Présentation sur la Loi C28 :
- Rappel des règles pour les messages électroniques commerciaux
- Nouvelles règles pour les logiciels
- Exemples concrets
- Principaux risques et mythes
- Alternatives pour protéger son entreprise
Présentation sur la Loi C28 à l'Association du Marketing Relationnel
1. La loi C28, mise à jour et nouveautés
par
Me Sophie Deschênes-Hébert et Philippe Le Roux
2. Ce document vous est acheminé pour votre information seulement. Le contenu de cette présentation
n'est pas et ne devrait pas être considéré comme un avis légal ou une opinion juridique de LJT.
Nous vous invitons à nous contacter pour discuter de votre situation particulière.
3. Entrée en vigueur progressive
3 PHASES
DATE OBJET DES DISPOSITIONS
1er
juillet 2014 Majeure partie de la Loi,
incluant:
1)Envoi de pourriels
2)Modification à la Loi sur la
concurrence
3)Modification à la Loi sur la
protection des renseignements
personnels et des documents
électroniques
15 janvier 2015 Programmes d’ordinateur
1er
juillet 2017 Droit privé d’action
5. Dispositions anti-pourriel : rappel
INTERDICTION de transmettre des messages
électroniques commerciaux non-sollicités
INTERDICTION de transmettre des messages
électroniques commerciaux non-sollicités
Consentement du
destinataire
Consentement du
destinataire
Sauf
Cas
d’exclusion
Cas
d’exclusion
6. Message électronique : définition
MESSAGES ENVOYÉS À UNE « ADRESSE ÉLECTRONIQUE »
SONT DONC VISÉS :
Courriels, mais également toute autre forme de
communication électronique, à savoir :
messagerie instantanée;
messages texte sur téléphone;
portails de commerce électronique;
messages sur tout autre compte similaire
7. Message qui a pour but d’encourager la participation à
une activité commerciale
Une message qui fait la promotion d’une personne qui
accomplit une activité commerciale sans contenir d’offre
spécifique serait suffisant
Expectative de profit n’est pas nécessaire
Message électronique commercial
8. Le message est-il ou non commercial?
Question à se poser :
Est-il raisonnable de conclure que le but ou que l’un des
buts du message est de promouvoir une activité
commerciale, eu égard à son contenu, aux hyperliens qu’il
contient, à l’identité de la personne à contacter, etc.?
Message électronique commercial
9. Exigences de forme et de contenu
Lorsqu’on sollicite le consentement exprès
o « Opt-in »
o les fins auxquelles le consentement est sollicité;
o informations d’identification de l’expéditeur du
message conformes à la Loi
o mention que la désinscription est possible en tout
temps
Dans le contenu du message
o informations d’identification de l’expéditeur du
message conformes à la Loi
o Lien vers mécanisme de désinscription conforme à
la Loi
10. Exemples de consentement tacite
« Relation d’affaires en cours »
Achat de bien ou de services par le destinataire: pendant les 2 ans
qui suivent l’achat
Contrat conclu entre les parties: pendant les 2 ans qui suivent la
date de fin du contrat
Demande de renseignements par le destinataire: pendant les 6 mois
qui suivent la demande
** Disposition transitoire :
Pour les relations d’affaires en cours existant au moment
de l’entrée en vigueur de la Loi (donc au 1er
juillet 2014):
Consentement tacite valide pendant 3 ans, donc jusqu’au
1er
juillet 2017 (ou jusqu’à désabonnement).
12. Règle générale
INTERDICTION d’installer des programmes
d’ordinateur sur l’appareil d’une personne dans
le cadre d’activités commerciales
INTERDICTION d’installer des programmes
d’ordinateur sur l’appareil d’une personne dans
le cadre d’activités commerciales
Consentement du
propriétaire ou de
l’utilisateur autorisé de
l’appareil
Consentement du
propriétaire ou de
l’utilisateur autorisé de
l’appareil
Programmes d’ordinateur
pour lesquels le
consentement est présumé
Programmes d’ordinateur
pour lesquels le
consentement est présumé
Sauf
13. Exclusion
Donc la Loi ne vise PAS :
Les programmes d’ordinateur que la personne
télécharge elle-même pour les installer sur son
propre appareil.
14. Définition de la Loi : très large
« Ensemble de données qui représentent des instructions ou des
relevés et qui, lorsque traités par l’ordinateur, lui font remplir une
fonction. »
(renvoi à la définition contenu au Code Criminel)
Inclut donc notamment :
Logiciels, applications, système d’exploitation, témoins de connexion,
etc.
Et les mises à jour et mises à niveaux de programmes d’ordinateur
Programme d’ordinateur : définition
15. Notamment pour les programmes d’ordinateur
suivants :
Témoins de connexion
Code HTML
JavaScript
Système d’exploitation
Programme visant uniquement à corriger une défaillance
dans un système informatique (ex. : bogue)
Cas particulier
Consentement présumé
17. Consentement exprès
Mêmes exigences que pour les messages
électroniques commerciaux:
« Opt-in »
les fins auxquelles le consentement est sollicité;
informations d’identification de l’expéditeur du message
conformes à la Loi
mention que la désinscription est possible en tout temps
+
une description générale des fonctions et du but du
programme d’ordinateur qui sera installé.
18. Fonctions nécessitant des
renseignements supplémentaires
Si contrairement aux attentes normales de l’utilisateur,
le programme à être installé exécute certaines fonctions, dont:
Cueillette de renseignements personnels;
Interférence du contrôle de l’utilisateur sur son appareil;
Modification des réglages, des préférences enregistrées sur son l’appareil;
Envoi de messages à d’autres systèmes informatiques sans son consentement
19. Disposition transitoire
Programmes d’ordinateur installés avant le 15 janvier
2015 :
Consentement présumé pour l’installation des
mises à jour/à niveaux pendant 3 ans (donc
jusqu’au 15 janvier 2018), sauf si la personne retire
son consentement
Consentement exprès pour l’installation de programmes
d’ordinateur obtenu avant le 15 janvier 2015 :
Consentement valide aux fins de l’application de la
Loi
20. Violations de la loi
CRTC: réception des plaintes, poursuites et imposition de peines
Violation = Accomplir DIRECTEMENT OU INDIRECTEMENT un des actes
prohibés ou le fait d’aider ou d’encourager à l’accomplir
Responsabilité:
o Possibilité de tenir responsable: les administrateurs, dirigeants d’une
société.
o L’employeur est responsable de la violation commise par son employé
N. B. : Le fait d’avoir pris toutes les précautions voulues pour prévenir
les violations peut servir de défense.
21. Sanctions pécuniaires importantes
Particuliers : maximum 1 M$ / par violation
Sociétés : maximum 10 M$ / par violation
Facteurs considérés :
nature et portée de la violation, antécédents, bénéfices tirés de
l’acte prohibé, capacité de paiement, etc.
22. Droit privé d’action
Entrée en vigueur prévue : 1er
juillet 2017
• Toute personne lésée pourra demander au tribunal
compétent de rendre une ordonnance de dédommagement
(prescription: 3 ans à compter de la connaissance)
** Note: Ce droit ne peut être exercé si le CRTC a entamé une
procédure ou si l’auteur a contracté un engagement en
faveur du CRTC.
25. Est-ce que vous ou votre
compagnie
a) Envoie des millions de pourriels à des inconnus ?
b) Utilise le courriel pour vendre du faux Viagra ?
c) Utilise le courriel pour voler des informations financières ?
d) Installe des logiciels espions en douce ?
e) Trafique les données de vos clients sur leur ordinateur ?
f) Aucune de ces réponses
26. Indications à suivre pour ne
plus recevoir de
messages ?a) Dans nos infolettres
b) Dans nos courriels promotionnels
c) Dans le premier message envoyé à un nouveau contact
d) Dans les courriels des vendeurs
e) Dans les courriels de tous les employés
27. Lors du départ d’un
employé ?
a) Suppression immédiate de l’adresse courriel
b) Maintien de l’adresse pendant moins de 60 jours
c) Maintien de l’adresse pendant plus de 60 jours
d) Les messages reçus sont lus et traités quotidiennement
35. Les amendes existent
partout
• UK : Festival de Manchester a payé une amende de 125 000$ pour
des SMS
• Chine : amendes prévues de 4 900$ par message non sollicité
• USA : 3 entreprises dont 1 canadienne payent une amende de 9M$
pour spam par SMS
• Australie : Virgin a payé une amende de 22 000$ et Grays 165 000$
• Italie : amendes de 120 000$ plus 3 ans de prison
• Canada : déjà des centaines d’enquêtes en cours
37. Ce qui disent les autorité
• Article 33 (1) : Nul ne peut être tenu responsable d’une violation s’il
prouve qu’il a pris toutes les précautions voulues pour prévenir sa
commission
• CRTC : Le personnel du Conseil peut tenir compte de l’existence et de
la mise en place d’un programme de conformité efficace si une
entreprise présente son programme dans le cadre d’une défense
fondée sur la diligence raisonnable en réponse à une violation
présumée des Règles ou de la LCAP. (Bulletin d’information de Conformité et
Enquêtes CRTC 2014-326)
38. Les composantes d’une
protection efficace
• Réaliser un audit de vos communications électroniques (pas juste les
infolettres)
• Corriger les manquements
• Documenter la démarche et les gestes posés
• Faire connaître la politique de conformité par tous les employés
• Faire valider les situations particulières par un avocat spécialisé
39. Les différentes alternatives
Audit Ajustements Politique de
conformité
Situations
particulières
Protection Coût
Plateforme
courriel
Non Non Non Uniquement
envois
groupés
Non 0-50$/mois
Consultant Oui Sur mesure Oui Pas légal Non 5 à 50K$
Avocat Non Certains Oui Oui Sur points
couverts
300 à 3K$
Solution de
conformité
Oui Personnalisés Oui Pas légal Complète <1,000$
Modification à la Loi sur la concurrence: indications fausses ou trompeuses dans les messages électroniques commerciaux
Modification à la Loi sur la protection des renseignements personnels et des documents électroniques: Visant notamment à prévoir la primauté de la Loi anti-pourriel sur la LPRPDE si conflit relativment au régime
Modification à la Loi sur la concurrence: indications fausses ou trompeuses dans les messages électroniques commerciaux
Modification à la Loi sur la protection des renseignements personnels et des documents électroniques: Visant notamment à prévoir la primauté de la Loi anti-pourriel sur la LPRPDE si conflit relativment au régime
Dans un premier temps, important de préciser que la Loi s’applique aux messages envoyés à une « adresse électronique »
le concept d’« adresse électronique » est défini dans la Loi
comme toute adresse utilisée pour transmettre un message à :
Un compte courriel
Un compte de messagerie instantanée
Un compte téléphone
Tout autre compte similaire
Contrairement à la loi équivalente aux É.-U. (CAN-SPAM Act), la loi canadienne est beaucoup plus large en ce qu’elle ne vise pas seulement les pourriels mais également … (lire slide)
objectif de neutralité technologique qui est recherché en adoptant une définition qui est très ouverte
Permettre de couvrir des nouvelles formes de communication qui pourraient émerger à l’avenir
EXCLUS DONC: Blogue
CAS DES MÉDIAUX SOCIAUX: Il faut tenir compte des fonctionnalités de la plate-forme
- Système de messagerie: VISÉE
- Publication sur un mur: EXCLUS
(Selon le CRTC pas de distinction entre son propre mur et le mur d’un tiers, cependant, ce dernier cas pourrait se rapprocher d’un message envoyé à une adresse électronique)
NOTES IMPORTANTES:
ASPECT COMMERCIAL N’A PAS À ÊTRE EXPLICITE; c) annonce/promotion d’une personne = très large
ACTIVITÉ COMMERCIALE: définition très large.
- Tout acte isolé ou activité régulière qui revêt un caractère commercial.
- L’EXPECTATIVE DE PROFIT N’EST PAS NÉCESSAIRE POUR QUE L’ACTIVITÉ SOIT COMMERCIALE.
Par ex. : un message qui comporte uniquement un logo d’entreprise sans offre spécifique dépendant du but du message
Par ex. : De façon similaire, si le message effectue uniquement la promotion d’une personne qui exerce une activité commerciale, même s’il ne comporte pas d’offre spécifique de produits ou services
Si pas d’exception complète, le message doit être conforme à ceci.
REQUIS DANS MESSAGE: I
NFOS D’IDENTIFICATION ET LIEN DE DÉSABONNEMENT
Autres cas de consentement tacite :
Publication bien en vue (« conspicuous publication ») (par ex. sur un site Internet d’entreprise)
Communication volontaire de l’adresse (par ex. remise d’une carte d’affaires)
Note : Le consentement tacite ne vaut que pour des messages liés à l’entreprise commerciale de la personne ou aux fonctions que la personne exerce au sein de ’entreprise.
ACTIVITÉ COMMERCIALE:
Définition très large également :
Tout acte ou activité régulière qui revêt un caractère commercial.
L’expectative de profit n’est pas nécessaire
Également, FST
La personne est réputé avoir le consentement pour installer un programme d’ordinateur si elle est un fournisseur de service de télécommunication
(c-à-d: entreprise ou personne qui fournit des services de télécommunications, ce qui peut inclure un constructeur automobile si les véhicules sont dotés d’un système de télécommunication sans fil)
Et qu’elle installe un programme d’ordinateur aux fins suivantes:
Protéger la sécurité de son réseau d’une menace actuelle et identifiable
Mettre à jour en partie ou en totalité le réseau.
Par exemple:
Cette condition ne serait pas respectée si la personne désactive le JavaScript ou les témoins de connexion de son navigateur. Auquel cas, il ne serait pas possible d’installer/d’implanter ce type de programme d’ordinateur sur l’appareil de cette dernière sans obtenir son consentement exprès.
Fardeau de preuve sur celui qui l’invoque
Si consentement obtenu pour installer le programme, ne vaut pas pour les mises à jour et mises à niveaux qui suivront.
Donc:
2 options:
Solliciter le consentement pour les mises à jour/ à niveau dès l’installation du programme (bonne pratique serait de le faire de manière distincte, ex: 2 cases à cocher distinctes)
Solliciter le consentement pour les mises à jour/à niveaux au moment de celles-ci, soit un consentement valide ultérieure ou à chaque des fois.
Note: Installation par la personne sur son propre appareil
Consentement requis avant de faire l’installation des mises à jour
Mais non si la personne effectue elle-même l’installation des mises à jour.
Exigences supplémentaires:
1) RENSEIGNEMENTS SUPPLÉMENTAIRES À FOURNIR AU MOMENT D’OBRTENIR LE CONSENTEMENT:
Description des:
Fonctions du programmes et des raisons pour lesquelles il le fait
Effets du programme sur l’appareil de l’utilisateur
2) FOURNIR UNE ASSISTANCE À LA DÉSINSTALLATION DU PROGRAMME
Disponible pendant l’année qui suit l’installation
Pénalité peut être imposée par événement ou encore par jour, selon les circonstances.
Facteurs : nature et portée de la violation, antécédents, bénéfices tirés par l’auteur, capacité de paiement, autres critères prévus par règlements (rien à cet effet à ce jour).