Avis d’application – Avis à l’industrie des services d’hébergement Web

Le présent avis a pour but de promouvoir la conformité à la Loi canadienne anti-pourriel (LCAP) auprès des services d’hébergement Web au Canada ainsi que d’intensifier et de publiciser les activités de sensibilisation à la LCAP.

Pourquoi s’adresse-t-on aux fournisseurs de services d’hébergement Web?

La LCAP interdit l’envoi de messages électroniques commerciaux non sollicités (couramment appelés « pourriels »), la modification de données de transmission d’un message électronique sans consentement ou l’installation de programmes d’ordinateur sans consentement. Une organisation ou une personne peut également être tenue responsable d’avoir facilité de telles activités.

Selon l’information recueillie par le personnel du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), les maliciels sont notamment distribués au moyen de l’infrastructure canadienne d’hébergement Web. Les fournisseurs de services d’hébergement Web jouent un rôle critique dans la protection de la cybersécurité des Canadiens.

Quelle est la responsabilité des fournisseurs de services d’hébergement Web selon la LCAP?

Bien que les fournisseurs d’hébergement Web ne soient pas en général directement responsables des contraventions aux articles 6 à 8 commises par leurs clients, ils tiennent une place prépondérante pour détecter, prévenir et arrêter les activités non conformes.

Les fournisseurs de services d’hébergement Web ont des obligations en vertu de la LCAP. Plus précisément, ils ne doivent pas se comporter d’une manière qui contrevient à l’article 9 de la LCAP, en aidant ou en encourageant leurs clients à commettre des actes illicites selon les articles 6 à 8 de la LCAP.

Comment les fournisseurs de services d’hébergement Web peuvent-ils éviter d’être tenus responsables?

Les organisations et les personnes peuvent éviter d’être tenus responsables en faisant preuve de diligence raisonnable. La diligence raisonnable comprend des stratégies de prévention et des mesures de protection visant à éliminer ou à réduire leur rôle direct ou indirect potentiel dans les contraventions à la LCAP. Cela consiste entre autres à élaborer et à mettre en œuvre un programme de conformité d’entreprise écrit. On peut trouver des lignes directrices et des pratiques exemplaires sur l’élaboration d’un programme de conformité d’entreprise dans les bulletins d’information de Conformité et Enquêtes CRTC 2014-326 et CRTC 2018-415.

Le CRTC sait que la taille, les ressources et les offres de services des fournisseurs d’hébergement Web varient. C’est pourquoi le programme de chaque entreprise sera unique et élaboré sur mesure. Toutefois, dans tous les cas, pour être crédible et efficace, un programme doit inclure des garanties fondamentales permettant de prévenir et de détecter les problèmes en matière de conformité et d’y répondre, qu’ils soient détectés en interne ou signalés par des tiers.

Comme il est décrit dans les bulletins d’information susmentionnés, les mesures préventives peuvent comprendre des pratiques de vérification des clients et notamment un contrôle de leur identité (« connaître vos clients »), une politique de conformité, des ententes obligeant les clients à se conformer à la LCAP comme condition pour les services, et des procédures normalisées d’opérations documentées.

Dès que l’entreprise a connaissance de maliciel sur son infrastructure, il est essentiel de remédier au cyberincident afin de garantir le respect de la LCAP. Pour cela, il faut un plan de gestion des incidents et une équipe d’intervention composée du personnel requis.

Références en matière de cybersécurité

Les pratiques exemplaires en matière de lutte contre les abus et les cyberincidents peuvent servir de références utiles dans l’élaboration de votre programme de conformité d’entreprise :

Note aux entreprises de cybersécurité et aux chercheurs de maliciels

Si vous avez de l’information sur un système d’ordinateur, tel qu’un serveur situé au Canada et utilisé pour exercer des activités illicites (p. ex. pourriels, hameçonnage, maliciels, réseaux zombie) ou sur des fournisseurs de services d’hébergement Web qui ne répondent pas aux signalements d’abus, vous pouvez nous la faire parvenir à lcap-casl-inv@crtc.gc.ca.

Date de modification :