Loi C 28 : 6 erreurs fréquentes des entreprises avec leurs solutions
Il est normal qu’une entreprise qui ne prend aucune mesure pour respecter la loi subisse les conséquence de sa mauvaise gouvernance. Par contre, c’est toujours avec un sentiment d’injustice qu’on apprend qu’une entreprise qui a essayé de se conformer de bonne foi doit payer une amende conséquente parce qu’elle n’a pas tenu compte de toutes les subtilités et exigences de la Loi Canadienne anti-pourriel (LCAP ou Loi C 28).
Car si la Loi prévoit comme seul moyen de défense qu’une entreprise « ne peut être tenue responsable d’une violation si elle prouve qu’elle a pris toutes les précautions voulues pour prévenir sa commission », le CRTC exige que chaque entreprise se dote d’un programme de conformité respectant 8 exigences précises pour profiter de cette protection et éviter les pénalités.
Les différentes études que nous avons menées auprès des PME québécoises nous montrent que la plupart des entreprises qui se croient conformes à la Loi C 28 ne le sont tout simplement pas car elles ne connaissent pas les complexités de cette loi pour laquelle le travail d’éducation du CRTC a été particulièrement déficient. Elles risquent malheureusement des amendes coûteuses malgré leurs efforts pour agir dans la légalité.
Parmi la centaine d’enjeux de conformité que nous validons chez nos clients, nous avons sélectionnés 6 problèmes de conformité que font la plupart des entreprises, petites et grandes, et qui sont relativement simples à corriger. En évaluant votre situation pour chacun de ces enjeux, vous pourrez vérifier rapidement si le niveau de conformité de votre entreprise est celui que vous croyez.
Même si notre approche optimisée pour les PME nous permet d’offrir des programmes de conformité certifiés à une fraction du coût de nos concurrents, nous savons que plusieurs petites entreprises n’ont pas toujours les liquidités ou le temps de faire une telle démarche immédiatement. Nous vous offrons donc des solutions adaptées aux petites entreprises pour facilement corriger ces problèmes.
.
Notez bien que cette démarche ne remplace pas une analyse de risques telle qu’exigée par le CRTC mais est un moyen simple d’évaluer si votre entreprise est aussi conforme que vous le pensez et de commencer à réduire vos risques en attendant de mettre en place un véritable programme de conformité pour vous protéger pleinement des coûteuses pénalités.
Erreur #1 : Pas de mécanisme de retrait dans les courriels individuels
La Loi C28 ne fait aucune différence entre une promotion envoyée à des milliers de personnes et un courriel envoyé à une seule personne. Dans les deux cas, il s’agit de « messages électroniques commerciaux » et la Loi exige que chaque message comporte les informations obligatoires ainsi qu’un mécanisme de retrait. Alors que la plupart des entreprises s’assurent d’offrir un lien de désabonnement dans leurs infolettres, très peu respectent cette exigence dans leurs courriels individuels se trouvant ainsi en violation de la Loi Canadienne anti-pourriel.
Si vous recevez un courriel d’un employé de Deloitte Canada, vous constaterez que sa signature comporte toujours la mention suivante : « Si vous ne voulez pas recevoir d’autres messages électroniques commerciaux de Deloitte à l’avenir, veuillez envoyer ce courriel à l’adresse unsubscribe@deloitte.ca« . De la même façon, à Certimail mes collègues et moi-même incluons systématiquement dans notre signature de courriel la mention : « Si vous ne souhaitez plus recevoir de messages commercial de Certimail, veuillez l’indiquer en répondant à ce message. »
Solution :
Si ce n’est pas déjà le cas, assurez-vous que votre signature de courriel commerciale et celle de tous vos employés comporte une mention indiquant un mécanisme de retrait de consentement offert à vos correspondants d’affaires.
Erreur #2 : Formulaire d’abonnement à une infolettre
Rassurez-vous, le problème n’est pas le formulaire en lui-même mais la référence à l’infolettre ou au bulletin. Dans la Loi Canadienne anti-pourriel, la notion de consentement n’est pas binaire (on l’a ou on ne l’a pas), elle est explicite. C’est à dire que la formulation du consentement offert par une personne détermine ce que l’on a le droit de lui envoyer. Ainsi si vous offrez un formulaire d’abonnement à votre infolettre, vous obtenez ainsi un consentement des personnes à leur envoyer… vos infolettres et aucun autre type de message électronique commercial. Vous n’aurez pas même le droit de leur envoyer une carte de fête électronique avec un coupon de réduction pour leur anniversaire.
Il faut donc utiliser une formulation plus large comme sur c’est le cas sur notre site illustré dans l’exemple de gauche ci-dessous qui demande un consentement générique incluant tous les types de messages électroniques que nous souhaiterions envoyer (vous pouvez voir ce formulaire sur notre site… et même le remplir pour ne pas manquer nos prochains conseils pratiques) contrairement à l’exemple de droite qui limite le consentement aux infolettres de l’entreprise et l’obligerait à redemander un consentement pour pouvoir faire d’autres types d’envois dans le futur.
Formulaire de consentement – exemples de quoi faire et ne pas faire pour bien exploiter la Loi C28
Solution :
Vérifiez vos formulations de demande de consentement électronique et papier afin qu’elles ne vous limitent pas dans vos envois commerciaux futurs.
Erreur #3 : Effacer les courriels qui ne servent plus
Beaucoup de PMEs ont pour habitude d’effacer les courriels de leur boîte dès qu’ils sont traités et qu’ils n’en ont plus besoin. Le but pour ces entreprises est de libérer leur attention (et leur espace disque) de tout ce qui n’est plus pertinent, une façon comme une autre de viser le paradis du Inbox zero.
Une telle pratique est dangereuse avec la Loi Canadienne anti-pourriel. En effet, le CRTC exige que les entreprises conservent le texte de tous leurs messages électroniques commerciaux et les fournissent aux enquêteurs en cas de demande.
Solution :
Utilisez un protocole de courriel qui permet de conserver automatiquement les messages sur le serveur (IMAP ou Exchange) et archivez les messages traités dans des dossiers plutôt que de les supprimer.
Erreur #4 : Utiliser une plateforme de courriel américaine
Lorsqu’elles font l’objet d’une enquête du CRTC, beaucoup de PMEs justifient leurs consentements en expliquant le processus qu’elles ont mis en place, par exemple : « Nous n’envoyons nos bulletins qu’aux personnes qui se sont inscrites sur le site web ».
Dans un avis d’application publié en juillet 2016, le CRTC a clairement établi que c’est insuffisant : « c’est à la personne prétendant avoir obtenu le consentement pour l’envoi d’un MEC (habituellement la personne qui fait l’envoi) de prouver qu’on lui a implicitement ou expressément donné ce consentement« . Le CRTC rappelle d’ailleurs que toute entreprise doit conserver toutes les preuves d’un consentement exprès (comme les enregistrements audio ou les formulaires remplis) des consommateurs qui acceptent de recevoir des messages électroniques commerciaux, une exigence qu’il avait déjà indiquée dans ses Lignes directrices sur le consentement tacite dans le Cadre de la Loi Canadienne anti-pourriel (LCAP) publiées en septembre 2014.
La plupart des plateformes américaines telles que Mailchimp ne conservent pas l’historique des consentements. Lorsqu’une personne qui a vous donné son consentement dans le passé fait une modification à son profil, ces informations viennent remplacer les données originales et vous ne serez plus capable de fournir la preuve que vous aviez le consentement de cette personne en cas d’enquête.
C’est une des nombreuses raisons pour lesquelles il est préférable d’utiliser une des plateformes de marketing courriel canadiennes optimisées à la Loi C28 comme Cyberimpact ou Cakemail. Je sais que Mailchimp permet de gérer 2 000 abonnés sans payer mais cela vaut-il vraiment le risque pour sauver les 10 ou 15$ par mois que vous coûtera une plateforme canadienne pour autant d’abonnés ?
Solution :
Passez vos envois massifs sur un plateforme canadienne optimisée pour la LCAP ou mettez en place une exportation quotidienne de toutes les données de vos listes que vous conserverez en archive pour pouvoir retrouver la trace d’un consentement en cas d’enquête.
Erreur #5 : Ne pas conserver une copie des formulaires
Beaucoup de PME se contentent de conserver les données de consentement fournies par la soumission du formulaire, c’est à dire les données que la personne a inscrites dans le formulaire ainsi que celle d’identification et de datation (date, heure et adresse IP de l’utilisateur). Malheureusement ces données ne sont pas suffisantes pour prouver le consentement. En effet, comme nous l’avons vu précédemment, la notion de consentement n’est pas binaire mais explicite. Vous devez donc être capable de montrer ce qui était affiché sur le formulaire que l’utilisateur a rempli. Il y a de fortes chances que lorsque le CRTC vous contactera pour vous demander de prouver un consentement vieux de deux ou trois ans, votre site web ait connu une refonte ou plusieurs évolutions qui font que le formulaire en ligne sera différent.
Solution :
Passez vos envois massifs sur un plateforme canadienne optimisée pour la LCAP ou faîtes une copie visuelle de chacun de vos formulaires de consentement à chaque fois que vous modifiez votre site web ou vos formulaires en indiquant la date du changement.
Erreur #6 : Pas de politique de conformité écrite
Vous avez beau prendre toutes les mesures nécessaires pour être conforme, vous n’êtes jamais à l’abri d’une erreur d’un employé, d’un sous-traitant ou d’un problème technique qui peuvent vous mettre dans une situation de violation accidentelle de la Loi Canadienne anti-pourriel. C’est pour éviter de pénaliser les entreprises qui ont fait preuve de bonne gouvernance que la Loi C28 offre comme « moyen de défense » l’article 33.1 qui prévoit que vous ne serez pas responsable d’une telle violation si vous avez pris toutes les mesures nécessaires pour vous éviter la violation. Vous allez me dire que la notion de « toutes les mesures nécessaires » est assez floue et subjective. Vous avez entièrement raison. C’est pour cela qu’au mois de mai 2014, le CRTC a publié un bulletin d’information qui définit ce qu’il attend par « prendre toutes les mesures nécessaires ».
Ce bulletin explique que la seule façon de bénéficier de ce moyen de défense est d’avoir mis en place un programme de conformité formel respectant huit exigences spécifiques. Et l’une de ces exigences est d’avoir une politique de conformité écrite que les employés connaissent et respectent sous peine de subir des mesures disciplinaires.
Gérer une entreprise sans avoir de politique de conformité à la Loi Canadienne anti-pourriel écrite, c’est comme faire de la moto sans casque : « C’est sécuritaire tant qu’il n’y a pas d’accident ».
Solution :
Rédigez votre politique de conformité à la Loi Canadienne anti-pourriel en vous appuyant sur votre analyse de risque préalable et assurez-vous que vos employés la comprennent et l’appliquent.
Quel est votre score ?
Si aucune de ces erreurs ne s’applique à votre entreprise, vous faîtes partie des rares entreprises qui sont déjà bien avancées dans leur conformité. La formalisation de votre programme de conformité devrait être assez rapide et peu coûteuse mais reste importante, il serait dommage que vous soyez pris en défaut sur une autre de la centaine de règles de la LCAP et de ses réglements.
Si vous avez constaté que certaines de ces 6 erreurs s’appliquaient à votre entreprise, cela prouve que votre entreprise n’est pas conforme, sans compter tous les autres enjeux de conformité qui ne sont pas couverts dans cet article, notamment au niveau des employés et de la synchronisation des consentements. Il serait peut être temps de penser à mettre en place votre programme de conformité afin de protéger votre entreprise des amendes et recours collectifs qui vont se multiplier à partir du 1er juillet prochain.
Nos experts sont à votre disposition pour évaluer votre situation ainsi que la façon le plus efficace et la moins coûteuse de mettre en place un programme de conformité répondant aux exigences du CRTC.
Leave a Reply
Want to join the discussion?Feel free to contribute!