La première étape de la nouvelle loi canadienne anti-pourriel est entrée en vigueur le 1er juillet 2014, créant ainsi un nouveau cadre réglementaire pour toute entreprise qui envoie des messages électroniques commerciaux (MEC) vers ou à partir du Canada.
Visant à réduire le pourriel, les logiciels espions et malveillants, la collecte d’adresses de courriel sans consentement et le détournement, la LCAP est l’une des lois les plus sévères dans ce domaine au monde. Les entreprises qui enfreignent les dispositions de la loi s’exposent à de lourdes sanctions incluant des accusations au civil et au criminel ainsi que la responsabilité civile et personnelle.
Il s’agit d’un cadre complexe comportant des exigences strictes pour tous les MEC, de multiples règles pour le consentement ainsi que des exemptions partielles ou complètes. Êtes-vous sûr que votre entreprise est prête pour la LCAP? Disposez-vous de la bonne technologie?
3. Plus de mille milliards
de pourriels sont envoyés chaque jour
dans le monde
Statistiques relatives aux pourriels
4. 1 courriel sur 24
contient un logiciel malveillant
Statistiques relatives aux pourriels
5. 1 courriel sur 445
est un courriel d’hameçonnage
Statistiques relatives aux pourriels
6. Un groupe du secteur canadien des services
financiers a rapporté qu’il doit supprimer environ
pourriels par heure dans les périodes de pointe
d’envoi de courriels
150 000
Statistiques relatives aux pourriels
7. Ce même groupe supprime près de
de pourriels pendant une journée normale
2 millions
Statistiques relatives aux pourriels
8. La loi canadienne anti-pourriel (LCAP) est une
nouvelle réglementation conçue pour réduire
le nombre de pourriels, de logiciels espions et
de maliciels, et prévenir la collecte d’adresses
électroniques et le détournement de réseau.
Alors, en quoi consiste la LCAP?
9. La LCAP s’applique à tous les messages
électroniques commerciaux (MEC) au Canada.
C’est à dire :
• Courriels commerciaux
• Messages textes
• Messages sur les réseaux sociaux
Quelles communications la LCAP
vise-t-elle?
10. Qu’est-ce qu’un MEC?
En termes simples, pour qu’une communication soit
considérée comme un MEC, elle doit avoir les deux
caractéristiques suivantes :
Elle doit être envoyée à partir d’une adresse
électronique.
Son contenu et les hyperliens ou les coordonnées
qu’elle contient doivent être conçus pour
vendre, promouvoir ou annoncer un produit
ou un service.
La LCAP s’applique aussi aux organisations
mondiales qui envoient des MEC au Canada.
1
2
11. La LCAP s’applique à toute organisation qui envoie
des messages électroniques commerciaux, des
messages textes et des messages dans les médias
sociaux à partir ou à destination d’un appareil
électronique au Canada.
Elles comprennent :
• Les entreprises
• Les organismes sans but lucratif
• Les associations commerciales
• Les écoles, les universités
Sur quelles organisations la LCAP
a-t-elle des répercussions?
12. Quels sont les échéanciers pour la
LCAP?
L’entrée en vigueur de la LCAP se fera en trois
étapes :
• Le 1er
juillet 2014 – tous les MEC devront
respecter les exigences de la LCAP.
• Le 15 janvier 2015 – un consentement sera
requis pour installer un logiciel espion ou
tout autre logiciel sur l’ordinateur d’une autre
personne.
• Le 1er
juillet 2017 – les organisations qui
enfreindront la LCAP pourront être poursuivies
pour des dommages-intérêts compensatoires ou
des dommages-intérêts d’origine législative en
vertu d’un droit privé d’action.
13. Y a-t-il des sanctions pour la
non-conformité?
Les sanctions pour la non-conformité sont sévères :
• Lourdes amendes
• Accusations au criminel
• Accusations au civil
• Responsabilité personnelle
14. Les règlements de la LCAP
simplifiés
Consentement.
L’expéditeur doit avoir le consentement tacite ou le
consentement exprès pour envoyer un MEC.
Identification.
Le MEC doit contenir l’identité de l’expéditeur ainsi que ses
coordonnées.
Désabonnement.
Tous les MEC doivent comprendre un mécanisme de
désabonnement ou une option de retrait.
À moins d’une exemption, tous les MEC auxquels on accède au
moyen d’un système informatique ou d’un dispositif électronique
doivent comprendre tous les éléments énumérés ci-dessus.
1
La LCAP exige que tous les MEC comprennent les trois
éléments fondamentaux suivants :
2
3
15. Y a-t-il des exemptions?
La liste des exemptions est longue – et il est
toujours préférable de lire les petits caractères.
Il existe à la fois des exemptions partielles et
complètes.
Les pages suivantes détaillent les exemptions
partielles et complètes qui existent avec la LCAP.
16. Exemptions complètes
Les exemptions complètes concernent cinq
catégories principales :
• Relations familiales ou d’affaires
• Demandes de renseignements d’affaires
• Obligations légales
• Circuit fermé ou messagerie sécurisée
• Groupes désignés
17. Exemptions pour relations
familiales ou d’affaires
Exemptions complètes :
• Les MEC échangés avec la famille et les amis
• Les MEC échangés au sein d’organisations ou
entre elles, à condition qu’elles aient une relation
existante et que le MEC porte sur les activités
d’une de ces organisations
18. Exemptions pour demandes de
renseignements d’affaires
Exemptions complètes :
Les MEC qui sont envoyés en réponse à une
demande ou par suite d’une plainte (à condition
qu’il ne s’agisse pas de vente incitative)
19. Exemptions légales
Exemptions complètes :
• Les MEC envoyés pour satisfaire à une obligation
juridique ou pour faire exécuter un droit
• Les MEC envoyés dans des états étrangers
figurant sur la liste, lorsqu’il est raisonnable de
croire que le message sera ouvert dans un état
étranger.
20. Exemptions pour circuit fermé ou
messagerie sécurisée
Exemptions complètes :
• Les MEC envoyés à partir d’une plateforme de
messagerie (p. ex., BBM messenger, LinkedIn)
où l’identification requise et les mécanismes
de désabonnement sont publiés clairement sur
l’interface utilisateur
• Les MEC envoyés et reçus à même des comptes
sécurisés à accès limité (p. ex., les portails
bancaires)
21. Exemptions pour les groupes
désignésdésignés
Exemptions complètes :
• Les MEC envoyés par un organisme de
bienfaisance enregistré ou en son nom si
l’objectif principal est de recueillir des fonds
• Les MEC envoyés par des partis politiques ou en
leur nom pour demander des contributions
22. Exemptions partielles
Les exemptions partielles peuvent être classées en
trois parties, incluant :
• Interactions amorcées par le client
• Information au sujet d’une relation d’affaires en
cours
• Références par un tiers
23. Interactions amorcées par le client
Exemptions partielles :
Vous n’avez pas besoin de consentement pour un
MEC envoyé à la demande d’un destinataire, pour :
• Un devis
• Faciliter une transaction commerciale
• Livrer un produit ou un service
Pour plus d’information sur le règlement sur la
protection du commerce électronique et ses
exemptions, veuillez lire notre FAQ
24. Exemptions partielles :
Les MEC peuvent être envoyés s’ils fournissent de
l’information au sujet d’une relation d’affaires en cours,
notamment :
• Garantie, rappel d’un produit ou mises en garde de
sécurité
• Renseignements précis sur l’utilisation courante d’un
produit ou d’un service
• Renseignements au sujet d’une relation de travail
existante
Pour plus d’information sur le règlement sur la
protection du commerce électronique et ses
exemptions, veuillez lire notre FAQ
Information au sujet d’une
relation d’affaires en cours
25. Références par un tiers
Exemptions partielles :
Un seul MEC peut être envoyé à un client potentiel sans
son consentement préalable en se basant sur une référence
par un tiers (c.-à-d. des courriels qui mentionnent «
Recommandez-nous à un ami » ou « Suggérez notre site »),
en autant que :
• Cette personne a une relation courante personnelle,
d’affaires ou familiale avec le tiers qui a fourni la référence
• Le message contient le nom complet de la personne qui a
fait la référence
• Le message identifie clairement l’expéditeur et la
personne qui fournit la référence, et qu’il inclut
l’information du contact et une case pour un
désabonnement
26. Qu’est-ce que le consentement
tacite?
Dans certaines situations, les organisations ne sont pas
tenues d’obtenir un consentement exprès pour envoyer
un MEC – un consentement tacite est suffisant. Un
consentement est tacite si :
• Il a lieu dans le contexte d’une relation d’affaires ou
d’une relation privée en cours
• Le destinataire figure dans un répertoire publié;
• Le destinataire a volontairement transmis son adresse
électronique, en remettant sa carte professionnelle par
exemple.
Dans tous les cas, le MEC doit être pertinent pour
l’entreprise ou le poste du destinataire. Si ce dernier
indique qu’il ne veut pas recevoir de communication
électronique, il n’y a dès lors plus de consentement tacite.
27. Obtenir le consentement exprès
Pour tous les MEC qui ne font pas partie des exemptions,
les destinataires doivent donner leur consentement exprès
en indiquant visiblement et clairement qu’ils acceptent de
recevoir vos MEC. Les destinataires peuvent accorder leur
consentement de différentes manières, y compris :
• En cochant une case pour indiquer un consentement sous
la forme d’une acceptation
• En tapant une adresse courriel dans un champ
• En fournissant un consentement « dégroupé » qui
est distinct des modalités et des conditions générales
d’utilisation ou de vente
Veuillez noter que l’utilisation de cases déjà cochées ne sera
plus permise comme forme de consentement, mais celles qui
existaient déjà dans les communications par courriel avant le
1er juillet bénéficieront du droit acquis.
28. Demander un consentement
Comme la LCAP comporte des règlements
sur l’envoi de MEC, toutes les demandes de
consentement doivent inclure les éléments de base
suivants :
• Le nom de l’expéditeur et de la tierce partie
demandant le consentement (si elle diffère)
• Une adresse postale physique
• Un numéro de téléphone, une adresse
électronique ou une adresse Web
• Un énoncé indiquant que le consentement peut
être retiré
29. Se préparer à la LCAP : mesures
immédiates
Former un groupe de travail sur la LCAP afin de
réviser vos processus actuels en matière de MEC
et repérer les lacunes
Élaborer un plan de mise en œuvre
Communiquer avec votre clientèle afin de
transformer vos consentements tacites en
consentements exprès
1
2
3
30. Conformité avec la LCAP :
questions à examiner
• Comment gérerez-vous vos désabonnements si
vous partagez vos listes de contenu?
• Comment approcherez-vous de nouveaux clients
si vous comptez sur l’exemption interentreprises?
• Utiliserez-vous un modèle de désabonnement
centralisé ou un modèle fédéré pour bâtir votre
base de données en conformité avec la LCAP?
• Compterez-vous sur la période de transition pour
faire la conversion de tous les consentements
tacites en consentements exprès?
31. Le point de vue technologique
Assurer la conformité avec la LCAP –
immédiatement et à long terme – requiert la
conception et la mise en œuvre de plateformes
technologiques qui permettront d’effectuer des
fonctions variées, telles que :
• La gestion et le suivi des retraits et des
consentements
• La tenue des historiques d’abonnement et de
désabonnement
• La production de rapports
Tous les renseignements énumérés ci-dessus sont
nécessaires pour illustrer votre diligence raisonnable.
32. Personnaliser les solutions
technologiques
La plateforme de votre entreprise devra tenir
compte de votre situation précise. Par exemple,
mettre en œuvre un mécanisme de désabonnement
requiert l’examen de divers facteurs, tels que :
• Le processus devrait-il être traité manuellement?
• Maintiendrez-vous une base de données fédérée
des désabonnements ou une page Web qui
permet les désabonnements à certains services?
33. Après le 1er
juillet
Bien que les dispositions de la LCAP entrent en
vigueur le 1er
juillet, voici quelques conseils à garder à
l’esprit après la date limite :
Il y a une période de grâce
Les entreprises qui ont des relations d’affaires en
cours bénéficient d’une période de grâce de trois ans
pour vérifier et confirmer les consentements tacites.
Vous ne pouvez plus envoyer un courriel pour
demander un consentement
Après le 1er
juillet, les expéditeurs seront tenus
d’inclure une case à cocher pour obtenir le
consentement exprès d’un destinataire.
34. Prouver la conformité
Vous devez conserver de solides dossiers de tous
les consentements et les désabonnements afin
qu’ils soient :
• Documentés
• Amalgamés
• Consignés
N’oubliez pas, si vous envoyez des MEC, le
fardeau de la preuve du consentement vous
incombe.