Les règles de la Loi canadienne anti-pourriel en ce qui concerne les programmes d’ordinateur ont une portée beaucoup plus vaste que les logiciels espions

20 Jan 2018 9 MIN DE LECTURE

Les dispositions de la Loi canadienne anti-pourriel (LCAP) relatives aux programmes d’ordinateur sont entrées en vigueur le 15 janvier 2015. Ces règles vont beaucoup plus loin dans la réglementation de l’installation des programmes d’ordinateur que les lois d’autres territoires.

Les règles imposent d’obtenir un régime fondé sur le consentement exprès (et volontaire) pour l’installation d’un programme d’ordinateur sur un ordinateur personnel, un téléphone intelligent ou tout autre appareil informatique appartenant à une autre personne, peu importe que le programme soit installé dans un but malveillant ou frauduleux. En conséquence, pratiquement toutes les organisations qui exploitent un site Web, qui offrent des applications mobiles, qui intègrent un logiciel dans leurs produits ou qui offrent autrement des logiciels aux clients[1] doivent revoir leurs pratiques en ce qui a trait à l’installation de programmes et mettre en place un plan de conformité dans ce domaine.

Sanctions sévères

Les règles comportent la mise en place de sanctions sévères, dont des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars canadiens pour les sociétés (1 million de dollars pour les particuliers) et des dommages-intérêts d’origine législative pouvant atteindre 1 million de dollars par jour. Un droit privé d’action devait entrer en vigueur le 1er juillet 2017, mais a été suspendu. L’octroi de ce droit privé d’action aurait permis aux consommateurs et aux entreprises d’entamer un recours en dommages et intérêts.

Exigences liées au consentement volontaire

Toute personne qui, dans le cadre d’une activité commerciale, installe directement ou indirectement un programme d’ordinateur sur l’ordinateur d’une autre personne doit obtenir, au préalable, le consentement exprès de cette autre personne, sous réserve de quelques exceptions. Le consentement exprès est également nécessaire si une personne, réputée avoir installé un programme d’ordinateur, déclenche l’envoi d’un message électronique à partir de l’ordinateur.

Application à l’étranger

Ces règles ne cessent pas de s’appliquer aux frontières du Canada. Par exemple, elles s’appliquent aux installations sur des ordinateurs situés au Canada même si l’installation provient d’ailleurs et aux installations sur des ordinateurs situés à l’extérieur du Canada si la personne qui a installé le programme était au Canada ou agissait sous la direction d’une personne au Canada au moment pertinent.

Exigences quant à la publication de renseignements « généraux »

Au moment de solliciter le consentement, les entreprises sont tenues de fournir une description claire et simple :

  • de la fonction du programme d’ordinateur qui sera installé et de dire à quelles fins il est destiné (en termes généraux);
  • de la raison de la demande de consentement;
  • des renseignements prescrits permettant d’identifier la personne qui sollicite le consentement ou la personne au nom de laquelle le consentement est demandé.

Exigences quant à la publication de renseignements « au sujet de fonctions particulières »

La publication de renseignements au sujet de programmes qui effectuent des fonctions particulières (notamment les conséquences prévisibles qu’ils auront sur l’ordinateur de l’utilisateur et sur la liste de contacts) et des confirmations écrites sont aussi requises si vous savez et souhaitez que le programme a pour effet de faire fonctionner l’ordinateur d’une façon contraire aux attentes raisonnables du propriétaire ou de l’utilisateur en ce qui a trait à l’une ou à plusieurs des fonctions suivantes :

  • la collecte de renseignements personnels stockés dans l’ordinateur;
  • l’entrave au contrôle de l’ordinateur par le propriétaire ou l’utilisateur autorisé de celui-ci;
  • la modification des paramètres, préférences ou commandes déjà installés ou mis en mémoire dans l’ordinateur ou l’entrave à leur utilisation, à l’insu du propriétaire ou de l’utilisateur autorisé de l’ordinateur;
  • la modification des données déjà mises en mémoire dans l’ordinateur ayant pour effet d’empêcher, d’interrompre ou d’entraver l’accès ou l’utilisation légitimes de ces données par le propriétaire ou l’utilisateur autorisé de celui-ci;
  • la communication de l’ordinateur, sans l’autorisation de son propriétaire ou utilisateur autorisé, avec un autre ordinateur ou dispositif;
  • l’installation d’un programme activé par un tiers à l’insu du propriétaire ou de l’utilisateur autorisé de l’ordinateur. 

En cas de non-conformité aux exigences de publication de renseignements au sujet de fonctions particulières, la personne est tenue d’aider le propriétaire ou l’utilisateur du dispositif informatique à enlever ou à désactiver le programme sans frais. Une responsabilité éventuelle existe également en vertu des dispositions générales en matière de sanctions décrites ci-dessus.

Exceptions aux exigences d’obtention d’un consentement exprès 

La LCAP « considère » qu’un consentement exprès a été donné dans le cas de certaines catégories de programmes d’ordinateur s’il est raisonnable de croire que le propriétaire ou l’utilisateur autorisé de l’ordinateur a consenti à l’installation du programme. Les catégories de programmes applicables précisés dans la LCAP sont :

  • un témoin de connexion,
  • un code HTML;
  • un JavaScript;
  • un système d’exploitation;
  • tout autre programme qui ne peut être exécuté que par l’entremise d’un autre programme auquel la personne a déjà expressément consenti à l’installation ou à l’utilisation;
  • tout autre programme précisé par règlement.

Les règlements pris en application de la LCAP ajoutent les catégories suivantes de programmes exemptés (l’exemption étant déclenchée uniquement s’il y a des motifs raisonnables de croire que le propriétaire ou l’utilisateur autorisé de l’ordinateur a consenti à l’installation du programme) :

  • le programme qui est installé par le télécommunicateur ou en son nom[2] uniquement pour protéger la sécurité de la totalité ou d’une partie de son réseau d’une menace actuelle et identifiable à l’accessibilité, à la fiabilité, à l’efficacité ou à l’utilisation optimale du réseau;
  • un programme qui est installé par le télécommunicateur qui possède ou exploite le réseau, ou en son nom, sur tous les ordinateurs faisant partie du réseau pour la mise à jour ou la mise à niveau de ce réseau;
  • un programme qui est nécessaire à la correction d’une défaillance dans le fonctionnement de l’ordinateur ou d’un de ses programmes et qui est installé uniquement à cette fin.

Par ailleurs, afin de permettre l’offre de services de mise à jour automatique des éditeurs de logiciel, l’installation d’une mise à jour ou d’une mise à niveau d’un programme informatique ne requiert pas l’obtention d’un consentement exprès si la première installation du programme a été faite dans le respect des exigences relatives à l’obtention d’un consentement et à la publication de renseignements « généraux », le consentement initial donné par les personnes permet l’installation d’une mise à jour ou d’une mise à niveau des programmes, et l’installation est effectuée dans le respect du consentement initial. Aucune exemption n’est accordée à l’égard des règles de publication de renseignements au sujet de fonctions particulières.

Questions juridiques cruciales 

De nombreuses questions juridiques doivent être prises en considération par les entreprises dans le contexte de leurs activités de planification relatives à la conformité. Les quatre questions les plus importantes à trancher en ce qui a trait aux règles sur les programmes d’ordinateur sont sans doute les suivantes :

  • si les dispositions de la LCAP relatives aux programmes d’ordinateur s’appliquent uniquement aux programmes dont l’installation est imposée à l’ordinateur d’un utilisateur final (ou si elles s’appliquent également à d’autres installations, comme les téléchargements à partir d’un site Web ou les mises à jour installées par des entreprises qui fournissent des services de soutien à la clientèle ou de réparation);
  •  si le consentement peut être obtenu au moyen d’une licence d’utilisation de logiciel ou d’un document de conditions générales
    • bien que la LCAP n’aborde pas cette question, le CRTC, qui dispose de pouvoirs en matière d’application réglementaire, a établi des lignes directrices non contraignantes en matière d’application selon lesquelles le consentement ne doit pas être intégré aux demandes relatives à l’acceptation des conditions de licence ou d’un autre contrat de consommateur (comme des politiques de confidentialité ou des conditions générales de vente); le CRTC souhaite plutôt que les consommateurs aient la possibilité d’accepter les modalités de l’entente, mais qu’ils aient aussi la possibilité de refuser de fournir le consentement à l’installation de programmes d’ordinateur;
  • si le consentement peut être obtenu par l’utilisation de cases cochées d’avance
    • bien que la LCAP n’aborde pas cette question, le CRTC a établi des lignes directrices non contraignantes en matière d’application selon lesquelles les cases cochées d’avance ne doivent pas servir à obtenir un consentement ou une autre forme de consentement négatif;
  • s’il y a des motifs raisonnables de croire que le propriétaire ou l’utilisateur autorisé de l’ordinateur a consenti à l’installation du programme aux fins des exceptions à l’obligation d’obtenir le consentement exprès.
 


[1] « Programmes d’ordinateur » est défini de façon très générale dans la LCAP comme des « données informatiques qui représentent des instructions ou des relevés et qui, lorsque traitées par l’ordinateur, lui font exécuter une fonction ».

[2] « Service de télécommunication » est défini de façon très générale dans la LCAP comme un « service – ou complément de service – fourni au moyen d’installations de télécommunication, que celles-ci et le matériel connexe appartiennent au télécommunicateur, soient loués par lui ou fassent l’objet d’un droit ou intérêt en sa faveur ». Cette définition inclut les fournisseurs de services de données électroniques et les fournisseurs de service par Internet en plus des télécommunicateurs traditionnels comme les entreprises de cellulaire et de téléphone.