Le gouvernement canadien a récemment déposé un projet de loi qui sanctionnerait sévèrement l’envoi de messages électroniques commerciaux non sollicités (pourriels) ou l’installation illicite de logiciels malveillants sur un ordinateur sans le consentement de son propriétaire (espiogiciels). Le projet de loi C-28, Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (LEPRISF) prévoit également des modifications à la Loi sur la concurrence, à la Loi sur la protection des renseignements personnels et les documents électroniques et à la Loi sur les télécommunications.

La LEPRISF fait suite au dépôt, l’année dernière, d’un projet de loi intitulé Loi sur la protection du commerce électronique (LPCE) visant à lutter contre les pourriels et espiogiciels (voir notre article précédent), projet de loi qui a fait l’objet de nombreux amendements avant son adoption par la Chambre des communes. À la prorogation du Parlement à la fin de l’année, le projet de loi est mort au feuilleton. Les dispositions antipourriels et antiespiogiciels de la LETRISF sont en substance les mêmes que celles de la version modifiée de la LPCE.

À l’instar de la LPCE, un organisme ne pourrait en vertu de la LEPRISF envoyer des messages électroniques commerciaux à une adresse électronique que si l’expéditeur a obtenu le consentement exprès ou tacite du destinataire. « Message électronique » s’entend notamment d’un « message envoyé par tout moyen de télécommunication, notamment un message textuel, sonore, vocal ou visuel »; soit un sens large qui engloberait notamment les courriels, messages textes ou messages instantanés et bon nombre de communications électroniques comme les messages sur Twitter® ou les messages Facebook®.

La LEPRISF conserve certaines exceptions à cette règle qui figuraient dans la version modifiée de la LPCE. En vertu de la LEPRISF, il n’est pas nécessaire d’obtenir un consentement pour l’envoi de messages électroniques commerciaux dont l’objet est de :

• donner un prix ou une estimation;
• faciliter, compléter ou confirmer la réalisation d’une opération commerciale en cours;
• donner des renseignements en matière de garantie;
• donner des éléments d’information à l’égard d’un abonnement, d’une adhésion, d’un compte ou d’un prêt en cours;
• donner des renseignements liés au statut d’employé; ou
• livrer des biens, produits ou services, y compris des mises à jour ou des améliorations à l’égard de ceux-ci.

Cette liste n’est pas exhaustive et d’autres fins peuvent être précisées par règlement.

Le projet de loi prévoit également certaines situations où le consentement peut être tacite, notamment lorsque :

• l’expéditeur a, avec le destinataire, des relations d’affaires en cours (soit des relations conclues au cours de la période prescrite);
• le destinataire a « publié bien en vue » son adresse électronique et n’a pas indiqué qu’il ne veut recevoir aucun message électronique commercial non sollicité à cette adresse, et le message a un lien soit avec l’exercice des attributions du destinataire, soit avec son entreprise commerciale ou les fonctions qu’il exerce au sein d’une telle entreprise; ou
• le destinataire a communiqué l’adresse électronique à l’expéditeur sans aucune mention précisant qu’il ne veut recevoir aucun message électronique commercial non sollicité à cette adresse.

L’organisation qui entend obtenir un consentement exprès pour l’envoi de messages commerciaux non sollicités devra énoncer en termes simples et clairs les fins auxquelles le consentement est sollicité, les renseignements permettant d’identifier l’organisation qui sollicite le consentement et tout autre renseignement précisé par règlement.

La LEPRISF stipule également qu’un message électronique doit :

• donner l’identité de l’expéditeur;
• donner de l’information sur la personne à contacter de l’expéditeur; et
• prévoir un mécanisme « d’exclusion » (soit un lien, soit une adresse électronique) permettant à chaque destinataire d’exprimer sa volonté de ne plus recevoir d’autres communications ou messages. L’adresse électronique ou le lien doivent être valables pendant au moins 60 jours après la transmission du message. Si une organisation reçoit une demande « d’exclusion », elle doit y donner suite dans les 10 jours ouvrables.

Pour éliminer les espiogiciels, maliciels et les réseaux zombies, il serait interdit en vertu de la LETRISF d’installer des programmes d’ordinateur sans le consentement de l’usager ou du propriétaire de l’ordinateur. En vertu du projet de loi, avant l’installation de quelque logiciel sur un ordinateur, l’organisation qui sollicite le consentement ou encore le programme devra « énoncer en termes simples, clairs et généraux la fonction et l’objet du programme d’ordinateur qui sera installé ». Cependant, si un programme effectue certaines fonctions potentiellement indésirables, on doit en outre porter ces « conséquences prévisibles » à l’attention de l’utilisateur. Les fabricants de logiciels pourraient ainsi être assujettis à d’incontournables obligations d’information. La liste des fonctions indésirables prévues par règlement est identique à celle que l’on retrouve dans la législation antiespiogiciels internationale et comprend notamment :

• la collecte de renseignements personnels sur l’ordinateur;
• l’entrave au contrôle de l’ordinateur par l’utilisateur;
• la modification des paramètres, préférences ou commandements déjà installés ou mis en mémoire dans l’ordinateur à l’insu de l’utilisateur;
• l’entrave à l’accès ou à l’utilisation de ces données dans l’ordinateur;
• la communication de l’ordinateur avec un autre ordinateur sans l’autorisation de l’utilisateur; ou
• l’installation d’un programme d’ordinateur activé par un tiers à l’insu de l’utilisateur.

Ces exigences s’appliqueraient non seulement aux ordinateurs personnels et aux serveurs informatiques, mais aussi à tout autre dispositif électronique qui permet l’installation de programmes de tiers comme les appareils iPhone et BlackBerry®. Ces exigences ne s’appliquent pas à certaines technologies s’il est raisonnable de croire, d’après le comportement du destinataire, que ce dernier a consenti à l’installation du programme, notamment dans le cas de codes HTML, de témoins de connexion, de codes javascript, de systèmes d’exploitation, de correctifs, d’extensions et d’autres programmes que le gouvernement peut préciser par règlement. Les mises à niveau et mises à jour sont également dispensées dans la mesure où le destinataire a consenti à l’installation initiale et a le droit de recevoir les mises à niveau ou mises à jour.

Il est également interdit en vertu de la LEPRISF de modifier ou de faire modifier sans le consentement expresse de l’expéditeur ou une ordonnance judiciaire les données de transmission d’un message électronique de façon à ce qu’il soit livré à quelque autre destination. Cette disposition vise les activités comme les attaques de type « man-in-the-middle » (interception et réacheminement de messages à l’insu des parties) et le « hameçonnage » (usurpation de l’identité d’une organisation légitime en vue de voler de précieuses données personnelles).

À l’heure actuelle, la LEPRISF ne s’applique pas aux communications vocales bilatérales qu’ont entre elles des personnes physiques, comme, par exemple, le télémarketing. Le télémarketing est régi par la Loi sur les télécommunications, à laquelle se rattache la liste nationale des numéros de télécommunication exclus (LNNTE). La LEPRISF contient toutefois une disposition permettant au gouvernement de révoquer les dispositions habilitantes de la Loi sur les télécommunications relatives à la LNNTE et d’élargir la portée de la LEPRISF au télémarketing. Le cas échéant, le télémarketing sera alors assujetti au mécanisme d’adhésion plus strict pour les messages commerciaux non sollicités en vertu de la LEPRISF (par opposition au mécanisme d’exclusion en vertu de la LNNTE).

La LEPRISF apporterait en outre des modifications à la Loi sur la concurrence interdisant les indications commerciales fausses ou trompeuses données par voie électronique. Elles modifierait en outre la LPRPDE afin d’interdire la collecte de renseignements personnels par l’utilisation non autorisée d’ordinateurs et l’établissement non autorisé de listes d’adresses électroniques.

Si la LEPRISF est adoptée, les contrevenants seraient passibles d’une amende maximale de 1 million de dollars dans le cas d’une personne physique et de 10 millions de dollars dans le cas d’une organisation pour la violation de certaines dispositions. La LEPRISF créerait également un droit privé d’action qui permettrait aux entreprises et aux consommateurs de poursuivre au civil quiconque contrevient à la LEPRISF selon un critère moins rigoureux de prépondérance des probabilités. Le tribunal pourra ordonner que soit versée au demandeur une somme égale au montant de la perte ou des dommages subis ou des dépenses engagées. Le tribunal pourra également accorder des dommages-intérêts de 200 $ à l’égard de chaque contravention, jusqu’à concurrence de 1 million de dollars par jour pour l’ensemble des contraventions.

Dans un article précédent,

La LEPRISF lève ces craintes et indique expressément que les collectes de renseignements personnels exclues dans la LPRPDE ne contreviendraient à la LEPRISF que si les renseignements sont recueillis en contravention du droit fédéral (y compris la LEPRISF). Cette importante modification à la LEPRISF par rapport à la LPCE fait en sorte que cette disposition s’applique expressément aux actes qu’elle entend interdire (l’exploitation de courriels et le piratage informatique), tout en permettant aux entreprises et aux personnes physiques de recueillir des renseignements personnels par voie électronique à certaines fins légitimes comme le dépistage et la répression de la fraude.

Étant donné que la LEPRISF s’inspire largement de la LPCE, que la Chambre des communes avait déjà adoptée, elle devrait franchir rapidement le processus d’examen du Parlement. Si la LEPRISF devait être promulguée, les organisations devront :

• revoir et examiner leurs formulaires d’obtention du consentement exprès pour l’envoi de messages électroniques commerciaux, ou l’installation de programmes d’ordinateurs afin de s’assurer que ces formulaires respectent les exigences prescrites;
• réexaminer leurs procédures relatives à la documentation de ce consentement, puisqu’il incombera aux expéditeurs et aux créateurs de logiciels de prouver qu’ils ont obtenu le consentement;
• veiller à ce que tout message électronique commercial comprenne à la fois les renseignements précisés par règlement et un mécanisme d’exclusion valable pour la période indiquée;
• traiter les demandes d’exclusion dans le délai prescrit;
• veiller à ce que tout processus qui comporte la collecte d’adresses électroniques et d’autres renseignements personnels respecte les modifications apportées à la LPRPDE; et
• dans le cas des créateurs de logiciels, examiner leurs procédures d’installation de programmes pour s’assurer que les renseignements relatifs à la fonction et à l’objet du programme sont fournis avant l’installation. De plus, si le programme effectue l’une des fonctions indésirables précisées par règlement, le mécanisme devra également comprendre des renseignements supplémentaires sur les conséquences prévisibles de ces fonctions.