Guide à l’intention des entreprises qui font du cybermarketing
Survol
Ce guide permet de renseigner les organisations sur le mandat du Commissariat à la protection de la vie privée du Canada (Commissariat) en matière de collecte automatisée d’adresses de courriel et de cybermarketing. Dans ce contexte, le cybermarketing se définit comme l’envoi de messages de marketing et de promotion par l’intermédiaire de courriels, de messagerie instantanée, de médias sociaux ou de tout autre moyen semblable.
Notre guide vous aidera à vous conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) quand vient le temps d’aborder la collecte automatisée d’adresses et les activités de cybermarketing.
Sur cette page
- Introduction
- Qui est responsable de quoi relativement au cybermarketing?
- Le cybermarketing offert par des tiers
- Obtenir le consentement pour recueillir des adresses
- Pollupostage : abordable, mais coûteux
- Les mesures à prendre pour éviter d’enfreindre la LPRPDE
- Scénarios
Introduction
L’économie actuelle est numérique et branchée. Notre quotidien se passe en grande partie en ligne de sorte qu’une organisation peut se faire connaître auprès de milliers de contacts par un simple clic.
Même s’il est tout à fait possible de recueillir des milliers et des milliers d’adresses électroniques à des fins commerciales, ou d’acheter des listes auprès de tiers, agir ainsi sans discernement peut entraîner des risques, autant à l’égard de l’application de la loi qu’à l’égard de l’image de marque d’une organisation.
Au niveau fédéral, la Loi canadienne anti-pourriel (LCAP) et certaines dispositions législatives de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la concurrence réglementent les pourriels et les menaces électroniques. La LPRPDE, la loi fédérale s’appliquant à la protection des renseignements personnels dans le secteur privé, porte sur la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales et renferme certaines restrictions applicables à la collecte automatisée d’adresses électroniques et au cybermarketing.
Qui est responsable de quoi relativement au cybermarketing?
Le Commissariat partage la responsabilité dans ce domaine avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau fédéral de la concurrence.
Le CRTC a la responsabilité d’enquêter sur les infractions à la LCAP en ce qui a trait à :
- l’envoi de messages électroniques commerciaux qui sont non sollicités;
- la modification des données de transmission;
- l’installation de logiciels sans consentement.
Le Bureau de la concurrence s’occupe des représentations fausses ou trompeuses, ainsi que des pratiques de commercialisation frauduleuses dans l’espace électronique commercial en vertu de la Loi sur la concurrence.
Pour de plus amples renseignements sur la gamme complète des questions couvertes par la législation fédérale en matière de pourriels et d’autres menaces numériques, y compris les points qui touchent des organisations autres que le Commissariat, consultez : www.combattrelepourriel.gc.ca.
La collecte automatisée d’adresses
La collecte automatisée d’adresses se définit comme la collecte d’adresses électroniques, telles que des adresses de courriel et de comptes de messagerie instantanée et de médias sociaux, à l’aide de programmes informatiques. Ceux-ci peuvent recueillir des adresses de sources externes ‒ par exemple, en « épluchant » les sites Web ‒ ou en générant des listes d’adresses.
La LPRPDE interdit la collecte automatisée d’adresses électroniques, à très peu d’exceptions près. Cette interdiction est très pertinente pour toutes sortes d’organisations, quel que soit leur taille ou leur secteur d’activité. Si une organisation se livre à la collecte automatisée d’adresses, ou obtient et utilise une liste colligée par des méthodes de collecte automatisée, elle risque de contrevenir à ses obligations d’obtenir le consentement valable en vertu de la LPRPDE.
Même si des exceptions sont prévues par la LPRPDE en matière de collecte de renseignements personnels sans consentement, ces exceptions ne s’appliquent pas généralement à la collecte automatisée d’adresses.
Comment les dispositions de la LPRPDE touchent-elles les entreprises qui font du cybermarketing?
En plus des dispositions particulières sur la collecte automatisée d’adresses, la LPRPDE exige que les entreprises (et autres organisations) rendent des comptes sur sa façon de recueillir, d’utiliser et de communiquer des renseignements personnels, notamment des adresses électroniques, dans la pratique de leurs activités commerciales. Les entreprises doivent s’assurer d’obtenir le consentement éclairé pour recueillir et utiliser l’adresse électronique d’un individu, même si celle-ci provient d’un fournisseur tiers. Ceci inclut les listes d’adresses électroniques.
Les organisations ont la responsabilité d’assurer que les individus qui reçoivent un message électronique commercial ont consenti à la collecte et à l’utilisation de leur adresse à des fins commerciales ou autres.
Pour de plus amples renseignements sur l’application du consentement à l’égard des activités commerciales en vertu de la LPRPDE, consultez les Lignes directrices pour l’obtention d’un consentement valable du Commissariat.
Le cybermarketing offert par des tiers
« Que se passe-t-il si mon entreprise fait appel à un fournisseur pour effectuer du marketing par courriel? » « Mon organisation est-elle responsable du travail effectué en mon nom par un tiers? »
Même dans les cas où votre organisation n’a pas recueilli ou généré des adresses de courriel à des fins commerciales, elle est responsable, conformément à la LPRPDE, de veiller à ce que le fournisseur obtienne un consentement valable.
Par exemple, vous contreviendriez à la LPRPDE si :
- vous faites l’acquisition et utilisez une liste auprès d’un fournisseur qui recueille des adresses sans consentement;
- vous faites appel à une entreprise pour effectuer une campagne de commercialisation en votre nom et que celle-ci utilise des adresses recueillies sans consentement.
Obtenir le consentement pour recueillir des adresses
En général, les personnes concernées doivent d’abord consentir à ce que leurs adresses électroniques soient recueillies et utilisées à des fins commerciales.
Cela signifie que vous devez informer clairement et précisément les personnes concernées, au moment de la collecte, des fins de l’utilisation de leurs adresses et de la possibilité de refuser la réception des messages, en tout temps.
La LCAP contient aussi des exigences concernant le consentement pour transmettre des messages électroniques commerciaux et les mécanismes de désabonnement. Pour de plus amples renseignements, consultez le guide du CRTC et combattrelepourriel.gc.ca.
Les adresses électroniques en ligne
On ne peut présumer que les personnes dont les adresses électroniques sont affichées en ligne souhaitent forcément recevoir des offres commerciales. On peut afficher des adresses de courriel en ligne pour différentes raisons. Par exemple :
- une personne peut utiliser son adresse électronique pour obtenir de la rétroaction d’autres personnes qui s’intéressent au sujet abordé dans une entrée de blogue ou un article qu’elle a écrit;
- un club ou un groupe communautaire pourrait afficher des adresses électroniques en ligne pour faciliter la communication entre ses membres et pour organiser des activités;
- un organisme de charité pourrait afficher son adresse pour recueillir des dons;
- une organisation pourrait inscrire les adresses d’employés sur une page de contact ou dans un répertoire d’employés afin de permettre la communication pour des raisons professionnelles ou liées à l’emploi.
Il est important de se rappeler que les coordonnées d’affaires comme les adresses électroniques professionnelles sont aussi considérées comme des renseignements personnels. Elles sont assujetties à la LPRPDE, sauf si leur collecte, leur utilisation ou leur communication servent seulement à contacter un individu pour des raisons d’affaires, professionnelles ou liées à l’emploi.
Les organisations qui souhaitent être prudentes doivent ne jamais présumer de rien et s’assurer que les adresses recueillies à des fins commerciales ont fait l’objet d’un consentement éclairé des personnes concernées. Consultez notre billet de blogue sur la façon de ne pas recueillir et utiliser les adresses électroniques pour solliciter des réactions.
Pollupostage : abordable, mais coûteux
Même si l’envoi de courriels non sollicités à des milliers d’adresses peut être un moyen abordable de se faire connaître, les organisations doivent se demander si elles veulent associer leur nom à du pollupostage.
Par exemple, selon un sondage d’opinion publique mené en 2018-2019, une large majorité de Canadiens ont indiqué être inquiets pour leur vie privée. La plupart d’entre eux ont, à un moment ou un autre, refusé de donner leurs renseignements personnels à une organisation, notamment leur adresse électronique.
Selon le même sondage, une nette majorité de Canadiens choisirait de faire affaire avec une entreprise qui a de bonnes pratiques en matière de protection de la vie privée. Les entreprises et organisations qui respectent la LPRPDE et la LCAP ‒ et qui veillent à ce que les tiers avec lesquels elles travaillent fassent de même ‒ en tireront un avantage certain : elles ne seront pas considérées comme des polluposteurs.
Les mesures à prendre pour éviter d’enfreindre la LPRPDE
Si vous envoyez des messages à partir d’une liste obtenue d’un fournisseur, demandez-lui comment il a obtenu les adresses ainsi que le consentement pour leur utilisation. Il est de votre responsabilité de vérifier si l’entreprise avec laquelle vous collaborez connaît les dispositions de la LPRPDE et s’y conforme. En d’autres termes, même si c’est une autre entreprise qui fait le travail en votre nom, vous demeurez responsable.
- Si vous faites affaire avec une entreprise de marketing, demandez à ses représentants de vous expliquer, en détail, où ils obtiennent les adresses de courriel qu’ils utilisent pour faire la promotion de votre entreprise.
- Si l’entreprise a acheté cette liste d’un tiers, demandez aux spécialistes du marketing de vous expliquer comment les adresses de courriel ont été recueillies à l’origine, et comment le consentement a été obtenu.
- Vous devriez aussi demander au fournisseur ou aux représentants de l’entreprise de marketing de vous décrire comment les listes sont mises à jour et comment ils informent les organisations qui achètent et utilisent ces listes de tout changement.
- Par exemple, comment s’assurent-ils que les nouvelles adresses sont ajoutées à une liste uniquement après l’obtention d’un consentement valable?
- S’assurent-ils de supprimer les adresses quand une personne se désabonne pour ne plus recevoir de courriels ultérieurs, et retire ainsi son consentement?
- Dans tous les cas, exprimez-vous clairement. Prenez soin d’inscrire dans un contrat que vous ne voulez pas que l’on envoie vos courriels à des gens qui n’ont pas consenti à fournir leurs adresses de courriel ou à recevoir des courriels de nature commerciale.
Après tout, étant donné l’aversion généralisée des gens à recevoir des pourriels, quelle organisation voudrait courir le risque d’être perçue comme un polluposteur?
Qu’est-ce que les fournisseurs de listes de courriel devraient savoir à propos du consentement?
Certains fournisseurs d’adresses électroniques peuvent très bien recueillir des adresses sans toutefois envoyer des messages à leurs destinataires. Le CRTC est responsable de l’application des règlements de la LCAP concernant l’envoi de messages commerciaux électroniques et l’obtention d’un consentement valable. La LPRPDE s’applique, quant à elle, à la collecte, à l’utilisation et à la communication de renseignements personnels, qui comprennent les adresses de courriel personnelles.
En règle générale, en vertu des dispositions de la LPRPDE, une organisation doit informer clairement les personnes concernées des raisons de la collecte, de l’utilisation ou de la communication de renseignements personnels. Vous devriez obtenir le consentement des personnes avant ou au moment de la collecte, puis le renouveler quand une nouvelle utilisation de leurs renseignements est établie. Vous devriez aussi permettre aux personnes concernées de retirer, en tout temps, leur consentement quant à l’utilisation de leurs renseignements personnels, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable.
En tant que fournisseur de listes, si vous recueillez un lot d’adresses de courriel par voie électronique et les revendez sans en informer les personnes concernées, et sans obtenir de ces dernières un consentement valable, vous pourriez enfreindre plusieurs dispositions de la LPRPDE.
Scénarios
Les scénarios hypothétiques ci-dessous démontrent comment des personnes et des organisations pourraient être accusées d’avoir recueilli et utilisé des adresses électroniques sans consentement, en vertu de la LPRPDE.
Une petite entreprise achète une liste d’adresses électroniques à un fournisseur
Une petite entreprise cherchait un moyen abordable de faire connaître son produit à des milliers de personnes. Elle a acheté une liste d’adresses de courriel auprès d’un fournisseur. Ce dernier a créé sa liste en utilisant un « robot Web » pour extraire les adresses de courriel affichées sur Internet et donc, sans obtenir le consentement des personnes concernées.
Une organisation recueille des adresses dans un but précis, et les vend ensuite à d’autres fins
Plusieurs consommateurs se plaignent par écrit de pourriels provenant d’une entreprise de vente de voitures et de pièces d’automobile, alors qu’ils ne lui ont pas transmis leurs adresses de courriel. Tous ces consommateurs ont adhéré au même site Web d’amateurs d’automobiles et ont fourni leurs adresses de courriel respectives afin d’obtenir un mot de passe leur permettant d’accéder à la section du site réservée aux membres. Il semble que le site Web ait vendu une liste des adresses de courriel de ses membres à l’entreprise de vente de voitures et de pièces d’automobile, sans avoir obtenu leur consentement.
Téléchargement des coordonnées d’entreprise
Un fournisseur de listes apprend qu’une organisation employant des milliers de personnes et adhérant au concept des « données ouvertes » permet le téléchargement de milliers d’adresses de courriel d’employés en un simple clic ou presque. Le fournisseur présume faussement que les adresses, puisqu’elles sont associées à un employeur, ne sont pas assujetties à la LPRPDE. Les coordonnées d’affaires peuvent être assujetties à la Loi si elles sont recueillies, utilisées ou communiquées à d’autres fins que pour contacter une personne ou faciliter la communication avec une personne pour des raisons d’affaires, professionnelles ou liées à l’emploi.
Non pas recueillir, mais générer des adresses
Un entrepreneur technophile veut vendre des listes d’adresses de courriel à des spécialistes en marketing, mais veut éviter de donner l’impression de « voler » celles-ci auprès de personnes dont les coordonnées sont affichées sur le Web. Il utilise donc un outil qui génère des adresses en utilisant des noms de personnes qui sont par la suite jumelés à des domaines de fournisseurs de services de courriel. Ses frais généraux sont modestes. Il offre des listes à très bas prix, ce qui attire plusieurs clients potentiels, d’autant plus qu’il affirme que ce ne sont pas des adresses « saisies » sur le Web. Or, il n’a pas obtenu le consentement des personnes concernées quant à l’utilisation de leurs adresses de courriel.
- Date de modification :