Lettre conjointe des organismes fédéraux d’application de la loi pour rappeler les obligations relatives à la Loi canadienne anti-pourriel à l’industrie des applications
Le 26 novembre 2020
PAR COURRIEL
Objet : Vos obligations en vertu de la Loi canadienne anti-pourriel (LCAP)
Dans le cadre de notre campagne de sensibilisation en matière de conformité à la LCAP, nous souhaitons attirer votre attention sur d’importantes obligations d’ordre légal et réglementaire touchant votre entreprise.
Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Commissariat à la protection de la vie privée du Canada (Commissariat) et le Bureau de la concurrence (Bureau) sont respectivement responsables de l’application de la Loi canadienne anti-pourrielNote de bas de page 1, des dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)Note de bas de page 2 liées à la LCAP et des dispositions de la Loi sur la concurrenceNote de bas de page 3 liées à la LCAP(collectivement appelées les « dispositions liées à la LCAP »). Ensemble, nos organismes sont déterminés à protéger les consommateurs canadiens en ligne, y compris ceux qui installent et utilisent des applications mobiles. La confiance du public dans le commerce électronique est essentielle à un contexte économique sain et concurrentiel, et profite autant aux consommateurs qu’aux entreprises.
Nous tenons à vous rappeler qu’à titre d’entreprise offrant des applications aux consommateurs canadiens, votre organisation doit s’acquitter de certaines obligations en vertu des dispositions liées à la LCAP (vous trouverez un survol de celles-ci à l’annexe A de la présente lettre). En outre, votre entreprise se trouve dans une position unique puisqu’elle peut déceler, prévenir et enrayer les activités interdites par ces dispositions, ce qui permet de réduire au minimum les préjudices causés aux Canadiens découlant notamment de pertes financières, de la fraude ou du vol d’identité, entre autres.
Vous trouverez ci-après des exemples de pratiques relatives aux applications mobiles pouvant constituer des violations aux dispositions liées à la LCAP :
- Des applications comportant des indications fausses ou trompeuses visant à promouvoir soit la fourniture ou l’utilisation d’un produit, soit des intérêts commerciaux;
- Des applications qui recueillent les renseignements des consommateurs sans leur indiquer adéquatement de quelle manière leurs renseignements seront utilisés ou communiqués (même lorsque l’application est gratuite) ou des applications comportant des indications fausses ou trompeuses au sujet de la collecte, de l’utilisation, de la communication, du stockage et de l’élimination des renseignements des consommateurs;
- Des applications conçues et commercialisées de façon à recueillir ou à utiliser les adresses électroniques (courriels, messages texte, comptes de médias sociaux) en « vrac », p. ex. des applications qui « collectent » les contacts d’un utilisateur pour leur propre usage ou pour les vendre ou communiquer à d’autres parties sans le consentement explicite de l’utilisateur;
- Des applications conçues de façon à envoyer des messages électroniques commerciaux non sollicités après leur installation, p. ex. celles qui envoient des pourriels aux amis et contacts de l’utilisateur sans le consentement de celui-ci;
- Des applications qui recueillent ou utilisent les renseignements personnels en accédant au système informatique de l’utilisateur, ou en activant cet accès, sans le consentement de ce dernier, p. ex. un maliciel enregistreur de frappe qui recueille clandestinement les identifiants de l’utilisateur;
- Des applications qui ne décrivent pas l’ensemble de leurs fonctions, en particulier lorsque ces fonctions peuvent recueillir des renseignements personnels, modifier ou perturber les réglages, les préférences ou les données, ou établir une communication entre l’ordinateur et un autre système informatique, et ce, sans autorisation;
- Des applications qui, une fois installées, téléchargent immédiatement un deuxième programme sur l’ordinateur ou l’appareil d’un utilisateur à l’insu de celui-ci et sans son consentement;
- Des applications qui, une fois installées, génèrent des activités malveillantes, p. ex. l’envoi de messages d’hameçonnage ou d’autres communications qui, si le destinataire clique dessus, lancent le téléchargement de maliciels ou d’autres menaces en ligne.
Nous vous recommandons de lire attentivement la présente lettre et, le cas échéant, de prendre des mesures pour passer en revue vos pratiques afin que celles-ci soient conformes aux dispositions liées à la LCAP. De plus, vous pourriez exercer une diligence raisonnable en adoptant des mesures préventives supplémentaires. En voici quelques exemples :
- élaborer par écrit et mettre en œuvre un programme de conformité d’entreprise;
- adopter des pratiques de vérification rigoureuses à l’égard des clients et des applications;
- conclure des ententes avec les développeurs d’applications et d’autres parties, dans lesquelles on exige la conformité à la LCAP;
- documenter ces politiques et procédures opérationnelles.
Dans le cadre de l’élaboration des éléments susmentionnés, vous pourriez trouver utiles les documents d’orientation publiés par nos trois organismes ainsi que l’aperçu législatif figurant à l’annexe A de la présente :
- CRTC : Bulletin d’information de Conformité et Enquêtes CRTC 2014-326 : Lignes directrices visant à aider les entreprises à élaborer des programmes de conformité
- CRTC : Bulletin d’information de Conformité et Enquêtes CRTC 2018-415 : Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP)
- CRTC : Foire aux questions au sujet de la Loi canadienne anti-pourriel
- CRTC : Exigences de la LCAP concernant l’installation de programmes informatiques
- Commissariat : Responsabilités incombant au Commissariat en vertu de la LCAP
- Commissariat : Lignes directrices pour l'obtention d'un consentement valable
- Bureau de la concurrence : Foire aux questions sur la Loi canadienne anti-pourriel
- Bureau de la concurrence : Volume 5 - Recueil des pratiques commerciales trompeuses : Les mégadonnées et le coût caché des produits et des services numériques « gratuits »
- Bulletin du commissaire de la concurrence : Les programmes de conformité d’entreprise
- Innovation, Sciences et Développement économique Canada : le site Web www.combattrelepourriel.gc.ca sur la LCAP à l’intention des personnes et des entreprises
Nous vous encourageons à prendre bonne note de ces renseignements. Dans l’éventualité où vos pratiques en matière d’applications liées à la LCAP feraient l’objet d’une enquête menée par l’un ou l’autre de nos organismes, vous devriez vous attendre à ce que l’enquête tienne compte des mesures que vous aurez prises pour assurer votre conformité à ces dispositions.
Enfin, nous souhaitons aussi vous aviser que nos trois organismes prévoient publier en ligne un gabarit de la présente lettre (comportant des liens vers les documents d’orientation) et une annonce conjointe. Des liens vers ces documents seront publiés sous peu sur nos sites Web : www.crtc.gc.ca, www.priv.gc.ca et www.bureaudelaconcurrence.gc.ca.
Nous vous remercions de votre temps et de l’attention que vous porterez à cette question importante.
Veuillez agréer nos salutations distinguées.
La version originale a été signée par
Steven Harroun
Cadre en chef, Conformité et Enquêtes
Conseil de la radiodiffusion et des télécommunications canadiennes
La version originale a été signée par
Brent R. Homan
Sous-commissaire, Conformité
Commissariat à la protection de la vie privée du Canada
La version originale a été signée par
Josephine A. L. Palumbo
Sous-commissaire de la concurrence
Direction des pratiques commerciales trompeuses
Bureau de la concurrence du Canada
Annexe A : Aperçu des lois
Le CRTC est responsable de l’application des articles 6 à 8 de la LCAP.
- L’article 6 interdit l’envoi de messages électroniques commerciaux non sollicités (communément appelés « pourriels »).
- L’article 7 interdit la modification des données de transmission d’un message électronique dans le cadre d’une activité commerciale, sans consentement.
- L’article 8 stipule, en partie, qu’il est interdit, dans le cadre d’activités commerciales, d’installer ou de faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne, sans le consentement de l’utilisateur.
De plus, aux termes de l’article 9 de la LCAP, il est interdit de faire accomplir, même indirectement, tout acte contraire à l’un des articles 6 à 8, ou d’aider ou d’encourager quiconque à accomplir un tel acte. Cette disposition permet d’étendre la responsabilité aux intermédiaires dans la chaîne de valeur du commerce électronique, et impose des obligations aux organisations canadiennes qui publient des applications pour leur propre compte ou celui d’un tiers.
Le Commissariat est responsable d’assurer le respect de la LPRPDE, la loi fédérale régissant la protection des renseignements personnels dans le secteur privé. La LCAP a modifié la LPRPDE de deux façons :
- D’abord, certaines exceptions au consentement prévues dans la LPRPDE ne s’appliquent pas à la collecte ou à l’utilisation de l’adresse électronique d’un individu effectuée à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir (paragraphe 7.1(2)).
- Ensuite, certaines exceptions au consentement prévues dans la LPRPDE ne s’appliquent pas si une organisation recueille ou utilise les renseignements personnels d’un individu en accédant à un système d’ordinateur illégalement, p. ex. au moyen d’un maliciel (paragraphe 7.1(3)).
Le Bureau de la concurrence est responsable de l’application de la Loi sur la concurrence. La Loi comporte des dispositions (pénales et civiles) relatives aux indications et pratiques commerciales trompeuses interdisant de donner ou de permettre de donner au public, directement ou indirectement, des indications fausses ou trompeuses sur un point important. Il est tenu compte, pour déterminer si une indication est fausse ou trompeuse sur un point important, de l’impression générale que l’indication donne ainsi que de son sens littéral.
La LCAP a modifié la Loi sur la concurrence de deux façons :
- D’abord, de nouvelles dispositions ont été ajoutées, et d’autres ont été modifiées, afin de mieux aborder la question des indications et pratiques commerciales fausses ou trompeuses dans le marché électronique. Parmi ces dispositions figurent celles qui interdisent les pratiques suivantes :
- Envoyer ou faire envoyer des indications fausses ou trompeuses dans les renseignements sur l’expéditeur ou dans l’objet d’un message électronique (paragraphes 74.011(1) et 52.01(1));
- Envoyer ou faire envoyer dans un message électronique des indications fausses ou trompeuses sur un point important (paragraphes 74.011(2) et 52.01(2));
- Donner ou faire donner des indications fausses ou trompeuses dans un localisateur comme une URL ou une métadonnée (paragraphes 74.011(3) et 52.01(3));
- Ensuite, la Loi sur la concurrence comprend désormais un libellé neutre à l’égard des technologies qui englobe les technologies émergentes et couvre tous les moyens de télécommunication, y compris les applications, les sites Web, les blogues, les médias sociaux et les SMS ou messages texte.
- Date de modification :