Bulletin d’information de Conformité et Enquêtes CRTC 2018-415
Ottawa, le 5 novembre 2018
Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP)
Introduction
- L’objet du présent bulletin d’information est de présenter aux parties intéressées des lignes directrices générales sur la conformité et les pratiques exemplaires à suivre relativement à l’article 9 de la Loi canadienne anti-pourriel (LCAP)Note de bas de page 1. Plus précisément, le présent bulletin traite de l’approche générale du Conseil concernant l’article 9 de la LCAP et présente des exemples de particuliers ou organisations auxquels l’article 9 de la LCAP pourrait s’appliquer, des exemples d’activités pouvant entraîner la non-conformité ainsi que des exemples de mesures permettant de gérer les risques connexes. Le présent bulletin est fondé sur les directives et les pratiques exemplaires décrites antérieurement dans le bulletin d’information de Conformité et Enquêtes 2014-326Note de bas de page 2.
- Les directives et les renseignements figurant dans le présent bulletin ne sont que des lignes directrices et ne sont pas à caractère exhaustif. Le bulletin ne doit pas non plus être compris comme constituant un avis juridique. Les particuliers ou organisations qui souhaitent obtenir un avis juridique quant à la conformité de leurs activités à la LCAP devraient s’assurer les services d’un avocat indépendant.
- Le Conseil reconnaît le caractère unique de chaque organisation. Les mesures à mettre en œuvre afin d’assurer la conformité à la LCAP pourraient donc varier selon la taille de l’organisation, son niveau de risque global et la nature des risques à atténuer, particulièrement dans le cas des petites et moyennes entreprises. Le Conseil évaluera toute mesure prise pour assurer la conformité au cas par cas, et recommande à chaque entreprise d’adapter ses propres stratégies de gestion des risques et de conformité, y compris celles décrites ci-dessous, à ses circonstances particulières et aux risques auxquels elle est confrontée.
Principales définitions et interprétation
- L’article 9 de la LCAP prévoit ce qui suit :
Il est interdit de faire accomplir, même indirectement, tout acte contraire à l’un des articles 6 à 8, ou d’aider ou d’encourager quiconque à accomplir un tel acte.
L’article 9 de la LCAP traite des moyens par lesquels une personne peut contribuer à la réalisation de contraventions aux articles 6 à 8 de la LCAP sans les avoir directement commises. L’article 9 de la LCAP prévoit quatre façons de contribuer à ces contraventions : en aidant, en encourageant, en faisant accomplir, et en faisant accomplir indirectement. Le Conseil prendra en considération les faits propres à chaque cas afin de déterminer si une personne a contrevenu à un ou plusieurs éléments de l’article 9 de la LCAP. À titre d’exemple, une personne pourrait contrevenir à l’article 9 de la LCAP en prêtant assistance à un tiers à accomplir un ou plusieurs actes interdits par les articles 6 à 8 de la LCAP, ou en l’habilitant à les accomplir, soit en lui donnant accès à l’équipement ou aux outils nécessaires, soit en lui fournissant de l’assistance ou des conseils techniques.
- À l’inverse, contrevenir aux articles 6 à 8 de la LCAP suppose généralement une action directe en lien avec ce qui suit :
- envoyer, faire envoyer ou permettre que soit envoyé un message électronique commercial sans consentement exprès ou tacite [alinéa 6(1)a)] (p. ex. courriel, message texte ou message à toute autre adresse électronique);
- modifier ou faire modifier les données de transmission d’un message électronique dans le cadre d’activités commercialesNote de bas de page 3 sans consentement exprès [alinéa 7(1)a)] (p. ex. réacheminement non sollicité ou hameçonnage); et
- installer ou faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne dans le cadre d’activités commerciales sans consentement exprès, ou, après avoir ainsi installé ou fait installer un programme d’ordinateur, faire envoyer un message électronique [alinéa 8(1)a)] (p. ex. logiciels malveillants, virus ou réseaux de zombies).
À qui s’applique l’article 9 de la LCAP?
- La LCAP s’applique à tous les particuliers et organisations utilisant des moyens électroniques dans le cadre d’activités commerciales menées soit au Canada, soit à l’étranger mais depuis le Canada, ou encore qui offrent des produits ou services aux Canadiens. L’article 9 de la LCAP peut s’appliquer aux particuliers et aux organisations qui facilitent la réalisation d’activités commerciales par voie électronique en fournissant des services habilitants, de nature technique ou autre. L’article 9 de la LCAP pourrait aussi s’appliquer à ceux qui bénéficient d’un avantage financier direct ou indirect découlant d’une contravention aux articles 6 à 8 de la LCAP. Bien qu’elle ne soit pas exhaustive, la liste suivante fournit des exemples d’intermédiaires qui pourraient participer à des activités les mettant à risque de se trouver en situation de non-conformité à l’article 9 de la LCAP :
- les courtiers en publicité;
- les commerçants en ligne;
- les développeurs de logiciels et d’applications;
- les distributeurs de logiciels et d’applications;
- les fournisseurs de services de télécommunication et de services InternetNote de bas de page 4;
- les opérateurs de systèmes de traitement des paiements.
Possibilité d’être en non-conformité
- Les entreprises se doivent de comprendre les risques de non-conformité relatifs à la nature de leurs secteurs respectifs et de prendre les précautions nécessaires pour atténuer ces risques, permettant ainsi de réduire leur responsabilité potentielle aux termes de l’article 9 de la LCAP.
- Lors de l’évaluation du rôle joué par les particuliers, les entreprises ou autres entités dans les violations potentielles de l’article 9 de la LCAP, le Conseil tiendra compte de divers facteurs, lesquels comprennent, sans s’y limiter :
- le niveau de contrôle qu’un particulier ou une organisation a sur l’activité qui contrevient aux articles 6 à 8 de la LCAP, et la mesure dans laquelle le particulier ou l’organisation est en mesure de prévenir ou arrêter cette activité (selon les exigences de la situation);
- l’importance du lien qui existe entre les mesures pouvant constituer une contravention à l’article 9 de la LCAP et celles qui contreviennent aux articles 6 à 8 de la LCAP. À titre d’exemple, la vente d’un ordinateur qui serait ensuite utilisé dans le cadre d’une activité illégale ne créerait pas de lien fort entre les parties. En revanche, la vente d’un logiciel malveillant à des parties non averties suggérerait l’existence d’un lien plus fort;
- les éléments de preuve établissant que des mesures raisonnables ont été prises, y compris des mesures préventives et de protection visant à prévenir que les violations ne soient commises ou à arrêter ces violations.
Exemples – Violations potentielles de l’article 9 de la LCAP
Exemple 1
L’entreprise A est spécialisée dans le marketing en ligne et vend un ensemble de services à l’entreprise B, dont un modèle de message et une liste d’adresses électroniques et de numéros de téléphone cellulaire à des fins de commercialisation de masse. Le modèle de message n’identifie ni l’expéditeur ni le mécanisme d’exclusion, et aucune tentative n’a été faite pour s’assurer du consentement exprès ou implicite des personnes dont les coordonnées figurent sur la liste, ce qui est exigé par l’article 6 de la LCAP. Dans ce scénario, l’entreprise B pourrait contrevenir à l’article 6 de la LCAP si elle utilisait le modèle de message et la liste de contacts fournis par l’entreprise A pour envoyer des messages électroniques commerciaux (p. ex. courriel ou message texte). Bien que l’entreprise A ne soit pas l’expéditrice des messages, elle pourrait contrevenir à l’article 9 de la LCAP pour avoir fourni les outils qui ont été utilisés pour contrevenir à l’article 6 de la LCAP.
Exemple 2
L’entreprise A offre des services d’hébergement Web. Son client, l’entreprise B, utilise les services de l’entreprise A pour lancer une campagne d’hameçonnage réorientant les Canadiens à leur insu vers un faux site Web bancaire conçu afin de recueillir leurs données personnelles – une contravention à l’article 7 de la LCAP. Une entreprise de cybersécurité avait pourtant signalé l’activité malveillante à l’entreprise A, mais celle-ci n’a pris aucune mesure pour l’arrêter. De plus, les modalités d’utilisation de ses services d’hébergement Web n’exigent nullement que ses clients se conforment à la LCAP, et l’entreprise n’a pas non plus de processus pour assurer la conformité de ses activités à la loi. Par conséquent, bien que ce soit l’entreprise B qui ait lancé la campagne d’hameçonnage, l’entreprise A pourrait s’avérer responsable en vertu de l’article 9 de la LCAP pour avoir « aidé » à enfreindre l’article 7 de la LCAP.
Exemple 3
Un particulier visite un magasin d’applications en ligne et télécharge un jeu vidéo, lequel est fourni avec une barre d’outils personnalisée s’insérant dans le navigateur. Les fonctions de la barre d’outils, notamment celles servant à imposer des publicités aux utilisateurs, ne sont pas toutes décrites lors du processus d’installation, et le consentement à l’utilisation de la barre d’outils est présumé sous la forme d’une case préalablement cochée, contrairement aux exigences de l’article 8 de la LCAP. Pendant l’enquête qui a suivi, il a été déterminé que plusieurs clients s’étaient déjà plaints auprès du magasin d’applications à propos de la présence de la barre d’outils. Bien que le développeur de jeux vidéo puisse être tenu responsable d’une contravention à l’article 8 de la LCAP, le magasin d’applications pourrait avoir enfreint l’article 9 de la LCAP pour avoir « aidé » à enfreindre l’article 8 de la LCAP.
Mise en garde : Même si le fait d’être au courant des violations peut être un facteur lors de l’évaluation des contraventions à l’article 9 de la LCAP, il n’est pas nécessaire pour que le particulier ou l’organisation soit jugé responsable. La détermination des violations de l’article 9 dépendra du contexte et des circonstances exacts entourant chaque cas.Gestion des risques de non-conformité
Connaître ses responsabilités
- En ce qui concerne les violations à responsabilité stricte, un particulier ou une organisation peut être tenu responsable d’une violation de l’article 9 de la LCAP et faire face à des sanctions administratives pécuniaires, même si le particulier ou l’organisation n’avait pas l’intention de contrevenir à la LCAP et même s’il ou elle ignorait que ses activités ont habilité un tiers à contrevenir aux artices 6 à 8 de la LCAP ou ont facilité la contravention. L’exercice d’activités réglementées, telles que celles liées au commerce électronique, par des particuliers ou organisations suppose que ceux-ci se conforment aux exigences législatives et réglementaires s’y rapportant. En ce qui concerne l’article 9 de la LCAP, la conformité consiste à s’assurer que les actes ou omissions d’un particulier ou d’une organisation n’aident ni n’encouragent un tiers à enfreindre les articles 6 à 8 de la LCAP.
- Lorsqu’elle dresse un procès-verbal de violation, la personne désignéeNote de bas de page 5 est tenue de prouver que les actes ou omissions d’une partie ont entraîné une violation de l’article 9 de la LCAP. Conformément à l’article 33 de la LCAP, un particulier ou une organisation ne peut toutefois être tenu responsable si le particulier ou l’organisation prouve que toutes les précautions voulues ont été prises afin de prévenir la commission de la violation.
Précautions voulues
- Le moyen le plus efficace de prouver que les précautions voulues ont bel et bien été prises consiste à s’assurer que des mesures d’atténuation des risques de non-conformité ont été mises en place. Tout particulier ou organisation se doit donc de prendre les mesures nécessaires pour toujours se tenir au courant des derniers développements et pour intervenir de manière décisive, rapide et continue afin de prévenir les violations de la LCAP, ou pour les arrêter une fois décelées. Un programme ou une politique préconisant une mise en œuvre sans suivi constitue une stratégie inefficace. Le succès des précautions voulues ne dépend pas uniquement de la mise en œuvre d’un système approprié de prévention des violations, mais plus fondamentalement, de la prise de mesures raisonnables pour en garantir le fonctionnement efficace, soit par la gestion continue et la surveillance active, ce qui comprend les vérifications et le suivi des activités réalisées par des tiers. De plus, les mesures de conformité mises en œuvre ne devraient pas être de nature générique, mais devraient plutôt s’attaquer précisément aux risques connus de non-conformité.
- Les particuliers et organisations actifs dans le domaine du commerce électronique se doivent de se renseigner auprès d’experts juridiques et autresNote de bas de page 6 pour s’assurer de pleinement comprendre leurs droits, obligations, risques et responsabilités en vertu de la LCAP.
Mesures préventives et de protection
- Les particuliers et organisations devraient identifier les vulnérabilités découlant de la nature de leur entreprise, de leurs activités ou de la technologie utilisée. Le Conseil encourage la mise en œuvre d’un programme de conformité solide accompagné de mesures préventives et de protection, lequel pourra être pris en compte au moment de l’examen des cas de non-conformité. Le Conseil estime que les activités ci-dessous constituent des exemples de mesures raisonnables, lesquelles pourraient varier selon les circonstances.
Prévention
- L’intégration d’évaluations régulières des menaces et des risques dans les programmes de conformité ou de sécurité des technologies de l’information afin d’identifier les risques et vulnérabilités;
- La validation de l’identité des clients, y compris les noms et adresses d’entreprises, les pseudonymes actuels ou passés, le nombre d’années d’existence ainsi que les principaux administrateurs d’entreprise ou autres parties intéressées concernées;
- La prise en considération des divergences sur le plan géographique (p. ex. les clients dont les activités commerciales sont menées dans une région mais dont l’entreprise est constituée en société, effectue des opérations bancaires ou est enregistrée en ligne dans une région sans lien avec la première);
- L’obtention de preuves d’identité supplémentaires, telles que les actes de constitution en société, les documents d’identité émis par le gouvernement, ou les dossiers d’impôt, selon le cas;
- Le fait d’éviter de faire affaire avec des personnes recherchant l’anonymat complet au moyen de pseudonymes, de boîtes postales comme adresses postales, ou de paiements en cryptomonnaie;
- La vérification de la réputation de clients potentiels, notamment de toute activité malveillante dont ils seraient responsables;
- L’examen des produits ou services offerts par des clients potentiels pour en vérifier la conformité juridique avant de faire affaire avec eux;
- L’établissement d’ententes écrites obligeant les clients et les clients de ces derniers à se conformer à la LCAP;
Détection, avis et partage d’informations
- L’examen de la façon dont les clients existants font usage des différents services;
- La détection et le signalement de toute violation possible aux autorités compétentes;
- Le cas échéant, le fait de partager les leçons apprises et pratiques exemplaires avec le secteur d’appartenance afin de réduire les risques pour d’autres victimes potentielles;
- Le fait d’assurer une surveillance régulière afin de détecter toute menace et en avertir les parties intéressées;
Correction et remise en état
- L’affectation des ressources à l’élimination des menaces, la résolution des problèmes de sécurité et la mise en œuvre de solutions durables en temps opportun afin d’empêcher que des menaces semblables ne se produisent à l’avenir;
- Le fait de venir en aide aux utilisateurs dont les appareils et les comptes ont été compromis;
Documentation
- Le fait de documenter les mesures prises dans le but de prévenir toute violation de la LCAP.
- Il convient de souligner que le simple fait de respecter les normes d’une industrie peut s’avérer insuffisant. Si un particulier ou une organisation identifie une menace ou une vulnérabilité, des mesures devront être prises à cet égard quitte à aller au-delà des normes existantes.
Mesures d’application de la loi possibles
- Après avoir conclu à une violation de l’article 9 de la LCAP, le Conseil pourrait recourir à différentes mesures d’application de la loi afin d’assurer la conformité à la LCAP. Le choix de la mesure d’application de la loi repose généralement sur des considérations telles que :
- l’effet probable de la mesure sur la conformité;
- la nature et la portée de la violation;
- le niveau de dommage associé à la violation;
- le niveau de coopération du contrevenant présumé;
- l’historique des violations antérieures.
Documents connexes
- Lignes directrices visant à aider les entreprises à élaborer des programmes de conformité,Bulletin d’information de Conformité et Enquêtes CRTC 2014-326, 19 juin 2014
- Lignes directrices sur l’utilisation des cases d’activation comme moyen d’obtenir le consentement exprès en vertu de la loi canadienne anti-pourriel, Bulletin d’information de Conformité et Enquêtes CRTC 2012-549, 10 octobre 2012
- Lignes directrices sur l’interprétation du Règlement sur la protection du commerce électronique (CRTC), Bulletin d’information de Conformité et Enquêtes CRTC 2012-548, 10 octobre 2012
- Date de modification :