Vie privée : de nouvelles obligations pour toutes les entreprises

Selon la Chambre de Commerce du Canada, en 2016, 53% des entreprises canadiennes ont été victimes de pertes de données sensibles. Dans les dernières années, des millions de Canadiens ont découvert que leurs données personnelles volées chez Bell Canada, Equifax, Uber, CIBC ou Winners.

C’est ce qui a amené le gouvernement à obliger les entreprises à dévoiler systématiquement tous les incidents ayant pu affecter les informations personnelles qu’elles détiennent sur leurs clients.

C’est le 1er novembre 2018 qu’entrera en vigueur la Loi sur la protection des renseignements personnels numériques qui ajoute des dispositions à la Loi sur la protection des renseignements personnels et les documents électroniques, mieux connue sous son acronyme en anglais « PIPEDA ».

L’obligation de conserver un registre

La Loi impose aux organisations de conserver un registre de toutes les « atteintes aux mesures de sécurité » et ce, pour les 24 mois suivants la date de l’atteinte et lequel devra être disponible au commissaire à la protection de la vie privée en tout temps.

Par «atteinte aux mesures de sécurité», on entend toute perte, accès non autorisé ou divulgation non autorisée de renseignements personnels1. Cela peut-être la perte ou le vol d’une clef USB, d’un disque dur ou d’un ordinateur qui possédait des informations personnelles. Ou alors, la découverte d’une tentative de piratage d’un serveur ou d’un virus qui a affecté un ordinateur ou un réseau sur lequel se trouvaient de telles données. Cela peut également être la découverte qu’un employé a accédé à des telles données sans respecter les procédures.

Les entreprises doivent donc documenter chaque problème de sécurité touchant aux informations personnelles qu’il soit informatique, matérielle ou humaine et ce qu’il y ait eu des dommages ou non.

Obligation d’informer les autorités

De plus, une organisation devra notifier le plus tôt possible le commissaire à la protection de la vie privée, dès qu’une atteinte aux mesures de sécurité pourrait entraîner un « préjudice grave ».

La définition de « préjudice grave » est beaucoup plus large que ce que l’on pourrait croire. Cela comprend la « lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles »2.

Votre entreprise doit donc procéder à une évaluation du risque lors de chaque incident pour déterminer le préjudice en considérant notamment le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements soient mal utilisés.

Par exemple, si vous êtes une PME, vous devrez procéder aux notifications dans l’une ou l’autre des situations suivantes :

  • vous avez découvert un virus affectant le serveur ou l’ordinateur où se situe votre base de données;
  • votre site web a été victime d’une tentative de piratage;
  • un employé n’a pas respecté une procédure;
  • un ancien employé a emporté des données personnelles avec lui.

Évidemment, les situations pouvant donner lieu à une «atteinte aux mesures de sécurité» sont nombreuses dans les organisations collectant des renseignements personnels et une énumération complète de ces dernières est impossible.

Obligation de notifier vos clients

Lorsque vous découvrez qu’un incident a pu entrainer la divulgation de données personnelles, vous devez informer toutes les personnes dont les données ont été compromises. Et ce même si vous n’êtes pas certain que leurs données aient été divulguées.

Il n’est jamais agréable d’annoncer à ses clients que nous avons mal géré leurs informations et qu’elles ont pu être compromises. Mais si vous le faîtes de la bonne façon et, surtout, rapidement, vos clients apprécieront votre diligence à leur épargner les conséquences éventuelles.

Contenu de l’avis

Les avis notifiant les personnes concernées et le Commissaire à la vie privée de l’atteinte devront contenir des informations bien précises leur permettant d’être renseignés sur les mesures à prendre afin de réduire le risque de préjudice. L’avis à vos clients devra comprendre au minimum :

  • les circonstances de l’incident;
  • la date ou la période de l’incident;
  • la nature des renseignements personnels visés par l’incident;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice;
  • les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice;
  • les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’incident.

L’avis au commissaire devra avoir un contenu identique à l’exception qu’il devra inclure le nombre d’individus visés par l’atteinte.

Rapprochement avec l’Europe

Ces dernières modifications sont contraignantes pour les entreprises, mais en les adoptant, le Canada se rapproche des obligations imposées en Europe depuis le 25 mai dernier par le RGPD, ce qui facilitera les transferts d’information entre organisations européennes et organisations canadiennes.

Depuis toujours, pour tout ce qui touche à la sécurité, la prévention est la meilleure forme de protection. Faire un audit de vos politiques et pratiques de gestion des renseignements personnels dans le cadre de la mise en place d’un programme de conformité à la Loi Canadienne anti-pourriel est une façon à la fois pratique et économique de vous mettre rapidement à l’abri des poursuites, amendes et autres obligations qui pourraient affecter grandement la confiance de vos clients.

 

 

Les entreprises canadiennes face à la nouvelle loi californienne sur la protection des renseignements personnels

Jusqu’à tout récemment, les États-Unis tiraient de l’arrière en matière de protection des renseignements personnels. Grande surprise, le 28 juin dernier, la Californie a adopté le California Consumer Privacy Act (CCPA) qui entrera en vigueur en janvier 2020.

Et comme toutes les nouvelles lois de ce type, elle dépasse les frontières et concerne donc les entreprises canadiennes qui ont des clients en Californie. La bonne nouvelle, c’est que les entreprises qui ne rencontrent aucun des critères ci-dessous ne sont pas concernées pour le moment.

Le CCPA s’applique à toute organisation possédant les informations personnelles de résidents californiens et qui :

A des revenus annuels bruts supérieurs à 25 millions de dollars américains;

ou

  • Achète, reçoit, vend ou partage les renseignements personnels de plus de 50 000 résidents californiens;

ou

  • Tire 50% ou plus de ses revenus annuels par la vente d’informations de résidents californiens.

COMPARAISON AVEC PIPEDA

La loi californienne ressemble en plusieurs points à la loi canadienne, la Loi sur la protection des renseignements personnels et les documents électroniques (ou PIPEDA en anglais), mais elle s’en distance aussi sur plusieurs autres. La conformité à PIPEDA n’est donc pas suffisante pour être conforme à la CCPA.

Voici les principales différences :

  • Droit d’accès : les deux lois contiennent le droit pour les consommateurs d’être informés de l’existence et de l’usage de leurs renseignements personnels et d’avoir accès à ces derniers. Toutefois, contrairement à la loi canadienne, la loi californienne ne prévoit pas d’exception à ce droit qui permettrait à une entreprise de refuser l’accès à un consommateur.
  • Droit à l’effacement : en vertu de la loi canadienne, les organisations peuvent conserver les renseignements personnels tant que ceux-ci sont nécessaires aux finalités pour lesquelles ils ont été collectés, ce qui implique le droit pour les consommateur de demander la suppression des informations une fois les finalités remplies. À première vue, la loi californienne offre un droit plus large, soit celui de demander que leurs informations soient supprimées, point. Elle prévoit toutefois plusieurs exceptions assez vagues qui diminue l’étendue du droit et le rendent donc semblable à celui de PIPEDA.
  • Droit à la portabilité : contrairement à la loi canadienne, la loi californienne prévoit le droit à la portabilité des données, c’est-à-dire que les consommateurs ont le droit de recevoir leurs informations dans un format structuré, couramment utilisé pour les transmettre à une autre entité, sans interférence de l’entité initiale.
  • Consentement : la loi californienne n’accorde pas une grande importance au consentement, contrairement à la loi canadienne qui base la légalité de la collecte sur le consentement, soit implicite (opt-out) ou explicite (opt-in) des consommateurs. La CCPA donne toutefois aux Californiens le droit de «opt-out» de la vente de leurs renseignements personnels. Ce droit oblige donc les organisations à inclure sur leur site web un lien clair menant à un formulaire pour la désinscription à la vente.
  • Anti-discrimination : les deux lois prévoient des dispositions interdisant aux organisations d’obliger les consommateurs à consentir à la collecte de leurs informations pour avoir des produits ou services ou pour les avoir à un prix donné. La loi californienne est plus souple car elle permet aux organisations d’offrir des réductions aux individus consentant à la collecte ou à l’usage de leurs informations. 
  • Requêtes : Si la loi canadienne prévoit que les organisations doivent mettre en place des procédures de plaintes et de requêtes accessibles et faciles à utiliser, la loi californienne prévoit que doivent être disponibles au minimum deux modes de communication, un numéro de téléphone sans frais et un site internet. 

DES AMENDES PRÉVUES

Au Canada, le Commissaire à la protection de la vie privée n’a pas le pouvoir d’imposer des amendes pour des contraventions à PIPEDA et les consommateurs ne possèdent pas de droit privé d’action.

La Californie a elle, été beaucoup plus ferme quant à l’application de sa loi. En effet, les consommateurs possèdent un droit privé d’action, c’est-à-dire le droit de poursuivre en recours civil ou collectif une entreprise pour des infractions aux obligations de sécurité, et ce, sans qu’ils aient subi un quelconque préjudice.

La CCPA prévoit également des sanctions allant jusqu’à 7500 US$ par violation. 

L’IMPORTANCE D’UN PROGRAMME DE CONFORMITÉ

Si votre entreprise recueille ou possède des renseignements personnels de résidents californiens, vous êtes possiblement sujet à la CCPA, ce qui vous met grandement à risque d’actions civiles de la part de consommateurs, puisque ceux-ci n’ont pas à prouver de dommages pour réclamer des compensations. Et ce, même si vous êtes conformes à la loi canadienne.

Alors qu’Internet vous permet de transiger avec des consommateurs et entreprises partout sur la planète, il devient de plus en plus important de vérifier que vos pratiques de gestion des données et de marketing électronique respectent les exigences réglementaires.

N’hésitez pas à parler avec un conseiller de Certimail pour vérifier si vous êtes touché par cette nouvelle législation.

Pénalités de 100 000 $ pour des SMS non conformes à la Loi C28

Un engagement avec le CRTC

Le 1er mai 2018, le CRTC a annoncé par communiqué de presse, que les compagnies 9118-9076 QUÉBEC INC. et 9310-6359 QUÉBEC INC., opérant sous le nom 514-BILLETS, dont la principale activité est la revente de billets d’évènements sportifs et culturels, a accepté un engagement concernant des allégations de violations à la Loi canadienne anti-pourriel (Loi C28 ou LCAP). En vertu de ce dernier, les entreprises se sont engagées à payer une indemnité financière de 100 000 $, soit 25 000 $ versés au receveur général du Canada et 75 000 $ en coupon-rabais offerts à des clients.

Cette forme innovatrice de sanction combinant réductions pour les clients et amende démontre que l’intention du CRTC n’est pas de punir les entreprises fautives, mais bien de forcer ces dernières à adopter des pratiques conformes à la LCAP, ce qui passe entre autre par l’implantation d’un programme de conformité.

La Loi C28 : son application aux messages textes

Cette sanction constitue une première dans l’histoire de la conformité à la LCAP. En effet, il s’agit de la première fois que le CRTC impose une amende à une entreprise pour avoir contrevenu à la Loi à cause d’envois de messages électroniques commerciaux (MEC) par messages textes. En l’espèce, 514-BILLETS aurait, du 3 juillet 2014 au 26 novembre 2016, envoyé des MEC par messages textes « sans avoir obtenu le consentement des destinataires et en ne fournissant ni les renseignements nécessaires à l’identification de l’expéditeur, ni les renseignements nécessaires à le contacter »[1]. Plus précisément, la majorité d’entre eux étaient des messages de demande de consentement à recevoir des offres commerciales subséquentes.

Le CRTC rappelle ainsi dans son communiqué que la LCAP s’applique à tout message envoyé non seulement à une adresse courriel, mais aussi à un compte de téléphone ou à un compte de messagerie sur les réseaux sociaux et qui vise à encourager la participation à une activité commerciale.

514-BILLETS aurait donc dû, comme toute entreprise envoyant des MEC, avoir un consentement préalable avant de communiquer avec les destinataires, mais aussi inclure dans ses messages les informations nécessaires afin de l’identifier, de même que celles permettant de la contacter. Ceux-ci auraient aussi dû contenir un mécanisme permettant au destinataire de signifier leur volonté de plus recevoir les communications en provenant de l’entreprise.

En l’espèce, l’enquête du CRTC a été amorcée par l’envoi de soumissions au Centre de notification des pourriels (CNP). Cette instance gouvernementale transmet l’information reçue concernant une violation à la LCAP en provenance de consommateurs et autres organismes au CRTC, au Bureau de la concurrence ou au Commissariat à la protection de la vie privée du Canada tout dépendant de la nature de la violation alléguée.

L’importance d’un programme de conformité

Dans leur engagement contracté avec le CRTC, 9118-9076 QUÉBEC INC. et 9310-6359 QUÉBEC INC., ont également dû accepter de mettre en place un programme de conformité à la LCAP lequel passe notamment par : «l’examen et la révision des pratiques actuelles en matière de conformité […], ainsi que diverses autres mesures de surveillance et d’audit, incluant des mécanismes de rapport au personnel du CRTC concernant la mise en œuvre du programme.»[2]

Si votre entreprise ne fait pas encore l’objet d’une enquête par l’une des autorités chargées de l’application de la LCAP, il est encore temps de mettre en place votre programme de conformité et de protéger votre entreprise avant qu’il ne soit trop tard.

RGPD & LCAP : Quand utiliser l’« intérêt légitime » ou le « consentement » comme base légale

Si vous êtes un spécialiste canadien du marketing et que vous envoyez des courriels vers l’Union européenne (U.E.), le RGPD vous impose de justifier pourquoi vous collectez et stockez les données à caractère personnel de chacun de vos contacts. Par données à caractère personnel, j’entends l’information personnelle de vos contacts (prénom, nom, adresse courriel, etc.) et comment vous l’utilisez (marketing, transactionel).

Les bases légales

Comme le RGPD régit la sécurité et la protection des données à caractère personnel, un individu ou une organisation doit faire référence à l’une des six bases légales afin de justifier la collecte des données effectuée auprès de leurs clients, dirigeants, partenaires, membres, contacts marketing, etc.

Selon un point de vue strictement marketing, deux bases légales seront probablement régulièrement citées dans les dossiers d’une entreprise : l’« intérêt légitime » et le «consentement».

  • L’« intérêt légitime » peut être utilisé comme base légale pour des activités marketing si vous pouvez prouver que la façon dont vous utilisez les données personnelles du contact est proportionnelle, qu’elle a un impact minime sur la vie privée et que le contact en question ne serait pas surpris ou ne s’opposerait pas à l’utilisation.
  • Le « consentement » comme base légale est approprié si vous pouvez offrir aux gens un choix réel et un contrôle sur comment vous utilisez leurs informations et si vous souhaitez gagner leur confiance et leur loyauté.

Quelle base légale choisir pour son marketing courriel

Lorsque l’on sait que :

  • Sous la LCAP, laquelle régit les messages électroniques commerciaux, un statut de consentement doit être attribué et documenté de manière appropriée pour chaque contact pour que vous ayez le droit de leur envoyer des messages électroniques commerciaux. Le consentement peut être « express » ou « implicite ».
  • Sous le RGPD, lequel régit la sécurité et la protection des données personnelles, une base légale doit être attribuée et documentée de manière appropriée pour chaque contact, pour que vous ayez le droit de stocker et d’utiliser les informations d’un contact.

Ainsi, en tant que spécialiste canadien du marketing (envoyant des courriels marketing vers l’Union européenne), vous devez tenir compte et vous pliez aux règles du RGPD – ET DE LA – LCAP, ce qui ajoute une certaine complexité.

Malgré cette complexité, il y a des solutions légitimes, rapides et faciles à utiliser :

Pour le marketing courriel B2C

Le « consentement » comme base légale est une des façons, et la plus simple d’ailleurs pour les spécialistes du marketing numérique, de prouver sa légalité et sa conformité au RGPD.

Toutefois, pour utiliser le consentement comme base légale vous devrez remplir certaines exigences strictes. En effet, vous devrez obtenir un consentement explicite de tous vos abonnés pour aller de l’avant avec les envois de courriels.  La même règle est applicable aux personnes qui remplissent des formulaires sur votre site web indiquant qu’ils souhaitent recevoir vos communications. Il est à noter que la notion de consentement implicite d’existe pas dans le RGPD.

Si vous souhaitez utiliser le consentement comme base légale :

  • Le consentement doit être spécifique à des fins particulières
  • Le silence, des boîtes pré-cochées ou l’inactivité ne peuvent constituer un consentement; les individus doivent explicitement pouvoir « opt-in » au stockage, à l’usage et à la gestion de leur données personnelles. Une procédure prévoyant un double « opt-in » est définitivement la meilleure façon de faire.
  • Des consentements séparés doivent être obtenus pour différentes activités de traitement des données. Ceci implique que vous devez être clairs lorsque vous indiquez comment les donnés seront utilisées lorsque vous obtenez un consentement. Le message accompagnant le « opt-in » doit énoncer toutes les utilisations possibles des données à caractère personnel que vous recueillez et comment vous protégez lesdites données. (ex. : spécifiez que vous prenez la protection des données à caractère personnel au sérieux en incluant un lien vers votre politique de vie privée et indiquez qu’une personne peut accéder, rectifier ou supprimer toute information personnelle et ce, à tout moment.)
  • Le consentement doit être vérifiable et sa gestion demande un registre écrit (ou électronique) de quand et comment une personne vous a permis de traiter ses données personnelles.

Ce processus vous permet non seulement d’être conforme au RGPD, mais vous donne aussi un consentement explicite en vertu de la LCAP.

Pour le marketing courriel B2B

Particulièrement pour ceux dans le domaine de la vente, beaucoup de nos contacts peuvent être classés et enregistrés sous un « consentement implicite » en vertu de la LCAP et sous l’« intérêt légitime » en vertu du RGPD.

Toutefois, pour documenter l’évaluation des intérêts légitimes (Legitimate Interests Assessment) pour chaque contact, vous devezv:

Whoa, ça fait beaucoup de choses à considérer et à documenter! Mais attendez… peu importe que vous fassiez du marketing B2C ou B2B, ou les deux, l’entrée en vigueur du RGPD est une bonne opportunité et occasion de convertir vos consentements implicites en consentements express et de classifier vos contacts européens sous la base légale du « consentement ».

Avertissement :

Évidemment, la taille de l’organisation et le type de messages doivent être pris en considération. Assurez-vous de vous adapter selon la structure de votre organisation, ses opérations et sa situation.

Appliquer à la fois la LCAP et le RGPD de façon responsable et prendre les actions appropriées pour être conforme n’est pas une tâche facile. Il faut, en effet, tenir compte et respecter de nombreux éléments, ce qui peut être difficile, long et frustrant lorsque nous sommes mal renseignés sur l’une ou l’autre des lois. De plus, des erreurs en cette matière peuvent mener à des amendes salées pour les dirigeants et entreprises.

Si vous avez besoin d’aide ou avez des questions, vous pouvez laisser un commentaire ou nous contacter à tout moment.

RGPD et envois de courriels: Qu’ont besoin de savoir les PME

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain dans l’Union Européenne. Même si certains détails concernant l’application de la loi reste à circonscrire, les entreprises assujetties devront, à ce moment, être en mesure de prouver qu’elles sont conformes à cette dernière.

Qui est assujetti au RGPD ?

Pour ceux parmi nous en Amérique du Nord qui faisons affaire avec des pays européens, nous sommes assujettis au RGPD étant donnée la collaboration internationale entre autorités étatiques. Toutefois, le RGDP s’applique particulièrement à :

  • Toute organisation qui collecte, change, transmet, supprime ou de toute autre façon utilise ou stocke les données personnelles de citoyens européens (une donnée personnelle est toute donnée qui utilisée seule ou avec d’autres données pourrait permettre d’identifier une personne).
  • Toute personne ou organisation qui, seule ou avec d’autres, détermine les usages et fins du traitement des données personnelles, aussi connu sous le nom de «contrôleur», est responsable en vertu du RGDP
  • Toute organisation envoyant des courriels à des sujets dans l’Union Européenne est assujetti au RGPD, peu importe le pays d’où émane lesdits courriels.

Quelles sont les deux principales différences entre la LCAP et le RGDP ?

1. Message électronique commercial vs. Protection des données personnelles

La différence majeure entre la LCAP et le RGDP est que la première régit les messages électroniques commerciaux (MEC) alors que le deuxième régit la sécurité et protection entourant les données personnelles.

2. Programme de conformité vs. Bases légales

Au Canada, un programme de conformité à la LCAP qui satisfait au huit exigences du CRTC est le seul moyen de défense que peut présenter une entreprise. Pour être conforme au RGDP, une organisation peut faire référence à une des six bases légales, en autant qu’elle puisse prouver et démontrer qu’elle a respecté tous les détails et entrepris toutes les actions nécessaires pour être conforme à la base légale choisie.

À propos du consentement

Certaines bases légales ne sont pas applicables à toutes les entreprises ou spécialistes du marketing, mais si vous envoyez des courriels, vous serez certainement intéressés à en savoir plus la base légale du consentement.

Il est important de noter qu’une compagnie doit être capable de justifier pourquoi elle collecte de l’information sur un individu ou une organisation, à quelles fins elle l’utilise et comment elle la protège.

Pour les spécialistes du marketing numérique, le consentement est une des façons les plus simples de prouver qu’ils sont en règles et conformes en vertu du RGPD. Toutefois, pour utiliser le consentement comme base légale vous devrez remplir certaines exigences strictes. En effet, vous devrez obtenir un consentement explicite de tous vos abonnés pour aller de l’avant avec les envois de courriels.  La même règle est applicable aux personnes qui remplissent des formulaires sur votre site web indiquant qu’ils souhaitent recevoir vos communications.

Important : contrairement à la LCAP, le RGPD ne reconnait pas les consentements implicites ni les exceptions B2B. Seul le consentement explicite compte. Il est à noter que :

  • Le consentement doit être spécifique à des fins particulières
  • Le silence, des boîtes pré-cochés ou l’inactivité ne peuvent constitués un consentement; les individus doivent explicitement pouvoir « opt-in » au stockage, à l’usage et à la gestion de leur données personnelles. Une procédure prévoyant un double « opt-in » est définitivement la meilleure façon de faire.
  • Des consentements séparés doivent être obtenus pour différentes activités de traitement des données. Ceci implique que vous devez être clairs lorsque vous indiquez comment les donnés seront utilisées lorsque vous obtenez un consentement. Le message accompagnant le « opt-in » doit énoncer toutes les utilisations possibles des données personnelles que vous recueillez et comment vous protégez lesdites données. (ex.: spécifier que vous prenez la protection des données personnelles au sérieux en incluant un lien vers votre politique de vie privée et indiquer qu’une personne peur accéder, rectifier ou supprimer toutes informations personnelles et ce, à tout moment.)
  • Le consentement doit être vérifiable et sa gestion demande un registre écrit (ou électronique) de quand et comment une personne vous a permis de traiter ses données personnelles.

Accéder, rectifier ou supprimer

De plus, en vertu du RGPD, votre collecte de données personnelles par l’entreprise de formulaires web (ex : prénom, nom de famille, courriel) doit permettre aux individus touchés de pouvoir, en tout temps, accéder, rectifier et supprimer leurs donnés. Ainsi, nous vous suggérons d’inclure dans votre politique de vie privée une clause indiquant comment ce faire (ex.: en envoyant une demande par courriel à l’adresse vieprivé[email protected]).

Tenue de dossiers et base de données centralisée

Adopter de bonnes pratiques concernant la tenue de dossiers ne sert pas seulement à présenter une défense de diligence raisonnable en cas de plaintes contre votre entreprise, mais vous aide aussi à (i) identifier des enjeux de non-conformité potentiels, (ii) examiner et répondre aux plaintes des consommateurs, (iii) répondre aux questions concernant les pratiques et procédures de l’entreprise, (iv) superviser votre programme corporatif de conformité (v) et déceler la nécessité d’entreprendre des actions de renforcement de la conformité et à démontrer que celles-ci ont été implantées.

En outre, une base de données centralisée administrant la gestion des contacts, le traitement des données de même que leur documentation n’est pas seulement utile afin remplir les exigences du RGPD en ce qui concerne la protection des données et le consentement,  mais aussi en vue de faciliter la relation avec les consommateurs et la mise en marche efficace des opérations.

 

Quelle est la meilleure solution en tant qu’individu ou organisation envoyant des courriels à des fins de marketing ou d’affaires ?

Un programme de conformité à la LCAP est considéré comme le plus haut standard de protection afin de vous mettre à l’abri de lourdes amendes en provenance des autorités chargées de l’application de la Loi. Rappelez vous : la LCAP s’applique autant aux courriels individuels qu’aux courriels groupés, sans égard au fait que ceux-ci véhiculent du contenu promotionnel ou non.

L’implantation d’un programme de conformité remplissant toutes les exigences du CRTC est non seulement requise par la Loi au Canada, mais est aussi un bon moyen de se protéger en ce qui à trait aux enjeux soulevés dans le RGPD.

Les professionnels du marketing face à la Loi canadienne anti-pourriel (LCAP ou Loi C28)

L’Association du marketing relationnel (AMR) a dévoilé ce matin une première étude portant sur la connaissance de la Loi canadienne anti-pourriel (LCAP ou Loi C28) et de ses exigences en matière de conformité par les professionnels du marketing au Québec. Alors que le ministère doit prochainement répondre aux recommandations formulées par le parlement dans le premier bilan de cette loi, il était important de mesurer son respect par les professionnels québécois les plus directement concernés.

Cette étude a été menée en collaboration avec LJT, un cabinet d’avocats renommé pour son expertise dans le droit du marketing, et Certimail, le leader canadien de la conformité à la LCAP pour les PME.

Les entreprises connaissent très mal la LCAP

Alors que 96 % des répondants envoient des messages électroniques commerciaux, moins de 6 % ont répondu correctement à 7 questions simples sur la LCAP et son application. Parmi les répondants (71 %) qui ont affirmé bien connaître la Loi C28, 85 % ont échoué à ce test de base.

Un répondant sur deux croit que la Loi canadienne anti-pourriel ne réglemente que les envois promotionnels, alors qu’elle encadre toutes les communications électroniques commerciales.

10 % des répondants ignorent que la LCAP s’applique à leur organisation.

« Trois ans après l’entrée en vigueur de la Loi C28, les professionnels du domaine ne connaissent toujours pas ses contraintes et son champ d’application », affirme Marc Roussin, président de l’AMR. « Notre association lance donc une série d’activités pour démystifier les exigences de cette réglementation qui encadre toutes les communications commerciales électroniques au pays. »

Une illusion de conformité

60 % des répondants affirment que leur entreprise est totalement conforme à la LCAP. Pourtant, moins de 10 % ont intégré un mécanisme de retrait dans les signatures de courriel des employés, une obligation de la LCAP. À peine 11 % ont réalisé une analyse de risques (audit), comme le recommande le CRTC. Seulement 40 % se sont dotés d’une politique de conformité écrite et 75 % des entreprises n’ont toujours pas formé leurs employés concernant cette loi.

« Si elle méconnaît les dangers réels auxquels elle est exposée, une entreprise ne peut faire une bonne gestion de son risque », souligne Sophie Deschênes-Hébert, avocate spécialisée en publicité et technologies du cabinet LJT. « Les résultats de l’étude montrent qu’en matière de marketing numérique, beaucoup prennent des décisions stratégiques sur la base d’informations incomplètes ou inexactes et s’exposent ainsi à des conséquences coûteuses facilement évitables. »

La méconnaissance de la LCAP affecte l’efficacité du marketing

À la suite de l’entrée en vigueur de la LCAP, près de 9 % des répondants ont cessé toute utilisation du marketing par courriel, tandis que 11 % ont réduit son utilisation.

Cette approche est inefficace, car elle oublie que les courriels envoyés par les employés sont régis par les mêmes règles que les infolettres et autres promotions. Plusieurs amendes données par le CRTC (dossiers William Rapanos et POF Media) montrent qu’il suffit parfois de quelques plaintes pour que l’entreprise fasse l’objet d’une enquête.

Elle est également nuisible, parce qu’avec un retour sur investissement de 44 pour 1, le courriel reste l’outil de marketing numérique le plus rentable pour les entreprises.

« Trop d’entreprises ont peur de cette législation, alors qu’elle est une excellente occasion de rendre son marketing plus efficace », explique Philippe Le Roux, président de Certimail. « La mise en place d’un programme de conformité à la LCAP permet à la fois d’éviter les amendes et d’améliorer l’efficacité de son marketing par courriel. »

D’ailleurs, depuis l’entrée en vigueur de la LCAP, les indicateurs du marketing par courriel se sont fortement améliorés au Canada, selon une récente étude internationale de IBM.

L’AMR lance un programme de sensibilisation

Devant les résultats de l’étude, l’AMR lance un programme d’activités pour aider les professionnels du marketing à connaître les exigences réglementaires de la LCAP et les aider dans la mise en conformité de leur entreprise. Ce programme commencera le 3  mai prochain avec une journée de conférences sur le thème « La puissance du courriel : de la conformité à l’exécution optimale », au cours de laquelle le CRTC viendra présenter ses méthodes d’application de la LCAP et plusieurs experts partageront leurs connaissances et expériences sur le marketing courriel conforme et efficace. Par la suite, une série de webinaires permettra aux professionnels du domaine d’approfondir leurs connaissances et de bénéficier de conseils de spécialistes du domaine.

Consulter le document de l’étude

Amende de 1,25M$ pour Enterprise, National et Alamo

Une amende négociée

La société Enterprise Rent-A-Car Canada Company qui gère les entreprises de location automobile Enterprise, National et Alamo vient de s’engager auprès du Bureau de la concurrence à payer une amende de 1 million 250 mille dollars pour avoir envoyé des courriels présentant des promotions trompeuses, une pratique couverte par la Loi Canadienne anti-pourriel (Loi C28 ou LCAP).

Toute l’industrie est visée

Dans son communiqué, le Bureau rappelle qu’il a déjà fait payer 5,25 millions de dollars aux trois principales entreprises du domaine. En effet, Avis Budget Group a déjà payé une amende de 3M$ suite à une enquête conclue en mars 2015; tandis que Hertz Canada qui gère également Thrifty a du payer 1,25M$ d’amende au printemps 2017.

Ce rappel montre clairement que le Bureau de la concurrence a décidé d’enquêter sur toutes les entreprises de location d’automobiles. Une vérification systématique d’une industrie qui rappelle celle prise par le CRTC auprès des entreprises de formation professionnelle.

Avoir le consentement ne suffit pas

Alors que la plupart des entreprises continuent de croire qu’il suffit d’avoir un consentement à ses messages promotionnels pour être en rêgle avec la Loi Canadienne anti-pourriel, cette amende montre une fois de plus que la LCAP est beaucoup plus complexe et exigeante que cela. En fait, c’est près d’une centaine de risques de défauts qu’il faut analyser pour s’assurer qu’une entreprise est conforme à la Loi C28 qui encadre également certains articles de la
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la concurrence.

D’ailleurs, alors que les amendes imposées par le CRTC pour des problèmes de consentement ou de lien de désabonnement sont de l’ordre de quelques dizaines ou centaines de milliers de dollars par entreprise, les amendes données par le Bureau de la concurrence à cause du contenu des messages sont systématiquement supérieures à un million de dollars.

L’importance d’un programme de conformité

Dans l’entente enregistrée au Tribunal de la concurrence, Enterprise a du s’engager à mettre en place un programme de conformité sous la surveillance du Bureau de la concurrence. En attendant d’être l’objet d’une enquête pour mettre en place son programme de conformité, Enterprise a non seulement du payer une lourde amende mais elle a également du engager d’importants frais juridiques pour collaborer à l’enquête et négocier une entente satisfaisante pour le CRTC.

Si votre entreprise ne fait pas l’objet d’une telle enquête, il est encore temps de mettre en place votre programme de conformité et de protéger votre entreprise avant qu’il ne soit trop tard.

Rapport du parlement : la Loi Canadienne anti-pourriel est là pour rester

Le gouvernement doit maintenir et renforcer l’application de la Loi Canadienne anti-pourriel (LCAP ou Loi C28) tout en précisant certaines notions trop floues de la Loi et de ses réglements.

C’est ce qui ressort des 13 recommandations du rapport intitulé LA LOI CANADIENNE ANTI-POURRIEL : DES PRÉCISIONS S’IMPOSENT que vient de rendre public le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communs qui a entendu 41 témoignages d’experts et analysé une trentaine de mémoires pendant une dizaine de semaines.

La LCAP est efficace

Dans un contexte d’interventions fortement polarisées entre des lobbys et avocats d’affaires qui décrivaient une situation catastrophique et des représentants des consommateurs qui estiment que les amendes sont insuffisantes, les députés ont fait appel aux données fournies par Certimail sur l’efficacité grandissante du marketing courriel au Canada pour conclure que malgré ses contraintes, la Loi C28 offre un bon équilibre entre la protection des consommateurs et la compétitivité des entreprises mais qu’elle reste trop méconnue et floue pour que les entreprises la respectent.

La LCAP doit changer de nom

Les première et dernière recommandations du Comité visent à changer le nom abrégé « Loi Canadienne aanti-pourriel (LCAP) » pour « Loi sur la protection du commerce électronique (LPCE) ». En effet, les députés ont constaté que beaucoup d’entreprises ne se sentent pas concernées car elles n’envoient pas de pourriel ou ne font pas de marketing courriel et ignorent que la Loi C28 régit l’ensemble des communications électroniques commerciales.

La Loi C28 doit être clarifiée

Les recommandations 2 à 8 demandent au gouvernement de clarifier et préciser certains éléments de la LCAP et de ses réglements afin de s’assurer que les entreprises et organismes à but non lucratif comprennent plus facilement ce qui est permis ou pas. Les éléments que le Comité recommande de clarifier ou préciser sont :

  • la définition de « messages électronique commercial »;
  • le statut des messages administratifs et transactionnels;
  • le statut des messages entre entreprises;
  • les notions de consentement tacite et exprès;
  • la définition d’adresse électronique;
  • les messages bénéficiant d’une exception à l’article 6.6 de la Loi;
  • la gestion des messages de référence;
  • l’application de la Loi aux organismes de bienfaisance et aux OSBL.

Ces précisions de la Loi et de ses règlements vont régler certains flous actuels de la réglementation mais ne changent pas les exigences de conformité du CRTC.

Le CRTC doit s’occuper des petites entreprises

Dans sa neuvième recommandation, le Comité veut que le CRTC fasse un effort important de sensibilisation, notamment auprès des petites entreprises. Cette recommandation s’appuie sur une évaluation sévère du travail du CRTC. Le Comité souligne dans ce rapport que tous les intervenants sont unanimes pour dire que le CRTC doit revoir ses activités de sensibilisation et ses documents d’orientation pour s’assurer qu’ils sont suffisants et efficaces (page 14). L’argumentation de Certimail est même reprise directement dans le rapport  pour signaler que les exigences de conformité sont cachées au fin fonds du site du CRTC et ne sont même pas indiquées dans le site combattrelepourriel.gc.ca. Le CRTC est donc invité à redoubler ses efforts de sensibilisation, notamment auprès des petites entreprises.

Report des recours civils et collectifs

Le Comité estime que le Droit privé d’action (DPA) qui permet de lancer un recours civil ou collectif après avoir reçu un message non conforme, doit être maintenu mais suspendu en attendant que le travail de clarification et de sensibilisation soit réalisé. La dixième recommandation du Comité suggère également au gouvernement d’évaluer si les dommages qui peuvent être demandés à ce titre devraient être démontrés.

Collaboration du CRTC avec la GRC

Durant son témoignage devant le Comité, le CRTC avait indiqué qu’il est actuellement moins limité dans ses échanges avec les autorités d’autres pays qu’avec la GRC et les autres organismes de sécurité Canadiens. Le Comité a entendu le message et dédie sa onzième recommandation à favoriser la collaboration entre le CRTC et les autorités policières du pays.

Transparence dans les plaintes, enquêtes et amendes

Le CRTC et le gouvernement sont invités à trouver des moyens de rendre plus transparents les processus d’enquêtes et de détermination des amendes tout en favorisant l’accès à des données sur les plaintes reçues et les tendances du problème.

En constatant que notre contribution a été citée une dizaine de fois dans le rapport, j’étais non seulement fier de cette première expérience de lobbyisme mais surtout d’avoir aidé nos députés à comprendre les enjeux des PME qui veulent exploiter le marketing courriel tout en respectant la Loi C28 et les consommateurs. La lecture des recommandations nous fait penser que notre approche pragmatique a beaucoup mieux servi les intérêts des PME que le dogmatisme des lobbys officiels tels que la FCEI et la Chambre de commerce du Canada, qui ne semblent pas vraiment connaître le domaine du marketing courriel ni la réalité d’une démarche de conformité à cette loi.

 

 

Témoignage de Certimail devant le comité parlementaire sur la révision de la Loi C28

Texte de l’allocution prononcée par Philippe Le Roux, président de Certimail lors de son témoignage devant le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes dans le cadre de la révision de la Loi Canadienne anti-pourriel.

Introduction

Je veux remercier les membres du Comité de m’avoir invité à témoigner aujourd’hui. Bien que peu couvert par les médias, le travail de votre comité est très important pour l’économie canadienne ainsi que pour sa population.

J’ai bien entendu suivi les travaux de votre Comité avec un très grand intérêt et j’en ai en publié un compte rendu régulier sur notre blogue. Peu habitué des activités de lobbying, je vous avoue que j’ai été particulièrement surpris par le nombre d’approximations, d’exagérations et de faits alternatifs qui vous ont été servis comme des vérités scientifiques. Je reviendrai sur ces déclarations un peu plus tard.

Pionnier de l’Internet au Québec, j’ai fondé en 1994 la première agence de marketing numérique à travers laquelle j’ai, durant près de 20 ans, aidé de nombreuses organisations comme VIA Rail, RDS et Club Med USA à utiliser le web pour transformer leur stratégies de marketing, de ventes et parfois même leur modèle d’affaires.

J’ai toujours considéré le courriel comme le cœur de toute stratégie de marketing numérique et j’ai commencé à mettre en œuvre des stratégies de marketing courriel pour nos clients dès 1996. En 2013, j’ai quitté l’agence pour fonder Certimail dont la mission est d’aider les PME Canadiennes à renforcer l’efficacité de leur marketing courriel en se conformant à la LCAP. Nous sommes en fait la seule compagnie dédiée à la conformité à la LCAP.

Loin de tout dogmatisme, les constats et recommandation que je vous livre aujourd’hui reposent sur 20 années d’expérience en marketing courriel ainsi que 4 années dédiées à analyser la LCAP et ses 13 documents réglementaires pour aider des dizaines de PME de toutes tailles à implanter leur programme de conformité basés sur les exigences du CRTC.

Le coût de la conformité

Avant de rentrer dans l’analyse de la LCAP et de son application, je voudrais répondre à une question simple que vous avez posée à chacune de vos sessions sans jamais obtenir de réponse, à savoir ce qu’il en coûte à une entreprise pour se conformer à la LCAP.

La réponse est simple, nos forfaits de conformité certifiés coûtent 699$ pour une entreprise individuelle, 1 249$ pour une petite entreprise de moins de 10 employés et entre 3 000 et 15 000$ pour les entreprises de 11 à 300 employés. Si mes collègues de Newport Thomson, de Deloitte ou de KPMG qui offrent des services similaires aux plus grandes entreprises avaient été invités ils vous diraient que leur tarifs tournent entre 25 000 et 100 000$.

Il est surprenant que ni le CRTC ni les associations industrielles n’aient pu vous fournir cette information indispensable et facilement accessible.

Ceci étant dit, mon intervention portera sur trois points :

  • L’importance et l’efficacité de la LCAP
  • L’inadéquation de l’approche du CRTC
  • Quelques recommandations pour renforcer l’efficacité de la LCAP en réduisant ses impacts négatifs.

Pertinence et efficacité de la LCAP

C’est autant à tire d’expert du marketing que de consommateur socialement motivé que je veux vous démontrer que non seulement la LCAP est nécessaire mais qu’elle est souhaitable.

Contrairement à ce qu’ont affirmé de nombreux lobbyistes qui sont venus témoigner devant vous, la LCAP n’est pas une loi sur la cybersécurité ou sur les risques informatiques, mais une loi qui vise à développer la confiance des consommateurs dans les affaires électroniques.

En fait, comme cela avait été suggéré dans le rapport du Groupe de travail sur le pourriel, la LCAP et ses règlements ressemblent plus à un code de la route des communications électroniques qu’à une loi sur les menaces informatiques.

Quand j’ai traversé le pont Champlain ce matin pour assister à cette session, j’ai pu constater que la réglementation complexe et sévère mise en place il y a un siècle pour encadrer les rares automobilistes de l’époque n’a pas vraiment affecté le développement de ce mode de transport.

Et ce code de la route qu’est la LCAP, les canadiens y tiennent. Ils l’ont démontré en déposant plus d’1 million de plaintes en trois ans sans avoir vu une seule publicité les incitant à le faire. Et ces votes de support à la LCAP continuent d’entrer par milliers chaque jour.

D’ailleurs ce volume de plainte suffit à contredire l’affirmation que la Chambre de Commerce du Canada vous a faite. La réception de messages électroniques non sollicité est encore un problème majeur pour la grande majorité de la population canadienne. Les technologies anti-pourriel sont de plus en plus efficaces mais elles n’ont pas réglé le problème et commencent d’ailleurs à montrer leurs limites. Demandez à Axon, le fabricant des « tasers »  dont l’action a baissé de 6% à cause de courriels bloqués par leur logiciel anti-pourriel.

L’importance et l’efficacité de la LCAP

Vous savez qu’à son premier anniversaire, la LCAP avait déjà permis de réduire de 37% le volume de pourriel reçu dans les messageries des canadiens. Cela démontre l’efficacité de la LCAP pour les consommateurs.

Mais elle est également efficace pour les entreprises, en tout cas pour celles qui veulent faire du marketing courriel efficace et non pas utiliser le courriel pour faire du marketing traditionnel comme à l’époque de Mad Men.

En effet, depuis que la LCAP est entrée en vigueur, le Canada est sorti du peloton pour devenir l’un des deux pays où le marketing courriel est de loin le plus efficace. Le deuxième pays, c’est l’Australie, le seul pays qui applique une législation aussi large et sévère que la LCAP.

Par exemple le taux de placement, c’est à dire la proportion des courriels envoyés qui sont visibles par leurs destinataires dans leur messagerie est de l’ordre de 80% dans la plupart des pays. Au Canada le taux est passé de 79% en 2014 à 90% aujourd’hui. Le seul autre pays dans le monde qui atteint un score similaire, c’est encore l’Australie.

De la même façon, le taux de lecture, c’est-à-dire la proportion des courriels marketing ouverts par les destinataires, est en moyenne de 22% dans le monde avec des variations allant de 12% sur le continent africain à 24% au Royaume-Uni en passant par 21% aux États-Unis. Seuls deux pays se distinguent : l’Australie avec un taux de 33% et le Canadanavec 32%. Pourtant le taux de lecture au Canada n’était que de 26,2% en 2014 avant que la LCAP n’entre en vigueur.

J’ai entendu plusieurs témoins dire que la LCAP affectait la compétitivité des entreprises canadiennes. Pourtant c’est faux. la LCAP est un excellent incitatif à adopter les meilleures pratiques du domaine et donc à obtenir de meilleurs résultats. Cela fait près de 15 ans que l’Australia Spam Act est en vigueur et leur économie ne semble pas en souffrir particulièrement.

Réduire la portée de la LCAP reviendrait à encourager les entreprises canadiennes à maintenir une approche marketing souvent dépassée plutôt qu’à capitaliser sur l’innovation pour être plus compétitives.

D’autant plus que l’AECG entre en vigueur au moment où l’Europe met en application le RGPD, sa nouvelle législation sur la protection des données qui semble calquée sur la LCAP pour ce qui a trait aux communications électroniques. En incitant les entreprises canadiennes à se conformer à la LCAP on leur donne une longueur d’avance sur le marché européen.

L’inadéquation de l’approche du CRTC

Ce qui m’amène au deuxième point sur lequel je veux vous sensibiliser, l’inadéquate approche du CRTC. Je pourrais passer des heures à vous lister les raisons pour lesquelles le CRTC est en train d’échouer dans l’application de la LCAP mais nous n’en avons pas le temps alors je me contenterai de vous signaler les principaux griefs.

Une très mauvaise sensibilisation des entreprises

Le premier a trait aux communications, une lacune que dénoncent les ¾ des entreprises canadiennes selon différents sondages faits sur la LCAP.

  • Mis à part une petite campagne de publicité sur le web et quelques présentations au nombre de places très limités en 2014, le CRTC n’a rien fait pour sensibiliser les entreprises sur les nombreuses règles de la LCAP. Il y a quelques semaines, monsieur Harroun se vantait devant vous d’avoir sensibilisé 1 200 entreprises lors de ses différentes présentations à Toronto au printemps dernier. Il faudrait lui rappeler que le Canada est un peu plus grand et qu’à ce rythme-là, il lui faudra un siècle pour sensibiliser le million d’entreprises canadiennes qui n’est toujours pas sensibilisé aux exigences de conformité à la LCAP.
  • Le Journal de l’assurance a invité en mai dernier le CRTC à envoyer un conférencier à Montréal ce mois-ci pour sensibiliser 400 entreprises du secteur lors d’un colloque d’une journée sur le sujet. Le CRTC a décliné l’invitation au mois de septembre et le colloque a dû être annulé et les compagnies continuent d’ignorer les règles de la LCAP et l’importance de mettre en place un programme de conformité.
  • En mai 2014, le CRTC a publié un bulletin définissant les critères qu’un programme de conformité doit respecter pour que l’entreprise puisse invoquer la défense de bonne diligence prévue à l’article 33(1) de la loi. Le problème, c’est que ce bulletin est caché au fin fonds du site du CRTC et n’est connu que par quelques spécialistes. Il n’y est fait aucune référence ni dans le site prévu à cette fin « combattrelepourriel.ca » ni dans les FAQ pour entreprises sur la LCAP. Pourtant le CRTC affirme dans chacune de ses conférences privées que son objectif principal est d’inciter les entreprises à mettre en place de tels programme.

C’est loupé ! Cette année trois sondages ont permis d’estimer que moins de 15% des entreprises canadiennes ont un programme de conformité !

Le site web dédié à informer les consommateurs et les entreprises sur tout ce qui touche à la LCAP est non seulement mal fait et incomplet mais il n’est même pas mis à jour. Le dernier avis publié date de plus d’un an !

Opacité et incohérence dans l’application

La deuxième faille importante du CRTC a trait à l’interprétation de la LCAP et de ses règlements. En trois ans, l’équipe d’enquêtes et conformité du CRTC a publié à peine trois documents d’interprétation alors que le flou persiste sur des dizaines d’enjeux qui touchent la plupart des entreprises. Et n’essayez pas de les appeler pour obtenir des conseils, ils vont vous renvoyer à un agent de leur centre d’appel qui vous invitera à faire votre propre interprétation et d’espérer que le CRTC aura la même s’il enquête sur vous.

Depuis que j’ai fondé Certimail il y a maintenant 4 ans, je cherche à établir le contact avec l’équipe d’enquête et conformité du CRTC, j’ai envoyé des invitations par LinkedIn, j’ai envoyé des courriels, j’ai téléphoné et laissé des messages à l’adjointe de monsieur Harroun. Je n’ai jamais eu de nouvelles jusqu’à ce que mon nom soit confirmé comme témoin invité par le comité cette semaine. Et ce même si monsieur Harroun et son équipe invitent constamment les entreprises à communiquer avec eux pour avoir des conseils sur leur conformité.

Et ce n’est pas le seul double discours du CRTC sur la LCAP. C’est la même chose pour les enquêtes et les amendes. Alors que le discours public martèle que le CRTC ne veut pas chercher des poux aux entreprises qui agissent de bonne foi et se concentre sur les délinquants qui sont le plus nuisibles, force est de constater que dans les conférences privées, le discours est totalement différent et que la moitié des amendes rendues publiques ont visé des entreprises de bonne foi comme Rogers, Porter ou même Kellog’s Canada.

Comment expliquer que le CRTC vient de réduire à 200 000$ l’amende d’1,1M$ infligée à Compu-Finder en 2015, soit un montant identique à celui payé par Rogers qui a fait des erreurs mineures à côté des violations de Compu-Finder et de l’ampleur de ses campagnes courriel ?

Rappelons que Compu-Finder est une entreprise dénoncée dans les médias depuis des années pour ses pratiques de courriel abusives, qui a collecté illégalement plus de 400 000 adresses courriel d’entreprises canadiennes, qui a généré à elle seule le quart des plaintes reçues par le CRTC à l’époque et qui a refusé de collaborer durant l’enquête.

Une roulette russe pour les entreprises

La troisième faiblesse du CRTC, c’est le volume des enquêtes. Monsieur Harroun a dévoilé devant vous que le CRTC avait ouvert 500 dossiers (sur 1,1M de plaintes !) et complété 30 enquêtes dont à peine huit ont été rendues publiques en trois ans. Comment espérer que les entreprises se sentent concernées par la LCAP à ce rythme là ? En fait les entreprises ont l’impression qu’elles ont plus de chance de gagner le gros lot à la loterie que d’être enquêtées sur leurs envois de courriels.

Je pourrais continuer des heures à vous présenter des aberrations de ce type qui nuisent à l’atteinte des objectifs fixés par la LCAP mais je n’en ai pas le temps et répondrais donc à vos questions et vous ferai parvenir prochainement nos différentes recommandations pour renforcer l’efficacité de la LCAP tout en simplifiant la conformité pour les entreprises.

Le parlement a entamé l’examen de la Loi Canadienne anti-pourriel

Le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes a entamé ce matin l’examen de la Loi Canadienne anti-pourriel avec une présentation des responsables du CRTC qui permet d’identifier les principaux sujets de préoccupation des députés et des points sur lesquels leur analyse porte. Même si tout a été fait pour que le public ne soit pas informé du démarrage de ce processus, nos systèmes de veille ont bien fonctionné et nous avons pu divulguer la nouvelle sur nos réseaux sociaux dès hier.

Une discrétion inquiétante

Tenant compte qu’il s’agit d’une des lois qui générent le plus de plaintes de la part des consommateurs et qu’elle est décriée et remise en cause activement depuis des années par les de nombreux lobbys depuis son adoption il y a plus de 7 ans, il est surprenant que le démarrage du processus d’examen n’ait pas été annoncé publiquement.

En fait le seul endroit où l’information a été divulguée c’est sur l’agenda du Comité qui n’est généralement suivi que par les lobbyistes professionnels. Pourtant vu l’importance de cette loi, on aurait pu s’attendre à ce que le début du processus soit annoncé publiquement pour permettre aux organismes concernés de se préparer pour alimenter la réflexion du Comité.

On est en droit de se demander ce que cache cette discrétion.

Le ministère et le CRTC ouvrent le bal

La première session a été consacrée à l’audition des responsables du ministère, Mark Schaan, directeur général des politiques-cadres du marché, et Charles Taillefer, directeur du Secteur du service de transformation numérique à la Direction de la politique sur la vie privée et la protection des données, ainsi que des responsables du CRTCSteven Harroun, chef de l’application de la conformité et des enquêtes au CRTC ainsi que ses collègues Neil Barrat, directeur, Conformité et enquêtes et Kelly-Ann Smith, conseillère juridique principale.

Dans son allocutation, monsieur Schaan a fait un rapide historique de la Loi. Il a mis de l’avant son efficacité constatée alors que le pourriel a été réduit de plus d’un tiers au Canada et a ensuite expliqué l’importance de cette loi pour le développement des affaires électroniques au Canada.

La parole a été ensuite donnée au CRTC. Dans son allocution, monsieur Harroun a fait un rappel des différents outils d’applications de la Loi Canadienne anti-pourriel qui vont de la lettre d’avertissement aux sanction pécuniaires administratives en passant par les avis de violation et les engagements. Il a ensuite insisté sur les efforts d’éducation et de sensibilisation du public et surtout des entreprises, mettant de l’avant les 6 conférences données à Toronto au mois de mai dernier qui ont permis de rejoindre 1 200 entreprises. Un député lui a d’ailleurs rappelé que le Canada ne se limitait pas à Toronto. Enfin il a expliqué le travail réalisé par le CRTC au niveau international pour développer des ententes de collaboration avec les autorités de plusieurs pays.

L’évolution des demandes

Lors de sa réponse à la première question du Comité, monsieur Harroun a mis de l’avant que les demandes d’information que le CRTC reçoit des entreprises concerne de plus en plus la mise en place de programmes de conformité alors qu’en 2014, les questions portaient plutôt sur la notion de consentement et de lien de désabonnements. Il a également insisté sur l’efficacité des différents formes de pénalités qu’ils peuvent imposer aux entreprises.

L’enjeu du droit de recours civil

On se rappelle que le ministre Bains avait annoncé le 7 juin dernier qu’il suspendait temporairement l’application du droit de recours civils et collectifs qui devait commencer le 1er juillet 2017 en attendant l’examen parlementaire de la Loi. Il est donc normal que la mise en oeuvre de ce droit de recours fasse l’objet de plusieurs questions des membre du comité. Ces questions ont permis à monsieur Schaan d’expliquer pourquoi le ministère avait décidé de suspendre le droit de recours civil.

Il a notamment expliqué que les principales raisons sont le risque de voir se multiplier de très couteux recours collectifs ainsi que le fait qu’il existe encore de nombreuses zones grises dans ce qui est conforme ou pas.

De son côté, le CRTC a insisté sur le fait le droit de recours civil est un outil important pour faire appliquer la Loi C28 et que des mesures similaires au droit de recours civil sont présentes dans les législations de plusieurs pays, notamment les États-Unis, l’Australie et le Royaume-Uni.

Déjà plus d’1,1 M de plaintes enregistrées

Monsieur Barrat a indiqué que le CRTC a déjà enregistré plus d’1,1 million de plaintes dans le centre de notification des pourriels qui est la principale source utilisée pour les enquêtes. Les plaintes continuent d’ailleurs d’entrer à un rythme de 5 000 par semaine ! Il a également rappelé que les plaintes touchent toutes les industries et toutes les tailles d’entreprises incluant le secteur des organismes sans but lucratif.

La Loi C 28 est efficace

Monsieur Schaan a fait état de rapports indépendants qui démontrent l’efficacité de la Loi Canadienne anti-pourriel. Il a cité un rapport américain montrant qu’un an après l’entrèe en vigueur de la Loi, le nombre de courriel reçu par les canadiens a diminué de 29% et le volume de pourriels en provenance du Canada a baissé de 37%. Il a également cité une étude réalisé par Ipsos pour le compte de l’ACEI montrant que dès octobre 2014, 62% des canadiens connaissaient la Loi C28 et croient dans son efficacité. D’ailleurs 84% d’entre eux en avaient déjà profité pour réduire le volume de messages commerciaux qu’ils recevaient. De leur côté, 49% des entreprises estiment que la Loi Canadienne anti-pourriel n’a pas eu d’impact sur leur marketing, 23% estime que l’impact a été minime et 27% déclarent avoir subi un impact significatif.

Monsieur Schaan a rappelé que le Canada faisait partie des 5 pays générant le plus de pourriels avant l’adoption de la Loi C 28 et qu’il ne fait même plus partie du top 10 depuis que la Loi est en vigueur.

La GRC appelée à l’aide

Dans une question portant sur les moyens mis en oeuvre pour gérer la dimension interntionale du pourriel arrivant au Canada, le CRTC a expliqué que les ententes de collaboration avec les autorités d’autres pays se multipliaient et qu’il n’y avait pas de difficulté particulière à ce niveau. Par contre, il a souligné qu’il ne bénéficiait pas d’une telle collaboration localement, notamment avec la GRC et il a indiqué qu’une telle collaboration  serait bénéfique pour faire respecter la Loi C 28.

Plus de 30 enquête complétées

Le CRTC a indiqué que durant la période de grâce, il a complété plus de 30 enquêtes dont seulement 6 ont été rendues publiques à ce jour. Les autres en sont encore à l’étape de la négociation des engagements avec les entreprises qui collaborent. Certaines des plaintes reçues au centre de notification des pourriels sont partagées avec la GRC pour qu’une enquête criminelle puisse être menée.

La Loi C 28 devient un modèle

Les témoins ont indiqué que la notion de consentement telle que définie dans la Loi Canadienne anti-pourriel inspire la révision en cours de la Loi sur la protection des renseignements personnels et les documents électroniques mené actuellement par le Commissaire à la vie privée.

De leurs côtés les députés ont fait de nombreux parallèles entre les Régles sur la liste nationale de numéros de téléphones exclus qui est gérée par la même équipe du CRTC et qui génère plus de cent enquêtes par an pour deux fois moins de plaintes que la Loi C28.

Le CRTC est faché avec les chiffres

Un fait curieux à noter est qu’à chaque question portant sur des chiffres liés aux plaintes ou aux enquêtes, le CRTC était incapable de répondre. Ce fut également le cas quand on leur a demandé les secteurs industriels qui généraient le plus de plaintes, le nombre d’enquêtes et d’amendes ainsi que les différents types de plaintes reçues.

Quand l’Honorable Maxime Bernier a demandé quel était l’impact financier pour les entreprises de se mettre en conformité, le CRTC n’était toujours pas capable de donner des chiffres même estimatifs.

Voilà dans les grandes lignes ce qui s’est dit ce matin. Vous pouvez écouter l’enregistrement des échanges sur le site du comité en attendant que leur transcription soit publiée. De notre côté, nous sommes en train de faire les démarches pour obtenir les dates et participants des prochaines sessions ainsi que pour participer aux débats afin d’y exposer le point de vue basé sur les dizaines de PME québécoises que nous avons déjà aidé à se conformer.