Bulletin

Le CRTC publie des lignes directrices très attendues sur les dispositions concernant les programmes informatiques de la LCAP

Auteurs : Gillian R. Stacey et Zain Rizvi

La Loi canadienne anti-pourriel (la « LCAP »), en vigueur depuis le mois de juillet de cette année, vise à prévenir non seulement les messages commerciaux électroniques non sollicités mais aussi les logiciels malveillants comme les maliciels et les logiciels espions. Pour empêcher les logiciels malveillants, la LCAP crée l’obligation d’obtenir le consentement exprès d’une personne avant l’installation d’un programme informatique dans l’ordinateur de celle-ci et exige la communication de renseignements supplémentaires et l’obtention du consentement lorsque le logiciel exécute certaines fonctions prescrites. Les dispositions pertinentes sont prévues à l’article 8 de la LCAP. Elles entreront en vigueur le 15 janvier 2015, mais ont déjà fait couler beaucoup d’encre dans les milieux du droit et des technologies, qui sont préoccupés du fait que la portée de l’article 8 s’étende à beaucoup plus que les logiciels traditionnellement considérés comme des logiciels espions et des maliciels.

Le 10 novembre 2014, le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») a publié des lignes directrices sur son interprétation de l’article 8 de la LCAP, qui semblent venir limiter la grande portée de l’article. Chose encore plus importante, le CRTC a donné des indications sur qui sera considéré comme ayant « installé » ou « fait installer » un logiciel et semble limiter l’application de l’article au logiciel qui est installé à l’insu de l’utilisateur (push) plutôt que par lui volontairement (pull).

Voici des points à retenir des lignes directrices du CRTC :

  • Est un propriétaire ou un utilisateur autorisé quiconque est autorisé à utiliser le dispositif ou l’ordinateur, comme un employé, un enfant, un conjoint ou un autre membre de la famille.
  • La LCAP ne s’applique pas au propriétaire ou à l’utilisateur autorisé qui installe le logiciel sur son propre dispositif électronique. Ainsi, LCAP ne vise pas l’utilisateur qui télécharge une application sur son dispositif mobile ou qui installe un logiciel dans son ordinateur à partir d’un CD. Elle s’appliquera par contre lorsqu’un autre programme est installé subrepticement en même temps ou que le programme lui-même exécute à l’insu de l’utilisateur des fonctions qui nécessiteraient normalement une communication de renseignements supplémentaires et auxquelles l’utilisateur ne s’attendrait raisonnablement pas. Les fonctions qui déclenchent l’obligation de donner des renseignements supplémentaires comprennent le fait de recueillir des renseignements personnels, d’interférer avec le contrôle qu’a l’utilisateur de son dispositif ou de faire que le dispositif se branche à d’autres dispositifs, dans chaque cas sans que l’utilisateur l’autorise ou le sache.
  • Si le programme informatique exécute une fonction prescrite à laquelle l’utilisateur ne s’attendrait pas, il faudra donner à l’utilisateur une description de la fonction et de l’effet que celle-ci aura sur le système informatique et obtenir le consentement exprès de l’utilisateur avant l’installation. Le consentement doit être distinct des modalités et conditions de la convention de licence d’utilisation. Il convient de noter que la communication de renseignements et l’obtention du consentement ne sont pas nécessaires lorsque ces fonctions font simplement partie de programmes installés par l’utilisateur lui-même, sauf si ce dernier ne pouvait raisonnablement s’attendre à ce que celles-ci en fassent partie.

Si les lignes directrices du CRTC sont certes utiles, elle n’éliminent pas toute l’incertitude entourant les limites de l’application de l’article 8 de la LCAP, qui peuvent dépendre des attentes raisonnables de l’utilisateur. Pour être fixé, il faudra sans doute attendre les premières mesures d’application de la loi et leur éventuelle contestation devant les tribunaux.

Personnes-ressources

Connexe