CONTEXTE

En 2010, le Parlement a adopté la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications (ci‑après, la Loi).

Couramment appelée Loi canadienne anti‑pourriel ou LCAP, la Loi prohibe des pratiques commerciales qui pourraient notamment nuire à la fiabilité et à l’utilisation optimale des moyens de communication électronique dans le cadre des activités commerciales. Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Bureau de la concurrence et le Commissariat à la protection de la vie privée (CPVP) se partagent la tâche d’appliquer la Loi.

La plupart des dispositions de la Loi sont entrées en vigueur à la suite du décret C.P. 2013-1323 pris en juillet 2014. Les articles qui ne sont pas encore en vigueur, soit les articles 47 à 51 et l’article 55, se rapportent au droit privé d’action (DPA). Ces dispositions devaient prendre effet le 1^er juillet 2017, mais le gouverneur en conseil en a décrété la suspension sur la recommandation du ministre de l’Innovation, des Sciences et du Développement économique.

Le 14 juin 2017, la Chambre des communes a renvoyé l’examen des dispositions et de l’application de la Loi au Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes (ci‑après, le Comité), conformément à l’article 65 de cette loi. Cet examen, au cours duquel 63 témoignages et mémoires ont été présentés au Comité, s’est échelonné sur treize réunions qui ont eu lieu entre le 26 septembre et le 9 novembre 2017.

CONFORMITÉ ET APPLICATION

A. Coût et efficacité

Les témoins ne s’entendent pas à propos de l’incidence de la Loi sur les communications électroniques. Les pourriels demeurent l’un des principaux moyens de propagation des logiciels malveillants et, en 2017, ils représentent jusqu’à maintenant plus de 50 % de toutes les communications par courriel[1]. Néanmoins, depuis que la Loi a pris effet en 2014, Innovation, Sciences et Développement économique Canada (ISDE) constate que le volume de pourriels en provenance du Canada a diminué de plus du tiers. De plus, le Canada, qui figurait parmi les cinq principaux pays producteurs de pourriels avant l’entrée en vigueur de la Loi, ne fait plus partie des dix premiers pays polluposteurs ni même peut‑être des vingt premiers[2].

Il est difficile d’établir que la diminution des pourriels provenant du Canada est attribuable à la Loi[3]. Pour certains témoins, elle démontre l’efficacité de la Loi[4]. Pour d’autres témoins, la majeure partie, sinon la totalité de cette diminution tient à l’amélioration des technologies anti‑pourriel[5], alors que d’autres encore estiment qu’elle découle de l’effet combiné de la technologie et des mesures réglementaires[6]. Bien que ce point de vue soit discutable, des témoins ont mis en doute l’envergure des effets de la Loi sur les logiciels malveillants, l’hameçonnage et sur d’autres cybermenaces, qui, selon eux, sont tout aussi courants aujourd’hui qu’avant l’entrée en vigueur de la Loi[7].

Le Comité remarque que cette mesure législative a donné aux organismes canadiens responsables de la mise en œuvre de la loi l’autorité et les moyens nécessaires pour collaborer avec leurs homologues étrangers afin de s’attaquer aux pourriels ailleurs dans le monde[8], ce qui répondrait, au moins en partie, à certaines des inquiétudes sur la difficulté de réglementer des activités qui ont lieu à l’extérieur de la juridiction canadienne. Les représentants du CRTC ont signalé que, bien que la Loi leur permette d’échanger des renseignements et de coordonner les efforts de mise en œuvre avec le Bureau de la concurrence, le CPVP et des partenaires étrangers, elle ne leur permet pas de faire de même avec d’autres organismes nationaux responsables de l’application de la loi et de la cybersécurité[9].

John Lawford, directeur exécutif et avocat général du Centre pour la défense de l’intérêt public, a conseillé de rendre obligatoires la collecte et la publication de données sur les pourriels aux termes de la Loi. Cette exigence permettrait de mieux informer les décideurs sur l’efficacité de la législation :

S’il y a une chose qui n’a pas été faite correctement depuis l’introduction de la LCAP, c’est la collecte d’information, qui a été insuffisante. Puisque la LCAP n’oblige pas les [fournisseurs de services Internet] ou le Centre de notification des pourriels à déclarer le volume de pourriels, quoiqu’ils peuvent le signaler au CRTC, au Bureau de la concurrence ou au commissaire à la protection de la vie privée, et que la Loi n’exige pas la divulgation de cette information à la population ou au Parlement directement, nous ne savons pas très bien à quoi nous en tenir quant aux preuves de l’effet de la Loi sur les pourriels et les autres messages électroniques. [U]n mécanisme de signalement des pourriels plus solide et public […] permettrait à tous les intervenants et chercheurs universitaires d’évaluer l’effet de la Loi à partir de renseignements objectifs[10].

Selon certains témoins, la Loi a eu un effet dissuasif sur l’utilisation de la messagerie électronique. En effet, on a indiqué au Comité que, en raison des coûts qu’engendre la conformité à une loi prescriptive et, à bien des égards, vague, des entreprises et organismes sans but lucratif renonceraient à utiliser ce moyen pour communiquer avec leurs clients et donateurs, actuels ou potentiels, et même pour communiquer avec d’autres entreprises, et ce, parce qu’elles craignent d’enfreindre la loi ou qu’elles veulent éviter les coûts d’observation[11].

En revanche, d’autres témoins estiment que la Loi a eu un effet positif sur les communications électroniques en réduisant le volume de pourriels et en encourageant des pratiques de commercialisation efficaces[12]. Entre 2014 et 2017, le pourcentage des messages électroniques commerciaux (MEC) parvenant à leur destinataire désigné est passé de 79 à 90 % au Canada, par rapport à 80 % dans le monde. Le pourcentage de courriels commerciaux qui sont ouverts et lus a lui aussi augmenté, passant de 26 à 32 %, par rapport à 21 % aux États‑Unis[13].

Des témoins ont exprimé des préoccupations quant au coût élevé du respect de la Loi. Plusieurs d’entre eux ont appuyé leurs propos avec l’exemple des exigences de tenue des dossiers. Les expéditeurs de MEC doivent non seulement consigner les consentements et les désabonnements, mais doivent aussi prendre en note les durées des différents cas de consentement tacite, lesquelles sont soit de six mois, soit de deux ans. Certains témoins ont fait part de solutions technologiques permettant de réduire les coûts[14], mais Kim Arsenault, directrice principale des Services à la clientèle chez Inbox Marketer, prône plutôt la suppression de la durée de consentement tacite :

[L]es autorités de réglementation devraient éliminer la confusion et l’exigence relatives aux périodes de six mois ou de deux ans au chapitre du consentement tacite. Elles devraient définir clairement ce que sont le consentement exprès et le consentement tacite, et éliminer les périodes de six mois et de deux ans. Il est très difficile pour bien des entreprises, peu importe leur taille, de maintenir ce degré de détail qui peut constamment changer et évoluer. Ce ne sont pas toutes les solutions technologiques qui peuvent consigner adéquatement des renseignements à ce sujet[15].

Peu de témoins ont été en mesure de fournir une évaluation précise des coûts associés au respect de la Loi[16]. De toute évidence, les coûts d’observation varient selon la taille de l’organisation et le volume de ses communications électroniques[17]. Toutefois, des témoins ont parlé au Comité de sommes pouvant atteindre 700 $ pour les particuliers, aller de 1 300 à 25 000 $ pour les petites et moyennes entreprises, être de l’ordre de 25 000 à 100 000 $ pour les grandes entreprises, et s’élever à des millions de dollars pour les organisations de plus grande taille[18]. Un témoin a signalé que certaines sociétés de commercialisation offrent des services de communications électroniques conçus pour respecter la Loi[19].

B. Comprendre la Loi et ses exigences

Les témoignages entendus par le Comité révèlent que de nombreux Canadiens qui envoient des messages électroniques commerciaux ne connaissent pas la Loi et comprennent encore moins comment se conformer à ses exigences. Souvent, des entreprises ne se rendent pas compte que la Loi s’applique à eux parce que leur personnel ne considère pas leurs communications comme des « pourriels[20] ». Le nom courant de la Loi, qui met l’accent sur les pourriels plutôt que sur les communications et le commerce électroniques, ne fait qu’exacerber le problème. Philip Palmer a proposé de rétablir l’ancien titre abrégé de la Loi – la « Loi sur la protection du commerce électronique » – afin de mieux refléter son objectif général[21].

La plupart des témoins ont fait valoir que les dispositions principales de la Loi ne sont pas suffisamment claires[22]. La définition de « message électronique commercial », par exemple, laisse plusieurs perplexes[23] : s’applique‑t‑elle aux messages qui, même s’ils n’incitent pas le destinataire à faire affaire avec l’expéditeur, comprennent le logo d’une entreprise qui mène des activités commerciales? Vise‑t‑elle un bulletin d’information ou des incitatifs financiers destinés à encourager des gens à participer à une étude? Comment la définition de MEC s’applique‑t‑elle aux diverses activités des organismes de bienfaisance ou des organismes sans but lucratif? De façon plus générale, quel type de contenu permettrait de conclure qu’un message a pour but, du moins en partie, d’inciter la participation à une activité commerciale?

Des témoins ont admis éprouver des difficultés de compréhension à propos de nombreux autres aspects de la Loi, notamment les dispositions sur le consentement, la tenue des dossiers, les définitions d’« adresse électronique » et de « programme d’ordinateur » et la détermination des sanctions administratives pécuniaires (SAP), de même que l’application de la Loi aux activités de financement, aux médias sociaux, à l’Internet des objets et aux programmes de fidélisation[24]. Le fait qu’un nombre élevé de témoins aient réclamé l’ajout de dispositions qui figurent déjà à la législation fait suffisamment preuve de la mauvaise connaissance du principe et des détails de la Loi.

Certains aspects de l’organisation et de la promotion de la Loi exacerbent les difficultés de compréhension. La Loi a mené à l’adoption de non pas un, mais deux règlements sur la protection du commerce électronique (un par le gouverneur en conseil et un autre par le CRTC)[25]. Son principal instrument de promotion – fightspam.gc.ca – ne fournit pas de renseignements à propos de l’interprétation de la législation, mais redirige ses visiteurs vers d’autres organismes administratifs et de mise en œuvre de la Loi, lesquels disposent de leurs propres matériels d’orientation[26]. Scott Smith, directeur à la Chambre de commerce du Canada, explique comment il est difficile de comprendre et de se conformer aux exigences de la Loi en raison de la dispersion des informations qui la concerne :

[Vous] devez être en mesure d’observer plusieurs niveaux de textes de loi. La loi est très contraignante. Par conséquent, vous devez la suivre très étroitement. Ensuite, vous devez respecter la réglementation mise en œuvre par [ISDE]. Puis, vous devez prêter attention à la réglementation du CRTC et aux directives publiées par le Bureau de la concurrence et le Commissariat à la protection de la vie privée. De plus, vous devez lire le résumé de l’étude d’impact de la réglementation pour obtenir un peu de contexte ou parvenir à comprendre la raison d’être de la loi. Enfin, vous devez lire les directives du CRTC qui, dans bon nombre de cas, ne sont pas très utiles, parce qu’elles ne vous donnent pas beaucoup de directions[27].

Steven Harroun, chef de l’application de la Conformité et enquêtes au CRTC, a fait remarquer qu’il est essentiel « que les entreprises connaissent les règles […] et [sachent] ce qui est nécessaire [pour s’y conformer][28] ». Le CRTC a d’ailleurs publié des documents d’orientation sur de nombreux aspects qui laissent des témoins dans l’incertitude[29]. Le Conseil organise aussi des activités de sensibilisation afin de renseigner les intervenants sur le contenu de la Loi[30].

Cependant, la preuve présentée au Comité suggère qu’il y a encore beaucoup place à amélioration, tel qu’illustré par le témoignage de Barry Sookman, associé à la firme McCarthy Tétrault, s.r.l., et conseiller auprès du groupe Lighten CASL Inc. :

J’ai déjà assisté à des réunions où des entreprises s’acharnent à déchiffrer le tout […] Il y a 25 personnes réunies dans une salle, dont cinq avocats, qui passent en revue une panoplie de courriels envoyés et qui essaient de déterminer s’il s’agit d’un MEC, s’il y a moyen d’obtenir un consentement et s’il est possible de se désabonner comme il se doit. Il faut autant de personnes pour essayer d’y comprendre quelque chose, et on n’y arrive toujours pas. Imposer cela à une petite entreprise, sachant que ce n’est pas compréhensible... cette mesure législative est tellement complexe que les petites entreprises ordinaires n’arrivent pas à comprendre ce qu’elles doivent faire[31].

Tant les tenants que les opposants de la Loi s’entendent pour dire que le CRTC doit revoir ses activités de sensibilisation et ses documents d’orientation pour s’assurer qu’ils sont suffisants et efficaces[32]. Suzanne Morin, présidente de la Section du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien, a décrit les documents d’orientation offerts dans les termes suivants :

Le peu de renseignements actuellement disponibles pour dissiper la confusion et l’incertitude découlant de la LCAP augmente le risque de non-conformité par inadvertance. Les renseignements actuellement fournis sont incomplets, désuets, incohérents et parfois même un peu simplistes. Par exemple, les lignes directrices sur l’interprétation du règlement concernant la protection du commerce électronique présentent des obligations que la loi elle ‑ même ne vient pas étayer. Selon les lignes directrices, le consentement doit être indiqué séparément des conditions d’utilisation ou de vente, tandis que [la] LCAP mentionne seulement que le consentement doit être indiqué séparément. Il s’agit là d’une obligation supplémentaire qu’on ne trouve pas dans la Loi[33].

L’accès aux documents d’orientation est aussi un sujet de préoccupation. Philippe Le Roux, président de Certimail, a illustré les difficultés auxquelles les Canadiens sont confrontés seulement pour obtenir l’orientation existante sur les principales dispositions de la Loi :

En mai 2014, le CRTC a publié un bulletin d’information qui précisait les exigences auxquelles il fallait se soumettre pour pouvoir faire appel à la défense de bonne diligence, donc au paragraphe 33(1) de la Loi. Ce dernier prévoit que toute entreprise qui démontre avoir pris les mesures nécessaires pour se conformer à la Loi est à l’abri des pénalités en cas de violation. Dans ce bulletin, le CRTC précise qu’il entend par « mesures nécessaires » un programme de conformité qui comprend huit catégories d’exigences. Le problème, c’est que ce bulletin d’information est publié au fin fond du site Web du CRTC. Cela a pris deux ans à la plupart des avocats spécialisés dans le domaine pour le découvrir. Sur le site de vulgarisation de la Loi, à fightspam.gc.ca, il n’y a aucune référence à ce bulletin, pas plus que dans les communications publiques du CRTC[34].

En raison du climat d’incertitude, il est difficile d’évaluer ce qui est acceptable aux termes de la Loi. La plupart des témoins conviennent que le manque de compréhension de la Loi entraîne une hausse des coûts d’observation en raison, dans certains cas, du risque accru de violation et, dans d’autres cas, de l’adoption d’une approche trop prudente[35]. Sans nier le fait que tous les Canadiens soient tenus de connaître la loi, force est de constater que cette Loi ne pourra atteindre son but en l’absence d’un encadrement adéquat par les autorités chargées de sa mise en œuvre.

C. Mise en œuvre par le Conseil de la radiodiffusion et des télécommunications canadiennes

La plupart des enquêtes du CRTC sont entreprises à la suite d’une plainte déposée au Centre de notification des pourriels (CNP), qui est un site Web centralisé. Le CNP, qui reçoit environ 4 000 signalements par semaine, a recueilli plus d’un million de plaintes depuis 2014[36]. Les analystes du renseignement du CRTC examinent les renseignements soumis par l’entremise du CNP et, dans la mesure du possible, dégagent des tendances et des liens entre les plaintes, afin de repérer celles qui font partie de la même campagne d’envois. Les agents d’application de la loi examinent ces analyses en vue de cerner les dossiers viables et les contrevenants potentiels[37].

Le Comité a entendu plusieurs témoignages à propos des méthodes suivant lesquelles le CRTC sélectionne les dossiers sur lesquels il fait enquête et comment il met en œuvre la Loi. Des agents du CRTC chargés de mettre en œuvre la Loi ont expliqué qu’ils choisissent les dossiers en fonction de la probabilité de prouver une violation à la Loi et du potentiel d’encourager le respect de législation[38]. En vertu de la Loi, le CRTC dispose d’un large éventail d’instruments d’observation et d’application, comme la lettre d’avertissement, l’engagement et les SAP. D’un dossier à l’autre, les agents de mise en œuvre ont recours à l’instrument qui est le plus susceptible d’assurer le respect de la Loi[39].

En revanche, plusieurs témoins ont prétendu que le CRTC n’ait ciblé que des entreprises légitimes qui tentaient d’entrer en contact avec des clients, acquis ou éventuels, de bonne foi, au lieu de s’attaquer à de « véritables » polluposteurs, et que des SAP démesurées aient été imposées à de petites entreprises qui ont enfreint la loi involontairement.

Depuis l’entrée en vigueur de la Loi, le personnel du CRTC a mené 30 enquêtes[40]. Celles‑ci ont donné lieu à la transmission de 22 lettres d’avertissement, à la conclusion de cinq engagements qui ont abouti à des sanctions totalisant 468 000 $, et à l’émission de trois procès-verbaux de violation. Ces trois procès-verbaux de violation ont donné lieu à autant de décisions par le Conseil. Au terme de deux de ces décisions, le CRTC a réduit les SAP initiales de 640 000 $ à 50 000 $ et de 1,1 million de dollars à 200 000 $, et dans le troisième cas, le montant de la SAP est demeuré à 15 000 $. Les Canadiens peuvent consulter le site Web du Conseil pour obtenir des renseignements sur les circonstances de chaque dossier et les infractions concernées[41].

Certains témoins ont proposé de limiter le pouvoir discrétionnaire exercé par le CRTC sur le choix des mesures d’application entreprises contre des contrevenants au moyen d’une gradation obligatoire. Une telle gradation contraindrait le Conseil à remettre une lettre d’avertissement aux contrevenants qui en sont à leur première infraction et à accroître progressivement la sévérité de mesures de mise en œuvre si d’autres infractions ont lieu, y compris les montants des SAP, proportionnellement à leur gravité[42]. Les représentants du CRTC ont répliqué que de telles restrictions limiteraient la capacité de l’organisme à adapter les mesures de mise en œuvre au cas par cas, notamment dans le but de promouvoir le respect de la Loi et de prévenir les récidives[43].

Le Comité prend note de témoignages soulignant que l’application du pouvoir discrétionnaire du Conseil n’empêche pas son personnel de l’exercer avec transparence[44]. Un témoin a d’ailleurs suggéré que les agents de mise en œuvre soient tenus de justifier le montant de toute sanction imposée[45].

Le Comité constate également que, dans deux cas sur trois, le CRTC a réduit considérablement les SAP recommandées par son personnel de mise en œuvre de la Loi. Il remarque aussi que les sommes recommandées étaient bien inférieures aux sanctions maximales prévues dans les circonstances des dossiers en question.

Le Register of Known Spam Operations (ROKSO) de l’organisme Spamhaus recense présentement plus de 70 des plus grandes opérations de pourriel au monde. Lors de l’entrée en vigueur de la Loi en 2014, on trouvait au Canada sept de ces opérations[46]. Aujourd’hui, la liste ROKSO montre que seulement deux de ces opérations sont encore actives au pays[47]. Des représentants du personnel d’application de la Loi du CRTC ont affirmé avoir connaissance de l’existence de ces deux opérations et qu’ils « cherch[ent] une façon de [s’y] attaquer[48] ». Le Comité espère voir des progrès sur ce plan.

D. Droit privé d’action

Si le DPA de la Loi devait entre en vigueur, toute personne « qui prétend être touchée par les actes ou omissions qui constituent une contravention à l’un des articles 6 à 9 de la présente loi[49] », et aux termes d’articles précis de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la concurrence, pourra s’adresser à une cour de justice pour obtenir du contrevenant des dommages‑intérêts préétablis et compensatoires.

Plusieurs témoins ont exprimé leurs préoccupations à propos du DPA. Charles Taillefer, directeur à la Direction de la politique sur la vie privée et la protection des données d’ISDE, a expliqué que de nombreux intervenants s’inquiètent particulièrement du fait qu’il n’est pas nécessaire de démontrer qu’un préjudice a été causé et que « des dommages-intérêts pourraient être versés à une personne simplement parce qu’elle a reçu un message électronique commercial sans y avoir consenti[50] ». D’autres témoins ont fait valoir que le DPA est trop onéreux et trop ambigu, redoutant que des entreprises soient entraînées dans des poursuites frivoles et des recours collectifs même si elles respectent pleinement la Loi, par exemple si leur système d’information commet des erreurs[51]. D’après l’Association des banquiers canadiens, la crainte de recours collectif pourrait dissuader certaines entreprises de faire affaires au Canada[52].

Certains témoins s’inquiètent aussi du fait que les organismes de bienfaisance et sans but lucratif puissent être ciblés par le DPA. Puisque les administrateurs et les directeurs seraient tenus personnellement responsables si les actifs de l’organisme n’étaient pas suffisants pour couvrir les sanctions prévues par la DPA, les organismes pourraient avoir de la difficulté à embaucher et à garder en poste des personnes qui accepteraient, en plus de leurs tâches, d’être exposées à ce degré de responsabilité[53]. Le fait que la défense de diligence raisonnable prévue par la Loi ne semble pas apaiser les inquiétudes révèle un autre aspect de l’application de la Loi qui nécessite d’être clarifié[54].

Quelques témoins ont mentionné que l’application du DPA dans le cas de renseignements faux ou trompeurs relève de la Loi sur la concurrence et ont signalé, plus précisément, que l’article 74.011 de cette loi ne contient aucun seuil d’importance relative, ce qui pourrait donner lieu à des poursuites fondées sur des représentations trompeuses futiles ou sur des inexactitudes dans des MEC[55].

À l’inverse, certains témoins défendent le DPA et demandent sa mise en vigueur. Alysia Lau, conseillère externe pour le Centre pour la défense de l’intérêt public, a fait valoir que la suspension du DPA prive les consommateurs d’un recours contre les auteurs de pourriels agressifs. Par conséquent, ces derniers « ont peu de risque d’encourir des SAP importantes ou d’autres sanctions[56] ». Certains témoins sont d’avis que la lutte contre les pourriels doive reposer sur une loi anti-pourriel stricte qui prévoit un DPA afin de compléter les efforts que déploient les organismes d’application de la loi pour protéger la population contre les pratiques illégales. Le DPA permettrait aux Canadiens touchés personnellement par le pourriel d’obtenir une compensation financière[57].

Les représentants de MapleGrow Capital Inc. ont prôné l’inclusion de la disposition sur le DPA dans la Loi parce qu’elle « a pour effet de transférer des organismes de réglementation au marché libre la majorité des coûts, des décisions et des risques liés à l’application de la loi[58] ». Ils ont ajouté que les entreprises seront plus enclines à se plier à leurs obligations, question d’éviter des recours collectifs[59]. Les représentants de MapleGrow Capital ont conclu que, sans le DPA, la loi serait « vide de sens et injuste » et qu’« elle aurait uniquement pour effet de punir les entreprises qui ont engagé de bonne foi les frais liés à la conformité, tout en permettant à ceux qui se moquent de la loi de continuer d’agir de cette façon[60] ».

Plusieurs témoins ont plutôt proposé de modifier le DPA avant sa mise en vigueur. Par exemple, on a fait valoir au Comité que, à l’instar des dispositions législatives en vigueur aux États-Unis, les poursuites intentées en vertu de cette disposition devraient se limiter aux organismes directement touchés par le pourriel, les logiciels malveillants et autres menaces en ligne et dont les réseaux ont subi des dommages, comme les fournisseurs de services Internet[61].

Selon Michael Fekete, associé, Osler, Hoskin & Harcourt LLP, « il faudrait accorder le droit d’agir pour poursuivre non pas la personne qui reçoit un message non conforme, mais aux entreprises qui sont en mesure de poursuivre les mauvais sujets, en accordant à celles-ci la possibilité d’appuyer les efforts du CRTC[62] ».

D’autres témoins étaient d’avis que le DPA devrait seulement s’appliquer aux « mauvais sujets » – ceux qui diffusent des logiciels malveillants et des publicités trompeuses et qui recueillent des adresses courriel[63] – et aux cas de violation de la Loi où les préjudices peuvent être clairement démontrés[64]. Dans le même ordre d’idées, certains témoins ont proposé d’éliminer entièrement les dommages-intérêts préétablis[65].

L’Association des banquiers canadiens a recommandé au gouvernement de modifier le DPA pour s’assurer qu’elle ne soit pas utilisée contre une entreprise légitime qui aurait violé la Loi par inadvertance[66]. Certains témoins ont fait valoir que, pour éviter l’imposition de sanctions financières élevées à ce type d’organisme, les organismes de bienfaisance et les organismes sans but lucratif ne devraient pas pouvoir être soumis à des saisies privées ou à la responsabilité personnelle et que le DPA ne devrait pas s’appliquer à eux[67].

Pour d’autres témoins, maintenir le DPA requerrait encore davantage d’amendements législatifs. Par exemple, Barry Sookman a indiqué qu’ajuster la Loi pour qu’elle ne s’applique qu’aux cybermenaces réduirait les préoccupations à propos du DPA[68].

D’autres témoins estiment que le DPA devrait être supprimé de la Loi, indiquant qu’il semble superflu, puisque trois organismes s’occupent déjà de la mise en œuvre de la Loi[69]. L’Association du Barreau canadien appuie d’ailleurs la suspension du DPA jusqu’à la conclusion d’une analyse approfondie de sa pertinence au sein de la Loi dans son ensemble[70]. Le scientifique en chef de Spamhaus Technology Ltd., Chris Lewis, a proposé que le DPA soit mise en œuvre de manière progressive.

Enfin, selon de nombreux témoins, il y aurait lieu de clarifier ou de modifier la Loi avant la mise en vigueur du DPA. Mark Schaan, directeur général de la Direction générale des politiques-cadres du marché, ISDE, a expliqué que les inquiétudes par rapport aux dispositions sur le DPA concernent principalement le risque de recours collectifs et la responsabilité juridique que pourrait soulever la conformité. Il a ajouté que la notion de consentement devrait être clarifiée avant l’entrée en vigueur des dispositions[71]. Quelques témoins s’accordent pour faire valoir que, du fait de la complexité de la législation, le DPA pourrait encourir de lourds coûts pour les entreprises qui violent involontairement la Loi[72].

DÉFINITIONS ET EXCEPTIONS

A. Consentement

Les dispositions de la Loi qui portent sur le consentement ont fait l’objet de nombreux débats devant le Comité. Certains témoins sont d’avis que le modèle positif de consentement intégré à réglementation des MEC est trop strict et qu’il y aurait lieu de modifier la Loi pour plutôt intégrer un modèle négatif de consentement, qui s’appuierait sur de solides exigences de désabonnement. Selon ce modèle, les expéditeurs pourraient transmettre des MEC à des personnes jusqu’à ce que celles-ci se désabonnent. Selon ces témoins, les entreprises auraient intérêt à limiter le nombre de messages qu’elles transmettent afin de s’adapter aux clients actuels et potentiels. En outre, le modèle négatif de consentement réduirait les coûts de conformité associés à la gestion des consentements et permettrait aux nouvelles entreprises de percer plus facilement le marché, ce qui renforcerait la compétition[73].

Sans pour autant recommander la refonte de la Loi autour du modèle négatif de consentement, certains témoins ont proposé de simplifier et d’assouplir ses dispositions sur le consentement. Ils déplorent en effet le fait que ces dispositions soient trop strictes[74]. Sur cette question, Michael Fekete a dit ce qui suit :

La loi vous oblige à demander un consentement explicite.

[…]

Vous devez dire ceci est le nom de mon entreprise, et ceci est mon adresse postale, avec mon adresse de courriel, ou mon adresse Web, ou mon numéro de téléphone. Vous devez également préciser que vous avez le droit de retirer votre consentement, ou encore de le retenir, ou de le retirer plus tard.

Si je ne vous le demande pas de cette façon précise, avec ces informations, votre consentement n’est pas valide […]

Je vais maintenant vous donner un autre exemple sur le consentement tacite. [Il est nécessaire] de disposer d’un régime de consentement solide, mais il faut être prêt à faire preuve de bonne volonté pour étudier les circonstances et se demander si quelque chose est logique pour cette petite entreprise qui veut envoyer un message à un client et qui s’y sent autorisée parce qu’elle a déjà eu une relation avec celui-ci.

[…]

Si je vous ai acheté quelque chose au cours des deux dernières années, vous pouvez m’envoyer un message, mais si je veux me désabonner d’un service gratuit, alors que je n’ai rien acheté, vous n’y êtes peut-être pas autorisés à me l’envoyer. Je dis « peut-être » parce que nous sommes laissés dans le noir pour interpréter le texte de la loi. Il est trop normatif pour avoir du sens pour les entreprises, sans parler du milieu juridique qui doit l’interpréter[75].

L’Association canadienne de la technologie de l’information a également recommandé de remplacer la notion de « consentement implicite » par celle, plus souple, de « consentement inféré » telle qu’établie par la législation anti-pourriel australienne.[76]

Selon d’autres témoins, on devrait plutôt s’inspirer de la LPRPDE pour transformer les dispositions de la Loi sur le consentement en un ensemble de principes plutôt que d’en faire des exigences techniques et prescriptives[77]. Wally Hill, vice-président de l’Association canadienne du marketing, a affirmé que « la LCAP aurait dû adopter l’approche de la LPRPDE en matière de consentement, le consentement explicite étant requis dans le cas des communications de nature délicate et un consentement implicite valide pour la plupart des autres MEC, exigences auxquelles il faut ajouter obligatoirement l’option de désabonnement sur chaque message[78] ».

Michael Geist, professeur à la Faculté de droit de l’Université d’Ottawa de même que membre du Groupe de travail sur le pourriel qui a porté la Loi jusqu’à son adoption en 2005, a recommandé de ne pas modifier la Loi sur le modèle de la LPRPDE. Selon lui, une telle modification s’avèrerait non seulement inefficace, mais elle irait à l’encontre du principe même de la Loi. En effet, les dispositions sur le consentement tacite auraient été délibérément rédigées pour limiter l’envoi de MEC non sollicités et encourager les expéditeurs à privilégier d’obtenir le consentement explicite plutôt que de dépendre sur le consentement tacite :

Je n’ai jamais douté que Rogers, chez qui je suis abonné, soit du mauvais côté de la barrière, mais je dirais que si vous m’adressez des messages sans avoir obtenu auparavant mon consentement, vous ne respectez pas les règles. Je crois que nous devons convenir qu’il y a quantité d’entreprises légitimes qui veulent se conformer à la législation et à la réglementation, mais qui, c’est mon opinion, utilisent à mauvais escient nos renseignements personnels sans obtenir au préalable le consentement qui s’impose. C’est un acte fautif et c’est ce que la loi veut corriger. Si nous envisageons de revenir au consentement tacite, nous allons nous retrouver exactement à notre point de départ. Le groupe de travail a réalisé une étude pour déterminer si la LPRPDE était efficace pour s’attaquer aux pourriels, et il a conclu par la négative. [L]e consentement tacite ne fonctionne tout simplement pas dans ce contexte[79].

Daniel Therrien, commissaire à la protection de la vie privée du Canada, a affirmé ce qui suit sur le même sujet :

La LPRPDE autorise le consentement implicite. Elle exige le consentement explicite selon des critères généralement logiques. Est-ce que cela fonctionne bien? Il faut pour cela que le consentement obtenu soit valable. Les gens viennent souvent nous dire que même si la loi permet le consentement implicite, ils n’avaient jamais remarqué qu’ils donnaient leur consentement implicite à telle ou telle pratique d’un organisme […] Nous n’avons pas vraiment de réponse à cette question et à mon avis, il reste beaucoup d’améliorations à apporter.

Si je comprends bien la question que vous m’avez posée en comparant la Loi canadienne anti-pourriel, ou LCAP, à la LPRPDE, je conviens que le consentement qu’exige la LCAP impose une tâche plus ardue aux organismes. Par conséquent, le régime de consentement de la LPRPDE serait efficace si l’on fournissait les bons renseignements aux consommateurs. Je suggérerais en outre que l’on se demande, entre autres choses, à quoi s’attendent les consommateurs qui reçoivent des communications non sollicitées d’organismes? Ce serait la première question à poser[80].

Au sujet du dernier point abordé par le commissaire, plusieurs témoins ont fait valoir que la Loi respecte les attentes des consommateurs en leur octroyant le contrôle sur leur adresse courriel et sur les communications électroniques qui leurs sont destinées. Un tel contrôle ne pourrait exister en l’absence d’une exigence stricte de consentement préalable qui garantit aux consommateurs que les tiers utiliseront leurs renseignements personnels à bon escient et selon les modalités convenues[81].

B. Messages électroniques commerciaux et autres éléments

Des témoins ont proposé de réduire la portée de la Loi en restreignant la définition de « MEC ». Selon ces témoins, en raison de la définition actuelle, la Loi s’applique à tout message contenant ne serait-ce qu’une parcelle de contenu commercial. La définition restreindrait donc la transmission de messages qui pourraient être utiles pour les destinataires, imposerait l’ajout d’une possibilité de désabonnement qui pourrait prématurément interrompre les communications électroniques entre les parties et diluerait la mise en œuvre de la Loi au détriment de la lutte contre les cybermenaces sérieuses[82].

Certains témoins ont présenté des solutions pour restreindre la définition des MEC et d’autres éléments fondamentaux de la Loi. Parmi ces propositions, on compte l’adaptation de la définition de manière à ce que la Loi vise uniquement l’envoi de messages de masse (et non les messages ponctuels et les communications bidirectionnelles), les messages automatiques constituant du harcèlement et, surtout, les pourriels nuisibles et les logiciels malveillants[83]. David Messer, vice‑président de l’Association canadienne de la technologie de l’information, a affirmé ce qui suit :

[O]n a justifié l’adoption de la LCAP par la nécessité de cibler les pourriels trompeurs et causant des préjudices, les logiciels espions, les programmes malveillants et autres menaces. La modification de la LCAP pour faire en sorte que la Loi ne cible que ces activités nuisibles contribuerait beaucoup à la réduction des effets imprévus de la LCAP. Cela pourrait se faire en resserrant les définitions de trois termes : programme d’ordinateur, message électronique commercial et adresse électronique[84].

Toutefois, Michael Geist n’est pas convaincu par l’argument selon lequel les définitions de la Loi mènent à des débordements. Il a plutôt fait valoir que cette impression résulte d’une interprétation trop restrictive des exceptions aux exigences de la Loi[85]. Il a ajouté que des définitions ouvertes sont essentielles pour maintenir la neutralité technologique et pour garantir que la Loi puisse s’appliquer aux développements futurs[86]. Au lieu d’effectuer de profondes révisions, la portée optimale de la Loi nécessiterait peut-être une meilleure sensibilisation à ses dispositions et une affectation réfléchie des ressources de mise en œuvre[87].

Un élément a pratiquement fait consensus chez les témoins, à savoir que les messages électroniques aux visées purement administratives et transactionnelles ne devraient pas être visés par la définition de MEC. Adam Kardash, du Bureau de la publicité interactive du Canada, a affirmé ce qui suit :

[S]achez que la LCAP ne réglemente pas uniquement les messages de marketing et de publicité. […] la loi s’applique même à certains messages administratifs ou transactionnels qui fournissent uniquement des informations factuelles sur un compte, un rappel de produit ou même des précisions en matière de sécurité. Étonnamment, la LCAP exige que de tels messages contiennent un mécanisme de désabonnement ou d’opposition. Cette exigence est une source de grande confusion pour les consommateurs et les entreprises. Personne ne penserait à considérer de tels messages comme des pourriels. Pourtant, les entreprises qui n’offrent pas une option de désabonnement pour ces types de messages administratifs sont techniquement en infraction par rapport à la loi.

Des modifications sont indispensables afin d’exclure expressément du régime réglementaire de la LCAP ces messages ainsi que d’autres types de messages électroniques totalement légitimes[88].

Pour ces raisons, plusieurs témoins ont proposé qu’on modifie la Loi pour exclure de la définition des messages électroniques commerciaux les messages électroniques figurant à son paragraphe 6(6) et dans des dispositions réglementaires similaires[89]. Kelly-Anne Smith, conseillère juridique principale, CRTC, a souligné que le paragraphe 6(6) constitue un exemple de chevauchement entre des dispositions de la Loi et de ses règlements :

En ce qui concerne les règlements que le gouverneur en conseil peut prendre, une exception est prévue pour les messages qu’une entreprise envoie à une autre entreprise avec laquelle elle a des relations d’affaires. Or, il y a également une exception visant les relations d’affaires préexistantes. Comme il est fort probable que les entreprises soient déjà visées par l’exception concernant les relations d’affaires préexistantes, il y a donc un chevauchement avec l’autre exception visant les relations d’affaires.

[…]

[J]e dirai qu’il y aurait lieu de clarifier le paragraphe 6(6).

Ce paragraphe contient des dispositions quelque peu contradictoires dans la mesure où on dit que l’obligation d’obtenir le consentement ne s’applique pas aux messages électroniques commerciaux visés par l’exception. Or, lorsqu’on examine ces cas d’exception, on se rend compte que nombre des messages concernés ne constituent pas vraiment des messages commerciaux électroniques à proprement parler. Bien des gens ont fait part de la confusion que suscite le paragraphe 6(6). Nous avons tenté de les rassurer, mais nous ne pouvons pas changer le libellé de la loi[90].

Limiter la définition de MEC aux communications clairement ou principalement destinées à encourager la participation à une nouvelle activité commerciale, tel que suggérer par différents témoins[91], retirerait également les messages administratifs et transactionnels de la portée de la Loi.

La législation prévoit de nombreuses exceptions à ses exigences générales. La Loi ne s’applique pas, par exemple, aux communications électroniques entre des parties qui partagent un lien personnel ou familial. Ses exigences ne s’étendent pas non plus aux MEC envoyées à une personne qui participe à des activités commerciales si le message constitue « uniquement une demande – notamment une demande de renseignements – portant sur ces activités[92] ». Les articles 3 et 4 du Règlement sur la protection du commerce électronique adopté par le gouverneur en conseil prévoient pas moins de 15 exceptions supplémentaires[93]. Ces exceptions s’appliquent potentiellement aux messages électroniques commerciaux entre les membres d’un même organisme (p. ex. les employés d’une entreprise); entre entreprises, dans certains cas; les messages visant à recueillir des fonds pour un organisme de bienfaisance enregistré; les messages visant à solliciter des contributions à un parti politique, à une organisation politique ou à un débat politique; et les messages visant à établir un contact par suite d’une recommandation.

Malgré les exceptions actuelles, quelques témoins ont fait valoir que davantage de communications devraient être exclues de l’application de la Loi, dont les communications commerciales générales[94], les communications entre entreprises[95] et les messages de politiciens de tous les ordres de gouvernement[96].

Plusieurs témoins ont aussi suggéré d’exempter d’autres MEC des exigences de la Loi en matière de consentement. Par exemple, Scott Smith a fait valoir que les entreprises devraient avoir le droit d’envoyer à leurs clients potentiels un message initial non sollicité dans lequel il leur est possible de se désabonner ou de retirer leur consentement à recevoir des messages futurs.[97] La Fédération canadienne de l’entreprise indépendante a proposé que les entreprises qui n’envoient que quelques courriels par année ou par mois soient également exemptées[98].

De nombreux témoins ont recommandé que l’on exempte les organismes de bienfaisance ou sans but lucratif de se conformer aux dispositions de la Loi sur les messages électroniques[99]. Plus spécifiquement, Universités Canada a proposé que certaines communications électroniques provenant d’établissements d’enseignement soient exemptées des dispositions sur le consentement sous réserve que les destinataires visés répondent à certains critères (p.ex. les étudiants inscrits ou les futurs étudiants)[100]. Le Community Sector Council Newfoundland and Labrador a demandé à ce qu’aucun organisme de bienfaisance ou sans but lucratif soit contraint de payer une SAP[101]. D’autres témoins ont également proposé que les projets de recherches légitimes soient exemptés des exigences de consentement[102].

Des témoins ont critiqué les exemptions déjà prévues dans la Loi. Stephanie Provato, associée, Buchli Goldstein LLP et conseillère auprès de Lighten CASL Inc.[103], a fait remarquer que les définitions de ce que constituent des liens familiaux et des liens personnels sont trop prescriptives. Barry Sookman a demandé à ce que ces mêmes exceptions soient élargies[104]. Pour Scott Smith, bon nombre des exceptions actuelles sont trop vagues[105].

Michael Geist juge mal à propos l’intérêt que portent de nombreux témoins sur les exceptions prévues à la Loi, plutôt qu’à son principe :

Les entreprises se prévalent des exceptions lorsqu’elles ne veulent pas se soumettre à l’obligation fondamentale prescrite par la loi : le consentement. La loi est claire : dès lors qu’une entreprise obtient le consentement éclairé, elle n’a plus à chercher une exception pour exercer ses activités. Les gens qui se plaignent des exceptions étroites ou qui réclament un plus grand nombre d’exceptions veulent en fait utiliser les renseignements personnels sans obtenir le consentement éclairé, grâce à l’application d’une exception. Cela me semble être une mauvaise politique et une mauvaise attitude pour la protection de la vie privée[106].

Au sujet de la création d’un plus grand nombre d’exceptions, Steve Harroun a prévenu que créer des exceptions « qui conviennent à toutes les situations – même si cette intention est louable – ne contribuerait qu’à rendre la loi plus difficile à comprendre pour les entreprises et plus difficile à mettre en application pour le CRTC et ses partenaires[107] ».

CONCLUSION

Le Comité reconnaît l’importance de la Loi, de son objectif et des principes qui la soutiennent. Tous les consommateurs, entreprises et autres organisations bénéficient d’une diminution de plusieurs formes de communications électroniques commerciales non sollicitées. La confiance du public à l’égard de ces moyens de communication et envers ceux qui utilisent leurs informations personnelles à des fins commerciales est essentielle à la prospérité de l’économie canadienne.

La Loi sous examen n’est pas ordinaire. Elle apporte des changements profonds à la conduite d’activités commerciales par voie électronique au Canada en exigeant que les particuliers et les organismes modifient des pratiques établies de longue date. Si le simple fait de ne pas connaître la loi n’excuse pas, et n’excusera jamais, le fait de l’enfreindre, il n’en demeure pas moins que la Loi n’atteindra pas son objectif sans offrir davantage de formation sur sa teneur et son application.

Les témoignages entendus au cours de cet examen législatif révèlent de grandes divergences d’opinions sur l’interprétation de la Loi. Le Comité unit donc sa voix à celles des témoins qui réclament des documents d’orientation clairs, efficaces, mis à jour régulièrement et faciles d’accès, conçus en tenant compte des besoins des utilisateurs et avec l’appui de leur rétroaction.

Bien que l’amélioration des directives et de la sensibilisation doive être une priorité pour les années à venir, les résultats potentiels de cette solution demeurent limités. La Loi et ses règlements doivent être clarifiés de manière à réduire les coûts associés à la conformité et à mieux orienter l’application de ses dispositions. Le gouvernement du Canada doit porter son attention, entre autres, sur les dispositions qui définissent les MEC, le consentement et les messages entre entreprises. Une fois ces éléments clarifiés, le gouvernement sera mieux en mesure d’évaluer les répercussions de l’entrée en vigueur du droit privé d’action.