Règlement canadien anti-pourriels publié pour une période de 30 jours de consultation

The English version of this article is available here.

Le projet du règlement afférent à la Loi canadienne anti-pourriels (LCAP) a été publié le 5 janvier 2013 dernier dans la Gazette du Canada pour une période de consultation d’une durée de 30 jours.

Ce projet tant attendu représente l’étape législative finale d’un des régimes les plus contraignants au monde en matière de règlementation anti-pourriels (« anti-spam ») et de menaces en ligne connexes, tel que les programmes malveillants (« malware »). Ce règlement apporte des clarifications en ce qu’il définit certains termes importants inclus dans la LCAP.

Il comporte également de nouvelles exemptions relatives à des situations qui ne sont pas visées par la portée ou le but de la LCAP. Selon Industrie Canada, l’objectif de la LCAP est d’encourager la croissance du commerce électronique en s’assurant de préserver la confiance du public sur le marché en ligne, et ce, en prohibant les pourriels préjudiciables et trompeurs, les logiciels espions (« spyware »), le code malicieux, les réseaux zombies (« botnets »), et autres menaces des réseaux.

L’entrée en vigueur officielle de la LCAP et de son règlement est attendue pour la fin 2013 ou le début 2014.

Clarification de la signification des « liens personnels et familiaux »

Une des exceptions aux dispositions anti-pourriels de la LCAP est celle permettant à un individu d’envoyer des messages électroniques commerciaux (MECs) à un destinataire avec qui l’individu a un « lien personnel ou familial ». Or, le projet de règlement vient définir les « liens personnels et familiaux ».

Lien personnel

En vertu du projet antérieur du règlement, le « lien personnel » était limité aux relations impliquant au moins une rencontre en personne (en chair et en os) ayant eu lieu dans les deux dernières années et au cours de laquelle il y aurait eu des communications bilatérales.

Le nouveau projet du règlement daté du 5 janvier élargit cette définition de « lien personnel » en ce qu’elle ne couvre plus seulement les rencontres en chair et en os, mais inclut aussi les relations virtuelles entre les individus qui ont des communications directes et bilatérales. Ces communications virtuelles doivent permettre de raisonnablement conclure que la relation est personnelle, et ce, en tenant compte de divers facteurs pertinents. Ces facteurs sont notamment le partage d’intérêts mutuels, d’expériences, d’opinions et d’informations, la fréquence des communications, le laps de temps qui s’est écoulé depuis la dernière communication entre les parties et, aussi, l’existence d’une rencontre en personne. Il convient de mentionner que l’envoi de MECs à une personne avec qui un individu aurait un « lien personnel » ne pourrait plus être possible si cette personne lui manifeste son désir de ne plus en recevoir.

Lien familial

Le « lien familial » a été défini dans le projet de règlement comme permettant l’envoi de MECs entre les individus qui ont des grands-parents communs, c’est-à-dire entre les tantes, oncles, cousins, nièces et neveux. Les petits-cousins sont exclus de cette définition. Cette définition semble être arrimée avec celle de la  Loi canadienne de l’impôt sur le revenu à cet effet.

 

Validité du consentement à recevoir des MECs de tiers inconnus

Selon la LCAP, une personne (« Requérante ») peut, si elle respecte certaines exigences, obtenir le consentement d’un individu de recevoir des MECs de tiers connus ou inconnus. Dans ces cas, la Requérante agit au nom de ces tiers. Dans la situation où le consentement est obtenu au nom d’un tiers inconnu, le projet de règlement requiert que tous les MECs envoyés à l’individu identifient la Requérante et comportent un mécanisme permettant à l’individu de se désinscrire. Ce mécanisme devra non seulement être conforme aux exigences de la LCAP, mais devra aussi permettre à l’individu de retirer son consentement en s’adressant à la Requérante et/ou à tout tiers autorisé à utiliser ledit consentement.

On peut imaginer, par exemple, une entreprise qui obtient le consentement d’un de ses clients de recevoir des MECs de la part des commanditaires ou des filiales (lesquels n’auraient jamais eu de contact avec ces clients auparavant). Dans ce contexte, les commanditaires ou filiales éventuels pourraient potentiellement constituer des « tiers inconnus » au moment où le consentement est obtenu. (Nous vous invitons à lire le 5e commentaire dans la section ci-dessous intitulée « Ce que le règlement ne prévoit pas » au sujet du problème relatif à l’ambiguïté de cette disposition.)

Exemptions relatives à certaines pratiques commerciales

Puisque la LCAP ne souhaite pas freiner la croissance du commerce électronique, le projet de règlement contient plusieurs exceptions visant à permettre l’envoi des MECs dans le cadre de pratiques commerciales légitimes. Ces exceptions sont résumées ci-dessous.

Messages d’entreprise à entreprise

Il y a deux volets à cette exception :

En premier lieu, le règlement prévoit que les MECs peuvent être envoyés entre les employés, représentants, entrepreneurs ou franchisés d’une seule et même organisation dans la mesure où ces MECs visent les activités commerciales de cette organisation.

En deuxième lieu, le règlement permet l’envoi de MECs par un employé, représentant, franchisé ou entrepreneur d’une organisation à un employé, représentant, franchisé ou entrepreneur d’une autre organisation, dans la mesure où ces deux organisations ont une relation d’affaires au moment où le MEC est envoyé et dans la mesure où ce MEC est pertinent à l’entreprise du destinataire, au rôle officiel ou commercial de celui-ci, à ses fonctions ou à ses tâches.

Messages en réponse à une demande

Le projet de règlement prévoit une exemption pour les MECs envoyés en réponse à des demandes, requêtes ou plaintes. Cette exemption résout un problème que posait l’application de l’article 6(5) de la LCAP, laquelle aurait fait en sorte de rendre illégal l’envoi de MECs en réponse à une demande sans l’obtention d’un consentement additionnel.

Messages envoyés en vertu d’une obligation légale

Le projet de règlement prévoit une exemption pour les MECs envoyés conformément à une obligation légale (incluant entre autres, l’envoi d’informations au sujet d’une garantie ou d’un rappel de produit, ou l’envoi d’un relevé de compte) ou pour se prévaloir d’un droit, incluant un droit faisant l’objet d’une instance en cours. Par exemple, il peut s’agir de messages envoyés pour réclamer une somme due, pour octroyer une license d’utilisation, pour se prévaloir de droits contractuels, pour se prévaloir de droits découlant d’une ordonnance d’un tribunal ou pour l’application d’un droit étranger.

Messages envoyés par une entreprise étrangère à un destinataire étranger consultés lors d’un passage au Canada

Le projet de règlement prévoit une exception pour les MECs envoyés par une entreprise étrangère à un destinataire étranger lorsque ces messages sont consultés au moment d’un passage au Canada, et ce, dans la mesure où l’entreprise expéditrice ne pouvait raisonnablement savoir que le message serait consulté au Canada.

Références de tiers

Le projet de règlement crée une nouvelle exception qui s’applique au premier MEC envoyé par un expéditeur à un destinataire lorsque qu’une autre personne lui a référé ce destinataire. Cette personne « référante » doit avoir un lien familial ou personnel ou une relation privée ou d’affaires avec l’expéditeur ainsi qu’avec le destinataire. L’expéditeur doit également divulguer, dans le MEC, le nom usuel ou complet de la personne « référante » et doit indiquer que le message est envoyé suite à l’obtention de cette référence. Il convient de mentionner que dans ce message, l’expéditeur pourra alors solliciter le consentement du destinataire de recevoir des MECs additionnels.

Exemptions pour les fournisseurs de services de télécommunications

Le projet de règlement prévoit que les fournisseurs de services de télécommunications (FSTs) peuvent permettre l’installation de programmes d’ordinateurs sans obtenir de consentement lorsque ces programmes servent (i) à prévenir des activités illégales ou des activités qui présentent un risque à la sécurité du réseau du FST; et/ou (ii) à mettre à jour le réseau du FST.

Définition de terminologie dans le contexte de relations privées

La LCAP prévoit qu’une « relation privée en cours » inclut l’adhésion à un club, à une association ou à un organisme bénévole tel que défini dans le règlement. En vertu du projet de règlement, une « adhésion » est le fait d’avoir été accepté à titre de membre conformément aux exigences d’adhésion pertinentes.

Au sens de la LCAP, un « club », une « association » ou un « organisme bénévole » constitue un organisme de bienfaisance et opère exclusivement pour le bien-être collectif, des améliorations locales, s’occuper des loisirs, fournir des divertissements, ou pour exercer toute autre activité à but non lucratif, et dont aucun revenu n’est payable à un propriétaire, un membre ou un actionnaire, ou ne peut par ailleurs servir au profit personnel de ceux-ci (sauf s’il s’agit d’un organisme dont le but premier et la fonction est de promouvoir le sport amateur au Canada.)

Ce que le règlement ne prévoit pas

Le projet antérieur du règlement avait été publié pour commentaires par Industrie Canada en juillet 2011. Cinquante-sept parties intervenantes incluant des organismes, entreprises et individus ont fait valoir leurs préoccupations au sujet de problèmes significatifs occasionnés par la LCAP. À leur avis, ces problèmes sont susceptibles d’avoir un impact néfaste sur les petites, moyennes et grandes entreprises ainsi que sur les consommateurs et organismes de bienfaisance. Malgré le fait que le projet de règlement remédie à certaines de ces difficultés, les problèmes suivants, entre autres, demeurent entiers:

1)    Les consentements obtenus conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ne sont pas valides en vertu de la LCAP. À cet égard, Industrie Canada explique que la « LCAP vise à créer des exigences plus élevées pour l’obtention et l’utilisation du consentement pour les activités particulières » qu’elle régit. (notre traduction)

Cela signifie que, dans certains cas, même si certaines entreprises ont agi en conformité avec la LPRPDE pour l’obtention du consentement d’individus relativement à la cueillette et à l’utilisation de leurs adresses électroniques, ces entreprises pourraient ne plus être en mesure d’envoyer des MECs à ces individus si elles ne se plient pas, au surplus, aux exigences de la LCAP. Il convient toutefois de mentionner que la LCAP prévoit une période transitoire d’une durée de trois ans débutant au moment où la LCAP entrera en vigueur. Au cours de ces trois années, dans les situations où des entreprises entretiendraient déjà une relation d’affaires en cours au moment de l’entrée en vigueur de la LCAP, le consentement de s’envoyer des MECs serait considéré comme implicite.

2)    Il arrive que les manufacturiers n’aient pas de relation d’affaires avec le consommateur. Dans ces cas, le manufacturier ne pourrait envoyer de MECs au consommateur, sauf si cet envoi est effectué en vertu d’une obligation légale conformément à l’exception déjà existante à cet effet. Selon Industrie Canada, une exemption n’a pas été codifiée pour les manufacturiers, puisqu’à leur avis, telle exemption aurait une portée « trop large ».

3)    Le projet de règlement ne prévoit rien pour répondre aux inquiétudes exprimées par les parties intervenantes au sujet du fait que les entreprises canadiennes visant une clientèle étrangère (par exemple, une clientèle américaine) seraient assujetties à des exigences beaucoup plus élevées en vertu de la LCAP en comparaison avec les entreprises américaines, lesquelles sont assujetties au US CAN-SPAM Act. Cela aurait donc pour effet de désavantager les entreprises canadiennes vis-à-vis leurs compétiteurs américains.

4)    Le projet de règlement ne traite pas des préoccupations exprimées par les parties intervenantes au sujet de l’impraticabilité de l’application des exigences de la LCAP quant aux messages textes (« textos ») et autre messages envoyés via des réseaux sociaux.

5)    Le projet de règlement ne fait rien pour remédier aux difficultés exprimées par les parties intervenantes au sujet du fait que l’article 5 traitant des « tiers inconnus » est non seulement complexe, mais aussi ambigu. En effet, certains ont soulevé qu’entre autres, en vertu du projet de règlement actuel, il n’est pas clair de savoir comment obtenir « un consentement expresse au nom d’une personne dont l’identité est inconnue ».

anti-pourriels Industrie Canada LCAP malware règlement

Authors

Subscribe

Stay Connected

Get the latest posts from this blog

Please enter a valid email address