Bulletin d’information de Conformité et Enquêtes CRTC 2012-548
Référence additionnelle : Politique réglementaire de télécom 2012-183
Ottawa, le 10 octobre 2012
Lignes directrices sur l’interprétation du Règlement sur la protection du commerce électronique (CRTC)
Dans le présent bulletin d’information, le Conseil énonce les lignes directrices sur l’interprétation de plusieurs dispositions du Règlement sur la protection du commerce électronique (CRTC) et fournit des exemples de pratiques qu’il estime conformes à ce dernier.
Introduction
1. Le 15 décembre 2010, la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23 (la Loi) a reçu la sanction royale.
2. La Loi confère au Conseil le pouvoir de réglementer certaines formes de communication électronique qui ont lieu dans le cadre d’une activité commerciale, soit l’envoi de messages électroniques commerciaux (MEC), la modification des données de transmission des messages électroniques et l’installation de programmes d’ordinateur dans l’ordinateur d’une autre personne. Le principe de base est que ce genre d’activité peut seulement être effectué avec le consentement préalable des personnes concernées.
3. En vertu du paragraphe 64(2) de la Loi, le Conseil peut notamment, par règlement, prescrire la forme des MEC et des demandes de consentement relatives à l’envoi de MEC ainsi que les renseignements à y inclure, à la modification des données de transmission des messages électroniques et à l’installation de programmes d’ordinateur.
4. Dans la politique réglementaire de télécom 2012-183, le Conseil a pris le Règlement sur la protection du commerce électronique (CRTC) [le Règlement]. Ce dernier prescrit la forme et le contenu des MEC et des demandes de consentement relatives à l’envoi de MEC, à la modification des données de transmission des messages électroniques et à l’installation de programmes d’ordinateur. Le Règlement entrera en vigueur à la date d’entrée en vigueur des articles 6 à 11 et du paragraphe 64(2) de la Loi.
Renseignements à inclure dans les MEC (article 2 du Règlement)
a. Personnes à identifier
5. L’article 2 du Règlement prévoit que les MEC doivent comprendre des renseignements qui permettent d’identifier l’expéditeur du message et, s’il y a lieu, la personne au nom de qui le message est envoyé, ainsi que les coordonnées de ces personnes.
6. Le Conseil estime que l’article 2 du Règlement n’exige pas que les personnes relayant le message entre l’expéditeur et la personne au nom de qui le message est envoyé soient nécessairement identifiées. Par exemple, il peut s’agir des personnes qui facilitent la distribution d’un MEC, mais qui n’ont aucune influence sur son contenu ou le choix des destinataires. Dans ce cas, le Conseil estime qu’il n’y a pas lieu d’identifier ces personnes.
7. Toutefois, le Conseil souligne que lorsqu’un MEC est envoyé au nom de plusieurs personnes, comme des affiliées, chaque personne doit être identifiée dans le MEC.
b. Adresse postale
8. Le Règlement prévoit qu’un MEC énonce, entre autres, l’adresse postale de la personne qui envoie le message ou, le cas échéant, de celle au nom de qui le message est envoyé [alinéa 2(1)d)]. Les mêmes coordonnées doivent être fournies dans une demande de consentement [paragraphe 4d)].
9. Le Conseil estime que, aux fins d’application des alinéas du Règlement susmentionnés, l’adresse postale actuelle et valide est composée de l’adresse municipale, de la case postale, de la route rurale, ou de poste restante de l’expéditeur. Conformément au paragraphe 6(3) de la Loi, cette adresse doit être valide pendant au moins 60 jours suivant l’envoi du message.
Forme des MEC (mécanisme d’exclusion) [article 3 du Règlement]
10. Aux termes de l’article 3 du Règlement, les renseignements à inclure dans un MEC et le mécanisme d’exclusion prévu à l’alinéa 6(2)c) de la Loi doivent être énoncés en termes clairs et facilement lisibles. De plus, l’article 3 prévoit que le mécanisme d’exclusion doit pouvoir « s’exécuter facilement ».
11. Dans la politique réglementaire de télécom 2012-183, le Conseil a énoncé, entre autres, qu’en prescrivant un mécanisme d’exclusion moins restrictif et plus neutre sur le plan technologique que celui proposé au départ, le mécanisme devait être convivial pour le consommateur. Par conséquent, le Conseil estime qu’un mécanisme d’exclusion « s’exécute facilement » s’il est simple, rapide et facile d’utilisation pour le consommateur et si l’accès se fait sans difficulté ni délai.
12. Le Conseil estime qu’un exemple de mécanisme d’exclusion qui s’exécute facilement est un hyperlien dans un courriel qui mène l’utilisateur à une page Web où ce dernier peut indiquer qu’il ne souhaite plus recevoir de MEC ou certains types de MEC de l’expéditeur. Dans le cas d’un message texte (SMS), l’utilisateur devrait avoir le choix entre la possibilité de répondre au message par le mot « STOP » ou « Désabonnement » et la possibilité de cliquer sur un hyperlien qui mène à une page Web où ce dernier peut indiquer qu’il souhaite ne plus recevoir de MEC ou certains types de MEC de l’expéditeur.
Renseignements à inclure dans les demandes de consentement (article 4 du Règlement)
Signification de « demande faite séparément »
13. L’article 4 du Règlement prévoit que le consentement exprès doit être sollicité séparément pour chacun des actes suivants :
- l’envoi de MEC (article 6 de la Loi);
- la modification des données de transmission des MEC dans le cadre d’une activité commerciale (article 7 de la Loi);
- l’installation d’un programme d’ordinateur dans l’ordinateur d’une autre personne dans le cadre d’une activité commerciale (article 8 de la Loi).
a. Que signifie l’expression « demande faite séparément »?
14. Le Conseil estime qu’afin de respecter l’exigence selon laquelle la demande de consentement doit être faite séparément, un consentement précis et distinct doit être obtenu pour chacun des actes visés par les articles de la Loi décrits au paragraphe 13 ci-dessus. Par conséquent, le consentement doit être sollicité pour chacun des actes susmentionnés, séparément de tout autre acte prévu aux articles 6 à 8 de la Loi. En outre, le Conseil estime que les activités décrites ci-dessus sont distinctes; ainsi, leurs conséquences le sont également.
15. Par exemple, le Conseil estime qu’une personne devrait avoir le droit d’accorder son consentement pour l’installation d’un programme d’ordinateur tout en refusant de recevoir des MEC. Cependant, il n’estime pas qu’il soit nécessaire de solliciter un consentement chaque fois qu’a lieu un acte décrit au paragraphe 13 ci-dessus, pourvu que la demande de consentement soit conforme aux paragraphes 10(1), 10(2), 10(3) et 10(4) de la Loi, le cas échéant.
b. Demandes de consentement
16. Le Conseil estime que les demandes de consentement abordées ci-dessus ne doivent pas être intégrées dans les demandes de consentement relatives aux conditions générales d’utilisation ou de vente. L’objectif fondamental est que la personne auprès de qui le consentement est sollicité puisse savoir clairement de quelle demande de consentement il s’agit. Par exemple, une personne devrait pouvoir consentir aux conditions d’utilisation ou de vente tout en refusant de recevoir des MEC.
17. Le Conseil estime que si les actes énoncés à l’article 8 de la Loi (installation d’un programme d’ordinateur) sont nécessaires à l’utilisation ou au bon fonctionnement d’un produit ou service et que par ailleurs, le consentement n’est ni exempté ni réputé acquis par la Loi ou les dispositions réglementaires connexes, la demande de consentement doit expliquer la nature de l’activité nécessaire (par exemple, la collecte de renseignements personnels stockés dans l’ordinateur). Le consentement pour ces actes nécessaires doit être obtenu avant que le produit ou service ne soit utilisé ou vendu.
18. Le Conseil estime que les moyens d’obtenir le consentement décrits ci-dessous respectent le Règlement :
- la personne auprès de qui le consentement est sollicité doit cocher une case pour chacun des articles 6 à 8 de la Loi afin d’indiquer son consentement (consulter le bulletin d’information de Conformité et Enquêtes 2012-549);
- la personne auprès de qui le consentement est sollicité doit cliquer sur une icône séparée pour chacun des articles 6 à 8 de la Loi;
- toute combinaison des éléments précédents.
19. Le Conseil fait remarquer que l’alinéa 11(5)a) de la Loi doit également être respecté. Cet alinéa prévoit qu’une personne qui a le consentement exprès du propriétaire ou de l’utilisateur autorisé à accomplir tout acte mentionné au paragraphe 8 de la Loi (installation d’un programme d’ordinateur) :
i) pour une période d’un an après l’installation d’un programme d’ordinateur qui effectue une ou plusieurs des fonctions décrites au paragraphe 10(5) de la Loi [par exemple, collecter des informations personnelles stockées dans l’ordinateur] pour laquelle la personne a donné son consentement;
ii) doit s’assurer qu’il a été communiqué, à la personne qui a donné son consentement, une adresse électronique à laquelle elle peut envoyer la demande pour retirer ou désactiver le programme d’ordinateur si elle croit que la fonction, le but ou l’impact du programme d’ordinateur installé après avoir donné son consentement n’a pas été décrit avec précision lorsque le consentement a été demandé.
Les dispositions précédentes ne s’appliquent pas si la fonction du programme d’ordinateur fait partie des exceptions décrites au paragraphe 10(6) de la Loi.
20. De plus, le Conseil fait remarquer que l’alinéa 4e) du Règlement exige qu’une demande de consentement comporte un énoncé indiquant que la personne auprès de qui le consentement est sollicité peut retirer son consentement.
Consentement obtenu oralement ou par écrit
21. L’article 4 du Règlement prévoit que, pour l’application des paragraphes 10(1) et 10(3) de la Loi, le consentement peut être obtenu oralement ou par écrit ou une combinaison de ceux-ci.
a) Consentement obtenu oralement
22. Le Conseil fait remarquer que le fait de solliciter un consentement oral est conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (alinéa 4.3.7 de l’annexe 1) et aux Règles sur les télécommunications non sollicitées du Conseil (partie V, Consentement exprès).
23. Le Conseil estime que les types de preuves énoncés ci-dessous suffisent pour démontrer que le consentement oral a été obtenu :
- le consentement oral peut être vérifié par une tierce partie indépendante; ou
- la personne qui sollicite le consentement ou le client de cette personne possède un enregistrement sonore complet et intégral du consentement accordé.
Par exemple, une personne peut demander et obtenir un consentement oral dans le cas où l’information est recueillie par téléphone (par exemple, centre d’appels) ou lorsqu’un client utilise un produit ou service (par exemple, achat à un point de vente).
b) Consentement obtenu par écrit
24. Le Conseil fait remarquer que, pour l’application de l’article 4 du Règlement, l’expression « par écrit » comprend à la fois les copies papier et électronique.
25. Le Conseil estime que, dans le cas d’un consentement accordé par voie électronique, l’obligation d’obtenir le consentement par écrit est remplie si l’information est vérifiable.
26. Les exemples suivants constituent des moyens acceptables d’obtenir un consentement par écrit : la personne indique son consentement en cochant une case sur une page Web (la date, l’heure et le but du consentement, ainsi que la manière dont ce dernier a été obtenu, sont enregistrés dans une base de données); la personne remplit un formulaire de consentement à un point de vente.
c) Fardeau de prouver la validité du consentement obtenu oralement ou par écrit
27. Le Conseil fait remarquer que, conformément à l’article 13 de la Loi, la preuve du consentement nécessaire à l’accomplissement de tout acte prévu à l’un des articles 6 à 8 de la Loi incombe à la personne qui en allègue l’existence.
Programme d’ordinateur effectuant des fonctions spécifiques (article 5 du Règlement)
28. Aux termes de l’article 5 du Règlement, les éléments d’un programme d’ordinateur qui effectuent l’une ou l’autre des fonctions mentionnées au paragraphe 10(5) de la Loi doivent être portés à l’attention de la personne auprès de qui le consentement est sollicité séparément des autres renseignements fournis dans la demande de consentement. De plus, cet article prévoit que la personne qui sollicite le consentement doit obtenir une confirmation écrite de la personne visée attestant qu’elle comprend et accepte que le programme effectue les fonctions précisées.
29. Voici quelques exemples des fonctions énumérées au paragraphe 10(5) de la Loi :
- la collecte de renseignements personnels stockés dans l’ordinateur;
- l’entrave au contrôle de l’ordinateur par le propriétaire ou l’utilisateur autorisé de celui-ci;
- la modification des paramètres, préférences ou commandes déjà installés ou mis en mémoire dans l’ordinateur ou l’entrave à leur utilisation, à l’insu du propriétaire ou de l’utilisateur autorisé de l’ordinateur.
Moyens d’obtenir le consentement
30. Le Conseil estime que, pour l’application de l’article 5 du Règlement, l’expression « confirmation écrite » comprend à la fois les copies papier et électronique, conformément à l’affirmation du Conseil relativement au paragraphe 10(4) de la Loi.
31. Le Conseil estime qu’un exemple de moyen acceptable d’obtenir un consentement au titre de l’article 5 du Règlement serait d’afficher, séparément du contrat de licence et des autres demandes de consentement, une case vide que l’utilisateur aurait à cocher ou une icône sur laquelle il aurait à cliquer afin d’indiquer qu’il consent à l’une, à plusieurs ou à l’ensemble des fonctions énumérées au paragraphe 10(5) de la Loi, le cas échéant. Dans ce cas, la date, l’heure et le but du consentement, ainsi que la manière dont celui-ci a été obtenu, devraient alors être enregistrés dans une base de données.
32. Tel qu’il l’a mentionné aux paragraphes 19 et 20 ci-dessus, le Conseil fait remarquer qu’il faut également se conformer à l’alinéa 11(5)a) de la Loi et à l’alinéa 4e) du Règlement.
Secrétaire général
Documents connexes
- Lignes directrices sur l’utilisation des cases d’activation comme moyen d’obtenir le consentement exprès en vertu de la loi canadienne anti-pourriel, Bulletin d’information de Conformité et Enquêtes CRTC 2012-549, 10 octobre 2012
- Règlement sur la protection du commerce électronique (CRTC), Politique réglementaire de télécom CRTC 2012-183, 28 mars 2012
- Date de modification :