Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Nouvelle décision de la LCAP : Le CRTC fournit des directives sur les messages interentreprises (B2B) et la défense fondée sur la diligence raisonnable

Fasken
Temps de lecture 10 minutes

Bulletin Protection de l'information et de la vie privée

Le 19 octobre 2017, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a rendu deux décisions importantes dans le cadre d’une procédure d’exécution contestée, intentée par Compu.Finder. Ces décisions récentes découlent d'une procédure d'exécution antérieure du CRTC contre Compu.Finder, qui a donné lieu à la première sanction administrative pécuniaire (SAP) imposée en vertu de la Loi canadienne anti-pourriel (communément désignée « la LCAP »).

Dans la première de ces deux décisions, le CRTC a rejeté les arguments de Compu.Finder selon lesquels la LCAP était inconstitutionnelle. Dans la deuxième décision, qui fait l'objet du présent bulletin, la contestation par Compu.Finder de la SAP a été accueillie en partie, celle-ci ayant été réduite de 1,1 million de dollars à 200 000 $.

Cette deuxième décision apporte également un éclairage supplémentaire sur la façon dont le CRTC interprète et applique certaines dispositions de la LCAP, et souligne l'importance de documenter de façon appropriée les dossiers dans lesquels est invoquée la défense fondée sur la diligence raisonnable. Plus particulièrement, cette décision précise i) comment le CRTC interprète l’exemption relative au « commerce interentreprises » et ii) les facteurs pris en compte par le CRTC pour évaluer l'applicabilité de la de défense fondée sur la diligence raisonnable en vertu de la LCAP.

Contexte et décision

Le 5 mars 2015, un procès-verbal de violation a été signifié par le CRTC à Compu.Finder concernant quatre violations aux termes de la LCAP, et lui a imposé une SAP combinée de 1,1 million de dollars. Le rapport initial des enquêteurs faisait état de 451 messages envoyés sans consentement sur une période d'environ deux mois et demi.

Dans ses observations contestant l'avis de violation, Compu.Finder a soulevé plusieurs questions de procédure et défenses relatives à certains des messages, réduisant le nombre de messages pris en compte par le CRTC à 317. Sur ces 317 messages, 87 contenaient deux mécanismes de désabonnement, l’un qui était fonctionnel et l’autre qui ne l’était pas. Bien que Compu.Finder ait affirmé que le mécanisme de désabonnement fonctionnel rendait les messages conformes, le CRTC a conclu que ces messages contrevenaient toujours à la LCAP, car le mécanisme de désabonnement qui était déficient créait suffisamment de confusion pour que le mécanisme fonctionnel ne puisse être compréhensible, tel que requis par la LCAP.

Compu.Finder a également soutenu qu'elle avait obtenu un consentement implicite pour l’envoi de 132 des messages, car elle était en mesure de fournir des liens vers des listes publiques dans lesquelles les coordonnées des destinataires étaient publiées. Toutefois, le CRTC a conclu que la simple publication des coordonnées ne suffisait pas à elle seule pour satisfaire aux exigences de consentement implicite en vertu de la LCAP. Plus précisément :

  • certaines coordonnées provenaient d'un répertoire d’un tiers où rien n'indiquait que les coordonnées avaient été soumises pour publication par les destinataires visés;
  • certaines coordonnées avaient été obtenues à partir de sites Web dont les conditions d'utilisation contenaient une clause spécifiant qu’il était interdit d’utiliser le répertoire aux fins de commercialisation.

Exemption relative au « commerce interentreprises » (B2B)

La décision Compu.Finder fournit un précieux éclairage à l’égard de l’
exemption relative au « commerce interentreprises » prévue dans les règlements de la LCAP. Les règlements prévoient que, pour que l'exemption relative au « commerce interentreprises » s'applique : a) le message doit être envoyé entre employés, représentants, consultants ou franchisés des organisations émettrices et destinataires; b) ces organisations doivent avoir une « relation d’affaires »; et c) le contenu du message doit concerner les activités de l'organisation destinataire. Si cette exemption s'applique à un message, ce message n'est pas soumis aux exigences de la LCAP.

En discutant de cette exemption et en l’appliquant, le CRTC a énoncé de nouveaux principes d'interprétation pour les deux premiers éléments de l'exemption.

Messages entre organisations

Démontrer qu'un message est envoyé à un employé, à un représentant, à un consultant ou à un franchisé d'une organisation peut être aussi simple que de démontrer que le courriel est envoyé à un domaine appartenant à l'organisation destinataire. Ceci repose sur l'hypothèse qu'il serait « grandement inhabituel qu’une personne qui n’était pas un employé ou un représentant tout au moins, possède une adresse électronique associée à l’organisation ». En conséquence, il sera facile dans de nombreux cas de démontrer que cette condition de l’exemption est respectée. Toutefois, pour donner un exemple de situation où l'hypothèse ne s'appliquerait pas, le CRTC a mentionné les universités, où les étudiants et les diplômés sont également susceptibles d'avoir des comptes de messagerie électronique universitaires, sans qu’ils ne puissent être considérés comme des employés ou des représentants aux fins de cette exemption.

Relations entre les organisations

La décision du CRTC a énoncé un nouveau principe dans l'interprétation de cette exemption : il ne suffit pas que l'organisation d'envoi ait une « quelconque » relation avec le destinataire; la relation doit plutôt être de nature à « démontrer que l'organisation avait, ou avait l'intention de créer, une relation qui permettrait une exemption complète [du régime anti-pourriel de la LCAP] ».

Compu.Finder a cherché à démontrer qu’elle avait une telle relation avec les organisations destinataires en mettant en preuve une relation contractuelle ou le fait qu’elle entretenait une correspondance de longue date avec elles.

  • Pour établir la preuve d’une relation contractuelle, Compu.Finder a fourni des factures et des preuves de paiements pour des opérations ponctuelles avec des employés individuels au sein de l'organisation destinataire.
  • Pour démontrer qu’elle entretenait une correspondance de longue date avec les organisations destinataires, Compu.Finder a fourni une liste de personnes avec lesquelles elle avait correspondu. Toutefois, la liste ne contenait aucune indication sur la période, la fréquence ou le contenu de ces messages, ni si ces communications étaient réciproques.

Le CRTC a conclu que ces opérations ponctuelles et que l'historique de la correspondance étaient insuffisants pour démontrer une relation qui étayerait la présomption que l'organisme destinataire avait l'intention de recevoir des messages hors du cadre du régime anti-pourriel de la LCAP.

Le CRTC a également conclu qu'il n'y avait pas suffisamment de preuves que les messages envoyés par Compu.Finder concernaient les activités des organisations destinataires.

Défense fondée sur la diligence raisonnable

Le paragraphe 33(1) de la LCAP prévoit ce qui suit : « Nul ne peut être tenu responsable d’une violation s’il prouve qu’il a pris toutes les précautions voulues pour prévenir sa commission ».

La décision Compu.Finder renvoie à un bulletin d’information antérieur du CRTC qui soulignait l’importance des politiques écrites relatives à la LCAP, de la mise en place de mécanismes de surveillance et de vérification, des procédures pour traiter avec les tiers en vue de confirmer la conformité, et de la formation adéquate des employés. Compu.Finder n'a pas fourni d’élément de preuve selon lequel l’un quelconque de ces éléments avait été mis en place pendant la période cours de laquelle les violations ont eu lieu, et n'a donc pas pu se prévaloir de la défense fondée sur la diligence raisonnable.

Comme le démontre la décision Compu.Finder, il ne suffit pas de se conformer à la LCAP. Une organisation doit également être en mesure de démontrer sa conformité à l'aide de politiques et de procédures établies et de dossiers documentés, pour pouvoir se prévaloir des exemptions.

Pour une discussion sur les bonnes pratiques et obtenir les conclusions d’un récent sondage portant sur la conformité aux normes des organisations, veuillez consulter les résultats du rapport d’enquête sur la LCAP de Fasken Martineau « Réduire les lacunes en matière de compréhension et de conformité » (disponible en anglais seulement).

Conclusions

L'affaire Compu.Finder fournit des conseils opportuns sur la position du CRTC à l’égard des principaux aspects de la LCAP, offrant un certain nombre de leçons utiles aux organisations qui sont assujetties à la LCAP, et démontre que les organisations peuvent contester avec succès et réduire considérablement les SAP, dans les cas appropriés. Il faut également mentionner que ces décisions arrivent à un moment où la LCAP fait l’objet d’un examen par le gouvernement canadien, et pourrait être modifiée. Malgré qu’il reste à voir si des changements radicaux seront apportés à la loi, l'expérience Compu.Finder peut être considérée comme étant un développement pertinent relativement au fonctionnement de la LCAP.