Contexte et décision
Le 11 juillet 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a émis deux avis de violation (AV) importants à Datablocks Inc. (Datablocks) et à Sunlight Media Network Inc. (Sunlight) pour avoir enfreint la Loi canadienne anti-pourriel (LCAP) relativement à l'installation de programmes informatiques malveillants par le biais de publicités en ligne.
Le CRTC a émis les AV à ces deux sociétés au motif qu'elles ont enfreint l'article 9 de la LCAP, qui peut étendre la responsabilité de la LCAP à toute personne dont il est établi qu'elle « aide, incite, obtient ou fait obtenir » la violation de divers articles de la LCAP, notamment, comme dans ce cas-ci, l'article 8. L'article 8 de la LCAP interdit essentiellement à quiconque d'installer un logiciel sur un appareil électronique d'une autre personne sans le consentement de cette dernière. Ces AV sont importants, car c'est la première fois dans l'histoire de la loi que le CRTC applique la LCAP contre une personne en vertu de l'article 9 et qu'il invoque une violation de l'article 8.
Dans son enquête, le CRTC a allégué que les deux entreprises, qui sont actives dans l'industrie de la publicité en ligne, savaient que leurs clients installaient des logiciels sur les appareils des utilisateurs d’Internet sans le consentement de ces derniers et qu'ils avaient permis que de telles installations se poursuivent. Datablocks possède un logiciel et une infrastructure réseau d'enchères en temps réel (ETR) qui affiche dans divers sites Web des annonces personnalisées pour les visiteurs de ces sites. Sunlight exploite un réseau de publicité et agit comme courtier mettant en relation les clients qui cherchent à annoncer leurs produits avec des sites Web ou d'autres éditeurs de publicité par l'intermédiaire du réseau ETR de Datablocks. Le CRTC a fait remarquer que Datablocks et Sunlight sont étroitement liées par la propriété des entreprises, l'emplacement de leurs bureaux et le fait que Sunlight est le « principal utilisateur » des services de Datablocks et « paie des tarifs considérablement réduits » pour ceux-ci.
Le CRTC a constaté que les clients des deux organisations nuisaient aux ordinateurs des utilisateurs par le biais d'une pratique appelée « publicité malveillante », car ils utilisaient le réseau ETR pour installer clandestinement divers types de logiciels malveillants sur les ordinateurs des internautes, notamment des logiciels de rançon et des virus cheval de Troie. Les clients étaient en mesure de le faire en utilisant l'infrastructure exclusive de Sunlight et Datablocks pour exploiter une vulnérabilité d’Adobe Flash (qui est couramment utilisé dans la publicité pour afficher différents types de graphiques).
Actes et omissions en violation de la LCAP
La question qui constitue la préoccupation centrale pour les entreprises qui souhaitent se conformer à la LCAP est le fait que Datablocks et Sunlight Media n'ont pas elles-mêmes installé des programmes, mais ont plutôt, selon le CRTC, « aidé » leurs clients à le faire. Le CRTC a pris soin d'insister sur le fait que les AV ont été émis à la suite des actes et omissions des sociétés, notamment :
- Fournir à leurs clients les moyens techniques et l'infrastructure nécessaires pour faire de la publicité malveillante à des utilisateurs ne se doutant de rien
- Dans le cas de Sunlight, promouvoir activement des services qui favorisent les infractions à l'article 8, établir des relations d'affaires avec des clients « publiquement connus » pour des infractions à l'article 8 et autres pratiques non recommandées, et adopter des procédures permettant (et encourageant) l'anonymat (comme permettre aux clients d'utiliser des alias, des signatures suspectes et des méthodes de paiement par cryptomonnaie)
- Ne pas donner suite à un avertissement du Centre canadien de réponse aux cyberincidents (un organisme gouvernemental) selon lequel ses services avaient été utilisés pour diffuser des logiciels malveillants.
Il est à noter que le CRTC n'a nommé aucun des clients qui, selon lui, sont « publiquement connus » pour avoir enfreint l'article 8.
Par conséquent, le CRTC a imposé des sanctions administratives pécuniaires (SAP) de 100 000 $ à Datablocks et de 150 000 $ à Sunlight, pour des actes et omissions qui se sont produits sur une période d'un peu moins de quatre mois en 2016. D'après le communiqué du CRTC, il semble que celui-ci considérait que Sunlight était plus coupable des installations, puisqu'elle était plus directement responsable de solliciter les clients et d'autoriser ces installations, dont elle connaissait pourtant la nature. Toutefois, le CRTC a également allégué que Datablocks a acquiescé aux installations, déclarant que tant Datablocks que Sunlight « étaient les mieux placées pour empêcher que les actes interdits ne se produisent ».
Leçons tirées
Le CRTC a précisé que Datablocks et Sunlight auraient pu empêcher les installations, en prétendant qu'elles n'avaient pas mis en place « les mesures de protection fondamentales de base, bien connues de l'industrie ». Il a énuméré quelques-unes de ces mesures de protection, comme :
- Avoir avec les clients des contrats écrits qui contiennent des dispositions exigeant la conformité à la LCAP
- Instaurer des mesures pour surveiller la façon dont les clients utilisent ces types de services
- Établir des politiques ou procédures internes de conformité de l'entreprise pour assurer la conformité à la LCAP
Toutefois, le CRTC n'a pas fourni de détails sur la portée de la mise en œuvre de ces mesures de protection. Le CRTC a également laissé entendre que cette liste n'est pas exhaustive, ce qui soulève des questions et laisse aux organisations une certaine souplesse quant aux autres mesures qui pourraient être appropriées dans un contexte donné.
L'émission des AV contre Datablocks et Sunlight vient encore renforcer le fait que le CRTC est prêt à appliquer toutes les dispositions de la LCAP, et pas seulement les dispositions sur la messagerie, contre un large éventail d'organisations, y compris les petites et moyennes entreprises.
