion par courriel, nCrowd Inc., nCrowd Limited et nCrowd Commerce Inc. (« nCrowd ») ont envoyé à des destinataires canadiens 246 courriels faisant la promotion de produits ou de services de divers commerçants au moyen de leur plateforme pendant huit mois. Certains recevaient jusqu’à quatre courriels par jour. nCrowd a cessé ses activités et a été dissoute dans les mois qui ont suivi. Le CRTC a donc exercé un recours contre son président et chef de la direction pour encourager le respect futur de la LCAP.
Selon l’enquête du CRTC, nCrowd et son chef de la direction n’ont pas démontré qu’ils ont pris les mesures nécessaires à l’obtention du consentement exprès ou tacite des destinataires canadiens avant d’envoyer des courriels promotionnels aux adresses figurant sur la liste acquise. La décision souligne également que nCrowd a violé les obligations de la LCAP relatives au mécanisme d’exclusion1.
Fait intéressant, le Conseil mentionne dans sa décision que la liste, qui comportait plus de 1,5 million d’adresses courriel, comprenait des adresses habituellement destinées au soutien technique et à la gestion de sites Web de grandes entreprises. Il est donc probable que ces adresses aient été publiées en ligne plutôt que fournies volontairement par des particuliers s’intéressant aux produits et services de Couch Commerce ou de nCrowd.
Le CRTC a conclu que, en vertu de l’article 31 de la LCAP2, le chef de la direction de nCrowd était personnellement responsable des violations commises par l’entreprise puisqu’il y a consenti (c’est-à-dire qu’il en a convenu « de façon tacite, silencieuse, passive ou sans opposition »). Le Conseil indique clairement que, vu l’importance du rôle qu’il a joué dans l’acquisition des actifs de Couch Commerce, le chef de la direction devait s’assurer personnellement que les vérifications nécessaires avaient été effectuées avant le lancement des campagnes de marketing direct de l’entreprise. Sa démission n’a pas été jugée pertinente, puisque les violations ont été commises alors qu’il était toujours en poste et qu’il en avait connaissance.
Points à retenir pour les opérations d’entreprise et commerciales
Il y a dans la décision nCrowd d’importantes leçons à tirer pour les organisations qui acquièrent des actifs incorporels comprenant des listes de diffusion par courriel.
1. Précautions voulues en matière de consentement
Les organisations qui acquièrent les adresses courriel de clients actuels ou potentiels doivent vérifier que le vendeur a obtenu le consentement valide de ces clients. La présence d’adresses généralement destinées au soutien technique, à la gestion de site Web, aux renseignements généraux ou à d’autres services d’entreprise devrait être un signal d’alarme indiquant que les consentements ne sont pas valides.
2. Obligations des dirigeants d’entreprise
Avant l’envoi de messages électroniques commerciaux à des adresses figurant sur une liste de diffusion par courriel, les dirigeants d’entreprise responsables des opérations entourant l’acquisition de la liste doivent s’assurer personnellement que des mesures concrètes sont prises pour vérifier que les consentements nécessaires à la réception de MEC ont été obtenus par le vendeur et que leur portée englobe la réception de courriels après l’acquisition. Il faut conserver des traces écrites de ces mesures.
3. Déclarations et garanties
Les déclarations et les garanties du vendeur dans un contrat d’achat doivent contenir des mentions claires concernant la conformité à la LCAP, particulièrement en ce qui concerne la validité du consentement à recevoir des MEC exprimé par les destinataires figurant sur les listes de diffusion par courriel.
4. Recours
S’il existe un doute quant à la validité du consentement des titulaires d’adresses figurant sur une liste de diffusion par courriel acquise, il peut être pertinent pour les acheteurs de prévoir dans le contrat de vente des recours en cas d’infraction à la LCAP. Plus précisément, pour pallier les risques d’insolvabilité ou de dissolution du vendeur après la conclusion du contrat (comme dans l’affaire nCrowd), celui-ci pourrait par exemple prévoir des mécanismes de correction de prix et l’entiercement d’une partie du prix d’achat.
1 nCrowd a envoyé plusieurs MEC contenant des liens d’exclusion non fonctionnels ou n’a pas donné suite aux demandes d’exclusion dans le délai de 10 jours ouvrables prescrit par la loi. Dans certains cas, les destinataires devaient prendre des mesures supplémentaires pour soumettre leur demande d’exclusion, ce qui représente une violation des obligations imposées par la LCAP, le Règlement sur la protection du commerce électronique (CRTC) et la Politique réglementaire de télécom 2012-183.
2 LCAP, art. 31 : « En cas de commission par une personne morale d’une violation, ceux de ses dirigeants, administrateurs ou mandataires qui l’ont ordonnée ou autorisée, ou qui y ont consenti ou participé, sont responsables de la violation, que la personne morale fasse ou non l’objet de procédures en violation. »