La loi canadienne anti-pourriel entre en vigueur bientôt – Êtes-vous prêt?

The English version of this article is available here.

Le ministre de l’Industrie, James Moore, a annoncé récemment que la majorité des dispositions législatives canadiennes attendues depuis longtemps contre les pourriels et les maliciels (la « Loi anti-pourriel ») entreront en vigueur le 1er juillet 2014. Dans le cadre de cette annonce, Industrie Canada a également publié une version définitive révisée en profondeur de son important règlement relatif à la Loi anti-pourriel.

La Loi anti-pourriel est largement reconnue comme la loi en matière de messages électroniques commerciaux la plus sévère dans le monde, et son entrée en vigueur aura des conséquences significatives pour les entreprises, les organismes sans but lucratif et les personnes physiques du Canada qui utilisent des moyens électroniques pour communiquer. Les contrevenants à la Loi anti-pourriel sont passibles d’amendes pouvant aller jusqu’à 1 million de dollars pour les personnes physiques et jusqu’à 10 millions de dollars pour les organisations. La Loi anti-pourriel prévoit également un droit privé d’action qui sera ouvert à compter du 1er juillet 2017 et qui, en cas de violation, pourrait donner lieu à des recours pouvant atteindre un million de dollars par jour.

La plupart des dispositions de la loi et des dispositions concernant la messagerie entreront en vigueur le 1er juillet 2014. Les dispositions relatives à l’installation de programmes informatiques entreront en vigueur le 15 janvier 2015, et le droit privé d’action prévu par la Loi anti-pourriel sera ouvert à compter du 1er juillet 2017.

 

La Loi anti-pourriel en bref

Aux termes de la Loi anti-pourriel, l’expéditeur doit obtenir le consentement exprès ou tacite (dans chaque cas au sens de la Loi anti-pourriel exclusivement) du destinataire avant de lui envoyer un message électronique (p. ex. un courriel, un message texte ou un message instantané). La Loi anti-pourriel prévoit également des exigences quant à la forme et au contenu que doivent respecter les messages, y compris les demandes de consentement. Deux réglementations, soit celle du CRTC (finalisée en mars 2012) et celle d’Industrie Canada (dont il est question ci-dessus et dont un résumé est présenté ci‑dessous) donnent des précisions sur l’application de la législation. Le règlement du CRTC énonce les exigences quant à la forme et au contenu que doivent respecter les messages et les demandes de consentement, tandis que le règlement d’Industrie Canada prévoit des dispenses de l’application de la loi.

Les principales interdictions prévues dans la Loi anti-pourriel dont les organisations et les personnes physiques doivent se soucier sont les suivantes :

  1. La Loi anti-pourriel interdit d’envoyer des messages électroniques commerciaux, sauf si le destinataire a consenti expressément ou tacitement à le recevoir ou si le message fait partie de l’un des ensembles fermés de catégories définis dans la loi et aux termes desquels le consentement est tacite. En outre, les messages et les demandes de consentement en vue de la transmission d’un message doivent respecter les exigences réglementaires quant à la forme et au contenu et comporter un mécanisme d’exclusion conforme.
  2. La Loi anti-pourriel modifie la Loi sur la concurrence afin d’interdire les déclarations fausses ou trompeuses dans la description de l’expéditeur, dans l’objet ou le corps d’un message ou dans une adresse URL ou un autre identifiant sur une page Web. (NOTE : Les expéditeurs devront notamment veiller à ne pas formuler d’affirmations prétentieuses dans l’objet de leurs messages afin d’attirer l’attention des lecteurs.)
  3. La Loi anti-pourriel modifie la législation canadienne en matière de protection des renseignements personnels afin d’interdire l’utilisation de programmes informatiques de « collecte d’adresses ». Ces programmes sont conçus pour générer ou rechercher des adresses de courrier électronique et d’autres adresses électroniques sur Internet et pour créer des listes d’envoi. L’interdiction précitée s’applique à l’utilisation des programmes de collecte d’adresses et des adresses électroniques obtenues au moyen de ces programmes.
  4. Afin de lutter contre les logiciels espions, maliciels et autres logiciels malveillants, la Loi anti-pourriel interdit d’installer des programmes informatiques sans le consentement de l’utilisateur ou du propriétaire de l’ordinateur, sous réserve de certaines exemptions énoncées dans cette loi et dans le règlement d’Industrie Canada. (NOTE : Ces dispositions entreront en vigueur le 15 janvier 2015.)

Nouveautés dans le règlement d’Industrie Canada

Le règlement définitif d’Industrie Canada contient une grande partie des dispositions qui étaient énoncées dans le projet de règlement publié en janvier 2013, dont on trouvera un résumé en cliquant sur ce lien, mais il comporte également certains changements rédactionnels à propos et certaines nouvelles exemptions utiles. Malgré ces petits changements, les organisations doivent être conscientes des nombreux autres aspects fondamentaux de la Loi anti-pourriel (voir ci-dessous la rubrique « Questions non traitées dans le règlement »).

Exemptions :

Messages d’une entreprise à une autre entreprise

Le règlement définitif prévoit une exemption pour les messages envoyés par l’employé, le représentant, le consultant ou le franchisé d’une organisation à un autre employé, représentant, consultant ou franchisé au sein de la même organisation, si le message concerne les activités de l’organisation.

Il prévoit également une exemption pour les messages envoyés par l’employé, le représentant, le franchisé ou l’entrepreneur d’une organisation à un employé, à un représentant, à un franchisé ou à un entrepreneur d’une autre organisation si leurs organisations respectives « entretiennent des rapports » au moment de l’envoi du message et que le message concerne les activités de l’organisation à qui le message est envoyé.

Messages en réponse à une demande

Le règlement définitif prévoit une exemption pour les messages qui sont envoyés en réponse à une demande de renseignements ou par suite d’une plainte ou qui sont sollicités de quelque façon que ce soit par la personne à qui le message est envoyé. Cette exemption règle un problème imprévu posé par le paragraphe 6(5) de la Loi, aux termes duquel il aurait été illégal d’envoyer un message en réponse à une demande de renseignements d’un consommateur sans avoir obtenu le consentement de celui-ci.

Messages envoyés pour faire valoir un droit légal

Le règlement définitif prévoit des exemptions pour les messages envoyés pour satisfaire à une obligation juridique (ce qui comprend notamment l’envoi d’information sur les garanties ou les rappels de produits ou l’envoi de relevés de compte électroniques) ou pour faire valoir un droit légal existant ou à venir. Il peut notamment s’agir de messages concernant le recouvrement de sommes, l’octroi de licences, l’exécution d’obligations contractuelles ou d’une ordonnance d’un tribunal ou l’application de droits légaux étrangers.

Messages envoyés et reçus par l’intermédiaire d’un service de messagerie électronique

En réponse à des préoccupations soulevées par des intervenants, le règlement définitif prévoit désormais une exemption pour les messages envoyés et reçus par l’intermédiaire d’un service de messagerie électronique si les renseignements et le mécanisme d’exclusion requis par la loi sont publiés de façon à être visibles et facilement accessibles sur l’interface utilisateur au moyen de laquelle le message sera récupéré et que la personne à qui le message est envoyé a consenti expressément « ou tacitement » à le recevoir.

Messages envoyés à un compte sécuritaire et confidentiel à accès restreint

En réponse à des préoccupations soulevées par des intervenants, le règlement définitif prévoit une nouvelle exemption pour les messages envoyés « à un compte sécuritaire et confidentiel à accès restreint, auquel les messages ne peuvent être envoyés que par la personne qui a fourni le compte ». Par exemple, cette exemption permettra aux banques de continuer à envoyer des messages aux utilisateurs de services bancaires en ligne par l’intermédiaire de comptes établis par celles-ci qui sont accessibles au moyen de ces services.

Messages pour lesquels on a des « motifs raisonnables de croire » qu’ils seront récupérés dans un État étranger

Le règlement définitif modifie les dispositions du projet de règlement antérieur concernant les exemptions extraterritoriales et prévoit désormais une exemption pour les messages pour lesquels la personne qui les envoie a des motifs raisonnables de croire qu’ils seront récupérés dans un État étranger expressément mentionné dans une annexe au règlement et qui sont conformes à la législation de l’État en question qui régit les comportements similaires à ceux interdits par la Loi anti-pourriel.

Messages envoyés par des organismes de bienfaisance enregistrés, des partis politiques, des organisations et des candidats

Le règlement définitif prévoit une exemption pour les messages dont le principal objet est de lever des fonds pour des organismes de bienfaisance enregistrés, des partis politiques, des organisations et des candidats. Ces exemptions s’appliquent uniquement aux organismes de bienfaisance enregistrés visés au paragraphe 248(1) de la Loi de l’impôt sur le revenu et aux partis politiques, toutes les autres organisations sans but lucratif étant assujetties aux exigences strictes prévues dans la Loi anti-pourriel.

Recommandations de tiers

Le règlement définitif conserve l’exemption applicable à un message unique envoyé par suite d’une recommandation d’une personne ayant, avec l’expéditeur du message et avec son destinataire, des liens familiaux ou personnels, des relations d’affaires ou des relations privées. L’expéditeur doit indiquer dans son message le nom usuel ou complet de la personne ayant fait la recommandation ainsi que les relations de celle-ci avec le destinataire, et, en fournissant ces renseignements, il peut alors demander le consentement du destinataire pour l’envoi de messages ultérieurs.

Exemptions pour les télécommunicateurs

Le règlement définitif autorise le télécommunicateur à installer des programmes informatiques sans le consentement de l’utilisateur (i) pour protéger la sécurité de la totalité ou d’une partie de son réseau d’une menace actuelle et identifiable à l’accessibilité, à la fiabilité, à l’efficacité ou à l’utilisation optimale du réseau; (ii) pour mettre à jour ou à niveau son réseau; et/ou (iii) uniquement pour corriger une défaillance dans le fonctionnement d’un ordinateur ou de l’un de ses programmes.

Clarification de la définition de « liens familiaux ou personnels » :

Les messages qu’une personne envoie à une autre personne avec qui elle a des « liens familiaux ou personnels » sont exemptés des dispositions de la Loi anti-pourriel. Le règlement définitif prévoit de nouvelles définitions des liens personnels et des liens familiaux.

Liens personnels : Le règlement définitif a conservé en grande partie la définition de « liens personnels » publiée pour la première fois dans le projet de règlement de janvier 2013. Les liens personnels comprennent les rencontres en personne ainsi que les relations virtuelles entre les personnes qui ont des communications volontaires, directes et bidirectionnelles, et celles-ci doivent permettre de raisonnablement conclure que la relation est personnelle, en tenant compte des facteurs pertinents. Ces facteurs sont notamment le partage d’intérêts, d’expériences, d’opinions et de renseignements, la fréquence des communications, le temps écoulé depuis la dernière communication entre les parties et le fait que les parties se sont rencontrées ou non en personne. Le destinataire du message peut toutefois demander de ne plus recevoir de tels messages.

Liens familiaux : La définition de « liens familiaux » a été abrégée et s’entend de liens entre personnes unies par des liens de mariage, d’union de fait ou de filiation.

Validité du consentement à recevoir des messages de tiers inconnus

Le règlement définitif conserve en grande partie les dispositions strictes concernant le consentement de tiers et le partage de consentement qui figuraient dans le projet de règlement de janvier 2013, sur lequel vous pouvez obtenir d’autres renseignements en consultant un blogue antérieur accessible via ce lien. Ces dispositions imposent un lourd fardeau à ceux qui compilent, vendent et achètent des listes, notamment aux fins de marketing.

Terminologie dans le contexte de relations privées :

La Loi anti-pourriel prévoit qu’une « relation privée en cours » inclut l’adhésion à un club, à une association ou à un organisme bénévole au sens du règlement. Aux termes du projet de règlement, l’« adhésion » est le fait d’être accepté comme membre conformément aux exigences d’adhésion.

Pour l’application de la Loi anti-pourriel, le règlement définitif prévoit qu’un « club », une « association » ou un « organisme bénévole » est une organisation sans but lucratif qui est exploitée exclusivement pour l’exercice d’activités non lucratives, notamment des activités liées au bien-être social, aux améliorations locales et aux loisirs ou divertissements, et dont aucune partie du revenu n’est versé à un propriétaire, à un membre ou à un actionnaire, ou ne peut par ailleurs servir au profit personnel de ceux-ci (sauf s’il s’agit d’une organisation dont le but premier est de promouvoir le sport amateur au Canada).

Questions non traitées dans le règlement

Le règlement définitif n’aborde qu’une partie des nombreuses préoccupations soulevées par les intervenants. Parmi les préoccupations importantes n’ayant pas été abordées, mentionnons les suivantes :

1)    Les consentements obtenus conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ne seront pas valides pour l’application de la Loi anti-pourriel une fois que cette dernière sera entrée en vigueur. Ainsi, dans certains cas, des entreprises qui ont respecté la LPRPDE pour l’obtention du consentement de personnes pour la collecte ou l’utilisation de leurs adresses électroniques pourraient ne plus pouvoir envoyer des messages à ces personnes si elles ne se conforment pas également à la Loi anti-pourriel.

2)    Le règlement définitif ne règle pas les problèmes que pose la Loi anti-pourriel en ce qui a trait à la neutralité technologique. La Loi anti-pourriel a une incidence disproportionnée sur la capacité d’envoyer des messages sur des médias autres que le courrier électronique. De nombreux intervenants ont soulevé des préoccupations importantes à cet égard au cours des périodes de consultation antérieures et ont notamment indiqué qu’il était à peu près impossible de rendre les messages textes et les autres messages envoyés par l’intermédiaire des réseaux sociaux conformes aux exigences quant à la forme et au contenu.

Prochaines étapes et conformité

À la suite de l’annonce d’hier, les organisations et les personnes disposent d’un délai de seulement six mois pour s’assurer que leurs méthodes et pratiques respectent la loi. Selon l’ampleur de vos activités de messagerie électronique, vous pourriez devoir apporter des changements importants à vos capacités en TI et à vos pratiques de communication et de marketing pour vous conformer entièrement à la loi. De tels changements peuvent se révéler coûteux (voire atteindre plusieurs millions de dollars pour certaines organisations) et prendront du temps à mettre en œuvre.

L’équipe nationale de McCarthy Tétrault S.E.N.C.R.L., s.r.l. a conçu une Boîte à outils anti-pourriel gratuite et pratique pour aider les organisations de toutes les tailles à entamer leur processus de conformité. N’hésitez pas à communiquer avec les avocats indiqués ci-dessous pour obtenir un exemplaire de la Boîte à outils ou pour leur poser des questions sur la conformité.

Personne-ressource à Vancouver :

David Crane

Personne-ressource à Calgary :

Roland Hung

Personnes-ressources à Toronto :

Barry B. Sookman

ou

Puneet Soni

Personne-ressource à Montréal :

Charles S. Morgan

anti-spam Canadian anti-spam law CASL Industry Canada malware regulations

Authors

Subscribe

Stay Connected

Get the latest posts from this blog

Please enter a valid email address