Il y a près d'un an, le 4 décembre 2013, était finalement annoncée l'entrée en vigueur par étapes de la « loi canadienne anti-pourriel » (dont le nom officiel est Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, mais qui est plus souvent désignée par l'acronyme « LCAP ») selon le calendrier suivant : le 1er juillet 2014 pour les dispositions anti-pourriel[1], le 15 janvier 2015 pour celles visant l'installation non sollicitée de programmes d'ordinateur, y compris les témoins de connexion, et le 1er juillet 2017 en ce qui concerne le droit privé d'action.
L'annonce de l'entrée en vigueur de cette loi a entraîné une vague de mesures de mise en conformité, les organisations mettant tout en œuvre pour bien comprendre la LCAP et l'appliquer. Toutefois, ces efforts de compréhension et de mise en application ont été freinés par le texte même de la Loi, qui est truffé d'ambiguïtés. Ce problème a été encore aggravé par les séances d'information offertes par le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC »), l'autorité réglementaire principale aux termes de la LCAP, dont les directives étaient non seulement insuffisantes, mais aussi parfois apparemment incompatibles avec le libellé de la Loi. Face à ces incertitudes, les organisations cherchant de bonne foi à se conformer aux nouvelles dispositions attendaient impatiemment les premières décisions des autorités réglementaires, dans l'espoir que les détails de ces décisions les aident à clarifier leurs obligations en matière de conformité.
Malheureusement, ces espoirs seront probablement déçus si le premier rapport du CRTC au sujet d'une enquête et d'une mesure d'application de la LCAP est un indice du niveau du contenu que les observateurs de la Loi devraient s'attendre à voir à l'avenir.
A. Premier rapport du CRTC sur la conclusion d'une enquête et d'une mesure d'application de la LCAP
Depuis l'entrée en vigueur des dispositions anti-pourriel, plus de 140 000 plaintes[2] aux termes de la LCAP ont été déposées. Toutefois, malgré ce volume, ce n'est que dans un communiqué de presse daté du 7 octobre 2014 (le « Communiqué ») que le CRTC a rendu publiques, de manière plutôt ostentatoire, les conclusions de sa première intervention en matière d'enquête et d'application.
Malheureusement, le Communiqué est si avare de détails qu'il n'est pas nécessaire de le résumer. On y explique qu'en juillet 2014, le Centre de notification des pourriels, qui est utilisé à la fois par le CRTC, le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada pour faire appliquer la LCAP, a été avisé que des pourriels étaient acheminés par l'intermédiaire d'Access Communications, un fournisseur de services Internet (FSI). Durant son enquête, le CRTC a découvert que les pourriels provenaient en fait du serveur d'une petite entreprise dont le FSI était Access Communications. Ce serveur avait été infecté par un logiciel malveillant qui l'avait associé au réseau d'ordinateurs zombies « Ebury » et lui avait ainsi fait envoyer des millions de pourriels malveillants, à l'insu de l'entreprise et d'Access Communications. Après avoir été informées de la situation par le CRTC, la petite entreprise et Access Communications ont rapidement supprimé le logiciel malveillant. En résumé : une petite entreprise de la Saskatchewan a été infectée par un virus.
B. Quels enseignements en tirer?
Ce Communiqué présente certaines caractéristiques troublantes, que nous présentons ci-après.
1. Exercice de relations publiques
Le rapport en question n'est pas un « rapport » à proprement parler, mais plutôt un communiqué de presse. En partie à cause de cela, le Communiqué se lit davantage comme une dépêche en provenance de la ligne de front que comme un rapport utile sur une enquête au sujet de la LCAP. Voyons par exemple le résumé de l'incident par le CRTC dans la section « Les faits en bref » :
- Le CRTC, une petite entreprise de la Saskatchewan et Access Communications ont travaillé en collaboration pour empêcher l'envoi de millions de pourriels à des Canadiens, réduisant du coup le préjudice qu'ils auraient pu causer.
- Le CRTC travaille de concert avec ses partenaires, tant au pays qu'à l'étranger, pour protéger les Canadiens contre les menaces en ligne et contribuer à rendre le cyberespace plus sûr.
- La loi anti-pourriel du Canada protège les Canadiens tout en garantissant que les entreprises peuvent continuer de concurrencer sur le marché mondial.
- Compte tenu des circonstances, le CRTC a sollicité la collaboration des deux entités pour mettre un terme au problème sur-le-champ et ainsi protéger les Canadiens.
En bref, dans un résumé de quatre paragraphes, le Communiqué mentionne expressément à trois reprises « protéger les Canadiens ». On retrouve des éléments de langage similaires dans le corps du texte du Communiqué :
- Lorsque le CRTC a avisé la petite entreprise et Access Communications de la situation, ils ont collaboré entièrement et supprimé toutes les traces du maliciel.
- Vu qu'ils ont collaboré et réagi rapidement pour traiter le problème signalé au Centre de notification des pourriels, le CRTC, la petite entreprise de la Saskatchewan et Access Communications ont pu empêcher l'envoi de millions de pourriels supplémentaires et non sollicités, réduisant du coup le préjudice qu'ils auraient pu causer aux Canadiens.
Et tout ce drame pour quel résultat?
- D'après SpamRankings.net, les systèmes autonomes (AS21804) pour Access Communications, lesquels incluent la petite entreprise en cause, trônaient en tête de liste au chapitre du pollupostage au Canada en juin et juillet 2014, atteignant un sommet d'environ 24 millions de courriels envoyés en juin et près de 73 millions en juillet. Une fois avertis par le CRTC et après que la petite entreprise et Access Communications aient pris les mesures pour corriger la situation, ces systèmes autonomes sont passés à la 36e place sur la liste de SpamRankings.net. De plus, le Centre de notification des pourriels a cessé de se faire signaler du pollupostage concernant ces entités.
Donc, en résumé, un système est passé de la première à la 36e position en matière de pollupostage, et le Centre de notification des pourriels a cessé de recevoir ces signalements après la suppression du logiciel malicieux.
2. Absence de détails utiles pour les autres organisations désireuses de se conformer à la loi
En publiant son premier rapport sur les conclusions de son enquête et de ses activités d'application de la loi aux termes de la LCAP sous la forme d'un communiqué bref et quelque peu complaisant, le CRTC a manqué une belle occasion d'expliquer en détail de quelle manière la LCAP sera appliquée en pratique, occasion dont il était facile de profiter puisque le nom de l'entreprise de la Saskatchewan visée n'était pas divulgué. Par conséquent, les questions qui suivent demeurent sans réponse :
- L'organisation avait-elle mis en œuvre des politiques de conformité à la LCAP? Le CRTC a insisté sur l'importance de mettre en œuvre des programmes de conformité à la LCAP[3], mais n'a fait aucun commentaire quant au niveau de conformité de l'entreprise dont il est question. Que signifie cette omission? Que le CRTC ne s'intéressera pas aux programmes de conformité d'une organisation si l'origine du problème est externe? Que le niveau de conformité exigé est moindre pour une petite entreprise que pour une organisation de plus grande importance? Ou bien que le CRTC se préoccupe moins des programmes de conformité à la LCAP qu'il ne l'avait laissé entendre? Assurément, de nombreuses petites entreprises qui se démènent pour se conformer aux exigences de la LCAP auraient été enchantées d'avoir des renseignements plus détaillés sur les attentes du CRTC au sujet de l'application de la LCAP par les organisations de petite taille.
- L'organisation doit-elle avoir mis en œuvre un certain niveau de mesures anti-virus standard dans l'industrie pour que le CRTC conclue à une absence de faute de sa part (ou, à tout le moins, pour qu'il exerce son pouvoir discrétionnaire de ne pas imposer d'amende à l'organisation et de ne pas divulguer son nom)? Ces mesures standard varient-elles implicitement en fonction de la nature et de la taille de l'entreprise? Par ailleurs, sachant que la LCAP prévoit une défense de diligence raisonnable, l'existence ou l'omission de telles mesures de protection standard de l'industrie contre les logiciels malveillants par une organisation contribue-t-elle à la disponibilité ou à l'indisponibilité de cette défense?
- Une entreprise dont les serveurs ont été infectés à son insu par un logiciel malveillant et « détournés » pour envoyer des pourriels peut-elle être réellement considérée comme un « expéditeur » de ces messages au sens de la LCAP? De même, quelle est la part de responsabilité d'Access Communications, en tant que FSI de l'entreprise, à l'égard des pourriels? A-t-elle une part de responsabilité? On peut présumer qu'Access Communications était mieux placée pour assurer une protection contre le logiciel malveillant; pour cette raison, devrait-elle avoir une quelconque responsabilité?
Dans un webinaire récent, le CRTC affirmait ne pas avoir l'intention de rendre publiques ses ordonnances de conformité. Le problème est que, faute de publier les ordonnances de conformité, ou une quelconque forme de rapport plus détaillé, sans divulguer de nom, les organisations ne pourront s'appuyer sur aucun corpus de précédents pour les guider. Cette approche contraste avec celle choisie aux termes de la législation canadienne sur la protection des renseignements personnels, où les conclusions du commissaire à la protection de la vie privée sont généralement rendues publiques et, par conséquent, constituent une ressource précieuse pour les organisations désireuses de mieux comprendre la méthodologie suivie par l'organisme de réglementation pour appliquer les dispositions pertinentes.
3. Décision déconnectée des objectifs en matière de politique
S'il est vrai que le fait que le CRTC ait informé l'entreprise visée par l'enquête du problème de logiciel malveillant a eu pour effet net de faire chuter le nombre de pourriels, il s'agit cependant d'un choix étonnant pour le premier compte rendu d'une enquête aux termes de la LCAP. Il est peu probable qu'en identifiant un virus, le CRTC ait remporté une formidable victoire politique méritant d'être criée sur tous les toits. Qu'en est-il des poursuites intentées contre les expéditeurs étrangers des pourriels? Qu'en est-il des vrais malfaiteurs qui justifient les dépenses engagées par les organisations pour se conformer à la LCAP?
Conclusion
S'il est facile d'être cynique à l'égard de l'autosatisfaction qui se dégage du Communiqué, le problème le plus grave est cependant l'absence dans ce document de tout contenu susceptible d'aider les organisations à mieux comprendre le point de vue du CRTC quant à leurs obligations aux termes de la LCAP. Si le CRTC est en droit de saisir l'occasion de publiciser ses efforts pour faire appliquer la Loi, il lui incombe cependant de fournir de plus amples détails au sujet des résultats et de l'analyse de chaque enquête ou autre mesure d'application de la LCAP, afin de permettre aux organisations de tirer des enseignements de l'expérience des autres. En résumé, le niveau de détail concernant l'enquête et la mesure d'application de la loi en cause est, dans le meilleur des cas, décevant. Les organisations qui ont consacré tant de ressources et de temps au respect de la LCAP méritent mieux.
Toutefois, le CRTC conclut son communiqué en indiquant que « quelques enquêtes sont déjà en cours ». Nous attendons donc impatiemment le prochain épisode de cette série dramatique… restez à l'écoute!
[1] Ou, tels que définis dans la LCAP, les « messages électroniques commerciaux ».
[2] Selon les chiffres du CRTC.
[3] Se reporter au Bulletin d'information de Conformité et Enquêtes CRTC 2014-326 (Lignes directrices visant à aider les entreprises à élaborer des programmes de conformité, 19 juin 2014).
