Exigences de la Loi canadienne anti-pourriel concernant l’installation de programmes informatiques

Si votre entreprise installe des logiciels ou des programmes informatiques sur les ordinateurs d'autres personnes, vous devez vous conformer aux nouvelles exigences depuis le 15 janvier 2015. Les lignes directrices suivantes donnent un aperçu de ces exigences, qui découlent de l'article 8 de la LCAP, ainsi que des exemples pratiques.

En vertu de la LCAP, il est interdit, dans le cadre d'activités commerciales, d'installer un programme d'ordinateur (logiciel) sur le dispositif informatique (p. ex., un ordinateur portable, un téléphone intelligent, une console de jeu ou tout autre dispositif connecté) d'une autre personne sans le consentement exprès du propriétaire ou de l'utilisateur autorisé (p. ex., un membre de la famille ou un employé) du dispositif.

Par exemple, en vertu de la LCAP, il est interdit à un site Web d'installer automatiquement un logiciel sur l'ordinateur d'un visiteur sans obtenir son consentement ou de procéder à la mise à jour d'un logiciel sans que le consentement de la personne ait d'abord été obtenu.

De manière générale, la LCAP exige que vous obteniez le consentement du propriétaire ou de l'utilisateur autorisé de l'ordinateur ou dispositif avant l'installation d'un programme informatique. Toutefois, dans certaines circonstances, vous êtes réputé avoir le consentement sans avoir à le demander. Aussi, selon ce que votre programme fait, vous devrez peut-être répondre à des exigences supplémentaires. Ces circonstances et ces exigences seront expliquées tout au long de ces lignes directrices.

La LCAP ne s'applique pas aux programmes ou aux applications que les propriétaires ou utilisateurs autorisés téléchargent eux-mêmes pour les installer sur leur propre ordinateur ou autre dispositif, ni aux mises à jour qu'ils installent pour ces programmes.

1. La LCAP s'applique-t-elle à votre situation?

Les questions suivantes devraient vous aider à déterminer si la LCAP s'applique à votre situation ainsi que de fournir des éclaircissements à certaines questions que vous pourriez avoir au sujet des exigences.

Dans quels cas la LCAP s'applique-t-elle à l'installation d'un programme d'ordinateur?

Tout d'abord, ne paniquez pas! La LCAP ne s'applique pas aux propriétaires ou aux utilisateurs autorisés qui installent un logiciel sur leurs propres systèmes informatiques (p. ex., appareils personnels tels qu'ordinateurs, appareils sans fil, ou tablettes).

La LCAP s'applique uniquement lorsque vous installez ou êtes la cause de l'installation d'un logiciel sur l'appareil d'une autre personne dans le cadre d'activités commerciales.

Si la LCAP s'applique, alors vous devez obtenir le consentement pour installer le logiciel. Des renseignements supplémentaires sur le consentement sont fournis plus loin dans ces lignes directrices.

Vous ne savez pas trop ce que l'on entend par « être la cause de l'installation d'un logiciel »? Laissez-nous clarifier.

La LCAP s'applique aux logiciels ou programmes informatiques qui sont installés et la cause de l'installation sur le système d'ordinateur de toute autre personne, sans son consentement.

Voici deux exemples de programmes d'ordinateur qui sont « la cause de l'installation » :

Exemple 1 :

Parfois, le logiciel malveillant (maliciel) est installé avec un autre logiciel. Par exemple, une application Tic Tac Toe disponible gratuitement peut contenir un maliciel qui est caché à l'utilisateur. Dans ce cas, l'utilisateur installerait l'application Tic Tac Toe, de sorte que la LCAP ne s'appliquerait pas. Par contre, la LCAP s'appliquerait à l'installation du maliciel parce que c'est à cause du concepteur de l'application que le maliciel se ferait installer.

Exemple 2 :

Un consommateur s'achète un CD de musique et l'insère dans son ordinateur pour écouter de la musique ou copier des chansons. Or il se trouve que le CD inclut un logiciel dissimulé qui s'exécute automatiquement lorsque le disque est inséré dans l'ordinateur. Dans ce cas, c'est le distributeur ou le concepteur qui aurait causé l'installation du logiciel.

Qu'en est-il si la personne installe un logiciel sur son propre ordinateur ou dispositif? Est-ce qu'un logiciel installé soi-même est couvert par la Loi?

Non, un logiciel installé soi-même n'est pas couvert par la LCAP.

Prenons l'exemple d'un propriétaire d'un appareil sans fil qui se rend à une boutique d'applications pour acheter une application et la télécharger. Comme c'est le propriétaire qui installe l'application sur son appareil personnel, la LCAP ne s'applique pas.

Voici d'autres exemples lorsqu'un logiciel est installé sur votre propre dispositif.

  1. Vous achetez un logiciel sur un disque compact et l'installez sur votre ordinateur.
  2. Vous téléchargez un logiciel à partir d'un site Web et l'installez sur votre appareil.
  3. Une petite entreprise installe un logiciel sur des appareils d'affaires que ses employés utilisent.
  4. Une application déjà installée sur votre appareil offre une mise à jour et l'individu installe la mise à jour. Par contre, si l'application installe la mise à jour en arrière-plan, sans générer un message ou aviser l'utilisateur, la LCAP s'appliquerait. Vous trouverez de plus amples renseignements sur les mises à jour et les mises à niveau à la section 5 de ce guide.

La LCAP s'applique-t-elle aux installations qui ne sont pas effectuées en ligne (p. ex., un CD ou DVD acheté dans un magasin)?

Non, la LCAP ne s'applique pas aux installations qui ne sont pas effectuées en ligne et où la personne installe un programme d'ordinateur sur son propre ordinateur.

2. Quand êtes-vous réputé avoir déjà le consentement?

Si, d'après les questions qui précèdent, vous avez établi que la LCAP s'applique aux installations de logiciel que vous faites, vous devez, de manière générale, obtenir le consentement pour effectuer l'installation. Le consentement doit provenir du propriétaire ou de l'utilisateur autorisé de l'appareil.

Par contre, dans le cas de certains types de logiciels énumérés ci-après, la LCAP indique que vous êtes réputé avoir le consentement sans le demander.

Dois-je obtenir le consentement pour installer certains types de programmes comme des témoins de connexion ou des systèmes d'exploitation?

Oui, si la LCAP s'applique, vous devez alors obtenir le consentement exprès pour installer le programme d'ordinateur. Mais dans le cas de certains types de programmes, vous êtes réputé avoir déjà le consentement. En effet, vous n'êtes pas tenu de solliciter le consentement avant de faire l'installation si :

  1. le programme est un témoin de connexion
  2. le programme est un code HTML
  3. le programme est un JavaScript
  4. le programme est un système d'exploitation
  5. le programme peut être exécuté par l'entremise d'un autre programme auquel la personne a déjà consenti à l'installation
  6. vous êtes un fournisseur de services de télécommunication (au sens de la LCAP; voir l'explication plus loin) et vous installez un logiciel aux fins suivantes :
    1. protéger la sécurité de la totalité ou d'une partie de votre réseau d'une menace actuelle et identifiable;
    2. mettre à jour ou à niveau la totalité ou une partie de votre réseau
  7. le programme vise uniquement à corriger une défaillance dans un système informatique (p. ex., un correctif de bogue).

Il importe de souligner que vous n'êtes réputé avoir le consentement pour installer ces types de programmes que si le comportement de la personne montre qu'elle consent à l'installation. Par exemple, si la personne désactive JavaScript de son navigateur, vous ne seriez pas réputé avoir le consentement en vertu de la LCAP puisque le comportement de la personne n'indiquerait pas que celle-ci consent à l'installation de ce type de programme. De la même manière, si la personne désactive les témoins de connexion dans son navigateur, vous ne seriez pas réputé avoir le consentement d'implanter des témoins de connexion.

Pour obtenir de plus amples renseignements, veuillez consulter le paragraphe 10(8) de la LCAP et l'article 6 du règlement du gouverneur en conseil.

Êtes-vous familier avec certains des termes employés ci-dessus? Voici quelques définitions :

Qu'est-ce qu'un témoin de connexion?

Un témoin de connexion, aussi appelé simplement témoin, est un programme informatique non exécutable qui ne peut pas transporter de virus et installer un maliciel. Tel qu'il est précisé ci-dessus, la LCAP prévoit que la personne est réputée consentir à l'installation d'un témoin si le comportement de la personne est tel qu'il est raisonnable de croire qu'elle consent.

Qu'est-ce qu'un système d'exploitation?

Un ordinateur est composé d'éléments physiques (le matériel) et de programmes d'ordinateur (les logiciels). Le système d'exploitation, qui est un type de logiciel doté d'un accès particulier au matériel de l'ordinateur, sert de plateforme qui autorise les autres logiciels à utiliser le matériel.

Parmi les systèmes d'exploitation, on compte notamment Microsoft Windows, Mac OS/iOS, Linux, Android, Unix et Blackberry OS, entre autres. Ils comprennent aussi les systèmes d'exploitation dans votre voiture (par exemple les systèmes de contrôle de freinage.

Qu'est-ce qu'un fournisseur de services de télécommunication (FST) au sens de la LCAP?

Même si un fournisseur de services de télécommunication peut se définir de manière différente dans les autres lois, au sens de la LCAP, il s'entend d'une entreprise ou d'une personne qui, seule ou à titre de son appartenance à un groupe ou à une association, fournit des services de télécommunication. Contrairement à d'autres définitions, comme celle de la Loi sur les télécommunications, la LCAP n'exige pas que le FST possède ou loue l'équipement ou le logiciel qu'il utilise pour fournir le service.

Par exemple, un constructeur automobile est un FST au sens de la LCAP lorsque les véhicules qu'il produit sont dotés d'une fonctionnalité de télécommunication sans fil.

En outre, la Loi ne réglemente que l'installation de logiciels dans le cadre d'une activité commerciale, dont la définition exclut la sécurité publique, entre autres fins.

Que veut-on dire par « corriger une défaillance »?

« Corriger une défaillance » signifie prendre des mesures pour garantir le fonctionnement sécurisé et adéquat des programmes d'ordinateur et des systèmes qu'ils utilisent. Cela comprend autant des mesures réactives que proactives, pourvu qu'elles soient conformes aux attentes du consommateur.

Par exemple, « corriger une défaillance » pourrait vouloir dire installer une rustine, un programme destiné à corriger une vulnérabilité en matière de sécurité ou encore une erreur de logiciel, une défaillance ou un défaut d'un programme d'ordinateur ou d'un système qui l'amène à produire un résultat incorrect ou inattendu ou de se comporter de façon non prévue.

3. Comment peut-on obtenir le consentement?

La section qui suit vous donnera des conseils sur la façon d'obtenir le consentement exprès pour installer un programme d'ordinateur.

Comment puis-je solliciter le consentement exprès pour installer un logiciel ou un programme informatique en vertu de la LCAP?

Pour installer un logiciel ou un programme informatique sur l'ordinateur ou le dispositif d'une autre personne, son consentement est requis. Si vous n'êtes pas réputé avoir déjà le consentement en vertu de la LCAP (consultez la section 2 ci-haut pour plus d'information), vous devez l'obtenir avant de procéder à l'installation. Lorsque vous demandez à la personne de consentir à l'installation, vous devez lui communiquer en termes simples et clairs les renseignements suivants :

  1. le motif pour lequel vous sollicitez le consentement;
  2. le nom de la personne qui sollicite le consentement (p. ex., le nom de l'entreprise ou, si le consentement est sollicité au nom d'une autre personne, le nom de cette personne);
  3. si le consentement est sollicité au nom de quelqu'un d'autre, une déclaration indiquant le nom de la personne qui demande le consentement et le nom de la personne pour qui le consentement est sollicité;
  4. l'adresse postale et un autre type de coordonnées (p. ex., numéro de téléphone, adresse courriel ou adresse URL);
  5. une déclaration indiquant que la personne dont le consentement est demandé peut retirer son consentement;
  6. une description en termes généraux des fonctions et du but du programme d'ordinateur à être installé. (Voir d'autres considérations ci-dessous).

Soulignons qu'il incombe à la personne qui obtient le consentement d'en prouver l'existence. Autrement dit, la personne qui sollicite le consentement doit s'assurer de le consigner.

Soulignons également que si une personne retire son consentement, vous ne pouvez plus compter sur ce consentement pour justifier l'installation des mises à jour ou des mises à niveau ultérieures qui se font en arrière-plan. De plus amples renseignements au sujet des mises à jour et des mises à niveau sont fournis à la section 5 de ce guide.

À qui dois-je demander le consentement?

Le consentement doit provenir du propriétaire ou de l'utilisateur autorisé de l'ordinateur ou du dispositif.

Qu'entend-on par « propriétaire ou utilisateur autorisé »?

Pour l'application de la LCAP, le propriétaire ou l'utilisateur autorisé s'entend de quiconque a la permission d'utiliser le dispositif ou l'ordinateur. Par exemple,

  1. Dans le cadre d'une relation de travail, l'employeur serait le propriétaire et l'employé, l'utilisateur autorisé.
  2. Si une personne possède un ordinateur, mais le laisse à la disposition exclusive de son enfant, de son conjoint ou d'un autre membre de la famille, l'utilisateur autorisé de l'ordinateur est alors l'enfant, le conjoint ou l'autre membre de la famille.
  3. Dans le cas de la location d'un dispositif, le bailleur demeure le propriétaire du dispositif au sens de la LCAP et le locataire est l'utilisateur autorisé.
  4. Si le dispositif est envoyé à la réparation, la personne qui fait les travaux serait réputée être l'utilisateur autorisé en vertu de la LCAP, mais uniquement dans la mesure où cette personne effectue les réparations convenues.

4. Existe-t-il d'autres exigences relatives au consentement?

Les conseils ci-dessus portent sur les exigences générales de la LCAP concernant l'obtention du consentement pour installer un logiciel sur l'ordinateur ou le dispositif d'une autre personne. Par contre, certains programmes comportent des fonctions qui obligent la personne qui sollicite le consentement à fournir des renseignements supplémentaires. Ces fonctions sont abordées dans les questions suivantes.

Quelles fonctions vous obligent à donner des renseignements supplémentaires lorsque vous sollicitez le consentement?

Si le programme d'ordinateur exécute une ou plusieurs fonctions citées plus bas, auxquelles l'utilisateur ne s'attendrait pas normalement, alors vous êtes tenus de divulguer des renseignements supplémentaires lorsque vous sollicitez le consentement, comme indiqué ci-dessous.

  1. recueille des renseignements personnels;
  2. interfère avec le contrôle qu'a l'utilisateur, de son dispositif;
  3. modifie ou interfère avec les réglages de l'utilisateur, les préférences ou des commandes à son insu;
  4. modifie ou interfère avec les données déjà mises en mémoire sur le dispositif de manière à empêcher, interrompre ou entraver l'accès à ces données pour l'utilisateur;
  5. provoque le branchement de l'ordinateur de l'utilisateur à, ou l'envoi de messages à, d'autres systèmes informatiques sans l'autorisation de l'utilisateur;
  6. installe un programme qui peut être activé par un tiers à l'insu de l'utilisateur.

Voir le paragraphe 10(5) de la LCAP pour des renseignements supplémentaires.

En quoi consistent les obligations d'information supplémentaires?

Chaque fois que vous sollicitez un consentement exprès, vous devez satisfaire aux exigences relatives décrites dans ces lignes directrices. En outre, il y a obligation de divulgation lors de l'installation d'un logiciel qui exécute l'une ou l'autre des fonctions énumérées ci-dessus. En particulier, l'installateur doit clairement et de façon à être bien en évidence, et séparé et distinct de l'accord :

  1. décrire à l'utilisateur ce que fait le programme par rapport à ces fonctions et pourquoi elle le fait;
  2. décrire à l'utilisateur les effets que ces fonctions auront sur le fonctionnement de l'ordinateur.

Toutes ces exigences doivent être remplies avant que le programme d'ordinateur soit installé. Consultez le paragraphe 10(4) de la LCAP pour obtenir plus d'information.

Supposons, par exemple, que vous développiez une application de jeu pour téléphone intelligent ou tablette qui comprend une fonction de collecte de données à partir du GPS, de la caméra et du microphone, ce à quoi l'utilisateur ne s'attendrait pas normalement. Vous auriez besoin d'un consentement si vous installiez l'application sur l'ordinateur d'une autre personne. S'il est vrai que la LCAP ne vous oblige pas à obtenir le consentement lorsque l'utilisateur installe l'application lui-même, vous souhaiterez peut-être obtenir le consentement selon la LCAP afin d'installer les mises à jour à une date ultérieure. Si vous sollicitiez le consentement dans une telle situation, vous seriez obligé de dévoiler l'existence de cette fonctionnalité inattendue, tel que décrit ci-dessus.

Par conséquent, lorsque vous demanderiez le consentement, vous devriez expliquer à l'utilisateur pourquoi le jeu collecte ces données et ce qu'il en fait. Cette description devrait être fournie de façon claire, à part et distincte des clauses et modalités ou de l'accord de licence de l'utilisateur final.

Si les fonctions de votre programme exigent la divulgation de renseignements supplémentaires lorsque vous sollicitez le consentement, alors vous devez également fournir une assistance à la désinstallation des programmes d'ordinateur ou logiciels.

Quand dois-je fournir une assistance à la désinstallation de programmes d'ordinateur ou logiciels?

Ce n'est que dans des circonstances bien précises que vous seriez tenu, en vertu de la LCAP, d'aider quelqu'un à supprimer ou désactiver un logiciel de son ordinateur ou dispositif.

Cette circonstance survient quand le logiciel effectue l'une des fonctions énumérées au paragraphe 10(5) de la LCAP (p. ex., recueillir des renseignements personnels) et que le propriétaire ou l'utilisateur autorisé estime que la fonction ou l'effet qu'a eu le logiciel ne lui ont pas été décrits correctement.

Dans pareille circonstance, le propriétaire ou l'utilisateur autorisé peut, dans un délai d'un an suivant l'installation du logiciel, vous demandez de l'aider à désactiver ou à supprimer le logiciel. Cela doit être fait le plus tôt possible et sans frais pour l'utilisateur. De plus, pour une période d'un an après l'installation, vous devez fournir à la personne qui a consenti à l'installation, une adresse électronique où l'utilisateur peut envoyer sa demande de suppression ou de désactivation du programme.

Au-delà de ça, vous n'êtes pas tenu, de façon générale, d'aider les utilisateurs à enlever un logiciel de leur ordinateur.

Voir le paragraphe 11(5) de la LCAP pour des détails supplémentaires.

5. Est-ce que les mises à jour et mises à niveau sont couvertes par la LCAP?

Qu'est-ce qu'une mise à jour ou mise à niveau?

Une mise à jour ou à niveau consiste généralement à remplacer le logiciel par une version nouvelle ou améliorée pour mettre le système à jour ou en améliorer les caractéristiques. Habituellement, la mise à jour ou à niveau aura de nouvelles fonctions. Les mises à jour ou à niveau courantes comprennent le changement de version du système d'exploitation, de la suite bureautique, du logiciel antivirus ou d'autres outils variés.

Une mise à jour ou à niveau apporte des modifications ou remplace des logiciels préalablement installés. Récupérer et afficher des renseignements courants à l'aide d'un programme n'est pas considéré être une mise à jour du programme dans le contexte de la LCAP. Par exemple, la mise à jour ou rafraîchir les renseignements affichés dans un programme, tel que l'actualisation des prévisions de la météo sur une application météorologique, ou l'actualisation des grilles horaires de télévision à l'aide du guide de programmation télévisuelle électronique, ne constituent pas une mise à jour ou à niveau au sens de la LCAP.

Me faut-il le consentement pour effectuer les mises à jour ou à niveau et, si oui, comment puis-je l'obtenir?

Oui, vous devez obtenir un consentement pour installer des mises à jour ou mises à niveau. Pour l'obtenir, plusieurs options s'offrent à vous. Les voici :

  1. Lorsque vous obtenez le consentement initial pour installer le programme d'ordinateur original, vous pouvez également demander le consentement à l'installation de toutes les futures mises à jour ou à niveau.
  2. Vous pouvez présumer avoir le consentement dans le cas des mises à jour ou à niveau des programmes d'ordinateur spécifiques et mentionnés ci-dessus (indiqué au paragraphe 10(8) de la LCAP, p. ex., les témoins de connexion et les systèmes d'exploitation).
  3. Si c'est le propriétaire ou l'utilisateur autorisé du dispositif qui a installé lui-même le programme et que vous n'avez pas obtenu son consentement pour les mises à jour ou à niveau au moment de l'installation initiale, vous aurez besoin d'obtenir le consentement d'installer des mises à jour ou mises à niveau. Vous pouvez le faire de la même manière que vous procéderiez généralement afin d'obtenir le consentement pour l'installation d'un logiciel.
  4. Si le programme a été installé sur le dispositif ou l'ordinateur avant le 15 janvier 2015, vous pouvez en effectuer la mise à jour ou à niveau jusqu'au 15 janvier 2018. (Des renseignements supplémentaires figurent ci-après dans ce guide.)

Par exemple, si la personne installe une application sur son dispositif à partir d'un magasin d'applications, la LCAP ne s'appliquerait pas. En conséquence, le consentement pour les mises à jour futures peut ne pas avoir été demandé par le développeur de l'application. Si le développeur d'un logiciel souhaite ultérieurement installer une mise à jour d'une application, il devra obtenir le consentement de la personne pour pouvoir le faire. Autrement, lorsque l'utilisateur installe lui-même l'application, le concepteur peut profiter de cette occasion pour demander le consentement pour installer automatiquement les futures mises à jour.

Qu'en est-il des logiciels installés avant le 15 janvier 2015?

Aux termes de la LCAP, si un programme d'ordinateur a été installé sur l'ordinateur d'une personne avant le 15 janvier 2015, la personne est réputée avoir consenti tacitement à l'installation des mises à jour ou à niveau jusqu'au 15 janvier 2018, à moins que la personne vous avise qu'elle retire son consentement à l'installation de futures mises à jour ou à niveau.

Si vous avez obtenu le consentement exprès valide avant le 15 janvier 2015, vous pourrez compter sur ce consentement exprès aux fins de l'article 8 de la Loi. Il est important de noter que le fardeau de la preuve du consentement incombe à la personne qui installe le programme informatique.

Date de modification :