Loi C28 : première sanction contre une compagnie étrangère

Sanction pour le site irlandais Ancestry.com

Le 24 avril dernier, le CRTC a rendu public un engagement pris avec l’entreprise Ancestry Ireland Unlimited Company (ci-après « Ancestry »), laquelle héberge le site web Ancestry.com. Cette dernière utilise des courriels pour communiquer avec les personnes inscrites à son service en ligne, lequel consiste à permettre la recherche de documents généalogiques (histoire familiale, arbres généalogiques,  registres historiques, information basée sur l’analyse génétique, etc.)

Le caractère extraterritorial de la LCAP

Il s’agit de la première fois qu’une entreprise étrangère est visée par une sanction du CRTC en lien avec Loi canadienne anti-pourriel (ci-après « LCAP »). Ancestry est une entreprise irlandaise n’ayant pas de local ni d’employé au Canada. Les dispositions de LCAP stipulent toutefois qu’elle s’applique à toute entreprise qui envoie des messages à des sujets canadiens, et ce, peu importe la provenance des messages.

De la même façon, contrairement à ce que beaucoup crient, les entreprises canadiennes doivent respecter la LCAP tant dans leurs envois au Canada que pour les messages électroniques commerciaux qu’elles envoient dans le reste du monde.

Une sanction même si les consentements étaient légaux

Le CRTC a pu constater qu’Ancestry avait obtenu des consentements valides pour communiquer avec ses contacts, que ses messages contenaient les renseignements d’identification obligatoires de même qu’un lien de désabonnement. Toutefois, l’entreprise était tout de même dans le tort selon le CRTC, car leurs différentes bases de données ne synchronisaient pas les retraits de consentements. Un client qui se désabonnait d’une liste continuait à recevoir les messages de l’autre liste.

L’exigence de synchronisation des retraits de consentements

La LCAP prévoit qu’une personne doit pouvoir se désabonner de tous les messages électroniques commerciaux en provenance de l’entreprise. En l’absence d’autres choix dans le mécanisme de désabonnement (ex : recevoir certains types de communications seulement), la personne doit par défaut être exclue de la réception de toutes les communications commerciales.

Cette exigence de la loi peut devenir une préoccupation pour plusieurs. Effectivement, dans la majorité des entreprises, il n’y a pas de synchronisation entre les listes d’envois et les envois de courriels eux-mêmes, les plateformes d’envois de courriels étant sépares du CRM ou des bases de données. Plusieurs entreprises n’ont souvent aussi aucun moyen de mettre à jour le consentement par rapport aux envois via Outlook si une personne se désabonne de leur infolettre. Ainsi, une personne pourrait continuer à recevoir des communications, malgré le fait qu’en principe, elle se soit désabonnée de tous les envois.

Le programme de conformité est incontournable

Ancestry est, par cet engagement, obligée de se conformer à la Loi en ce qui a trait à la synchronisation de ses consentements. Elle doit donc désabonner de toutes ses communications commerciales toute personne ayant indiqué ce souhait, soit directement ou indirectement, et ce, dans les 10 jours ouvrables suivant la demande.

L’entreprise doit aussi mettre en place un programme de conformité à la LCAP lequel passe notamment par : « l’examen et la révision des pratiques actuelles en matière de conformité […], ainsi que diverses autres mesures de surveillance et d’audit, incluant des mécanismes de rapport au personnel du CRTC concernant la mise en œuvre du programme. »1

Ne soyez pas la prochaine entreprise sanctionnée

Si vous utilisez une plateforme d’envoi de courriels ne synchronisant pas les retraits de consentements avec les autres listes ou votre système interne de courriel, vous êtes en contravention de la LCAP et vous vous exposez à une amende pouvant atteindre plusieurs centaines de milliers de dollars.

Si votre entreprise ne fait pas encore l’objet d’une enquête par l’une des autorités chargées de l’application de la LCAP, il est encore temps de mettre en place votre programme de conformité et de vous protéger avant qu’il ne soit trop tard.

 

Témoignage de Certimail devant le comité parlementaire sur la révision de la Loi C28

Texte de l’allocution prononcée par Philippe Le Roux, président de Certimail lors de son témoignage devant le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes dans le cadre de la révision de la Loi Canadienne anti-pourriel.

Introduction

Je veux remercier les membres du Comité de m’avoir invité à témoigner aujourd’hui. Bien que peu couvert par les médias, le travail de votre comité est très important pour l’économie canadienne ainsi que pour sa population.

J’ai bien entendu suivi les travaux de votre Comité avec un très grand intérêt et j’en ai en publié un compte rendu régulier sur notre blogue. Peu habitué des activités de lobbying, je vous avoue que j’ai été particulièrement surpris par le nombre d’approximations, d’exagérations et de faits alternatifs qui vous ont été servis comme des vérités scientifiques. Je reviendrai sur ces déclarations un peu plus tard.

Pionnier de l’Internet au Québec, j’ai fondé en 1994 la première agence de marketing numérique à travers laquelle j’ai, durant près de 20 ans, aidé de nombreuses organisations comme VIA Rail, RDS et Club Med USA à utiliser le web pour transformer leur stratégies de marketing, de ventes et parfois même leur modèle d’affaires.

J’ai toujours considéré le courriel comme le cœur de toute stratégie de marketing numérique et j’ai commencé à mettre en œuvre des stratégies de marketing courriel pour nos clients dès 1996. En 2013, j’ai quitté l’agence pour fonder Certimail dont la mission est d’aider les PME Canadiennes à renforcer l’efficacité de leur marketing courriel en se conformant à la LCAP. Nous sommes en fait la seule compagnie dédiée à la conformité à la LCAP.

Loin de tout dogmatisme, les constats et recommandation que je vous livre aujourd’hui reposent sur 20 années d’expérience en marketing courriel ainsi que 4 années dédiées à analyser la LCAP et ses 13 documents réglementaires pour aider des dizaines de PME de toutes tailles à implanter leur programme de conformité basés sur les exigences du CRTC.

Le coût de la conformité

Avant de rentrer dans l’analyse de la LCAP et de son application, je voudrais répondre à une question simple que vous avez posée à chacune de vos sessions sans jamais obtenir de réponse, à savoir ce qu’il en coûte à une entreprise pour se conformer à la LCAP.

La réponse est simple, nos forfaits de conformité certifiés coûtent 699$ pour une entreprise individuelle, 1 249$ pour une petite entreprise de moins de 10 employés et entre 3 000 et 15 000$ pour les entreprises de 11 à 300 employés. Si mes collègues de Newport Thomson, de Deloitte ou de KPMG qui offrent des services similaires aux plus grandes entreprises avaient été invités ils vous diraient que leur tarifs tournent entre 25 000 et 100 000$.

Il est surprenant que ni le CRTC ni les associations industrielles n’aient pu vous fournir cette information indispensable et facilement accessible.

Ceci étant dit, mon intervention portera sur trois points :

  • L’importance et l’efficacité de la LCAP
  • L’inadéquation de l’approche du CRTC
  • Quelques recommandations pour renforcer l’efficacité de la LCAP en réduisant ses impacts négatifs.

Pertinence et efficacité de la LCAP

C’est autant à tire d’expert du marketing que de consommateur socialement motivé que je veux vous démontrer que non seulement la LCAP est nécessaire mais qu’elle est souhaitable.

Contrairement à ce qu’ont affirmé de nombreux lobbyistes qui sont venus témoigner devant vous, la LCAP n’est pas une loi sur la cybersécurité ou sur les risques informatiques, mais une loi qui vise à développer la confiance des consommateurs dans les affaires électroniques.

En fait, comme cela avait été suggéré dans le rapport du Groupe de travail sur le pourriel, la LCAP et ses règlements ressemblent plus à un code de la route des communications électroniques qu’à une loi sur les menaces informatiques.

Quand j’ai traversé le pont Champlain ce matin pour assister à cette session, j’ai pu constater que la réglementation complexe et sévère mise en place il y a un siècle pour encadrer les rares automobilistes de l’époque n’a pas vraiment affecté le développement de ce mode de transport.

Et ce code de la route qu’est la LCAP, les canadiens y tiennent. Ils l’ont démontré en déposant plus d’1 million de plaintes en trois ans sans avoir vu une seule publicité les incitant à le faire. Et ces votes de support à la LCAP continuent d’entrer par milliers chaque jour.

D’ailleurs ce volume de plainte suffit à contredire l’affirmation que la Chambre de Commerce du Canada vous a faite. La réception de messages électroniques non sollicité est encore un problème majeur pour la grande majorité de la population canadienne. Les technologies anti-pourriel sont de plus en plus efficaces mais elles n’ont pas réglé le problème et commencent d’ailleurs à montrer leurs limites. Demandez à Axon, le fabricant des « tasers »  dont l’action a baissé de 6% à cause de courriels bloqués par leur logiciel anti-pourriel.

L’importance et l’efficacité de la LCAP

Vous savez qu’à son premier anniversaire, la LCAP avait déjà permis de réduire de 37% le volume de pourriel reçu dans les messageries des canadiens. Cela démontre l’efficacité de la LCAP pour les consommateurs.

Mais elle est également efficace pour les entreprises, en tout cas pour celles qui veulent faire du marketing courriel efficace et non pas utiliser le courriel pour faire du marketing traditionnel comme à l’époque de Mad Men.

En effet, depuis que la LCAP est entrée en vigueur, le Canada est sorti du peloton pour devenir l’un des deux pays où le marketing courriel est de loin le plus efficace. Le deuxième pays, c’est l’Australie, le seul pays qui applique une législation aussi large et sévère que la LCAP.

Par exemple le taux de placement, c’est à dire la proportion des courriels envoyés qui sont visibles par leurs destinataires dans leur messagerie est de l’ordre de 80% dans la plupart des pays. Au Canada le taux est passé de 79% en 2014 à 90% aujourd’hui. Le seul autre pays dans le monde qui atteint un score similaire, c’est encore l’Australie.

De la même façon, le taux de lecture, c’est-à-dire la proportion des courriels marketing ouverts par les destinataires, est en moyenne de 22% dans le monde avec des variations allant de 12% sur le continent africain à 24% au Royaume-Uni en passant par 21% aux États-Unis. Seuls deux pays se distinguent : l’Australie avec un taux de 33% et le Canadanavec 32%. Pourtant le taux de lecture au Canada n’était que de 26,2% en 2014 avant que la LCAP n’entre en vigueur.

J’ai entendu plusieurs témoins dire que la LCAP affectait la compétitivité des entreprises canadiennes. Pourtant c’est faux. la LCAP est un excellent incitatif à adopter les meilleures pratiques du domaine et donc à obtenir de meilleurs résultats. Cela fait près de 15 ans que l’Australia Spam Act est en vigueur et leur économie ne semble pas en souffrir particulièrement.

Réduire la portée de la LCAP reviendrait à encourager les entreprises canadiennes à maintenir une approche marketing souvent dépassée plutôt qu’à capitaliser sur l’innovation pour être plus compétitives.

D’autant plus que l’AECG entre en vigueur au moment où l’Europe met en application le RGPD, sa nouvelle législation sur la protection des données qui semble calquée sur la LCAP pour ce qui a trait aux communications électroniques. En incitant les entreprises canadiennes à se conformer à la LCAP on leur donne une longueur d’avance sur le marché européen.

L’inadéquation de l’approche du CRTC

Ce qui m’amène au deuxième point sur lequel je veux vous sensibiliser, l’inadéquate approche du CRTC. Je pourrais passer des heures à vous lister les raisons pour lesquelles le CRTC est en train d’échouer dans l’application de la LCAP mais nous n’en avons pas le temps alors je me contenterai de vous signaler les principaux griefs.

Une très mauvaise sensibilisation des entreprises

Le premier a trait aux communications, une lacune que dénoncent les ¾ des entreprises canadiennes selon différents sondages faits sur la LCAP.

  • Mis à part une petite campagne de publicité sur le web et quelques présentations au nombre de places très limités en 2014, le CRTC n’a rien fait pour sensibiliser les entreprises sur les nombreuses règles de la LCAP. Il y a quelques semaines, monsieur Harroun se vantait devant vous d’avoir sensibilisé 1 200 entreprises lors de ses différentes présentations à Toronto au printemps dernier. Il faudrait lui rappeler que le Canada est un peu plus grand et qu’à ce rythme-là, il lui faudra un siècle pour sensibiliser le million d’entreprises canadiennes qui n’est toujours pas sensibilisé aux exigences de conformité à la LCAP.
  • Le Journal de l’assurance a invité en mai dernier le CRTC à envoyer un conférencier à Montréal ce mois-ci pour sensibiliser 400 entreprises du secteur lors d’un colloque d’une journée sur le sujet. Le CRTC a décliné l’invitation au mois de septembre et le colloque a dû être annulé et les compagnies continuent d’ignorer les règles de la LCAP et l’importance de mettre en place un programme de conformité.
  • En mai 2014, le CRTC a publié un bulletin définissant les critères qu’un programme de conformité doit respecter pour que l’entreprise puisse invoquer la défense de bonne diligence prévue à l’article 33(1) de la loi. Le problème, c’est que ce bulletin est caché au fin fonds du site du CRTC et n’est connu que par quelques spécialistes. Il n’y est fait aucune référence ni dans le site prévu à cette fin « combattrelepourriel.ca » ni dans les FAQ pour entreprises sur la LCAP. Pourtant le CRTC affirme dans chacune de ses conférences privées que son objectif principal est d’inciter les entreprises à mettre en place de tels programme.

C’est loupé ! Cette année trois sondages ont permis d’estimer que moins de 15% des entreprises canadiennes ont un programme de conformité !

Le site web dédié à informer les consommateurs et les entreprises sur tout ce qui touche à la LCAP est non seulement mal fait et incomplet mais il n’est même pas mis à jour. Le dernier avis publié date de plus d’un an !

Opacité et incohérence dans l’application

La deuxième faille importante du CRTC a trait à l’interprétation de la LCAP et de ses règlements. En trois ans, l’équipe d’enquêtes et conformité du CRTC a publié à peine trois documents d’interprétation alors que le flou persiste sur des dizaines d’enjeux qui touchent la plupart des entreprises. Et n’essayez pas de les appeler pour obtenir des conseils, ils vont vous renvoyer à un agent de leur centre d’appel qui vous invitera à faire votre propre interprétation et d’espérer que le CRTC aura la même s’il enquête sur vous.

Depuis que j’ai fondé Certimail il y a maintenant 4 ans, je cherche à établir le contact avec l’équipe d’enquête et conformité du CRTC, j’ai envoyé des invitations par LinkedIn, j’ai envoyé des courriels, j’ai téléphoné et laissé des messages à l’adjointe de monsieur Harroun. Je n’ai jamais eu de nouvelles jusqu’à ce que mon nom soit confirmé comme témoin invité par le comité cette semaine. Et ce même si monsieur Harroun et son équipe invitent constamment les entreprises à communiquer avec eux pour avoir des conseils sur leur conformité.

Et ce n’est pas le seul double discours du CRTC sur la LCAP. C’est la même chose pour les enquêtes et les amendes. Alors que le discours public martèle que le CRTC ne veut pas chercher des poux aux entreprises qui agissent de bonne foi et se concentre sur les délinquants qui sont le plus nuisibles, force est de constater que dans les conférences privées, le discours est totalement différent et que la moitié des amendes rendues publiques ont visé des entreprises de bonne foi comme Rogers, Porter ou même Kellog’s Canada.

Comment expliquer que le CRTC vient de réduire à 200 000$ l’amende d’1,1M$ infligée à Compu-Finder en 2015, soit un montant identique à celui payé par Rogers qui a fait des erreurs mineures à côté des violations de Compu-Finder et de l’ampleur de ses campagnes courriel ?

Rappelons que Compu-Finder est une entreprise dénoncée dans les médias depuis des années pour ses pratiques de courriel abusives, qui a collecté illégalement plus de 400 000 adresses courriel d’entreprises canadiennes, qui a généré à elle seule le quart des plaintes reçues par le CRTC à l’époque et qui a refusé de collaborer durant l’enquête.

Une roulette russe pour les entreprises

La troisième faiblesse du CRTC, c’est le volume des enquêtes. Monsieur Harroun a dévoilé devant vous que le CRTC avait ouvert 500 dossiers (sur 1,1M de plaintes !) et complété 30 enquêtes dont à peine huit ont été rendues publiques en trois ans. Comment espérer que les entreprises se sentent concernées par la LCAP à ce rythme là ? En fait les entreprises ont l’impression qu’elles ont plus de chance de gagner le gros lot à la loterie que d’être enquêtées sur leurs envois de courriels.

Je pourrais continuer des heures à vous présenter des aberrations de ce type qui nuisent à l’atteinte des objectifs fixés par la LCAP mais je n’en ai pas le temps et répondrais donc à vos questions et vous ferai parvenir prochainement nos différentes recommandations pour renforcer l’efficacité de la LCAP tout en simplifiant la conformité pour les entreprises.

Grâce à sa loi anti-pourriel, le Canada démonte un réseau international

Depuis deux ans, il a été beaucoup question de la dimension communications électroniques de la Loi Canadienne anti-pourriel, la Loi C28. Il a été peu question de l’article 8 de la Loi qui réglemente l’installation de logiciels et vise à s’attaquer aux nombreux logiciels malveillants qui permettent à des personnes mal intentionnées de prendre le contrôle de nos ordinateurs pour pirater nos informations personnelles et financières ou pour s’en servir de relais pour leurs activités illégales.

Pourtant c’est grâce à cet article de la Loi C28 que le CRTC a pu diriger avec succès une opération de police internationale qui a pu mettre hors d’état de nuire le serveur de contrôle du virus Win32/Dorkbot qui controlait depuis Toronto l’un de ces principaux réseaux.

Sur la base des informations fournies par les corps policiers, le CRTC a pu demander à un juge de l’Ontario un mandat de perquisition en vertu de la Loi Canadienne anti-pourriel. Une fois le mandat obtenu, les inspecteurs du CRTC appuyés par la GRC ont pu s’emparer du serveur et des ordinateurs qui l’accompagnaient et le mettre ainsi hors d’état de nuire tout en récupérant des données qui permettront de remonter la filière et identifier les coupables.

Pendant longtemps, en l’absence de législation spécifique, le Canada était un paradis pour ce type d’activités malveillantes, c’est ce qui explique probablement pourquoi le réseau international avait basé son centre de contrôle à Toronto.

Cette opération traitée comme un simple fait divers par la plupart de nos médias est pourtant majeure pour plusieurs raisons :

  1. Elle démontre que le Canada n’est plus un havre pour les pirates du reste du monde.
  2. Le réseau démantelé était l’un des plus importants et des plus nuisibles dans le monde. Win32/Dorkbot a pu infecter des millions d’ordinateurs personnels dans 190 pays qui se retrouvaient utilisés à l’insu de leurs propriétaires pour lancer d’importantes attaques informatiques. C’est d’ailleurs ce réseau qui avait permis en juin dernier de mettre hors service les serveurs de courriel du gouvernement canadien et plusieurs sites web de ministères.
  3. Elle prouve que la collaboration internationale prévue dans la Loi canadienne anti-pourriel est efficace. L’opération dirigée par le Canada s’est faite avec l’appui du FBI, d’Europol, d’Interpol, du Homeland Security et les autorité polonaises. Microsoft a joué également un rôle important dans l’éradication de ce virus qui s’attaquait à son système d’exploitation Windows et permettait également de récupérer les mots de passe de Facebook, Gmail, Twitter, Netflix et Paypal.

Seule Radio-Canada a fait un reportage sur cette nouvelle à la hauteur de son importance.

Pour en savoir plus sur l’article 8 et les enjeux pour l’installation de logiciels, consultez cette excellente présentation de Dentons.

Fraude des courriels d’entreprises : 1.2G$ en jeu

Quand on parle de fraude par courriel, on pense souvent à des particuliers qui se font avoir pour des prétendus transferts d’héritage ou d’autres promesses d’argent facile. Mais les entreprises sont également victimes de ces fraudeurs du cyberespace. Selon une récente alerte du FBI, les criminels ont réussi à soutirer plus d’un milliard de US$ aux entreprises en exploitant habilement le courriel.

Une fraude bien montée qui cible d’abord les dirigeants

Le principe de cette fraude consiste d’abord à prendre le contrôle du courriel du CEO ou d’un dirigeant de l’entreprise par des approches d’hameçonnage traditionnelles visant souvent ces dirigeants ou leurs assistants. Une fois que les fraudeurs ont accès au courriel du dirigeant ou à ses informations techniques, ils peuvent envoyer au service comptable de l’entreprise une demande de virement urgente qui aura l’air d’autant plus réelle qu’elle proviendra réellement du courriel du dirigeant et comprendra bien souvent des informations qui ne sont en théorie pas accessibles à quelqu’un d’externe à l’entreprise. Les fraudeurs vont même jusqu’à fournir un numéro de téléphone pour fin de vérification ou de questions particulières. Inutile de dire que la plupart du temps, le service comptable voudra satisfaire son patron en montrant sa célérité à gérer l’urgence plutôt que de « perdre du temps » avec une vérification qui lui paraît inutile.

IBM a publié récemment un rapport sur une fraude de ce type qui permet de découvrir un univers ou se combinent technologies et ingénierie sociale sophistiquées pour escroquer les entreprises.

Une arnaque mondiale en forte croissance

Depuis Octobre 2013, soit en moins de deux ans, ce sont plus de 8 000 entreprises qui ont porté plainte au Internet Crime Complaint Center du FBI. Elles ont rapporté des attaques pour près de 800M$, soit une moyenne de 100,000&nbsp$ par fraude. Selon le FBI des attaques similaires pour un montant de 400M$ ont été dénoncées aux autorités d’autres pays ce qui donne un total mondial de 1,2 milliard de $. Le FBI parlait d’un montant total d’à peine 215M$ au mois de janvier dernier, ce qui signifie qu’en à peine 6 mois ces fraudes représentent 4 fois plus d’argent que durant les 15 mois précédents.

Récemment, la compagnie Ubiquiti Networks, un fabricant de matériel de réseaux sans-fil, annonçait dans ses résultats trimestriels qu’elle a été victime d’une telle fraude qui lui a couté 46,7M$ ! Depuis Ubiquiti a réussi à récupérer 8,1M$ et espère mettre la main sur un autre 6,8M$ ramenant sa perte à 31M$.

Des précautions mais pas de miracle

Le FBI propose une série de précautions à prendre pour réduire le risque d’exposition à ces fraudes :

  • Mettre en place une technologie de détection des courriels utilisant un domaine similaire à celui de votre entreprise. Par exemple, si le courriel officiel de votre compagnie est @compagnie.com, le courriel @compagnie.com doit être repéré et reporté. Ne vous fiez pas aux technologies antipourriel car les courriels fabirqués pour ce type de fraude ne sont pas utilisés massivement et ne sont donc pas repérés par les systèmes de protection de masse.
  • Enregistrer tous les noms de domaines qui ressemblent à celui de votre entreprise.
  • Mettre en place un processus de double authentification lors d’un changement de domiciliation de paiement d’un fournisseur.
  • Faire confirmer verbalement toute demande de transfert de fonds en utilisant des numéros connus et non pas ceux qui sont fournis dans des ordres par courriel
  • Mettre en place un processus de vérification systématique lors de la réception de toute demande de transfert par courriel

Mais il n’y a pas de miracle. Même si ces précautions permettent de réduire le risque, elles ne garantissent en aucun cas une protection totale.

Pour les PME, le risque n’est pas moindre

Les PMEs sont en général moins à risque que les grandes entreprises car leur taille rend difficile de se faire passer pour un de ses dirigeants que l’employé connait personnellement mais cela ne signifie pas qu’elles soient totalement à l’abri. Elles doivent donc porter une attention particulière aux trois dernières recommandations du FBI qui n’impliquent pas de dépenses ou de compétences particulières pour êtres mises en place et qui peuvent réduire fortement le risque de perte.

20 ans plus tard, le Canada agit enfin contre les pourriels

1994, deux avocats créent le premier pourriel

C’est le 13 avril 1994 qu’Internet a connu son premier Spam comme le raconte si bien Ray Everett qui a cofondé le CAUCE (Coalition Against Unsolicited Commercial Email), le principal organisme de lutte contre le spam en Amérique du Nord. Il s’agissait d’un message de deux avocats véreux, Laurence Canter et Martha Siegel, qui essayaient de soutirer de l’argent aux candidats à la loterie de l’immigration américaine. Ce message n’a pas été envoyé par courriel mais publié via un script PERL dans les 6 000 groupes de discussion d’Usenet qui était la principale source d’information et d’expertise d’Internet avant que le web ne se développe.

Cette pollution fut particulièrement mal vue dans un univers Internet qui fonctionnait sur des principes de collaboration, de partage et d’entraide dans lequel aucune activité commerciale n’était pratiquée. La communauté s’est rapidement enflammée se mettant à saturer l’adresse courriel des fautifs ainsi que leur ligne de téléphone. Au lieu de comprendre la leçon, les deux avocats ont créé une compagnie de marketing électronique Cybersell Inc. qui offrait leurs services à tous les vendeurs de bebelles qui pensaient qu’inonder Usenet était une technique efficace de vente. Ils ont même publié un livre «How to Make a Fortune on the Information Superhighway : Everyone’s Guerrilla Guide to Marketing on the Internet and Other On-line Services» qui n’est pas exactement devenu un best-seller, avant de se faire rayer définitivement du barreau par la Cour Suprême du Tennesee.

Des pays qui légifèrent tôt

Peu après la Suède devenait en 1995 le premier pays à légiférer sur le pourriel avec son Marknadsföringslagen. Elle fut suivie par l’Autriche avec son Telecommunication Act en 1997 puis la Malaisie qui se dota du Communication and Multimedia Act en 1998, et de nombreux autres pays les années suivantes.

En 2002, la commission européenne se dotait d’une directive sur la vie privée et les communications électroniques qui interdit d’envoyer des messages automatisés sans consentement initial. L’année suivante, les États-Unis adoptaient le Can-Spam Act, encore en vigueur aujourd’hui. La même année, l’OCDE dont fait partie le Canada, mettait en place un groupe de travail anti-pourriel qui déboucha sur la création d’une boite à outil publiée en 2006 qui invitait tous les gouvernements qui ne l’avaient pas encore fait à se doter d’une législation anti-pourriel rigoureuse.

Pendant ce temps, le Canada traîne…

Il a fallu attendre 2004 pour que le gouvernement canadien commence à s’occuper du problème en annonçant un Plan d’action anti-pourriel qui consistait essentiellement à mettre en place un comité d’experts, le Groupe de travail sur le pourriel qui disposait d’une année pour remettre son rapport effectivement publié en mai 2005. Ce n’est que 4 ans plus tard qu’un premier projet, la loi C27 sur la protection du commerce électronique, est déposé. Malheureusement, après être passé en deuxième lecture au Sénat, le projet de loi est tué au feuilleton lorsque le 1er ministre Harper proroge le parlement en décembre 2009. Au mois d’avril 2010, le gouvernement dépose la loi C28 qui reprend la loi C27 avec des modifications mineures. Votée au parlement le 23 novembre 2010, elle est ensuite rapidement approuvée par le Sénat et signée par le gouverneur général le 15 décembre 2010.

… et traîne encore

Même si la loi C28 était votée, il a fallu attendre juin 2011 pour que le CRTC publie un projet de règlement et lance des consultations courues par tous les lobbys industriels s’y opposant. C’est seulement le 7 mars 2012 qu’est publiée la version finale du règlement. Mais la pression continue et débouche sur la publication en octobre 2012 de deux guides d’interprétation du règlement. Le 4 décembre 2013, le ministre James Moore promulgue la loi C28 et annonce qu’elle entrera (enfin) en vigueur à partir du premier juillet 2014, soit près de 20 ans après le premier pourriel et 10 ans après la présentation du plan d’action gouvernemental.

Trônant à la 8e place des pays générant le plus de pourriel, le Canada est considéré comme un paradis des spammeurs, un « honneur » qu’il partage avec la Russie et la Corée du Nord. Il ne reste plus qu’à espérer qu’à partir du 1er juillet, cette loi permettra réellement de baisser le volume de pourriel qui encombre nos réseaux et nos ordinateurs et qu’elle mettra hors service les 2 canadiens qui figurent dans le top 10 mondial des polluposteurs.