Introduction
Dans bulletin du 5 décembre 2013, nous avons donné un aperçu général de la manière dont la « loi canadienne anti-pourriel » (formellement connue sous le nom de Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, mais mieux connue sous son acronyme informel, « LCAP ») était finalement entrée en vigueur le jour précédent, et nous expliquions que ses dispositions allaient s'appliquer de manière graduelle, comme suit : les dispositions anti-pourriel entreront en vigueur le 1er juillet 2014; les dispositions concernant les programmes installés non sollicités (« PINS »), incluant les témoins de connexion, entreront en vigueur le 15 janvier 2015; et les dispositions prévoyant un droit privé d'action entreront en vigueur le 1er juillet 2017.
La LCAP, ses règlements d'application et les documents d'interprétation qui ont été publiés par Industrie Canada et le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») forment un ensemble volumineux. Outre la LCAP, le CRTC a publié a) le Règlement sur la protection du commerce électronique (28 mars 2012)[1]; b) les Lignes directrices sur l'interprétation du Règlement sur la protection du commerce électronique (10 octobre 2012)[2]; et c) les Lignes directrices sur l'utilisation des cases d'activation comme moyen d'obtenir le consentement exprès en vertu de la loi canadienne anti-pourriel (10 octobre 2012)[3]; et Industrie Canada a publié d) le Règlement (Loi anti-pourriel) 81000-2-175 (DORS/SOR) (4 décembre 2013), et e) le Résumé de l'étude d'impact de la réglementation (4 décembre 2013).
À elle seule, l'abondance de documentation pose certaines difficultés, mais la loi comporte en plus des problèmes et des ambiguïtés qui n'ont pas été résolus malgré les lignes directrices publiées par le gouvernement. Compte tenu des amendes importantes qui peuvent être imposées en cas de manquement à la LCAP, soit jusqu'à 1 000 000 $ pour les personnes physiques et jusqu'à 10 000 000 $ pour toutes autres personnes, cette situation pourrait être problématique pour les organisations qui cherchent à se conformer la loi.
Afin d'éclaircir certaines des questions les plus problématiques liées à la LCAP, nous examinons dans le présent bulletin les dix questions ou exigences clés que les organisations doivent comprendre afin de se conformer à la loi, selon qu'elles s'appliquent au pourriel, aux PINS ou à la fois au pourriel et aux PINS.
A. Questions concernant les dispositions anti-pourriel
1. Critères d'application larges. Les règles anti-pourriel de la LCAP s'appliquent aux « messages électroniques commerciaux » (« MEC ») qui sont envoyés du Canada ou auxquels on accède à partir du Canada, un MEC étant défini comme un message électronique « dont il est raisonnable de conclure qu'il a pour but, entre autres, d'encourager la participation à une activité commerciale ». Ainsi, si au moins un des buts d'un message électronique, même s'il ne s'agit pas de son seul but, est d'inciter une personne à participer à une « activité commerciale », les règles anti-pourriel de la LCAP s'appliqueront. Par exemple, si un bulletin transmis par courriel n'a pas de fin commerciale manifeste mais contient un hyperlien vers une publicité, le bulletin sera assujetti aux règles anti-pourriel de la LCAP.
2. Les messages visés n'incluent pas seulement les courriels. La LCAP est couramment désignée comme une « loi anti-pourriel », mais elle s'applique à tout envoi de message électronique (ce qui inclut un message textuel, sonore, vocal ou visuel) à (i) un compte courriel, (ii) un compte messagerie instantanée, (iii) un compte téléphone; ou, ce qui est plutôt ambigu, (iv) « tout autre compte similaire ». Par contre, la gamme de messages exclus est très restreinte et comprend les MEC A) qui consistent, en tout ou en partie, en des communications vocales bilatérales qu'ont entre elles, en direct, des personnes physiques; B) envoyés par fac-similé à un compte téléphone; C) qui sont des enregistrements de la parole envoyés à un compte téléphone (ce qui pourrait exclure les messages vocaux laissés sur un système de téléphone Internet); et D) envoyés et reçus par l'entremise d'un « service de messagerie électronique » (ce terme n'est malheureusement pas défini, mais il pourrait inclure la messagerie instantanée), pourvu qu'un mécanisme d'exclusion de la forme prescrite soit offert et que le destinataire consente (expressément ou implicitement) à recevoir les messages. Les organisations doivent examiner attentivement leur stratégie de communication afin de s'assurer de comprendre quels types de messages elles transmettent et les exigences de la LCAP qui s'y appliquent.
3. Période de validité des renseignements. Il est important de noter que certains renseignements doivent demeurer valables pendant une période prescrite après la transmission d'un MEC. Par exemple, la LCAP impose des exigences de consentement et des exigences de contenu pour chaque MEC. Le contenu doit inclure les coordonnées de l'expéditeur du MEC ou, si l'expéditeur agit pour le compte d'une autre personne, les coordonnées de celle-ci. Ces renseignements doivent être valables pendant au moins soixante jours après la transmission du MEC. Il convient de souligner que ces coordonnées doivent inclure une adresse postale, le numéro de téléphone d'un mandataire ou d'un système de messagerie, et une adresse de courriel ou une adresse Web permettant de communiquer avec l'expéditeur. Ces exigences ont donc des conséquences lorsque l'expéditeur change d'adresse postale ou modifie ses adresses électroniques. De la même façon, les destinataires des MEC doivent généralement pouvoir utiliser un mécanisme de désabonnement leur permettant de retirer leur consentement à recevoir ces MEC. À l'instar de l'exigence indiquée plus haut, les MEC doivent inclure une adresse électronique ou un lien vers une page Web permettant de transmettre la demande de désabonnement, et cette adresse ou ce lien doit également être valable pendant au moins soixante jours après la transmission du message. Ici encore, cette exigence de validité aura des répercussions pour les organisations qui changent d'adresse de domaine ou d'adresse électronique.
4. Importance des liens ou de la relation avec le destinataire. Selon les liens ou la relation entre l'expéditeur et le destinataire, un MEC peut être exempté à la fois des exigences de consentement et de contenu ou seulement de l'exigence de consentement, ou assujetti au consentement tacite plutôt qu'au consentement exprès. Par exemple, la loi prévoit des exceptions différentes pour les liens familiaux ou personnels, pour les relations d'affaires en cours et les relations privées en cours (dans chacun des cas, au sens attribué à ces termes dans la LCAP), ainsi qu'à l'égard des employés d'une même organisation qui se transmettent des MEC entre eux. Par conséquent, le fait de comprendre à laquelle de ces catégories, le cas échéant, un destinataire appartient aidera les organisations à déterminer quelles règles s'appliquent à un MEC. Étant donné que les liens ou la relation avec le destinataire peuvent être très variés, les expéditeurs pourraient devoir choisir s'ils préfèrent déterminer les différentes catégories de destinataires et appliquer les diverses règles de la LCAP ou appliquer à tous les destinataires la norme la plus stricte, qui consiste à obtenir un consentement exprès et à inclure le contenu requis.
5. Utilité limitée de la reconnaissance des lois anti-pourriel d'autres territoires. Le règlement définitif d'Industrie Canada tente de réduire le chevauchement des réglementations dans les cas où des MEC sont envoyés du Canada à d'autres États ayant leurs propres exigences réglementaires anti-pourriel. Pour ce faire, le règlement définitif d'Industrie Canada exempte des exigences de consentement et de contenu de la LCAP les MEC dont l'expéditeur a des motifs raisonnables de croire qu'ils seront reçus dans l'un des États étrangers inclus dans la liste figurant dans le règlement et qu'ils seront conformes à une loi de l'État étranger en question essentiellement similaire à la LCAP[4]. Cette disposition semble à première vue faciliter la transmission à partir du Canada de MEC destinés exclusivement à des destinataires étrangers, mais la deuxième condition préalable, selon laquelle les MEC doivent être conformes aux lois anti-pourriel du territoire du destinataire, impose une obligation de diligence raisonnable supplémentaire et possiblement onéreuse aux organisations qui souhaitent se prévaloir de cette exemption. Dans de nombreux cas, pour s'assurer de respecter cette condition préalable, une organisation devra retenir les services de conseillers juridiques dans le territoire du destinataire.
B. Questions concernant les programmes installés non sollicités (PINS)
6. Consentement exprès présumé pour certains PINS. En plus des règles anti-pourriel, la LCAP énonce des règles concernant le consentement exprès devant être obtenu lorsque des logiciels sont installés dans l'ordinateur d'une autre personne dans le cadre d'activités commerciales. Ces règles exigent que certains renseignements soient communiqués au destinataire et qu'un mécanisme de consentement approprié soit mis en place. Toutefois, une personne sera réputée consentir expressément à l'installation d'un PINS si a) le programme est un témoin de connexion, un code HTML, un JavaScript, un système d'exploitation ou tout autre programme qui ne peut être exécuté que par l'entremise d'un autre programme auquel la personne a déjà expressément consenti à l'installation ou à l'utilisation (ce qui inclut actuellement les correctifs de sécurité des réseaux, les mises à jour et les mises à niveau de réseau et les corrections de bogue de logiciel), et b) la personne se comporte d'une manière telle qu'il est raisonnable de croire qu'elle consent à l'installation du programme. Malheureusement, il n'est pas clair dans la LCAP, le règlement et les divers bulletins et lignes directrices publiés par le CRTC et Industrie Canada quel comportement permet raisonnablement de croire qu'une personne consent à l'installation d'un témoin de connexion. Logiquement, il semble que le seuil relatif à ce comportement requis devrait être moindre que celui associé au consentement exprès, afin de donner un sens à la disposition concernant le consentement présumé. Il semble logique de penser que le consentement tacite sera suffisant, mais cette interprétation devra être confirmée en pratique. Il est également important de souligner que même si cette disposition traite des conditions d'un consentement tacite, les autres dispositions concernant le consentement exprès semblent continuer de s'appliquer, notamment les dispositions de la LCAP concernant le retrait de ce consentement.
7. Règles différentes pour les mises à niveau et les mises à jour. Les mises à jour et les mises à niveau de réseau sont couvertes par le mécanisme de consentement exprès présumé de la LCAP, mais, aux termes de la LCAP, les mises à jour et les mises à niveau de logiciels sont exemptées uniquement des exigences de divulgations liées aux PINS, et ce seulement si a) elles visent un logiciel de base installé ou utilisé avec le consentement exprès du destinataire, b) le destinataire a le droit de recevoir la mise à jour ou la mise à niveau aux termes du consentement exprès, et c) la mise à jour ou la mise à niveau est installée aux termes du consentement exprès. Ainsi, bien que les développeurs de logiciels devraient être heureux que les règles concernant les mises à jour et les mises à niveau soient plutôt souples, ils doivent être conscients que pour bénéficier de ces règles plus souples le consentement approprié doit être obtenu lorsque le logiciel sous-jacent est installé initialement. En outre, comme les termes « mise à jour » et « mise à niveau » sont utilisés dans la LCAP sans y être définis, il demeure un certain flou quant aux logiciels admissibles à cette exception. Par exemple, il n'est pas clair que les logiciels admissibles incluent les correctifs de sécurité, qui, dans le contexte des réseaux, sont traités différemment des mises à jour et des mises à niveau dans la LCAP.
C. Questions générales
8. Le consentement exprès doit être donné au moyen d'un mécanisme de consentement actif et les demandes de consentement doivent être distinctes. Le principe de base de la LCAP veut que le consentement exprès du destinataire soit obtenu pour transmettre des MEC et installer certains types de logiciels. Par exemple, la LCAP exige que a) le consentement soit donné au moyen de mécanisme de consentement actif (c.-à-d. que le destinataire indique explicitement son consentement), et que b) chaque demande de consentement soit distincte et ne soit pas regroupée avec d'autres demandes de consentement à d'autres fins, comme les demandes de consentements relatives aux conditions d'utilisation ou à la collecte, à l'utilisation et à la divulgation de renseignements personnels et, dans le cas des PINS, les demandes relatives à la transmission de MEC et, dans le cas des MEC, les demandes relatives à l'installation de PINS.
9. Mécanismes d'application à plusieurs niveaux. Diverses dispositions définissent le cadre d'application de la LCAP, notamment :
a. des sanctions administratives pécuniaires d'un montant maximal de (i) 1 000 000 $ dans le cas d'une personne physique, et de (ii) 10 000 000 $ dans le cas de toute autre personne;
b. la prise par la partie contrevenante d'un engagement qui énonce les actes ou omissions de la partie contrevenante et les dispositions applicables de la LCAP, prévoit les conditions de conformité applicables et peut prévoir l'obligation de payer une somme précise (à titre de pénalité). Cet engagement fournit une immunité contre les procédures intentées au moyen d'un procès-verbal de violation (voir ci-dessous);
c. la signification à la partie contrevenante d'un procès-verbal de violation, dont le contenu est similaire à celui de l'engagement, mais qui exige que la partie contrevenante présente des observations au CRTC concernant l'objet du procès-verbal ou paye la pénalité prévue; il est toutefois entendu que si la partie contrevenante présente des observations, le CRTC décide, selon la prépondérance des probabilités, de sa responsabilité à l'égard de la violation et, le cas échéant, il peut imposer la sanction prévue dans le procès-verbal, en réduire le montant, y renoncer ou encore en suspendre le paiement aux conditions qu'il estime nécessaires.
La LCAP prévoit également des mesures injonctives et un droit privé d'action (qui entrera en vigueur le 1er juillet 2017) pouvant entraîner la délivrance d'une ordonnance exigeant que le contrevenant paye au demandeur a) une somme égale au montant de la perte ou des dommages qu'il a subis ou des dépenses qu'il a engagées, et b) dans le cas de contravention (i) aux dispositions anti-pourriel, une somme maximale de 200 $ à l'égard de chaque contravention, jusqu'à concurrence de 1 000 000 $ par jour pour l'ensemble des contraventions; et (ii) aux dispositions concernant les PINS, une somme maximale de 1 000 000 $ par jour pour l'ensemble des contraventions.
10. Responsabilité personnelle. Sous réserve du moyen de défense fondé sur la prise de toutes les précautions voulues, en cas de commission par une personne morale d'une violation, ceux de ses dirigeants, administrateurs ou mandataires qui l'ont ordonnée ou autorisée, ou qui y ont consenti ou participé, sont responsables de la violation, que la personne morale fasse ou non l'objet de procédures en violation. Compte tenu du risque de responsabilité personnelle associé aux violations de la LCAP, il est important que les organisations s'assurent d'élaborer et de mettre en œuvre des programmes de conformité à la LCAP, y compris des politiques concernant les pourriels et les PINS, et apportent les modifications nécessaires à leurs politiques de confidentialité, et ce le plus rapidement possible.
Note : ce bulletin a également été publié par CCH Canadian Limited publications, Commercial Times, Management Matters, et Ultimate Corporate Counsel Guide.
[1] Politique réglementaire de télécom CRTC 2012-183.
[2] Bulletin d'information de Conformité et Enquêtes CRTC 2012-548.
[3] Bulletin d'information de Conformité et Enquêtes CRTC 2012-549.
[4] Dans la version anglaise de la loi, il n'est pas clair que l'exigence selon laquelle le message doit être « conforme à une loi de cet État » est également assujettie aux « motifs raisonnables de croire » de l'expéditeur.
