À 45 jours de la fin de la période de transition, le CRTC fait le point sur l’application de la Loi Canadienne anti-pourriel (LCAP ou Loi C-28) et donne des précisions sur les enquêtes, les procès à venir ainsi que sur certains risques courus par les entreprises.
Ce matin, IAB Canada a invité à Toronto deux responsables de la mise en application de la Loi C-28 du CRTC, Kelly-Anne Smith, conseillère juridique et Dana-Lynn Wood, agente principale de la mise en application, pour présenter le statut de l’application de la Loi C-28. Même si la conférence visait essentiellement les grandes entreprises et leurs conseillers juridiques, l’équipe de Certimail a pu participer à l’événement et poser quelques questions sur les enjeux spécifiques aux PME.
Cette présentation est l’une des plus riches que le CRTC ait données jusqu’ici, notamment pour les explications pratiques sur ce qui est conforme. Voici donc un résumé de ce que nous a appris aujourd’hui le CRTC sur les sujets suivants :
- Les nombreuses plaintes que les canadiens continuent d’envoyer
- Les procédures d’enquêtes
- Engagement volontaire et pénalités
- La divulgation volontaire
- Ce qui change au 1er juillet 2017
- Listes louées ou achetées
- Responsabilité des agences et plateformes de courriel
- Les sondages
- Les SMS
- Les messages transactionnels
- La notion de marque versus entreprise
Près d’un million de plaintes
En 34 mois, le CRTC a reçu 922 262 dénonciations en vertu de la Loi C-28. Soit près de 250 000 nouvelles plaintes depuis le mois de novembre dernier. Cela représente plus de 300 000 plaintes par an ! Ces chiffres démontrent que les consommateurs canadiens continuent à supporter cette loi en très grand nombre. Ce qui laisse supposer que pas un élu ne s’aventurera à remettre en cause l’existence de cette loi draconienne par peur de se mettre les électeurs à dos.

Près d’un million de plaintes pour la Loi Canadienne anti-pourriel
Comme le montre le graphique ci-dessus, le volume quotidien de plaintes est en croissance constante depuis plus d’un an, dépassant les 1 000 plaintes par jour depuis le mois d’octobre dernier.
Selon le CRTC, les courriels représentent à peu près les deux tiers des plaintes et les SMS un bon tiers. Par contre, alors que le nombre de plaintes pour des courriels non conformes a diminué de près de 10% dans la dernière année, les dénonciations de SMS ont plus que doublé. Même si elles ne représentent qu’une infime portion du total, les plaintes liées aux messageries instantanées sont également en forte croissance.
Les problèmes de consentement représentent approximativement les deux tiers des plaintes reçues mais leur croissance est plus faible que pour les dénonciations de contenu ou sujet trompeur qui ont augmenté de 60% durant la dernière année. Ce qui laisse supposer que le Bureau de la concurrence qui gère ce type de plaintes va continuer à distribuer de fortes amendes comme il l’a déjà fait avec Budget, Avis et Amazon.
Les procédures d’enquête
Le CRTC a commencé par rappeler que face à la dimension internationale du pourriel, il a déjà passé des ententes de collaboration avec les autorités d’une dizaine de pays, dont les États-Unis, le Royaume Uni, l’Australie, la Corée et les Pays-Bas. Ces ententes vont dans les deux directions, c’est à dire que les autorités s’échangent mutuellement des informations permettant de déclencher des enquêtes, de les approfondir ou de poursuivre et punir les coupables.

Les différentes sources d’enquêtes sur la Loi Canadienne anti-pourriel menées par le CRTC
Comme c’était le cas lors d’une précédente présentation, le CRTC n’a pas indiqué les critères sur lesquels il s’appuyait pour déclencher une enquête. Par contre, ils ont expliqué que leurs enquêtes sont déclenchées non seulement par les plaintes qu’ils reçoivent mais également les informations fournies par leurs partenaires internationaux ainsi que par les messages qu’ils reçoivent à des adresses spécifiques semées sur différents sites web qu’on appelle communément des « pots de miel« .
Lorsque le CRTC mène une enquête, il peut adresser à l’entreprise une demande d’information pour qu’elle fournisse des justificatifs. Par exemple pour démontrer les consentements, le CRTC va exiger de l’entreprise qu’elle fournisse la preuve des consentements de toutes les personnes à qui l’entreprise a envoyé des courriels durant une certaine période de temps. Cela doit notamment comprendre :
- le type de consentement
- la date de consentement (explicite ou tacite)
- les informations détenues sur la personne
- un fichier CSV avec les informations de justification de chaque consentement
- la politique de protection de la vie privée de l’entreprise
- les guides de gestion des bases de données de contacts
- les politiques de communication électronique
- des copies d’écran des formulaires d’abonnement
- etc.
Une illustration de plus que la documentation obligatoire est un des aspects les plus dangereux et les moins connus de la Loi Canadienne anti-pourriel car sans cette documentation, vous êtes certain d’être coupable.
L’engagement volontaire
Lorsque le CRTC a terminé son enquête, il envoie un avis de violation. L’entreprise dispose alors de 30 jours pour négocier une entente d’engagement volontaire.
L’engagement volontaire n’est pas une admission de culpabilité mais une entente négociée qui inclue un paiement immédiat ainsi que l’engagement à prendre une série de mesures pour corriger les violations alléguées et la mise en place d’un programme de conformité complet et poussé. Pour négocier les conditions de l’engagement volontaire, vous devrez notamment documenter les démarches que vous aviez pris préalablement pour respecter la Loi C 28, ainsi que démontrer vos limites financières. Il va sans dire qu’il est dangereux de mener une telle négociation sans l’appui d’un (dispendieux) avocat spécialisé et expérimenté dans les négociations avec le CRTC.
Si vous refusez de signer un engagement volontaire, vous recevrez une amende beaucoup plus imposante que vous pourrez éventuellement contester en Cour d’Appel, si vous en avez les moyens financiers et juridiques. C’est ce qui explique pourquoi, jusqu’ici, tous les contrevenants épinglés sauf un, CompuFinder, ont pris un engagement volontaire et payé « spontanément » le montant négocié avec le CRTC.

Les amendes infligées par le CRTC en vertu de la Loi Canadienne anti-pourriel
Le CRTC a expliqué qu’ils n’ont pas de grille pour déterminer le montant des pénalités à payer à cause de la complexité de la Loi C-28, de la multitude de critères entrant en ligne de compte et de la nécessaire flexibilité pour garantir que les amendes soient suffisamment dissuasives pour être efficaces sans mettre les entreprises touchées en faillite.
Le programme de conformité imposé dans les engagements volontaires est, selon le CRTC, la pièce maîtresse car elle assure que l’entreprise ne violera plus la Loi Canadienne anti-pourriel. En fait pour le CRTC, les amendes et engagements volontaires sont essentiellement un moyen d’inciter TOUTES LES ENTREPRISES à se doter d’un programme de conformité respectant ses exigences. Et il est beaucoup moins coûteux et stressant de mettre en place un programme de conformité avec Certimail avant de se faire enquêter que sous la supervision directe du CRTC dans le cadre d’un engagement volontaire.
La divulgation volontaire
Vous savez sûrement que si vous avez caché une partie de votre richesse dans un paradis fiscal et que vous l’avouez au fisc avant qu’il ne le découvre par lui-même, vous n’aurez ni amende ni pénalité. Le CRTC lance une invitation similaire dans le cadre de l’application de la Loi Canadienne anti-pourriel.
Si vous vous rendez compte que votre entreprise a violé la Loi C-28, consciemment ou pas, vous pouvez contacter le CRTC dans le cadre d’un processus de divulgation volontaire. Même si le CRTC ne garantit pas que vous n’aurez pas de pénalité à payer, il promet de faire preuve de mansuétude dans le traitement de votre dossier en plus de vous conseiller sur les meilleures façons de corriger définitivement la situation avec un programme de conformité.
La seule condition qu’impose le CRTC est que vous identifiez toutes les violations dans votre déclaration initiale ce qui suppose que vous ayez réalisé préalablement un audit minutieux de vos pratiques afin d’identifier toutes les failles de conformité. Les violations qui pourraient être découvertes en cours de processus et qui n’auront pas été signalées dans la déclaration initiale seront exclues de la déclaration et sanctionnées comme si elles avaient été découvertes lors d’une enquête normale.
La divulgation volontaire est relativement peu utilisée pour l’instant mais à partir du 1er juillet prochain, elle deviendra un moyen d’éviter un procès à condition d’être faite avant de recevoir le recours déposé au tribunal. En fait, les impacts d’un recours civil ou collectif sont tellement importants que la Loi prévoit que vous préférerez recevoir une amende du CRTC pour les éviter.
Si vous vous retrouvez dans cette situation, n’hésitez pas à appeler nos experts pour qu’ils vous aident à identifier exhaustivement tous vos problèmes de conformité pour votre déclaration volontaire.
Ce qui change au 1er juillet
Le CRTC a clairement énoncé que les entreprises, petites et grandes, ont eu 3 longues années pour mettre en place leur programme de conformité depuis l’entrée en vigueur de la Loi C 28. La période de grâce prend fin et il est dorénavant trop tard pour se défendre en expliquant qu’on n’a pas compris précisément la Loi ou qu’on pensait que telle pratique était conforme ou suffisante. Il faut s’attendre à une multiplication des amendes et probablement à une inflation de leur montant dès le 2 juillet.
L’autre changement majeur est la disparition des mesures transitoires (section 66 de la LCAP) qui permettaient d’envoyer des messages électroniques commerciaux à des relations d’affaires qui avaient commencé avant l’entrée en vigueur de la Loi. À partir du 1er juillet 2017, vous ne pouvez envoyer de messages d’affaires qu’à des personnes ayant donné un consentement explicite, des clients ayant fait au moins une transaction dans les derniers deux ans ou aux personnes qui vous ont demandé de l’information commerciale depuis moins de six mois.
Ce client qui a fait appel à vous comme courtier immobilier il y a 3 ans pour acheter sa nouvelle maison, vous n’aurez plus le droit de lui envoyer de courriel pour lui indiquer que vous avez un acheteur intéressé à partir du 1er juillet prochain. Vous n’aurez même plus le droit de lui demander s’il consent à recevoir vos courriels futurs après cette date ! Le CRTC a été très clair aujourd’hui : une demande de consentement est un message électronique commercial et ne peut donc être envoyé sans consentement préalable !
C’est pour cela qu’il est très important de mettre en place votre programme de conformité dans les prochains jours afin d’avoir le temps de régulariser vos consentements qui ne sont pas encore à jour avant le 1er juillet et d’être obligé de les supprimer de votre base de données.
Un autre changement qui intervient le 1er juillet prochain, c’est le droit de recours civil ou collectif. C’est à dire que toute personne qui estime que vous avez violé la Loi peut demander au tribunal de vous condamner à lui rembourser les dommages encourus PLUS un montant de 200$ par violation avec un maximum d’un million de dollars par jour !
Les seules façons d’échapper à un tel procès sont :
- Invoquer la défense de diligence en démontrant que vous aviez mis en place et suivi un programme de conformité respectant les 8 exigences du CRTC avant d’envoyer les messages fautifs;
- Avoir pris un engagement volontaire avant le début des procédures sur la base d’une enquête ou d’un divulgation volontaire;
- Être sous le coup d’un avis de violation (amende) du CRTC.
Par contre, le CRTC a été très clair, une fois le recours engagé, il est trop tard pour faire une divulgation ou prendre un engagement volontaire.
Enfin, le CRTC a indiqué qu’à partir du 2 juillet 2017, un comité parlementaire serait mis en place pour procéder à un bilan de l’application de la Loi Canadienne anti-pourriel et proposer d’éventuels ajustements. Mais l’application actuelle de la LCAP continuera pendant tout ce temps.
Les listes d’adresses louées ou achetées
Le CRTC a fait valoir que lorsque vous obtenez des listes de contact par une tierce partie, vous devez vérifier que le fournisseur a obtenu les consentements en conformité avec la LCAP. Le fait qu’il s’y engage dans le contrat N’EST PAS SUFFISANT. Le CRTC a précisé que pour dégager votre responsabilité vous devez démontrer que vous avez pris des actions pour vérifier la légalité des consentements obtenus par votre fournisseur. Dans le cas contraire ou si le CRTC estime que vos démarches sont insuffisantes, vous serez tenu responsable des messages envoyés à ces personnes sans consentement légal.
Le CRTC a d’ailleurs sensibilisé les participants à faire très attention avec les répertoires et annuaires. Avant d’utiliser les informations d’un annuaire ou d’un répertoire vous devez vérifier que vous en avez le droit mais vous devez également vous assurer que l’éditeur a obtenu les consentements de publier ces informations en conformité avec la LCAP. Sinon VOUS ÊTES RESPONSABLE !
La responsabilité des agences et plateformes de courriel
À ma connaissance, c’est la première fois que le CRTC fait explicitement référence à une responsabilité des agences et plateformes technologiques dans l’envoi de messages non conformes à la Loi Canadienne anti-pourriel. Ce qu’ils ont expliqué ce matin, c’est que si les fournisseurs interviennent dans le contenu du message, ils peuvent être tenus conjointement responsables des violations de la Loi C-28. Cela s’applique par exemple aux agences qui s’occupent souvent des envois de leurs clients et parfois même de la rédaction des textes et du design des messages; ainsi qu’aux plateformes d’envoi (ESPs et CRMs) qui offrent des fonctionnalités de personnalisation du contenu ou de segmentation dynamique.
Nous allons consulter nos avocats partenaires pour approfondir ce point et y revenir prochainement dans un article plus détaillé.
Les sondages
Le CRTC a tenu à faire un point sur les messages électroniques invitant à remplir un sondage. Si le sondage est juste une étude, il n’entre pas dans la définition d’un message électronique commercial et n’a donc pas besoin de consentement préalable. Par contre, si le sondage fait référence à un produit ou qu’il en fait la promotion, même subtilement, il doit respecter toutes les exigences de la Loi.
Une bonne règle du pouce est de vous demander si le consommateur qui remplit le sondage peut deviner le nom de l’entreprise ou de la marque qui l’a commandé. Si c’est le cas, il est fort probable que votre sondage est assujetti à la Loi C 28.
Les SMS
Même s’ils sont beaucoup moins utilisés dans un contexte commercial que sur d’autres continents, les SMS sont dans le viseur du CRTC. Ne serait-ce que par la forte augmentation des plaintes de consommateurs à leur sujet.
Le CRTC invité les entreprises qui utilisent les SMS à des fins commerciales (pas forcément promotionnelles) ou planifient de le faire, de s’assurer que leur programme de conformité couvre ce type de messages. Ils ont mis en garde sur le fait que les fournisseurs de listes de SMS confondent souvent « ne pas être sur la liste nationale des numéros de téléphones exclus (LNNTE) » avec le consentement selon la LCAP alors que ce n’est pas pareil. Si une personne est sur la LNNTE, vous n’avez pas le droit de l’appeler pour des fin commerciales selon un principe d’opt-out. Par contre pour la Loi C-28 vous avez besoin d’un consentement préalable pour lui envoyer un SMS selon le principe du opt-in. Et comme cela a été précisé plus haut, vous êtes responsable de la conformité des listes qui vous sont fournies !
Les messages transactionnels
Les messages transactionnels ont fait l’objet d’une clarification par le CRTC ce matin. Le CRTC a convenu qu’un tel message (confirmation d’une transaction, changement de mot de passe, alerte programmée, etc.) n’est pas considéré comme un message électronique commercial s’il ne contient pas une offre commerciale et qu’il peut être envoyé même si la personne a retiré son consentement. Par contre, le CRTC a clairement indiqué que ces messages transactionnels doivent respecter les autres dispositions de la LCAP, notamment les informations obligatoires et un mécanisme de retrait.
La notion de marque versus entreprise
Le CRTC a tenu à préciser que tout retrait de consentement touche par défaut toute l’entreprise et non pas la seule marque indiquée dans le retrait. L’exemple pris a été celui de Loblaws et des pharmacies Pharmaprix (Shoppers Drug Mart) : si un consommateur se désabonne de l’infolettre d’un supermarché Loblaws, il vient de retirer son consentement à toute l’entreprise et pas seulement au supermarché. S’il était également abonné à l’infolettre de Pharmaprix, il ne doit plus la recevoir non plus. La seule façon de gérer cette situation légalement est de proposer un formulaire de retrait dans lequel le consommateur peut choisir les marques dont il souhaite recevoir les messages électroniques commerciaux.
La radicalité des deux derniers points abordés a surpris les participants qui ne comprenaient pas la logique qui les soutient. Lorsqu’on a fait remarquer au CRTC que c’était un peu fou, leur réponse a été « We don’t know how you operate, guys! » donc venez nous parler pour que nous vous comprenions mieux. Certimail a déjà entamé les démarches dans ce sens pour s’assurer que les exigences du CRTC restent compatibles avec les objectifs de la Loi Canadienne anti-pourriel et ne créent pas plus de confusion dans l’esprit des consommateurs.
Voilà, cela fait le tour de ce que nous avons appris du CRTC ce matin. Comme d’habitude, c’est la période de questions qui a été la plus riche en conseils pratiques. Même si nous avons été surpris par leurs exigences sur les messages transactionnels, nous sommes fiers de constater une fois de plus que le standards de conformité Certimail bâti en collaboration avec les chercheurs de la Faculté de Droit de l’Université de Montréal respecte les nouvelles exigences du CRTC et que nos clients n’ont donc rien à changer dans leurs pratiques.
Nos experts ainsi que la façon le plus efficace et la moins coûteuse de mettre en place un programme de conformité répondant aux exigences du CRTC.