Ottawa (Ontario)
Le 9 octobre 2014
Manon Bombardier, Cadre en chef de la conformité et des enquêtes
Conseil de la radiodiffusion et des télécommunications canadiennes
Priorité à l'allocution
Merci beaucoup.
La loi canadienne anti-pourriel est entrée en vigueur l’été dernier, un événement d’importance pour nous au CRTC. Cette étape est une bonne nouvelle pour les Canadiens qui utilisent les communications électroniques — presque tous les Canadiens en fait. Et la réaction de la population canadienne ne s’est pas fait attendre. Pendant la première semaine, nous avons reçu plus de 8 000 allégations concernant des activités possiblement reliées aux pourriels.
Nous savons tous ce que signifie gérer une boîte de courriels remplie de messages commerciaux que nous ne voulions pas recevoir. C’est irritant, intrusif, inopportun.
Ces messages ouvrent aussi la porte à des pratiques commerciales trompeuses. Ils peuvent contenir des logiciels malveillants conçus pour voler votre identité ou votre propriété intellectuelle. Cela crée un contexte néfaste pour les entreprises qui veulent utiliser Internet afin de communiquer de manière responsable avec les consommateurs.
Le CRTC veut s’assurer que les Canadiens ont accès à un système de communications de classe mondiale. Notre mission s’appuie sur trois jalons : créer, brancher, protéger. Le jalon protéger définit nos travaux pour protéger la sécurité et les intérêts des Canadiens, y compris leur droit à la vie privée.
Il s’agit de l’élément central des activités du secteur Conformité et Enquêtes. Aussi, en premier lieu, je vais vous donner un aperçu de la nouvelle loi et des mesures que nous prenons pour nous acquitter de nos nouvelles responsabilités. J’aborderai ensuite d’autres aspects de nos travaux.
La LCAP
Le nom complet de la loi compte 64 mots en français, alors nous l’appelons normalement la loi canadienne anti-pourriel, ou LCAP. C’est ainsi que nous l’appelons au CRTC.
L’article 6 de la LCAP interdit l’envoi de messages électroniques commerciaux sans le consentement préalable du destinataire. Même lorsque ce consentement est donné, l’expéditeur doit s’identifier et fournir ses coordonnées. Il doit aussi offrir un mécanisme d’exclusion pour permettre aux Canadiens de choisir de ne plus recevoir de messages.
L’article 7 interdit de modifier sans consentement les données de transmission d’un message de façon à ce qu’il soit livré à une autre destination. Par exemple, il est interdit à un tiers de modifier un lien sur un site Web pour rediriger l’utilisateur vers un autre site Web.
L’article 8 interdit l’installation sans consentement de programmes informatiques, ou l’envoi de messages par de tels programmes, dans le cadre d’activités commerciales. Cet article, qui porte sur l’utilisation de maliciels et de réseaux de zombies, entrera en vigueur le 15 janvier prochain.
Il s’agit de menaces graves. Un rapport de 2013 de Websense Security Labs sur les menaces à l’échelle mondiale classait le Canada au dixième rang pour l’hébergement de maliciels et au huitième rang des pays ciblés par les cybercriminels. Plus tôt cette année, le Center for Strategic & International Studies de Washington a estimé que le cybercrime coûte environ 3,2 milliards de dollars américains annuellement à l’économie canadienne.
Les nouvelles exigences de la LCAP aideront à protéger les consommateurs canadiens contre ces menaces.
La protection des entreprises
Ces exigences protègent aussi les intérêts des entreprises. La loi a été élaborée à la suite de longues consultations auprès des consommateurs et des entreprises.
Des exceptions protègent le libre échange de renseignements entre les acheteurs et les vendeurs, une fois une relation appropriée établie — au moyen, par exemple, de demandes d’information, d’abonnements ou en raison d’achats antérieurs, de demandes de prix, etc. Certaines exceptions s’appliquent dans le cadre des relations entre entreprises. Des dispositions transitoires permettent le maintien des consentements implicites reçus avant l’entrée en vigueur des portions pertinentes de la LCAP.
Un des objectifs de la loi est de permettre aux entreprises de demeurer concurrentielles dans le marché mondial, au sein d’un cadre virtuel sûr.
Les communications électroniques font partie intégrante de nombreux aspects de la vie et du commerce au Canada. Il n’est donc pas surprenant que la lutte contre les pourriels ait exigé non seulement une nouvelle loi fédérale, mais aussi la modification de lois existantes.
La Loi sur la concurrence a été modifiée afin d’interdire les pratiques trompeuses en ligne. La Loi sur la protection des renseignements personnels et les documents électroniques a été modifiée pour couvrir des activités comme la collecte non autorisée d’adresses, par exemple si quelqu’un vole votre carnet d’adresses de courriel.
Le processus d’exécution
Les Canadiens peuvent maintenant signaler les pourriels et les violations connexes au Centre de signalement des pourriels, que nous hébergeons. On peut signaler un message suspect de deux manières : en remplissant un formulaire en ligne sur le site combattrelepourriel.gc.ca. Le message peut aussi nous être transféré à l’adresse suivante : pourriel@combattrelepourriel.gc.ca.
Ce site Web offre aussi une large gamme de renseignements sur la LCAP, à l’intention des consommateurs qui reçoivent des pourriels et des entreprises et des organisations qui veulent transmettre leurs messages conformément à la loi.
Mais comment les dispositions législatives seront-elles appliquées?
Le CRTC a la responsabilité principale de l’application de la LCAP, avec l’appui de deux autres organismes d’application : le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada. Chaque plainte sera traitée par l’organisme approprié en fonction de sa nature.
Les trois organismes ont conclu un protocole d’entente qui décrit leurs rôles d’application respectifs et les mesures de collaboration et de coordination. Nous avons convenu de mettre en commun l’information pour appuyer nos enquêtes respectives.
Le CRTC a mis en place une équipe de premier ordre pour mener ses propres activités d’application de la loi. L’équipe comprend d’anciens agents de la GRC, des enquêteurs criminels d’expérience et des experts en informatique judiciaire.
L’équipe utilise des outils de pointe. Nous avons créé un laboratoire d’enquête informatique. Il s’agit d’un centre interne conçu et réalisé par des chefs de fil de la technologie au Canada. Nous sommes en mesure de mener des perquisitions et de capturer et de copier des preuves électroniques afin de prouver des violations. Nous pouvons indexer des millions de messages. Nous avons la capacité de procéder à une rétro-ingénierie des maliciels. Et nous pouvons suivre la trace des maliciels et des pourriels jusqu’à leur point d’origine.
Nous disposons aussi de vastes pouvoirs d’enquête et d’application de la loi en vertu de la LCAP :
- Une demande de préservation de données exige qu’une organisation préserve des données de transmission qui seraient autrement perdues.
- Un avis de communication exige qu’une personne communique les renseignements préservés ou d’autres renseignements nécessaires à l’enquête.
- Un mandat peut permettre à un enquêteur de visiter un lieu, d’utiliser les moyens de communication ou les ordinateurs qui s’y trouvent, d’examiner les données, d’emporter pour examen toute chose s’y trouvant et de limiter l’accès au lieu.
- Un engagement est une entente avec une entreprise pour qu’elle se conforme à la loi. Il peut être accompagné de sanctions administratives pécuniaires.
- Un procès-verbal de violation est donné dans le cas de violations graves ou répétées. Il peut aussi être accompagné de sanctions administratives pécuniaires qui peuvent atteindre 1 million de dollars pour un particulier et 10 millions de dollars pour une entreprise, pour chaque violation.
Il s’agit d’outils puissants. Par contre, il est impossible d’éliminer tous les pourriels ou tous les abus sur Internet. Les Canadiens seront encore exposés à certains pourriels et maliciels. Mais nous ferons de notre mieux pour mettre fin à un vaste éventail de violations. En particulier, nous mettrons l’accent sur les pires violations et les plus gros polluposteurs. Pour l’instant, nos principales cibles sont les polluposteurs malveillants et les intrus qui exploitent des réseaux de zombies au Canada.
À compter du 15 janvier, nous ciblerons aussi les maliciels et les URL malveillantes.
La collaboration internationale
Le CRTC a le savoir-faire et les ressources techniques nécessaires pour assurer une application efficace de la loi. Par contre, les pourriels et les autres menaces en ligne ne sont pas un problème exclusivement canadien. Il s’agit d’un problème mondial. Une partie importante des pourriels qui ciblent les Canadiens proviennent de l’étranger. Un problème international exige une solution de portée internationale.
Par conséquent, nous collaborons étroitement avec nos homologues d’autres pays : la Federal Trade Commission des États-Unis, l’Office of Communications, ou OFCOM, du Royaume-Uni, l’Australian Communications and Media Authority, etc.
Nous sommes un membre actif du Plan d’action de Londres, un réseau international d’application de la loi relativement à la cybersécurité et aux télécommunications.
Le CRTC établira aussi un partenariat avec le nouveau Complexe mondial INTERPOL pour l’innovation à Singapour, qui sera opérationnel l’an prochain. Il s’agit d’une installation de recherche de pointe qui détectera les cybercrimes et les cybercriminels et mènera le combat contre eux au moyen d’activités de formation novatrices, de soutien opérationnel et de partenariats.
De plus, nous recevons des dizaines de milliers de messages par jour transmis à des « pots de miel » internationaux. Il s’agit de faux domaines et d’adresses de courriel mis en place par les organismes d’application de la loi pour surveiller les pourriels. Les messages transmis à ces adresses par l’intermédiaire de réseaux canadiens sont retransmis au CRTC aux fins d’analyse et d’enquête. Cela permet de recueillir des renseignements recueillis qui nous aideront à dépister les expéditeurs.
Nous collaborons donc avec des partenaires à l’étranger, mais aussi, bien sûr, au Canada.
La sensibilisation au Canada
Le CRTC collabore avec Industrie Canada pour animer des webinaires et des séances d’information partout au pays. Ces séances visent à préparer les entreprises et les consommateurs pour l’entrée en vigueur de la LCAP. Nous avons fait connaître les exigences de l’article 6 relativement au consentement, à l’identification de l’expéditeur et au mécanisme d’exclusion. Les Canadiens ont eu l’occasion de nous faire part directement de leurs préoccupations, ce qui nous a aidés à préparer des documents d’orientation sur les mesures que les entreprises peuvent prendre pour se conformer à la loi.
Nous préparons également des documents d’orientation à l’intention des développeurs de logiciels qui seront fondés sur les commentaires que nous avons reçus de l’industrie. Il sera possible d’accéder à ces documents sur le site combattrelepourriel.gc.ca et sur le site du CRTC.
En novembre et décembre, toujours en collaboration avec Industrie Canada, nous animerons des séances à l’intention des développeurs de logiciels dans les grandes villes canadiennes pour les aider à se conformer aux nouvelles exigences.
La collaboration avec les entreprises
Comme je l’ai dit plus tôt, le CRTC dispose d’une gamme d’outils pour appliquer la nouvelle loi. Certains s’inquiètent que nous abuserions de ces outils et imposerions des sanctions sévères pour la moindre violation.
Notre objectif est de collaborer avec les entreprises canadiennes pour assurer la conformité. Nous savons que la plupart d’entre elles chercheront à se conformer à la loi. En conséquence, dans ces cas, nous pourrons obtenir le résultat voulu sans avoir à recourir à des sanctions sévères. Dans d’autres cas, des sanctions devront être imposées.
Notre annonce il y a quelques jours le démontre bien.
Au cours de l’été, on a signalé au Centre de signalement des pourriels des messages qui étaient acheminés par un fournisseur de services Internet [FSI] canadien. Dans le cadre de notre enquête, nous avons découvert que les messages provenaient en fait d’un client du fournisseur, un petit vendeur d’ordinateurs de la Saskatchewan. Le serveur de l’entreprise avait été infecté par un maliciel, qui l’avait associé au réseau de zombies Ebury. Ni l’entreprise ni le FSI ne savaient que le serveur envoyait des millions de pourriels.
Le CRTC a immédiatement averti l’entreprise et son fournisseur. Ceux-ci ont collaboré entièrement et supprimé toute trace du maliciel. Nous avons ainsi empêché l’envoi de millions d’autres pourriels aux Canadiens et les dommages que ces messages auraient pu causer.
Voici un nouvel exemple de collaboration : lors d’une autre enquête, nous avons découvert qu’une entreprise de taille moyenne envoyait, à son insu, des pourriels en allemand qui annonçaient une possibilité de travail à domicile. Encore une fois, nous avons collaboré avec l’entreprise pour corriger le problème, et celle-ci prend des mesures pour empêcher que le problème ne se reproduise.
Nous continuons à collaborer avec les entreprises et les organisations afin de mettre fin à l’envoi de pourriels non désirés ou malveillants aux Canadiens.
La Liste nationale des numéros de télécommunication exclus
Je vais maintenant aborder certains de nos travaux récents concernant les services téléphoniques. Tout comme le déluge de pourriels a entraîné la création de la loi canadienne anti-pourriel, le déluge d’appels de télémarketing non sollicités et intrusifs a entraîné la création des Règles sur les télécommunications non sollicitées du CRTC.
Celles-ci prévoient divers types de protection.
En premier lieu, la Liste nationale de numéros de télécommunication exclus [LNNTE], en place depuis un peu plus de six ans, permet aux Canadiens de choisir de ne pas recevoir d’appels de télémarketing. À ce jour, plus de 12 millions de numéros de téléphone ont été inscrits sur la LNNTE, ce qui représente environ 29 p. 100 des foyers canadiens. Ces inscriptions sont maintenant permanentes, à moins d’être annulées par le propriétaire du numéro inscrit.
Les télévendeurs sont tenus de s’inscrire et de s’abonner à la Liste.
Diverses exemptions assurent une communication libre dans des domaines importants : campagnes politiques, organismes de bienfaisance, sondages, sollicitations d’abonnement à un journal, relations d’affaires en cours.
Ces appels sont exemptés des règles sur la LNNTE, mais doivent néanmoins se conformer aux Règles sur le télémarketing, qui exigent que les télévendeurs tiennent à jour leur propre liste interne de numéros de télécommunication exclus.
Enfin, nous avons les Règles sur les composeurs-messagers automatiques. Les composeurs-messagers automatiques génèrent des appels automatisés, et les Règles établissent les conditions à respecter pour leur utilisation.
À maints égards, les Règles sur les télécommunications non sollicitées du CRTC ressemblent à la LCAP. Par exemple, elles exigent aussi que l’appelant s’identifie et fournisse ses coordonnées.
Toutefois, il existe une grande différence. La LCAP est fondée sur le principe de l’adhésion : les Canadiens peuvent décider de recevoir certains messages. À l’inverse, la LNNTE est fondée sur le principe de l’exclusion.
Les outils d’application de la loi sont aussi semblables, mais non identiques, et comprennent les procès-verbaux de violation, qui peuvent entraîner des sanctions administratives pécuniaires importantes.
Depuis la création de la LNNTE, nous avons mené plus de 1 500 enquêtes. Nous avons émis près de 150 avis de violation, 180 lettres d’avertissement et environ 100 procès-verbaux de violation à des particuliers et à des organisations. Les enquêtes ont entraîné des sanctions pécuniaires de plus de 5 millions de dollars.
L’an dernier, le CRTC a pris des mesures d’application de la loi contre des télévendeurs responsables de plus de 11 millions d’appels non conformes à des Canadiens.
La mystification
Notre capacité de protéger la vie privée des Canadiens repose sur notre capacité d’appliquer les règles de manière efficace. Un des grands défis, au Canada et ailleurs, est l’utilisation croissante de la mystification de l’identification de l’appelant, c’est-à-dire la falsification du numéro qui s’affiche sur votre téléphone. Cela rend difficile de dépister l’appelant, d’autant plus que de nombreux appelants sont situés à l’extérieur du pays.
La VoIP, ou téléphonie IP, complique encore plus notre tâche. Au lieu d’utiliser des circuits téléphoniques traditionnels, elle transmet les appels sur Internet, ce qui permet de masquer le point d’origine.
Nous collaborons continuellement avec des FSI et des fournisseurs de services de télécommunications canadiens, ainsi qu’avec nos partenaires internationaux aux États-Unis, au Royaume-Uni et dans d’autres pays pour trouver des solutions à ces problèmes.
Les éléments en évolution
Nous pourrons bientôt compter sur plusieurs innovations importantes pour nous aider à effectuer nos travaux de mise en application.
Le CRTC est membre du Messaging, Malware and Mobile Anti-Abuse Working Group, un groupe de travail international contre les maliciels et l’abus des services de messagerie et mobiles. Nous assumons la coprésidence du groupe de travail spécial sur l’abus des services vocaux et téléphoniques, dont la prochaine réunion aura lieu la semaine prochaine à Boston.
Certaines de vos organisations y délégueront des représentants et nous vous en remercions. Nous sommes très heureux que vous collaboriez avec nous sur ces questions très importantes.
Dans le cadre du groupe de travail, nous explorons l’utilisation de numéros de téléphone « pots de miel » pour dépister l’origine des appels frauduleux, abusifs ou mystifiés. Le concept est fondé sur celui des pots de miel utilisés pour déterminer l’origine des pourriels.
Un télévendeur sans scrupule verra le numéro pot de miel comme un numéro normal à cibler dans le cadre de ses machinations. L’exploitant du pot de miel peut faire répondre à l’appel par un ordinateur ou par une personne et il peut l’enregistrer. Tous les renseignements sont automatiquement consignés sans que l’appelant ne s’en rende compte. Les données associées à ces appels et les renseignements provenant de plaintes de consommateurs peuvent être regroupés, ce qui aidera à dépister les sources réelles des appels mystifiés.
Nous collaborons avec nos partenaires nationaux et internationaux pour déterminer comment nous pouvons utiliser des pots de miel pour protéger les Canadiens contre l’abus des services téléphoniques.
Bien sûr, nous envisageons d’autres mesures pour contrer la mystification, y compris des méthodes de retraçage et, possiblement, de blocage d’appels.
Nous collaborons aussi avec le secteur privé afin de créer un système visant à permettre aux Canadiens de signaler des appels de télémarketing non sollicités. Après avoir reçu un tel appel, vous auriez la possibilité de peser sur un chiffre afin de transmettre automatiquement les renseignements à votre entreprise de services de télécommunications et aux organismes d’application de la loi, y compris au CRTC. C’est l’équivalent du bouton que vous pouvez cliquer dans votre application de courriel pour signaler un pourriel à votre fournisseur de services.
Nous aimons bien cette idée, qui utilise à bon escient l’externalisation ouverte. Elle permettrait aux consommateurs de participer de manière novatrice pour nous aider à mettre fin à ce type d’abus. Nous invitons le public à participer.
Nous devons nous acquitter de nouvelles obligations juridiques afin de mettre fin aux activités nuisibles qui menacent le bien-être et les moyens de subsistance des Canadiens. Nous avons besoin de la collaboration de tous, que ce soit pour les services téléphoniques ou les services en ligne.
Le rôle de l’industrie
Aujourd’hui, je fais donc appel à vous tous, membres de l’industrie. Nous avons besoin de votre aide pour réaliser nos objectifs. C’est vous qui vous retrouvez sur les premières lignes. Que vous fournissiez des services Internet ou des services téléphoniques, vous devez faire face chaque jour à ces problèmes. L’abus de vos réseaux nuit à vos clients et à vos entreprises.
Je sais que nous pouvons continuer de compter sur votre appui. Cette collaboration sera profitable pour nous tous, et, surtout, pour tous les Canadiens.
Merci beaucoup.
- 30 -
Personnes-ressources
Suivez nous sur Twitter : @CRTCfra
Relations avec les médias :
Relations médiatiques, Tél. : 819-997-9403, télécopieur : 819-997-4245
Renseignements généraux :
Tél. : (819) 997-0313, ATME : 819-994-0423, télécopieur : 819-994-0218
No sans frais 1-877-249-CRTC (2782)
ATME - No sans frais 1-877-909-CRTC (2782)
Question à poser ou plainte à formuler?
Ces documents sont disponibles, sur demande, en média substitut.
