Passer au contenu directement.

Le Canada adopte la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil

Les organisations qui exercent des activités commerciales en ligne devraient commencer à se préparer en vue de se conformer à la nouvelle Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (la « Loi »), qui a été adoptée à la mi-décembre et qui devrait entrer en vigueur plus tard cette année1. Comme la Loi est complexe et que les sanctions imposées pour toute violation de la nouvelle Loi peuvent être importantes, les organisations devraient revoir et modifier leurs pratiques en ligne, s’il y a lieu, dès que possible.

Dispositions antipourriel

La Loi interdit à toute organisation d’envoyer des messages électroniques commerciaux à moins que l’expéditeur n’ait obtenu le consentement exprès ou tacite du destinataire. Un message électronique « commercial » est un message électronique dont l’objectif est d’encourager la participation à une activité commerciale. Un « message électronique » s’entend notamment d’un « message envoyé par tout moyen de télécommunication, notamment un message textuel, sonore ou visuel ». Cette définition englobe les courriels, messages textes ou messages instantanés et bon nombre de communications électroniques comme les messages sur Twitter® ou les messages Facebook®, mais exclut la communication téléphonique bilatérale, l’envoi de télécopies à un compte téléphonique ou l’accès à une boîte vocale.

Lorsqu’elle sollicite le consentement exprès d’un destinataire afin de lui envoyer un message électronique commercial, une organisation doit préciser « clairement et simplement » le ou les objets pour lesquels le consentement est demandé et identifier l’organisation sollicitant le consentement. Toutefois, il n’est pas nécessaire d’obtenir un consentement pour l’envoi de messages électroniques commerciaux dont l’objet est de :

  • donner un prix ou une estimation en réponse à une demande;
  • faciliter, compléter ou confirmer la réalisation d’une opération commerciale autorisée au préalable;
  • donner des renseignements en matière de garantie, de rappel de produit ou de sécurité à l’égard de biens achetés par le destinataire;
  • donner des éléments d’information à l’égard d’un abonnement, d’une adhésion, d’un compte ou d’un prêt en cours;
  • donner des renseignements liés au statut d’employé; ou
  • livrer des biens, produits ou services, y compris des mises à jour ou des améliorations à l'égard de ceux-ci.

Le consentement à l’égard de la réception de messages peut également être implicite, notamment lorsque :

  • l’expéditeur a, avec le destinataire, des relations d’affaires ou des relations privées existantes (p. ex., l’appartenance à un club), lorsque la relation est survenue au cours des deux dernières années ou est conforme à un contrat conclu au cours des deux dernières années;
  • le destinataire a « publié bien en vue » son adresse électronique et n’a pas indiqué qu’il ne souhaite recevoir aucun message électronique commercial non sollicité à cette adresse, et le message a un lien avec les fonctions qu’exerce le destinataire au sein de son entreprise; ou
  • le destinataire a communiqué son adresse électronique à l’expéditeur sans aucune mention précisant qu’il ne veut recevoir aucun message électronique commercial non sollicité à cette adresse, et le message a un lien avec les fonctions qu’exerce le destinataire au sein de son entreprise.

La Loi exige également que tous les messages électroniques commerciaux identifient l’expéditeur, comprennent les coordonnées de l’expéditeur et prévoient un mécanisme « d’exclusion » permettant au destinataire de ne plus recevoir d’autres communications.

Dispositions antiespiogiciel

Pour éliminer les espiogiciels, maliciels et les réseaux zombies, il sera interdit en vertu de la Loi d'installer des programmes sans le consentement de l'usager ou du propriétaire de l'ordinateur. Lorsque le consentement afin d’installer le programme doit être obtenu, l’organisation doit « énoncer en termes simples, clairs et généraux la fonction et l’objet du programme d’ordinateur qui sera installé ».

Toutefois, si un programme effectue certaines fonctions pouvant être indésirables, il doit porter leurs « conséquences prévisibles » à l'attention de l'utilisateur. La liste des fonctions indésirables comprend :

  • la collecte de renseignements personnels sur l’ordinateur;
  • l’entrave au contrôle de l’ordinateur par l’utilisateur;
  • la modification des paramètres, préférences ou commandements déjà installés ou mis en mémoire dans l’ordinateur à l’insu de l’utilisateur;
  • l’entrave à l’accès ou à l’utilisation de ces données dans l’ordinateur;
  • la communication de l’ordinateur avec un autre ordinateur sans l’autorisation de l’utilisateur; ou
  • l’installation d’un programme activé par un tiers à l’insu de l’utilisateur.

Ces exigences s'appliquent non seulement aux ordinateurs personnels et aux serveurs informatiques, mais aussi à quelque dispositif électronique qui permet l'installation de programmes de tiers comme les téléphones intelligents et les tablettes électroniques. Ces exigences ne s’appliquent pas à certains programmes s’il est raisonnable de croire, d’après le comportement du destinataire, que ce dernier a consenti à l’installation des programmes (p. ex., codes HTML, témoins de connexion, codes JavaScript, systèmes d’exploitation, correctifs et extensions). Les mises à niveau et mises à jour de programmes sont également dispensées si le destinataire a consenti à leur installation initiale et a le droit de recevoir les mises à niveau ou mises à jour.

Modifications de la Loi sur la concurrence et de la LPRPDE2  

La Loi modifie la Loi sur la concurrence qui interdit les renseignements commerciaux faux ou trompeurs dans la description de l’expéditeur, l’objet, ou le corps d’un message électronique, ou dans une adresse URL ou d’autres identifiants sur une page Web. Les expéditeurs devront s’abstenir notamment d’inclure des déclarations trop vantardes dans les champs objets en vue d’attirer l’attention des lecteurs.

La Loi modifie en outre la LPRPDE afin d'interdire la collecte de renseignements personnels par l'utilisation non autorisée d'ordinateurs et l'établissement non autorisé de listes d'adresses électroniques (parfois appelée la « collecte d’adresses électroniques »).

Application et sanctions

Les contrevenants aux dispositions de la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil pourraient être passibles d’une amende maximale de 1 million de dollars par violation dans le cas d’une personne physique et de 10 millions de dollars par violation dans le cas d’une organisation. Les administrateurs et dirigeants peuvent également être sanctionnés s’ils ont dirigé ou autorisé la conduite faisant l’objet d’une sanction ou s’ils y ont participé ou y ont consenti. La Loi est appliquée par le Conseil de la radiodiffusion et des télécommunications canadiennes.

La Loi crée également un droit privé d’action qui permet à une entreprise ou à un consommateur de poursuivre au civil quiconque contrevient à la Loi, ou aux nouvelles dispositions relatives aux indications fausses ou trompeuses prévues dans la Loi sur la concurrence. La Loi prévoit qu’un demandeur pourra récupérer ses dommages réels subis ainsi que d’autres sommes additionnelles qui pourraient totaliser jusqu’à 1 million de dollars par jour. Ces dernières dispositions réjouiront sans aucun doute les demandeurs dans le cadre de recours collectifs.

Remarques de McCarthy Tétrault

Même si la Loi vise à empêcher les pourriels et les espiogiciels, elle impose des exigences strictes à toutes les entreprises qui utilisent la communication électronique. Toute société exerçant des activités commerciales en ligne (y compris par l’intermédiaire de courriels) devrait connaître ces nouvelles exigences et pourrait avoir besoin d’adapter ses pratiques commerciales. Afin de se préparer à l’entrée en vigueur de la Loi, qui devrait avoir lieu au cours des six à neuf prochains mois, les organisations devraient envisager de prendre les mesures suivantes :

  • examiner et mettre à jour leurs politiques et modalités relatives à la protection de la vie privée afin de s’assurer qu’elles disposent des consentements adéquats pour la collecte de renseignements personnels et/ou l’installation de programmes sur des sites Web dynamiques;
  • revoir et mettre à jour leurs formulaires de sollicitation du consentement exprès pour l'envoi de messages électroniques commerciaux (y compris les courriels ou les bulletins d’information) ou l'installation de programmes afin de s'assurer que ces formulaires respectent les exigences prescrites;
  • réexaminer leurs procédures relatives à la documentation de ce consentement, vu qu'il incombera aux expéditeurs et aux créateurs de logiciels de prouver qu'ils ont obtenu le consentement;
  • veiller à ce que tout message électronique commercial comprenne les renseignements précisés par règlement et un mécanisme d'exclusion qui soit valable pour la période indiquée;
  • traiter les demandes d’exclusion dans le délai prescrit;
  • veiller à ce que tout processus qui comporte la collecte en ligne d'adresses électroniques et d'autres renseignements personnels respecte les modifications apportées à la LPRPDE;
  • examiner et revoir de façon générale les pratiques relatives à la mise en marché, à la publicité et à la communication externe afin de se conformer aux exigences de la Loi et aux nouvelles dispositions de la Loi sur la concurrence; et
  • dans le cas des créateurs de logiciels :
    • examiner leurs procédures d'installation de programmes afin de veiller à ce que les renseignements relatifs à la fonction et à l'objet du programme soient fournis avant l'installation;
    • si le programme exécute l’une des fonctions indésirables prescrites, le mécanisme de communication devra également décrire les conséquences prévisibles de ces fonctions; et
    • revoir les contrats de licence d’utilisation afin de s’assurer que le consentement permettant d’installer des correctifs et des mises à niveau a été expressément obtenu avant l’installation des programmes.


1 Le nom complet de la loi est long et facile à oublier : « Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications ». La Loi entrera en vigueur lorsqu’elle aura été promulguée.

2Loi sur la protection des renseignements personnels et les documents électroniques, qui est la principale loi fédérale traitant des questions relatives à la protection de la vie privée.

Auteurs