Le 6 janvier 2014, nous avons publié un bulletin intitulé Dix exigences clés de la Loi canadienne anti-pourriel que vous devez connaitre (John P. Beardwood et Gabriel M. A. Stern), dans lequel nous présentions dix enjeux ou exigences clés de la « loi canadienne anti-pourriel » (dont le nom officiel est Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, mieux connue sous l'appellation officieuse « LCAP »), exigences qui s'appliquent aux messages électroniques commerciaux (« MEC ») et aux programmes installés sans sollicitation.
La date d'entrée en vigueur des dispositions anti-pourriel (1er juillet 2014)[1] approchant à grands pas, les organisations concentrent de plus en plus leurs efforts sur la mise en conformité avant la date butoir. L'essentiel de ces efforts, et de nos conseils, a nécessairement porté à la fois sur l'élaboration d'une stratégie rapide d'obtention du consentement exprès à l'envoi futur de MEC et sur la conception de modèles permettant d'assurer la conformité du contenu de ces MEC aux exigences de la loi. Toutefois, comme nous l'expliquons ci-dessous, il existe cinq raisons importantes pour lesquelles les organisations ont tout intérêt à voir plus loin que la conformité immédiate à court terme et à élaborer et mettre en œuvre une politique visant spécifiquement la conformité à la LCAP.
1. Application de la LCAP à plusieurs services de l'organisation
La LCAP a des répercussions sur de nombreux services d'une organisation. Les exigences applicables aux MEC touchent non seulement le service du marketing et celui des technologies de l'information (« TI »), mais aussi les communications par courriel individuelles (une idée fausse largement répandue est que la LCAP ne s'applique qu'aux courriels envoyés par publipostage). De même, les exigences applicables aux programmes installés sans sollicitation ont une incidence non seulement sur le service des TI, en particulier lorsque l'organisation est active dans le secteur des technologies, mais également sur celui du marketing, dans la mesure où celui-ci a recours aux témoins (cookies) et à d'autres programmes installés sans sollicitation.
De plus, même s'ils font généralement l'objet de moins d'attention que les courriels, d'autres types de messages électroniques sont visés par la LCAP, à savoir : les messages textuels, sonores, vocaux et visuels envoyés à (i) un compte messagerie instantanée, (iii) un compte téléphone, ou (iv) « tout autre compte similaire », une expression quelque peu ambiguë[2].
En bref, les organisations doivent revoir en profondeur leur stratégie de communication afin de s'assurer qu'elles comprennent bien chaque type de message électronique qu'elles envoient et les exigences de la LCAP qui s'appliquent à chacun. L'approche optimale pour gérer ces multiples points de contact au niveau organisationnel, et en particulier pour s'assurer de prévenir tout cloisonnement, conscient ou inconscient, de la réponse de l'organisation, consiste à élaborer et à mettre en œuvre une politique de conformité à la LCAP à l'échelle de l'organisation qui prenne en compte l'application de la LCAP à de multiples catégories d'intervenants internes.
2. Gestion de l'interaction des exigences de la LCAP avec les autres politiques de l'organisation
Les obligations imposées par la LCAP interagissent nécessairement avec d'autres politiques qu'une organisation peut avoir mises en œuvre. Voici quelques exemples de ces interactions :
- Une autre idée fausse largement répandue est que la LCAP est une nouvelle loi canadienne sur la protection des renseignements personnels (ce qu'elle n'est pas : elle vise les messages électroniques commerciaux, qu'ils utilisent ou incluent des renseignements personnels ou pas); cependant, la LCAP n'en interagit pas moins avec la politique de protection des renseignements personnels de l'organisation. Par exemple, lorsque les adresses électroniques permettent une identification au point où elles constituent un renseignement personnel, ou lorsque le contenu du courriel lui-même contient des renseignements personnels, des questionnements ayant trait à la protection de la vie privée seront soulevés. De plus, l'organisation pourrait dans certains cas utiliser ses formulaires de consentement existants en matière de protection des renseignements personnels pour les demandes de consentement exigées par la LCAP, mais cela dépendra beaucoup de leur teneur, car ces dernières doivent contenir certains éléments qui ne figurent pas dans les demandes de consentement concernant la protection des renseignements personnels[3].
- Les organisations qui ont mis en place une politique d'exclusion de numéros de télécommunication en application de la Liste nationale de numéros de télécommunication exclus (« LNNTE ») devront bien comprendre la ligne de démarcation entre l'application de celle-ci et celle de la politique de conformité à la LCAP et la documenter. Par exemple, si les MEC incluent également les messages sonores ou vocaux envoyés à un compte téléphone, ils excluent cependant les communications qui sont des communications vocales bilatérales en direct entre des personnes physiques, les fac-similés envoyés à un compte téléphone et les enregistrements de la parole envoyés[4] à un compte téléphone. Pour les organisations qui font face à des questions concernant la conformité tant à LNNTE qu'à la LCAP, la mise en œuvre de politiques distinctes qui renvoient l'une à l'autre sans ambiguïté facilitera la distinction claire des particularités de chacun d'eux pour les utilisateurs de l'organisation.
- De plus en plus d'organisations se dotent d'une politique « Apportez votre appareil mobile » pour les employés, qui prescrit ce qui est autorisé et ce qui ne l'est pas à l'égard de l'utilisation de ces appareils sur les lieux de leur travail ou en lien avec le produit de leur travail. La définition du MEC incluant expressément les messages textuels et les messages électroniques envoyés à un compte messagerie instantanée[5], il faudrait procéder à une révision de ces politiques afin d'examiner les exigences de la LCAP qui s'appliquent aux communications électroniques envoyées par exemple à partir des téléphones mobiles et des tablettes appartenant aux employés.
3. La complexité de la transition vers la conformité : conséquences pour le suivi
La réussite de la transition d'une organisation vers la conformité nécessite la prise de certaines décisions clés et leur intégration à une politique, mais impose également à celle-ci certaines obligations en matière de suivi. En voici quelques exemples :
- Pour les entreprises s'appuyant sur le consentement tacite applicable aux relations d'affaires en cours – par exemple lorsqu'un destinataire a effectué un achat au cours des deux années précédant la date d'envoi du courriel – ce type de consentement a une durée de validité de deux ans, sauf si la relation d'affaires en cours est renouvelée par le destinataire, par exemple si celui-ci effectue un nouvel achat. Les organisations qui comptent s'appuyer sur cette exemption plutôt que sur le consentement exprès devront disposer d'un système de gestion des relations avec la clientèle, ou de son équivalent, permettant de faire le suivi de ces dates d'expiration et de tout renouvellement pour chacun des destinataires.
- De même, les organisations peuvent choisir de s'appuyer dans une certaine mesure sur la disposition prévoyant le consentement tacite lorsque le destinataire a) a divulgué l'adresse électronique à l'expéditeur, b) sans indiquer qu'il ne souhaitait pas recevoir de messages électroniques commerciaux non sollicités à cette adresse, et que c) le MEC a un lien avec l'entreprise commerciale, le rôle officiel ou les attributions de la personne à qui le message est envoyé. L'exemple le plus évident d'une telle divulgation est celui du destinataire d'une carte professionnelle mais, dans la mesure où l'organisation s'appuie sur cette disposition, il lui faudra mettre en œuvre un système raisonnable lui permettant de noter que cette carte est bel et bien la source de l'adresse électronique en question, de manière à pouvoir ultérieurement en faire la preuve. Compte tenu de cette exigence, il pourrait être judicieux pour les organisations de faire l'acquisition d'un numériseur de cartes professionnelles.
Cette double exigence de suivre et de documenter a) le moment du consentement d'un destinataire et sa durée de validité, et b) la source de chaque adresse électronique, milite fortement en faveur de l'adoption et de la mise en œuvre par les organisations d'une politique qui soit utilisée comme base des processus et des procédures visant à atteindre ces objectifs, en particulier s'il est nécessaire d'acquérir des actifs pour ce faire.
4. Application de la loi et défense fondée sur la diligence raisonnable
Mécanismes d'application de la loi
La LCAP comporte plusieurs dispositions qui définissent son cadre d'application. Il s'agit notamment des mécanismes suivants[6] :
a) un mécanisme par lequel toute personne qui contrevient à l'un ou l'autre des articles 6 à 9 de la LCAP (c'est-à-dire des dispositions concernant les exigences applicables aux MEC et aux programmes installés sans sollicitation), commet une violation exposant son auteur à une sanction administrative pécuniaire dont le montant maximal est de (i) 1 000 000 $ si l'auteur est une personne physique, et de (ii) 10 000 000 $ dans le cas de toute autre personne (« Violations »);
b) l'engagement de la responsabilité personnelle de tout dirigeant, administrateur ou mandataire d'une personne morale qui commet une contravention à l'un ou l'autre des articles 6 à 9 de la LCAP[7], ou qui a un comportement considéré comme étant susceptible d'examen selon le cas, s'il l'a ordonné ou autorisé, ou s'il y a consenti ou participé, que la personne morale fasse ou non l'objet de procédures à cet égard (« Contraventions et comportements susceptibles d'examen »);
c) des infractions pour toute personne qui (i) refuse ou omet de se conformer à une demande de préserver des données de transmission ou à un avis de produire un document, ou de donner toute l'assistance raisonnablement requise pour permettre à une personne désignée d'exécuter le mandat (c'est-à-dire non-conformité), ou (ii) qui entrave l'action d'une personne désignée dans l'exercice de ses fonctions aux termes de la loi, lui fait une déclaration fausse ou trompeuse ou lui fournit des renseignements faux ou trompeurs (c'est-à-dire entrave et fausses déclarations), prévoyant également la responsabilité personnelle de tout dirigeant, administrateur ou mandataire d'une personne morale qui commet une infraction s'il l'a ordonnée ou autorisée, ou qui y a consenti ou participé, que la personne morale fasse ou non l'objet de procédures à cet égard (« Infractions »)[8].
Défenses de diligence raisonnable aux termes de la LCAP
Toutefois, la LCAP prévoit une défense de diligence raisonnable dans chacun des trois contextes susmentionnés :
1) Nul ne peut être trouvé responsable d'une violation s'il prouve qu'il a pris toutes les précautions voulues pour prévenir sa commission[9].
2) Nul ne peut être tenu responsable d'une contravention ou d'un comportement susceptible d'examen s'il prouve qu'il a pris toutes les précautions voulues pour prévenir la contravention ou le comportement, selon le cas[10].
3) Nul ne peut être déclaré coupable d'une infraction pour « non-conformité » s'il prouve qu'il a pris toutes les précautions voulues pour prévenir sa commission[11].
Rôle de la politique d'application de la LCAP dans l'établissement d'une défense fondée sur la diligence raisonnable
Compte tenu du fait que la diligence raisonnable est un moyen de défense pouvant être utilisé pour éviter la responsabilité en matière de violations, de contraventions et de comportements susceptibles d'examen et d'infractions, les organisations doivent comprendre quelles mesures elles peuvent adopter pour pouvoir s'en prévaloir. Comme nous le décrivons ci-après, l'un des principaux éléments de ce moyen de défense est l'existence d'une politique :
- Les conditions devant être satisfaites pour prouver la diligence raisonnable sont les suivantes : l'accusé doit établir selon la prépondérance des probabilités (1) qu'il a cru à un ensemble erroné de faits qui, s'ils avaient été vrais, auraient rendu l'acte ou l'omission innocent ou (2) qu'il a pris toutes les précautions raisonnables pour éviter l'événement en question[12].
- La question de savoir si l'accusé remplit les conditions requises pour prouver la diligence raisonnable dépend des faits propres à chaque espèce, y compris le degré de connaissance attendu de la part du défendeur, l'étendue des préjudices ou des dommages occasionnés, et la nature de l'industrie et de l'activité en cause. Pour évaluer si un accusé a pris toutes les précautions qu'il aurait raisonnablement dû prendre dans les circonstances[13], le tribunal prend en compte plusieurs facteurs, dont le recours par l'accusé à des systèmes préventifs.
- Il est important de documenter les procédures préventives sous une forme plus élaborée que les simples manuels utilisés sur les lieux de travail[14] – allant par exemple jusqu'à celle de la politique formelle. Les tribunaux souhaiteront également savoir si a) la politique et les procédures satisfaisaient ou dépassaient les normes dans l'industrie de la personne morale en question, et si b) la politique réglementaire pertinente était bel et bien comprise par les individus au sein de l'organisation[15]. En ce qui a trait à ce dernier point, les activités préventives incluent les programmes de formation, les audits internes et externes et les évaluations des risques[16].
En résumé, l'établissement et l'adoption (par la formation, etc.) d'une politique de conformité à la LCAP semblent constituer la norme minimale pour prouver la diligence raisonnable. L'organisation qui démontre qu'elle a déployé des efforts continus, réels et exhaustifs pour mettre en œuvre une politique de conformité à la LCAP augmente grandement ses chances de voir le tribunal conclure qu'elle a fait preuve de la diligence raisonnable requise.
5. Responsabilité personnelle pour les membres de l'exécutif et du conseil d'administration
Enfin, une fois la politique d'application de la LCAP mise en œuvre, à quel niveau hiérarchique de l'organisation doit-elle être examinée et approuvée? Comme nous l'expliquons ci-après, deux arguments de poids militent en faveur de l'examen de la politique à l'échelon des dirigeants et à celui des administrateurs.
En premier lieu, compte tenu du fait que, dans certaines circonstances, la LCAP tient personnellement responsables les dirigeants et les administrateurs, et que ces personnes peuvent se prévaloir de la défense de diligence raisonnable comme nous l'avons indiqué plus haut, elles ont à l'évidence tout intérêt à s'assurer que ce moyen de défense est étayé par l'adoption et la mise en œuvre d'une politique de conformité à la LCAP appropriée.
Deuxièmement, dans les publications dans le domaine de la gouvernance des entreprises portant sur la défense de diligence raisonnable, on recommande que la « haute direction » et les « cadres supérieurs » soient mis à contribution pour l'examen des politiques de conformité à la réglementation de l'organisation[17]. À titre d'exemple, le Bureau de la concurrence a également souligné que « la participation et l'appui de la haute direction[18] » étaient l'un des cinq éléments essentiels pour une politique de conformité adéquate, quelles que soient la taille, la complexité et la nature de l'organisation.
Toutefois, si le Bureau de la concurrence ne précise pas quels individus correspondent à la définition de la « haute direction », il souligne cependant que celle-ci devrait demeurer au courant des développements de la politique de conformité et de toute violation de cette dernière, et que toute politique de conformité devrait reposer sur un leadership fort[19]. Le Bureau formule aussi les recommandations suivantes : a) qu'un membre de la haute direction soit nommé agent de conformité, et b) que le modèle de conformité de l'organisation englobe également les volets suivants : politiques et procédures de conformité de l'entreprise, formation et sensibilisation, mécanismes de contrôle, de vérification et de signalement, mesures disciplinaires systématiques et mesures incitatives[20]. On s'alignerait ainsi sur les conclusions de la Court of Chancery du Delaware en 1996 dans l'affaire Re Caremark International Inc. Derivative Litigation[21], qui avait conclu que les administrateurs peuvent être tenus personnellement responsables de l'inconduite de leurs employés s'ils [TRADUCTION] « n'ont pas tenté de bonne foi de doter l'entreprise d'un système d'information et de signalement jugé adéquat par le conseil d'administration[22]. »
En résumé, on peut s'attendre à ce que la preuve de l'approbation d'une politique de conformité à la LCAP par le conseil d'administration et les dirigeants d'une société soit considérée favorablement par les tribunaux ou les autorités réglementaires au moment de déterminer le bien-fondé d'une défense de diligence raisonnable.
Conclusion
La politique de conformité à la LCAP joue un rôle essentiel à plusieurs égards. Elle permet de coordonner efficacement la mise en œuvre de la LCAP à l'échelle de tous les services de l'organisation; de gérer les interactions entre les exigences de la LCAP et d'autres politiques de l'organisation portant par exemple sur la protection des renseignements personnels, les listes d'exclusion et celles de type « Apportez votre appareil mobile »; de suivre le moment du consentement d'un destinataire et sa durée de validité, ainsi que la source de chaque adresse électronique; d'étayer une défense de diligence raisonnable en cas de violation de la loi. De plus, nous recommandons que cette politique soit approuvée au niveau des dirigeants ou des administrateurs, compte tenu notamment du risque que ces personnes soient tenues personnellement responsables.
Enfin, une sixième raison de mettre en œuvre une politique de conformité à la LCAP est que chaque fois que l'organisation élaborera de nouvelles méthodes de communication (que ce soit par les médias sociaux, la messagerie texte ou un autre moyen), il faudra évaluer la conformité de ces initiatives à la LCAP – tout comme les nouvelles initiatives technologiques susceptibles d'avoir une incidence sur les renseignements personnels doivent faire l'objet d'une évaluation à cet égard – et que l'évaluation des incidences à l'égard de la LCAP sera grandement facilitée par l'existence d'une politique de conformité à la LCAP qui officialise l'approche choisie par l'organisation pour se conformer à cette loi.
[1] Les dispositions sur les programmes installés sans sollicitation – y compris les témoins – entrent en vigueur le 15 janvier 2015, et celles sur le droit privé d'action le 1er juillet 2017.
[2] Par opposition, la gamme des messages exclus est très restreinte et comprend les MEC qui a) consistent, en tout ou en partie, en des communications vocales bilatérales qu'ont entre elles, en direct, des personnes physiques, b) sont envoyés par fac-similé à un compte téléphone, c) sont des enregistrements de la parole envoyés à un compte téléphone (ce qui peut exclure les messages vocaux laissés sur un système téléphonique sur Internet), ou d) sont envoyés et reçus sur un « service de messagerie électronique » (expression malheureusement non définie, mais qui pourrait inclure la messagerie instantanée), à la condition que soit présente la forme requise de mécanisme de désabonnement et que le destinataire consente à leur réception (consentement exprès ou tacite).
[3] Soulignons qu'aux termes de la LCAP, les dispositions de la LCAP l'emportent sur les dispositions incompatibles de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. L'ambiguïté est liée aux cas où les deux ensembles d'exigences sont jugés « conflictuels » plutôt que complémentaires.
[4] On ne sait pas exactement si cette exclusion vise uniquement les messages enregistrés qui sont « envoyés » à un compte, ou si elle vise également les messages vocaux enregistrés en direct qui sont « laissés » sur un compte.
[5] Soulignons que la définition du MEC exclut les messages électroniques qui sont envoyés et reçus sur un « service de messagerie électronique » (expression malheureusement non définie, mais qui pourrait inclure la messagerie instantanée), à la condition que soit présente la forme requise de mécanisme de désabonnement et que le destinataire consente à leur réception (consentement exprès ou tacite).
[6] Par exemple, la LCAP prévoit également un recours injonctif et un droit privé d'action (devant entrer en vigueur le 1er juillet 2017) pouvant donner lieu, en cas de succès, à une ordonnance du tribunal exigeant des personnes visées par le recours qu'elles versent au demandeur a) une somme égale au montant de la perte ou des dommages qu'il a subis ou des dépenses qu'il a engagées, b) dans le cas d'une contravention (i) aux dispositions anti-pourriel, une somme maximale de 200 $ à l'égard de chaque contravention, jusqu'à concurrence de 1 000 000 $ par jour pour l'ensemble des contraventions.
[7] Ou à l'article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques qui met en cause une collecte ou une utilisation visée aux paragraphes 7.1(2) ou (3) de cette loi, ou qui a eu un comportement susceptible d'examen visé à l'article 74.011 de la Loi sur la concurrence.
[8] Quiconque commet une infraction est coupable d'une infraction passible, sur déclaration de culpabilité par procédure sommaire, d'une amende maximale a) de 10 000 $ pour une première infraction ou de 25 000 $ en cas de récidive dans le cas d'une personne physique, ou b) de 100 000 $ pour une première infraction ou de 250 000 $ en cas de récidive, dans le cas de toute autre personne.
[9] LCAP, paragraphe 33(1).
[10] LCAP, paragraphe 54(1).
[11] LCAP, paragraphe 46(2).
[12] R. c. Sault Ste-Marie, [1978] 2 R.C.S. 1299, page 1326.
[13] Archibald, Jull, et Roach énumèrent 14 facteurs que le tribunal évalue pour déterminer si l'accusé a pris toutes les précautions qui pouvaient raisonnablement être prises compte tenu des circonstances : T.L. Archibald, K.E. Jull, & K.W. Roach, Regulatory and Corporate Liability: From Due Diligence to Risk Management, 2004, pages 4-7.
[14] R v. Taggart Construction Ltd. [2007] O.J. No. 5328 (QL) (C.J.), ensemble de la décision.
[15] R. v. Placer Dome (CLA) Ltd. 2006 ONCJ 306, paragraphe 78.
[16] Les types de systèmes préventifs requis pour prouver la diligence raisonnable ont également été définis dans l'affaire R. v. Aecon Utilities 2009 ONCJ 706 au par. 39 : politiques en milieu de travail pertinentes mises à jour annuellement, cours de formation structurés dispensés chaque année, audits externes annuels, réunions hebdomadaires portant sur différents sujets visant la promotion de la conformité à la réglementation. La preuve de l'existence de systèmes de gestion des connaissances (méthodes de création, de stockage et d'application des connaissances et de l'information) est également utile pour établir la diligence raisonnable.
[17] À titre d'exemple, Archibald et al. préconisent un programme de conformité de l'entreprise en sept étapes mettant à contribution le « personnel de haut niveau » pour surveiller l'effort de conformité à la réglementation de l'entreprise.
[18] Bureau de la concurrence, Les programmes de conformité d'entreprise, 2010, page 7 (PDF).
[19] Ibid. page 8.
[20] Ibid. page 8.
[21] Caremark International Inc. (1996), 698 A (2d) 959 (Del. Ch. 1996).
[22] The Office of Inspector General of the U.S. Department of Health and Human Services and The American Health Lawyers Association, « A Resource for Health Care Boards of Directors », page 1 (PDF - disponible en anglais seulement).
