L’un des éléments les plus controversés de la Loi canadienne anti-pourriel (la « LCAP »)¹ réside probablement dans son application tous azimuts de la responsabilité à divers acteurs et intermédiaires prenant part à des communications électroniques. Comme nous l’avons expliqué dans une communication antérieure, des personnes peuvent engager leur responsabilité en vertu de la LCAP si elles « font accomplir, même indirectement » ou « permettent que soit accompli » un acte interdit aux articles 6 à 8 de la LCAP (à savoir l’envoi de messages électroniques commerciaux qui ne respectent pas certaines exigences de forme et de consentement, la modification sans consentement des données de transmission d’un message électronique et l’installation sans consentement de programmes informatiques). De plus, l’article 9 de la LCAP interdit d’aider ou d’encourager quiconque à accomplir un acte qui contrevient à ces dispositions.

Le 5 novembre 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») a publié le Bulletin d’information de Conformité et Enquêtes CRTC 2018-415 (le « Bulletin »), dans lequel il présente des lignes directrices sur son interprétation de l’article 9. Selon le CRTC, cet article, auquel il faut accorder une portée étendue, est un élément crucial de l’écosystème de conformité établi par la LCAP. En pratique, la position du CRTC concernant la portée du régime de responsabilité établi par l’article 9 de la LCAP impose un lourd fardeau de conformité et présente de sérieux défis en la matière aux entreprises du secteur du marketing et des communications numériques au Canada. Bien que le Bulletin présente le point de vue du CRTC quant à l’étendue de la responsabilité susceptible d’être rattachée aux actes de tiers en vertu de la LCAP, aucun tribunal ne l’a encore validé ou adopté.

Points saillants du Bulletin du CRTC

Le Bulletin énonce les cinq principaux points suivants :

1. L’article 9 s’applique pour ainsi dire à tous les intermédiaires et fournisseurs de produits ou de services numériques. Le CRTC est d’avis que l’article 9 peut s’appliquer à un large éventail de particuliers et d’organisations « qui facilitent la réalisation d’activités commerciales par voie électronique en fournissant des services habilitants, de nature technique ou autre », ainsi qu’à « ceux qui bénéficient d’un avantage financier direct ou indirect découlant d’une contravention aux articles 6 à 8 de la LCAP ». Le Bulletin dresse une liste « non exhaustive » des intermédiaires susceptibles d’engager leur responsabilité : les courtiers en publicité, les commerçants en ligne, les développeurs et les distributeurs de logiciels et d’applications, les fournisseurs de services de télécommunications et de services Internet, les opérateurs de systèmes de traitement des paiements et les fournisseurs de services d’hébergement Web.
2. La responsabilité prévue par l’article 9 n’exige pas la preuve d’une intention d’aider quiconque à commettre un acte en violation de la LCAP ni la connaissance de la violation en question. Ainsi, selon le Bulletin, les particuliers et les organisations qui exercent « [des] activités réglementées, telles que celles liées au commerce électronique », doivent s’assurer que leurs actes ou omissions n’ont pas pour effet d’aider ou d’encourager quiconque à violer les articles 6 à 8 de la LCAP. À titre d’exemple, l’entreprise qui fournit des services à des fins de commercialisation en ligne de masse pourrait contrevenir à l’article 9 si le modèle de message n’identifie ni l’expéditeur ni l’existence d’un mécanisme d’exclusion conforme à la LCAP. De même, le fournisseur de services d’hébergement Web dont les serveurs sont utilisés par une entreprise cliente pour établir un faux site Web bancaire pour mener une campagne d’hameçonnage pourrait engager sa responsabilité.
3. La responsabilité et les mesures d’application de la loi susceptibles d’être prises en cas de violation possible de l’article 9 seront tributaires de plusieurs facteurs. Selon le Bulletin, au moment d’évaluer s’il y a eu violation de l’article 9, le CRTC tiendra compte de divers facteurs, dont les suivants : (i) le niveau de contrôle qu’un particulier ou une organisation a sur l’activité qui contrevient aux articles 6 à 8 de la LCAP, et la mesure dans laquelle le particulier ou l’organisation est en mesure de prévenir cette activité; (ii) l’importance du lien qui existe entre les mesures qu’a prises la partie qui a aidé à commettre la violation et celles qui contreviennent aux articles 6 à 8 de la LCAP (par exemple, la simple vente d’un ordinateur qui serait ensuite utilisé pour violer la LCAP ne créerait pas de lien fort entre les parties; en revanche, la vente d’un logiciel malveillant suggérerait l’existence d’un lien plus fort); et (iii) les éléments de preuve établissant que des mesures raisonnables ont été prises pour empêcher ou arrêter la violation. Si le CRTC conclut à une violation de l’article 9 de la LCAP, son choix de mesure d’application de la loi reposera généralement sur des considérations telles que les suivantes : (i) l’effet probable de la mesure sur la conformité; (ii) la nature et la portée de la violation; (iii) le niveau de dommage associé à la violation; (iv) le niveau de coopération du contrevenant présumé; et (v) l’historique des violations antérieures.
4. Il est possible d’invoquer une défense selon laquelle les précautions voulues ont été prises, mais il est difficile d’en faire la preuve. L’article 33 de la LCAP prévoit que nul ne peut être tenu responsable d’une violation de la LCAP s’il prouve qu’il a pris toutes les précautions voulues pour prévenir celle-ci. Cependant, le Bulletin propose une norme extrêmement sévère à cet égard dans le contexte de l’article 9, dont on devra s’acquitter en adoptant des « mesures raisonnables » bien documentées pour prévenir, détecter et corriger les comportements potentiellement fautifs de clients, dont les suivantes : (i) la validation de l’identité des clients, la vérification de la réputation de clients potentiels et le fait d’éviter de faire affaire avec des personnes recherchant l’anonymat complet; (ii) l’examen des produits ou des services offerts par des clients potentiels pour en vérifier la conformité à la LCAP; (iii) l’examen de la façon dont les clients existants font usage des différents services; (iv) l’affectation de ressources à l’élimination des menaces, à la résolution des problèmes de sécurité et à la mise en œuvre de solutions durables en temps opportun afin d’empêcher que des menaces semblables ne se produisent à l’avenir; et (v) le fait de venir en aide aux utilisateurs dont les appareils et les comptes ont été compromis.
5. Le fait de respecter les normes d’une industrie pourrait ne pas être suffisant. Le plus étonnant peut-être, c’est que le CRTC s’attend à ce que les intermédiaires prennent des mesures de conformité qui, selon les circonstances, pourraient aller au-delà des normes existantes : « Il convient de souligner que le simple fait de respecter les normes d’une industrie peut s’avérer insuffisant. Si un particulier ou une organisation identifie une menace ou une vulnérabilité, des mesures devront être prises à cet égard quitte à aller au-delà des normes existantes. »

Le CRTC semble être d’avis que l’article 9 impose aux intermédiaires et autres fournisseurs de produits ou de services pouvant servir à contrevenir à la LCAP l’obligation de s’assurer que leurs clients ne se livrent pas à des actes répréhensibles, à défaut de quoi ils pourraient être tenus responsables. Les conséquences de la non-conformité peuvent être lourdes, car les violations de l’article 9 donnent lieu aux mêmes sanctions administratives que les violations des articles 6 à 8 (et, si d’autres règlements sont pris à l’avenir, pourraient éventuellement entraîner le paiement d’importantes pénalités administratives s’accumulant quotidiennement).

Il convient de souligner que la perspective d’être tenu responsable en vertu de l’article 9 de la LCAP n’est pas que théorique. En juillet 2018, le CRTC a transmis des procès-verbaux de violation à un courtier en publicité et à son fournisseur de services d’enchères en temps réel à la suite d’une enquête lui ayant permis de conclure que les clients du courtier s’étaient servis de ses systèmes pour installer des programmes de « publicité malveillante » en contravention de l’article 8 de la LCAP. Les actes posés dans cette affaire étaient clairement inadmissibles, mais il n’en reste pas moins que le Bulletin confirme que le CRTC n’a pas l’intention de limiter l’application de l’article 9 aux seules affaires de non conformité délibérée ou flagrante.

Incidences

Le Bulletin soulève d’importantes questions quant au fardeau qu’imposent les attentes du CRTC en matière de conformité, à la manière d’y répondre dans la pratique et à la responsabilité qui pourrait retomber sur des entreprises légitimes du secteur des communications numériques au Canada. L’approche du CRTC à cet égard est étonnante au vu des préoccupations exprimées récemment par différentes parties prenantes au sujet des coûts et du fardeau associés à la conformité à la LCAP. Le Bulletin du CRTC sera selon nous source de nouvelles préoccupations qui risquent de se traduire par d’autres demandes d’éclaircissements et d’éventuelles modifications législatives.

Pour l’heure, les entreprises qui fournissent des services de communications numériques au Canada auraient tout intérêt à revoir leur procédure de conformité à la LCAP (y compris à l’égard des tiers et des clients) et à prendre des mesures de façon proactive lorsqu’elles détectent des lacunes, afin d’éviter de s’exposer au risque de responsabilité en vertu de la LCAP.