Articles

Loi C 28 : 6 erreurs fréquentes des entreprises avec leurs solutions

Il est normal qu’une entreprise qui ne prend aucune mesure pour respecter la loi subisse les conséquence de sa mauvaise gouvernance. Par contre, c’est toujours avec un sentiment d’injustice qu’on apprend qu’une entreprise qui a essayé de se conformer de bonne foi doit payer une amende conséquente parce qu’elle n’a pas tenu compte de toutes les subtilités et exigences de la Loi Canadienne anti-pourriel (LCAP ou Loi C 28).

Car si la Loi prévoit comme seul moyen de défense qu’une entreprise « ne peut être tenue responsable d’une violation si elle prouve qu’elle a pris toutes les précautions voulues pour prévenir sa commission », le CRTC exige que chaque entreprise se dote d’un programme de conformité respectant 8 exigences précises pour profiter de cette protection et éviter les pénalités.

Les différentes études que nous avons menées auprès des PME québécoises nous montrent que la plupart des entreprises qui se croient conformes à la Loi C 28 ne le sont tout simplement pas car elles ne connaissent pas les complexités de cette loi pour laquelle le travail d’éducation du CRTC a été particulièrement déficient. Elles risquent malheureusement des amendes coûteuses malgré leurs efforts pour agir dans la légalité.

Parmi la centaine d’enjeux de conformité que nous validons chez nos clients, nous avons sélectionnés 6 problèmes de conformité que font la plupart des entreprises, petites et grandes, et qui sont relativement simples à corriger. En évaluant votre situation pour chacun de ces enjeux, vous pourrez vérifier rapidement si le niveau de conformité de votre entreprise est celui que vous croyez.

Même si notre approche optimisée pour les PME nous permet d’offrir des programmes de conformité certifiés à une fraction du coût de nos concurrents, nous savons que plusieurs petites entreprises n’ont pas toujours les liquidités ou le temps de faire une telle démarche immédiatement. Nous vous offrons donc des solutions adaptées aux petites entreprises pour facilement corriger ces problèmes.
.

Notez bien que cette démarche ne remplace pas une analyse de risques telle qu’exigée par le CRTC mais est un moyen simple d’évaluer si votre entreprise est aussi conforme que vous le pensez et de commencer à réduire vos risques en attendant de mettre en place un véritable programme de conformité pour vous protéger pleinement des coûteuses pénalités.

Erreur #1 : Pas de mécanisme de retrait dans les courriels individuels

La Loi C28 ne fait aucune différence entre une promotion envoyée à des milliers de personnes et un courriel envoyé à une seule personne. Dans les deux cas, il s’agit de « messages électroniques commerciaux » et la Loi exige que chaque message comporte les informations obligatoires ainsi qu’un mécanisme de retrait. Alors que la plupart des entreprises s’assurent d’offrir un lien de désabonnement dans leurs infolettres, très peu respectent cette exigence dans leurs courriels individuels se trouvant ainsi en violation de la Loi Canadienne anti-pourriel.

Si vous recevez un courriel d’un employé de Deloitte Canada, vous constaterez que sa signature comporte toujours la mention suivante : « Si vous ne voulez pas recevoir d’autres messages électroniques commerciaux de Deloitte à l’avenir, veuillez envoyer ce courriel à l’adresse [email protected]deloitte.ca« . De la même façon, à Certimail mes collègues et moi-même incluons systématiquement dans notre signature de courriel la mention : « Si vous ne souhaitez plus recevoir de messages commercial de Certimail, veuillez l’indiquer en répondant à ce message. »

Solution :
Si ce n’est pas déjà le cas, assurez-vous que votre signature de courriel commerciale et celle de tous vos employés comporte une mention indiquant un mécanisme de retrait de consentement offert à vos correspondants d’affaires.

Erreur #2 : Formulaire d’abonnement à une infolettre

Rassurez-vous, le problème n’est pas le formulaire en lui-même mais la référence à l’infolettre ou au bulletin. Dans la Loi Canadienne anti-pourriel, la notion de consentement n’est pas binaire (on l’a ou on ne l’a pas), elle est explicite. C’est à dire que la formulation du consentement offert par une personne détermine ce que l’on a le droit de lui envoyer. Ainsi si vous offrez un formulaire d’abonnement à votre infolettre, vous obtenez ainsi un consentement des personnes à leur envoyer… vos infolettres et aucun autre type de message électronique commercial. Vous n’aurez pas même le droit de leur envoyer une carte de fête électronique avec un coupon de réduction pour leur anniversaire.

Il faut donc utiliser une formulation plus large comme sur c’est le cas sur notre site illustré dans l’exemple de gauche ci-dessous qui demande un consentement générique incluant tous les types de messages électroniques que nous souhaiterions envoyer (vous pouvez voir ce formulaire sur notre site… et même le remplir pour ne pas manquer nos prochains conseils pratiques) contrairement à l’exemple de droite qui limite le consentement aux infolettres de l’entreprise et l’obligerait à redemander un consentement pour pouvoir faire d’autres types d’envois dans le futur.

Formulaire de consentement - exemples de quoi faire et ne pas faire pour bien exploiter la Loi C28

Formulaire de consentement – exemples de quoi faire et ne pas faire pour bien exploiter la Loi C28

Solution :
Vérifiez vos formulations de demande de consentement électronique et papier afin qu’elles ne vous limitent pas dans vos envois commerciaux futurs.

Erreur #3 : Effacer les courriels qui ne servent plus

Beaucoup de PMEs ont pour habitude d’effacer les courriels de leur boîte dès qu’ils sont traités et qu’ils n’en ont plus besoin. Le but pour ces entreprises est de libérer leur attention (et leur espace disque) de tout ce qui n’est plus pertinent, une façon comme une autre de viser le paradis du Inbox zero.

Une telle pratique est dangereuse avec la Loi Canadienne anti-pourriel. En effet, le CRTC exige que les entreprises conservent le texte de tous leurs messages électroniques commerciaux et les fournissent aux enquêteurs en cas de demande.

Solution :
Utilisez un protocole de courriel qui permet de conserver automatiquement les messages sur le serveur (IMAP ou Exchange) et archivez les messages traités dans des dossiers plutôt que de les supprimer.

Erreur #4 : Utiliser une plateforme de courriel américaine

Lorsqu’elles font l’objet d’une enquête du CRTC, beaucoup de PMEs justifient leurs consentements en expliquant le processus qu’elles ont mis en place, par exemple : « Nous n’envoyons nos bulletins qu’aux personnes qui se sont inscrites sur le site web ».

Dans un avis d’application publié en juillet 2016, le CRTC a clairement établi que c’est insuffisant : « c’est à la personne prétendant avoir obtenu le consentement pour l’envoi d’un MEC (habituellement la personne qui fait l’envoi) de prouver qu’on lui a implicitement ou expressément donné ce consentement« . Le CRTC rappelle d’ailleurs que toute entreprise doit conserver toutes les preuves d’un consentement exprès (comme les enregistrements audio ou les formulaires remplis) des consommateurs qui acceptent de recevoir des messages électroniques commerciaux, une exigence qu’il avait déjà indiquée dans ses Lignes directrices sur le consentement tacite dans le Cadre de la Loi Canadienne anti-pourriel (LCAP) publiées en septembre 2014.

La plupart des plateformes américaines telles que Mailchimp ne conservent pas l’historique des consentements. Lorsqu’une personne qui a vous donné son consentement dans le passé fait une modification à son profil, ces informations viennent remplacer les données originales et vous ne serez plus capable de fournir la preuve que vous aviez le consentement de cette personne en cas d’enquête.

C’est une des nombreuses raisons pour lesquelles il est préférable d’utiliser une des plateformes de marketing courriel canadiennes optimisées à la Loi C28 comme Cyberimpact ou Cakemail. Je sais que Mailchimp permet de gérer 2 000 abonnés sans payer mais cela vaut-il vraiment le risque pour sauver les 10 ou 15$ par mois que vous coûtera une plateforme canadienne pour autant d’abonnés ?

Solution :
Passez vos envois massifs sur un plateforme canadienne optimisée pour la LCAP ou mettez en place une exportation quotidienne de toutes les données de vos listes que vous conserverez en archive pour pouvoir retrouver la trace d’un consentement en cas d’enquête.

Erreur #5 : Ne pas conserver une copie des formulaires

Beaucoup de PME se contentent de conserver les données de consentement fournies par la soumission du formulaire, c’est à dire les données que la personne a inscrites dans le formulaire ainsi que celle d’identification et de datation (date, heure et adresse IP de l’utilisateur). Malheureusement ces données ne sont pas suffisantes pour prouver le consentement. En effet, comme nous l’avons vu précédemment, la notion de consentement n’est pas binaire mais explicite. Vous devez donc être capable de montrer ce qui était affiché sur le formulaire que l’utilisateur a rempli. Il y a de fortes chances que lorsque le CRTC vous contactera pour vous demander de prouver un consentement vieux de deux ou trois ans, votre site web ait connu une refonte ou plusieurs évolutions qui font que le formulaire en ligne sera différent.

Solution :
Passez vos envois massifs sur un plateforme canadienne optimisée pour la LCAP ou faîtes une copie visuelle de chacun de vos formulaires de consentement à chaque fois que vous modifiez votre site web ou vos formulaires en indiquant la date du changement.

Erreur #6 : Pas de politique de conformité écrite

Vous avez beau prendre toutes les mesures nécessaires pour être conforme, vous n’êtes jamais à l’abri d’une erreur d’un employé, d’un sous-traitant ou d’un problème technique qui peuvent vous mettre dans une situation de violation accidentelle de la Loi Canadienne anti-pourriel. C’est pour éviter de pénaliser les entreprises qui ont fait preuve de bonne gouvernance que la Loi C28 offre comme « moyen de défense » l’article 33.1 qui prévoit que vous ne serez pas responsable d’une telle violation si vous avez pris toutes les mesures nécessaires pour vous éviter la violation. Vous allez me dire que la notion de « toutes les mesures nécessaires » est assez floue et subjective. Vous avez entièrement raison. C’est pour cela qu’au mois de mai 2014, le CRTC a publié un bulletin d’information qui définit ce qu’il attend par « prendre toutes les mesures nécessaires ».

Ce bulletin explique que la seule façon de bénéficier de ce moyen de défense est d’avoir mis en place un programme de conformité formel respectant huit exigences spécifiques. Et l’une de ces exigences est d’avoir une politique de conformité écrite que les employés connaissent et respectent sous peine de subir des mesures disciplinaires.

Gérer une entreprise sans avoir de politique de conformité à la Loi Canadienne anti-pourriel écrite, c’est comme faire de la moto sans casque : « C’est sécuritaire tant qu’il n’y a pas d’accident ».

Solution :
Rédigez votre politique de conformité à la Loi Canadienne anti-pourriel en vous appuyant sur votre analyse de risque préalable et assurez-vous que vos employés la comprennent et l’appliquent.

Quel est votre score ?

Si aucune de ces erreurs ne s’applique à votre entreprise, vous faîtes partie des rares entreprises qui sont déjà bien avancées dans leur conformité. La formalisation de votre programme de conformité devrait être assez rapide et peu coûteuse mais reste importante, il serait dommage que vous soyez pris en défaut sur une autre de la centaine de règles de la LCAP et de ses réglements.

Si vous avez constaté que certaines de ces 6 erreurs s’appliquaient à votre entreprise, cela prouve que votre entreprise n’est pas conforme, sans compter tous les autres enjeux de conformité qui ne sont pas couverts dans cet article, notamment au niveau des employés et de la synchronisation des consentements. Il serait peut être temps de penser à mettre en place votre programme de conformité afin de protéger votre entreprise des amendes et recours collectifs qui vont se multiplier à partir du 1er juillet prochain.

Nos experts sont à votre disposition pour évaluer votre situation ainsi que la façon le plus efficace et la moins coûteuse de mettre en place un programme de conformité répondant aux exigences du CRTC.

Amende d’1,1M$ d’AMAZON : avoir le consentement ne suffit pas

L’amende d’Amazon prouve que le consentement n’est pas suffisant

La semaine dernière, je donnais une présentation de sensibilisation à la Loi Canadienne anti-pourriel à des conseillers en entrepreneuriat. Je n’avais pas encore commencé la présentation qu’une responsable m’a demandé : « Si nous faisons signer un contrat aux entrepreneurs que l’on coache,  on a le droit de leur envoyer nos promotions pendant deux ans, non ? ». Et je lui ai répondu « Oui vous avez le droit de leur envoyer mais vous risquez tout de même de payer une amende comme AMAZON vient de le faire ». Vous auriez du voir la face de chacun des membres de l’assistance, cette surprise que l’on peut lire dans le visage de toute personne qui découvre la réalité de cette loi si sévère, si complexe et surtout si mal communiquée.

L’enfer est dans les détails

La Loi C28 repose sur trois principes simples et clairs, à savoir que tout message électronique commercial doit respecter trois exigences principales :

  • Avoir obtenu le consentement exprès ou tacite de la personne à qui il est adressé
  • Indiquer une façon simple de retirer notre consentement à recevoir ces messages
  • Comporter les informations permettant d’identifier qui envoie le message et au nom de qui

Rien de bien compliqué en apparence mais cela devient vite l’enfer quand on entre dans les détails des 53 pages de la Loi, de ses trois règlements d’application et des multiples guides et lignes directrices publiés par les autorités. En fait, en analysant la Loi avec des spécialistes des communications marketing et des chercheurs de la Faculté de Droit de l’Université de Montréal pendant plusieurs mois, nous avons identifiés plus de 150 risques de conformité auxquels fait face chaque PME.

Par exemple, 99% des courriels envoyés par une entreprise sont à finalité commerciale donc ils doivent respecter la Loi anti-pourriel. Je parle bien des courriels que chaque employé envoie avec son Outlook ou Gmail, pas des infolettres. Et c’est là qu’en général les gens me disent « Oui c’est vrai mais on envoie des courriels uniquement aux clients ou aux gens qui nous ont fait une demande d’information ». Donc des gens qui ont offert tacitement leur consentement et à qui il tout à fait légal d’écrire. Mais les courriels que vous envoyez ont-ils une indication de comment retirer son consentement ? Je suis sur que vos infolettres ont un lien de désabonnement mais probablement pas vos courriels individuels. Pourtant c’est obligatoire. Demandez à POF Media, la PME de Vancouver qui a du payer 48 000$ d’amendes (et probablement beaucoup plus en frais d’avocats) parce que le lien de désabonnement de ses envois n’était pas assez clair. Pourtant ils avaient le consentement de toutes les personnes à qui ils envoyaient des messages et ils avaient un mécanisme de retrait. Le CRTC a estimé que le mécanisme n’était pas assez clair ni assez simple et l’amende est tombée.

C’est pour ça que si vous recevez un courriel d’un membre de l’équipe de Certimail, vous constaterez que la signature comporte toujours la mention « Si vous ne souhaitez plus recevoir de courriel de notre part, veuillez l’indiquer en répondant à ce message. » De la même façon si vous recevez un courriel d’un employé de Deloitte vous constaterez dans sa signature la mention « Si vous ne voulez pas recevoir d’autres messages électroniques commerciaux de Deloitte à l’avenir, veuillez envoyer ce courriel à l’adresse [email protected] ».

Ce n’est qu’un des nombreux exemples de comment un courriel envoyé à une personne qui a donné son consentement peut néanmoins violer la Loi Canadienne anti-pourriel et vous valoir une amende. Comme je le disais plus haut, l’enfer est dans les détails.

Mais cela va encore plus loin comme le cas d’Amazon le démontre.

Les amendes de la LCAP s’appliquent à quatre autres lois

Comme son titre l’indique la « Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications » vient modifier quatre autres lois auxquelles sont assujetties la plupart des PME mais qui jusqu’ici n’avaient pas beaucoup de dents. En fait contrairement à ce qu’on dit, la Loi C28 n’est pas juste une loi anti-pourriel, c’est un véritable code de la route des affaires électroniques.

La plupart des médias et commentateurs ont mis de l’avant le rôle du CRTC qui est en charge de faire respecter la plus grande partie de la LCAP mais ont trop souvent oublié de parler des autres organismes habilités dans l’application de cette loi dans leur domaine de compétence. En effet, il suffit de violer l’une de ces lois en utilisant le courriel pour que les amendes prévues à la Loi C28 s’appliquent. Cela signifie que le Commissaire à la vie privée et le Bureau de la concurrence dont les capacités de sévir restaient très limitées jusqu’ici, peuvent maintenant imposer des amendes allant jusqu’à 10M$ lorsque une infraction à leurs lois est faite par courriel. J’espère que votre politique de gestion des renseignements personnels est complète, à jour et appliquée par tous vos employés.

C’est comme ça qu’Amazon vient de payer 1,1M$ suite à une enquête du Bureau de la Concurrence basée sur la Loi Canadienne anti-pourriel.

Le cas d’Amazon

Comme indiqué dans le titre de ce billet, les courriels d’Amazon respectent les trois principes de la Loi anti-pourriel. Amazon n’envoyait ses messages qu’aux personnes dont elle avait le consentement, chaque message comportait un mécanisme de retrait simple et effectif ainsi que les informations permettant d’identifier et de contacter Amazon (nom de l’entreprise, adresse postale et numéro de téléphone). Alors pourquoi Amazon a-t’elle accepté de payer une amende d’un million de $ en plus de 100 000 $ de remboursement de frais d’enquêtes ?

Tout simplement parce qu’Amazon faisait la promotion de ses prix en faisant référence aux économies par rapport aux prix conseillés du marché. Vous savez, ce genre de présentation des prix courante sur le site d’Amazon

Amende d'Amazon en vertu de la Loi Canadienne anti-pourriel

La décision publiée le 11 janvier dernier montre que le Bureau de la concurrence a fait porter son enquête sur une douzaine de films vendus en format Blu-Ray et pour lesquels Amazon n’a pas été capable de prouver qu’ils ont été vendus de façon soutenue en durée et en volume au prix de référence affiché comme l’exigent les règles sur les prix habituels.

Bien que ce soit essentiellement sur le site d’Amazon que ce type de promotion était affiché, le Bureau de la concurrence a pu utiliser les amendes de la Loi Canadienne anti-pourriel pour condamner Amazon parce que l’entreprise avait également communiqué ces promotions par courriel.

Pas une première pour le Bureau de la concurrence

Le Bureau de la concurrence n’en est pas à sa première amende en vertu de la Loi Canadienne anti-pourriel. Il avait déjà sévi contre les firmes de location de voitures Avis et Budget à qui elle reprochait depuis des années de cacher certains frais obligatoires dans les prix affichés de certaines de leurs promotions. Dans sa décision de mars 2015, le Bureau de la concurrence avait indiqué que cela faisait des années qu’il se battait pour empêcher ces pratiques qu’il a commencé à documenter en 2009. Mais ce n’est qu’avec l’arrivée de la Loi Canadienne anti-pourriel qu’il a eu les moyens d’agir en imposant une amende de 10M$ à chacune des trois entreprises impliquées. D’ailleurs le cas qui était pendant devant le tribunal de la concurrence a été réglé par le consentement des entreprises de payer 3M$ d’amendes et de verser 250 000$ de dédommagement au Bureau de la concurrence.

Un programme de conformité, votre seule protection réelle

Comme le montrant ces quelques exemples, il est à peu près impossible d’être certain de ne jamais enfreindre la Loi Canadienne anti-pourriel et ce d’autant plus que de nombreuses exigences de la Loi sont très floues et ne seront clarifiées que par la jurisprudence dans quelques années. C’est pour cela que le législateur a prévu dans la Loi que si une entreprise peut démontrer qu’elle a fait preuve de diligence pour respecter la Loi elle sera à l’abri des sanctions. Étant donné que le CRTC estime qu’il faut avoir un programme de conformité qui respecte ses huit exigences pour démontrer cette diligence, mettre en place un tel programme dans votre entreprise est le seul moyen de vous mettre à l’abri une bonne fois pour toute sans affecter votre efficacité marketing.