Le 5 novembre 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a publié le Bulletin d'information de Conformité et Enquêtes CRTC 2018-415, lequel comporte des lignes directrices sur l'approche générale du CRTC relativement à l'article 9 de la Loi canadienne anti-pourriel (LCAP).
L'article 9 de la LCAP prévoit qu'il est « interdit de faire accomplir, même indirectement, tout acte contraire à l'un des articles 6 à 8, ou d'aider ou d'encourager quiconque à accomplir un tel acte ». Il est également interdit d'envoyer des messages électroniques commerciaux sans en avoir obtenu le consentement exprès ou tacite (article 6), d'altérer les données de transmission de messages électronique dans le cadre d'activités commerciales sans en avoir obtenu le consentement exprès (article 7) et d'installer un programme informatique sur l'ordinateur d'une autre personne dans le cours des activités commerciales sans en avoir obtenu le consentement exprès (article 8).
Le présent bulletin intéressera particulièrement les organisations évoluant dans des secteurs numériques divers, lesquels incluent selon le CRTC les courtiers en publicité, les commerçants en ligne, les concepteurs et distributeurs de logiciels et d'applications, les fournisseurs de services de télécommunication et de services Internet, les opérateurs de systèmes de traitement des paiements, qui sont tous des exemples d'intermédiaires qui, de par la nature de leurs activités, risquent de contrevenir à l'article 9 de la LCAP.
Ce risque est devenu une réalité plus tôt cette année lorsque le CRTC a émis ses tout premiers procès-verbaux de violation (PVV) en vertu de l'article 9 à deux entreprises de publicité en ligne (voir « Principales mesures d'application des dispositions relatives à l'installation de logiciels et à l'étendue de la responsabilité en vertu de la LCAP »). Dans ces PVV, le CRTC soutenait que les entreprises contrevenaient à l'article 9 en ayant permis à leurs clients d'utiliser leurs plateformes en ligne pour installer des programmes informatiques sur les ordinateurs d'individus sans avoir obtenu leur consentement (ce qui contrevient à l'article 8 de la LCAP). Bien que les PVV contenaient certaines directives sur la façon d'éviter de contrevenir à l'article 9, le CRTC a affirmé avoir émis ces PVV en raison des « actes et omissions » de ces entreprises. Cela a suscité de l'inquiétude de la part d'organisations souhaitant demeurer conformes à la LCAP, en particulier quant à la portée des omissions qui constituent une violation.
Les principaux facteurs d'évaluation de violations de l'article 9
Alors que les PVV ne contenaient aucun commentaire sur la façon dont le CRTC avait établi qu'il y avait eu violation de l'article 9, ce nouveau bulletin vient préciser davantage ce processus en indiquant les trois facteurs principaux qui sont pris en compte pour déterminer s'il y a eu violation de l'article 9 :
• le niveau de contrôle qu'un particulier ou une organisation a sur l'activité qui contrevient aux articles 6 à 8 de la LCAP, et la mesure dans laquelle le particulier ou l'organisation est en mesure de prévenir ou arrêter cette activité;
• l'importance du lien qui existe entre les mesures pouvant constituer une contravention à l'article 9 et celles qui contreviennent aux articles 6 à 8; et
• les mesures raisonnables qui ont été prises, y compris les mesures préventives et de protection visant à prévenir que des violations aux articles 6 à 8 ne soient commises ou à arrêter ces violations.
Cependant, le CRTC a du même coup ajouté que cette détermination ne peut être faite qu'en examinant une « variété » de facteurs, et non uniquement les trois facteurs mentionnés ci-dessus, ce qui a engendré davantage d'incertitude à cet égard.
Autres facteurs
Bien que le CRTC ait mis l'accent sur l'importance de ces trois facteurs dans le cadre de son évaluation des violations de l'article 9, il a également donné des exemples de violations potentielles de l'article 9, sans toutefois préciser la façon dont ces facteurs (ou tout autre facteur) entrent en ligne de compte.
Un exemple particulièrement préoccupant est celui d'un particulier qui visite un magasin d'applications en ligne (App store) et télécharge un jeu vidéo, lequel est fourni avec une barre d'outils personnalisée s'insérant dans le navigateur. Dans cet exemple, les fonctions de la barre d'outils, notamment l'imposition de publicités aux utilisateurs, ne sont pas toutes décrites lors du processus d'installation, et le consentement approprié à l'utilisation de la barre d'outils n'a ainsi pas été obtenu. Selon le CRTC, le développeur du jeu vidéo pourrait donc être tenu responsable d'une contravention à l'article 8 et le magasin d'applications pourrait être tenu responsable d'avoir enfreint l'article 9 pour avoir « aidé » à enfreindre l'article 8. Le seul autre commentaire du CRTC à cet égard est le suivant : « [m]ême si le fait d'être au courant des violations peut être un facteur lors de l'évaluation des contraventions à l'article 9 de la LCAP, il n'est pas nécessaire pour que le particulier ou l'organisation soit jugé responsable. »
Cela mène donc au principe selon lequel tant les actes que les omissions peuvent constituer une violation de l'article 9. Cette notion a soulevé des inquiétudes quant à la portée considérable de l'article 9 et peut être particulièrement troublante pour les entreprises qui n'ont pas un contrôle absolu sur les actes de leurs clients.
Suggestions pour assurer la conformité
Pour ce qui est des programmes de conformité, le CRTC rappelle qu'en vertu de l'article 33 de la LCAP, un particulier ou une organisation ne peut toutefois être tenu responsable si le particulier ou l'organisation prouve que toutes les précautions voulues ont été prises afin de prévenir la commission de la violation. Le CRTC a ensuite dressé une liste de stratégies liées à des actions pouvant constituer des « mesures préventives », notamment :
• L'intégration d'évaluations régulières des menaces et des risques dans les programmes de conformité ou de sécurité des technologies de l'information;
• La validation de l'identité des clients au moyen de renseignements clés (y compris les noms et adresses d'entreprises, les pseudonymes actuels ou passés, le nombre d'années d'existence ainsi que les principaux administrateurs d'entreprise ou autres parties intéressées concernées) et l'obtention de documentation supplémentaire (comme les actes de constitution en société, les documents d'identité émis par le gouvernement, ou les dossiers d'impôt);
• La prise en considération des divergences sur le plan géographique (par exemple, les clients dont les activités commerciales sont menées dans une région, mais qui ont des activités financières dans une région sans lien avec la première);
• Le fait d'éviter de faire affaire avec des entités recherchant l'anonymat complet au moyen de pseudonymes, de boîtes postales comme adresses postales, ou de paiements en cryptomonnaie;
• La vérification de la réputation de clients potentiels et de leurs produits ou services, notamment de toute activité malveillante ou tout problème de conformité juridique dont ils seraient responsables;
• L'examen de la façon dont les clients existants font usage des différents services, ainsi que la détection et le signalement de toute violation possible aux autorités compétentes;
• L'établissement d'ententes écrites obligeant les clients et les clients de ces derniers à se conformer à la LCAP;
• Le fait d'assurer une surveillance régulière afin de détecter toute menace et en avertir les parties intéressées;
• Le fait de venir en aide aux utilisateurs dont les appareils et les comptes ont été compromis;
• Le fait de documenter les mesures prises dans le but de prévenir toute violation de la LCAP.
Enfin, outre les suggestions mentionnées ci-dessus, le CRTC affirme que les organisations actives dans le domaine du commerce électronique « se doivent de se renseigner auprès d'experts juridiques et autres pour s'assurer de pleinement comprendre leurs droits, obligations, risques et responsabilités en vertu de la LCAP. »
