Publié par Le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») rendait il y a quelques jours une nouvelle décision d’intérêt en vertu de la loi canadienne en matière de pourriels (la « LCAP » ou « CASL »). Cette décision du CRTC vient interpréter et appliquer la LCAP, en réduisant au passage l’amende qui avait été imposée préalablement à la société québécoise 3510395 Canada inc. (faisant affaire sous le nom « Compu.Finder »).
Comme on s’en souviendra, Compu.Finder avait été mise à l’amende en 2015 suite à son envoi de messages commerciaux non-sollicités violant la loi canadienne, autant par manque de consentement préalable des destinataires qu’à cause de mécanismes inadéquats de désabonnement. Devant l’objection de Compu.Finder, le CRTC devait réévaluer et/ou justifier le montant de l’amende de 1.1 millions imposée dans ce dossier.
- Information insuffisante quant aux courriels qui auraient été expédiés
Le réexamen de sa décision par le CRTC doit ici prendre en compte l’existence d’anomalies quant aux pourriels identifiés ou montrés par le CRTC dans ses communications avec Compu.Finder. Après analyse des points soulevés à ce sujet, le CRTC conclu effectivement à certaines lacunes dans ce qu’on a fourni à Compu.Finder. Puisqu’on a fourni à Compu.Finder de l’information inadéquate et qu’elle n’a donc pas été en mesure de se défendre adéquatement, il serait injuste de retenir l’ensemble des courriels ciblés comme étant pertinents. Compu.Finder parvient ainsi à réduire le nombre de courriels qu’on peut lui reprocher, de 451 à 317.
Moral de l’histoire sur ce point : À l’avenir, le CRTC devrait donc mieux faire ses devoirs en préparant et étoffant adéquatement la documentation qu’elle communique aux entreprises qu’elle accuse de violer la LCAP. Chaque pourriel qu’on reproche d’avoir expédié illégalement devrait pouvoir être mis en preuve, dans un format intelligible qui en montre notamment le contenu et l’en-tête complète.
- Exception des communications B2B
En second lieux, Compu.Finder adopte aussi la position qu’environ la moitié des courriels qu’on lui reproche d’avoir expédié étaient autorisés par une exception applicable. En l’occurrence, on prétend ici que le paragraphe 3(a)(ii) du règlement d’application (quant aux messages échangés entre organisations) s’applique.
Sur ce point, cependant, contrairement à la prétention de Compu.Finder, le CRTC conclu qu’avoir vendu des services à un membre d’une organisation ne permettra généralement PAS d’en contacter les autres manu militari. Pour pouvoir se faire, il faudrait plutôt démontrer l’existence d’une réelle relation pertinente entre les organisations, en plus de limiter le contenu des communications à ce qui touche les activités de l’entreprise visée, etc. Bref, une vente n’est pas une carte blanche de spammer les collègues de l’acheteur.
- Mécanisme requis de désabonnement
En plus de l’absence de consentements valables, une autre partie des infractions reprochées à Compu.Finder touche les mécanismes requis de désabonnement dans ses pourriels. En effet, une partie des courriels expédiés ici n’aurait pas contenu de mécanisme fonctionnel de désabonnement, malgré que ce soit en principe requis dans tous les messages électroniques commerciaux. À ce sujet, ce qui paraît digne de mention ici a trait à l’inclusion dans certains pourriels de Compu.Finder de deux liens distincts permettant prétendument de se désabonner de leur liste d’envoi. La question que se pose le CRTC à ce sujet deviens donc : qu’arrive-t-il si l’un de ces deux liens ne fonctionne pas, comme cela a été le cas dans une partie des pourriels de Compu.Finder? A-t-on pour autant violé la LCAP?
Après réflexion, le CRTC fourni la réponse suivante à cette question : une telle pratique peut équivaloir à ne pas inclure de mécanisme de désabonnement du tout. Ce sera particulièrement le cas s’il est démontré que les liens non-fonctionnels ont fait avorté les tentatives de certains usagers qui ont alors cru ne pas pouvoir se désabonner du tout. Encore une fois, comme vous pouvez le constater, on demeure dans ce qui traite du gros bon sens.
Moral de l’histoire sur ce point : si on inclut deux liens visant à permettre à un destinataire de se désabonner d’une liste d’envoi, on a tout intérêt à ce que les deux fonctionnent. À défaut, presqu’aussi bien tout bonnement ne pas se donner la pleine d’inclure de mécanisme de désabonnement.
- Consentement implicite par la publication d’une adresse de courriel
Le dernier argument soulevé par Compu.Finder a trait à la possibilité qu’offre la LCAP de ramasser les adresses de courriels publiées sur Internet, afin de contacter les destinataires relativement à leur travail et les activités de cette organisation. Compu.Finder allègue à ce sujet avoir trouvé sur Internet nombre de ses adresses, incluant souvent le poste de la personne visée.
Après examen des justifications offertes par Compu.Finder à ce sujet, par contre, le CRTC conclu que l’entreprise ne disposait pas d’assez d’information pour pouvoir valablement prétendre avoir expédié des courriels ciblés pertinents quant à leur emploi à des individus qui avaient sciemment publiés leur adresse de courriel.
Moral de l’histoire sur ce point : si on espère pouvoir prétendre qu’une adresse a été valablement copiée sur Internet, on a intérêt à pouvoir démontrer que c’est bien l’individu qui l’y a placé et que le contenu du courriel visait bien quelque chose de pertinents aux fonctions de cet individu pour son employeur.
- Défense de précautions requises
La LCAP prévoit qu’une entreprise peut échapper à sa responsabilité même en cas de violation si elle avait pourtant « pris toutes les précautions voulues pour prévenir sa commission » (art. 33). Compu.Finder allègue donc finalement que c’est son cas et qu’elle a fait de son mieux pour se conformer à la loi, malgré ne pas y être parvenue.
Sur ce point, le CRTC écarte une partie des choses que Compu.Finder se targue d’avoir fait pour se conformer, comme étant non-pertinentes, incluant parce que faites après les incidents en question. Les autres initiatives mentionnées par Compu.Finder s’avèrent insuffisantes pour convaincre le CRTC que les efforts déployés par Compu.Finder s’avéreraient suffisants, dont parce qu’elle n’a adopté aucune politique et aucun programme de vérification et de surveillance interne visant à assurer le respect par l’entreprise de la LCAP. En l’absence de tels mécanismes, il s’avère difficile de croire que les précautions requises ont été réellement prise.
Moral de l’histoire sur ce point : faire des choses ponctuelles pour éviter de violer la LCAP n’est peut-être pas mauvais, mais rien ne vaut se munir de politique et de protocoles écrits applicables à tous dans l’entreprise et de mécanisme de surveillance et de vérification quant au respect de la LCAP. À défaut d’en avoir, probable que le temps venu le CRTC vous trouve négligent et donc responsable en vertu de la LCAP.
Au final, malgré le rejet de beaucoup de ce qu’avançait Compu.Finder, le CRTC estime néanmoins qu’il y a lieu de réduire l’amende à payer à 200 000,00 $, notammenr en prenant en compte la capacité de payer de la société et l’importance de doser les amendes imposées en vertu de la LCAP.
DES SOURIS, DU DROIT ET DES HOMMES 