On dirait bien que l'autorité chargée de réprimer les pourriels et logiciels malveillants au Canada cherche à vous enrôler de force.

Dans un bulletin qui risque d'envoyer des ondes de choc au monde des affaires numériques, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) établit d'importantes nouvelles lignes directrices qui annoncent son intention de tenir pour responsable en vertu de la Loi canadienne anti-pourriel (LCAP) quiconque n'en fait pas assez pour mettre fin aux agissements illicites de tiers.

Plus troublant, l'organisme de réglementation a mis en garde contre le fait qu'un particulier ou une organisation pourrait être tenu responsable d'une violation de la LCAP et s'exposer à des sanctions administratives pécuniaires, même si le particulier ou l'organisation n'avait pas l'intention de contrevenir à la LCAP et même s'il ou elle ignorait que ses activités ont rendu possible ou facilité la violation de la Loi. 

Compte tenu du fait que la LCAP permet l'imposition de sanctions pécuniaires d'au maximum 10 millions de dollars par contravention, les entreprises ont de bonnes raisons de s'inquiéter.

Dans le Bulletin d'information de Conformité et Enquêtes du CRTC 2018-415, l'organisme de réglementation établit ce qu'il qualifie de lignes directrices générales sur la conformité et les pratiques exemplaires concernant l'article 9 de la LCAP. Cet article permet d'engager la responsabilité de la personne qui aide ou encourage à accomplir ou fait accomplir un acte contraire aux principales dispositions de cette loi. Ces dispositions interdisent généralement, sans consentement préalable, l'envoi de messages électroniques commerciaux ou promotionnels, la modification de données dans un message électronique ou l'installation d'un programme d'ordinateur dans le système informatique d'une autre personne (y compris les programmes légitimes et les logiciels malveillants).

Toutefois, curieusement, le Conseil indique dans ses lignes directrices qu'une organisation ou un particulier pourra être tenu responsable d'avoir aidé une autre partie simplement en fournissant des services habilitants, de nature technique ou autre, comme lui donner accès aux outils ou à l'équipement nécessaires pour qu'elle contrevienne à la loi. Le bulletin décrit expressément un éventail vaste mais non exhaustif d'intermédiaires qui pourraient être tenus responsables d'avoir rendu possible la non-conformité par des tiers, notamment les personnes suivantes :

  • courtiers en publicité;
  • commerçants en ligne;
  • développeurs de logiciels et d'applications;
  • distributeurs de logiciels et d'applications;
  • fournisseurs de services de télécommunication et de services Internet (seulement en ce qui concerne l'interdiction des logiciels malveillants et l'altération des messages);
  • opérateurs de systèmes de traitement des paiements.

Le Conseil fait également observer qu'il sera possible d'engager la responsabilité de ceux qui bénéficient d'un avantage financier direct ou indirect découlant d'une contravention à la LCAP par autrui. Ces « avantages » pourraient vraisemblablement découler de l'obtention par un intermédiaire de produits générés par les services dont il assure la prestation dans le cours normal des activités, comme les produits générés par l'hébergement, l'utilisation de logiciels et l'impression publicitaire, même lorsque l'intermédiaire n'était pas au courant qu'une partie des produits provenait d'une activité illicite.

Le CRTC indique que la responsabilité réelle des intermédiaires sera établie au cas par cas, compte tenu d'une série de facteurs éventuellement pertinents, y compris le niveau de contrôle de l'intermédiaire sur l'activité non conforme d'autrui, l'importance du lien entre les mesures prises par l'intermédiaire et l'agissement illicite et, enfin, les mesures prises par l'intermédiaire pour prévenir les éventuelles violations par autrui (le bulletin dresse une liste des pratiques et mesures de protection recommandées à cet égard). Cependant, le bulletin précise bien que même si le fait d'être au courant des violations peut être un facteur dans le cadre de l'évaluation des contraventions à l'article 9, il n'est pas nécessaire que l'intermédiaire ait été au courant des violations par autrui pour qu'il soit jugé responsable.

Même si les fournisseurs de services n'engagent pas leur responsabilité dans tous les cas, il est frappant de constater, pour un certain nombre de raisons, que le CRTC définit simplement le concept de responsabilité de l'intermédiaire comme le défaut de prendre des mesures suffisantes pour prévenir le comportement du tiers. D'une part, cette orientation constitue un élargissement considérable de la portée de l'intention de départ du législateur relativement à l'article 9 de la LCAP, à savoir tenir pour responsables les acteurs qui contrevenaient activement à la loi ou encourageaient autrui à y contrevenir, à leur propre avantage financier. D'autre part, l'orientation contrevient au principe général du droit canadien voulant que les organisations et les particuliers n'aient pas d'obligation juridique inhérente de prévenir l'activité illégale d'autrui. En outre, elle est en porte-à-faux avec la tendance générale du droit et de la politique gouvernementale au Canada qui limite la responsabilité de l'intermédiaire dans l'activité illégale d'autrui, comme dans les affaires de diffamation, de contrefaçon, etc.

Plus ironiquement, le concept de responsabilité de l'intermédiaire qui est engagée pour avoir fait défaut de prévenir l'activité illégale d'un tiers contredit l'un des objectifs déclarés de la LCAP, à savoir encourager la croissance des entreprises numériques au Canada. Contrairement à cet objectif, l'approche du CRTC en ce qui concerne la responsabilité prévue à l'article 9 de la Loi aura vraisemblablement pour effet de décourager et d'entraver l'essor du commerce électronique au Canada. À cet égard, l'imposition d'une obligation générale d'élaborer, de mettre en Suvre, de documenter et de maintenir des pratiques et des procédures conçues pour prévenir la non-conformité par des tiers servira probablement seulement à faire peser un lourd fardeau administratif et financier sur les entreprises numériques. Combinée à la menace éventuelle d'une vaste responsabilité pouvant aller jusqu'à l'imposition d'une amende d'au maximum 10 millions de dollars par contravention (même si l'intermédiaire n'avait pas connaissance de la non-conformité), il semble plus probable que l'interprétation dont fait état le bulletin va refroidir les entreprises numériques au Canada au lieu de les encourager et de les outiller.

Note : Stikeman Elliott représente un client qui fait actuellement l'objet d'une mesure d'application de la part du personnel du CRTC découlant d'une non-conformité alléguée à l'article 9 de la LCAP.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.