Alors que les entreprises canadiennes se remettent à peine de la première phase de la Loi canadienne anti-pourriel (LCAP), qui vise principalement à encadrer l’envoi de messages électroniques commerciaux non sollicités, une nouvelle série d’exigences applicables à l’installation non autorisée de programmes d’ordinateur est entrée en vigueur le 15 janvier 2015.
Tout comme le régime applicable aux messages électroniques commerciaux, le deuxième volet de la Loi canadienne anti-pourriel repose sur un mécanisme d’adhésion plutôt que sur un mécanisme d’autoexclusion. En d’autres mots, lorsque quelqu’un désire installer un logiciel ou un programme informatique sur l’appareil de quelqu’un d’autre, il doit désormais obtenir le consentement du propriétaire ou de l’utilisateur autorisé de l’appareil.
Le législateur n’a pas restreint le champ d’application de la loi à des appareils en particulier. Ainsi, l’installation d’un logiciel ou d’un programme informatique sur un ordinateur, un téléphone intelligent, une tablette ou une console de jeu est susceptible d’être visée par le nouveau régime. Il en va de même de l’installation d’un logiciel ou d’un programme informatique sur tout autre dispositif qui a une composante informatique, incluant les voitures, les articles de maison connectés, les montres intelligentes, etc.
Puisque l’installation personnelle d’un logiciel ou d’un programme informatique n’est pas visée par la loi, il faut garder à l’esprit que le nouveau régime s’applique uniquement lorsqu’une entreprise installe ou est la source de l’installation d’un logiciel sur l’appareil d’une autre personne dans le cadre d’activités commerciales. À titre d’exemple, le nouveau régime ne s’applique pas lorsque la personne télécharge une application sur son propre appareil. La loi ne s’applique pas non plus à l’employeur qui installe un logiciel ou un programme informatique sur les appareils de l’entreprise. À l’inverse, si l’employeur veut installer un logiciel ou un programme informatique sur un appareil appartenant à l’employé, il doit d’abord obtenir son consentement.
En outre, plusieurs cas sont prévus par la loi où la personne est réputée consentir à l’installation du logiciel ou du programme informatique. Notons, par exemple, l’installation de témoins de connexion, de code HTML, de JavaScript ou d’un système d’exploitation tel que Windows, OS/IOS, Linux, Android, Unix et BlackBerry OS.
Pour l’instant, si un logiciel ou un programme informatique a été installé sur l’ordinateur d’une autre personne avant le 15 janvier 2015, la personne est également réputée avoir consenti tacitement à l’installation des mises à jour jusqu’au 15 janvier 2018.
LE CONSENTEMENT DU PROPRIÉTAIRE OU DE L’UTILISATEUR AUTORISÉ
Le consentement exprès doit être recueilli auprès du propriétaire de l’appareil ou d’un utilisateur autorisé.
La loi ne définit pas la notion d’ « utilisateur autorisé ». Selon le CRTC, l’utilisateur autorisé s’entend de quiconque a la permission d’utiliser l’appareil. Par exemple, l’employé qui utilise l’appareil fourni par l’entreprise, le conjoint ou les enfants qui utilisent l’appareil familial, le locataire d’un appareil et la personne qui effectue une réparation sur l’appareil, mais uniquement dans la mesure où cette personne effectue les réparations convenues sont des autorisations conformes.
Lorsqu’une personne doit obtenir un consentement, elle doit préalablement communiquer au propriétaire ou à l’utilisateur autorisé en termes simples et clairs les renseignements suivants :
- le motif pour lequel le consentement est sollicité
- l’identité de la personne qui sollicite le consentement
- si le consentement est sollicité au nom de quelqu’un d’autre, une déclaration indiquant le nom de la personne qui demande le consentement et le nom de la personne pour qui le consentement est sollicité
- l’adresse postale et un autre type de coordonnées de cette personne
- une déclaration indiquant que la personne dont le consentement est demandé peut retirer son consentement
- une description en termes généraux des fonctions et du but du programme d’ordinateur à être installé
En outre, si le logiciel ou le programme informatique recueille des renseignements personnels, interfère avec le contrôle de l’appareil, modifie les réglages de l’appareil ou les données sauvegardées, provoque la communication avec un autre appareil ou permet à un tiers de se connecter à distance à l’insu du propriétaire ou de l’utilisateur autorisé, le consentement doit également prévoir les renseignements suivants :
- une description de ces fonctions et leur raison d’être
- une description des effets que ces fonctions auront sur le fonctionnement de l’appareil
Toutes les exigences relatives au consentement doivent être remplies avant que le logiciel ou le programme d’ordinateur soit installé. Quant au consentement lui-même, il ne se présume pas et le fardeau de la preuve repose toujours sur la personne qui installe ou cause l’installation d’un logiciel ou d’un programme d’ordinateur.
UNE SANCTION DE 1,1 MILLION DE DOLLARS POUR AVOIR ENFREINT LA LOI CANADIENNE ANTI-POURRIEL
Le CRTC a récemment réprimandé une entreprise québécoise pour avoir envoyé des messages électroniques commerciaux sans le consentement des destinataires et pour avoir transmis des messages contenant des mécanismes de désabonnement qui ne fonctionnaient pas correctement. La sanction pécuniaire s’élève à 1 100 000 $ pour quatre violations à la loi. L’entreprise dispose d’un délai de 30 jours pour présenter par écrit des observations au CRTC ou payer la sanction. Elle peut également se prévaloir de l’option de demander un engagement auprès du CRTC pour traiter cette question.
Rappelons que la Loi canadienne anti-pourriel prévoit des pénalités sévères pour les personnes qui ne se conformeront pas à ses dispositions, incluant celles relatives à l’installation non autorisée de programmes d’ordinateur. En effet, une personne qui y contrevient s’expose à des sanctions administratives pécuniaires qui peuvent atteindre 1 000 000 $ dans le cas d’une personne physique et 10 000 000 $ dans le cas de toute autre personne.
À compter du 1er juillet 2017, la loi permettra également à toute personne qui subit une perte ou un dommage en raison du non-respect des dispositions de la loi de demander au tribunal compétent de rendre une ordonnance condamnant la personne responsable à lui payer le montant de ces dommages, majoré de dommages liquidés qui peuvent atteindre 1 000 000 $.
CONCLUSION
Bien que cette deuxième phase de la Loi canadienne anti-pourriel vise principalement à protéger les consommateurs et les entreprises canadiennes contre l’installation de logiciels malveillants ou espions qui sont souvent particulièrement dommageables pour l’usager, il ne faut pas perdre de vue que les nouvelles exigences sont susceptibles de s’appliquer à plusieurs autres situations. Il est donc important que les entreprises revoient leurs pratiques à cet égard pour s’assurer qu’elles sont conformes aux dispositions de la loi.