Steven Harroun et Daniel Roussy devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

Ottawa (Ontario)
Le 9 mai 2017

Steven Harroun, Chef de l’application de Conformité et enquêtes
du Conseil de la radiodiffusion et des télécommunications canadiennes

Priorité à l’allocution

Monsieur le Président, merci de nous avoir invités à comparaître aujourd’hui devant votre comité.

Je suis Steven Harroun, le cadre en chef de la conformité et des enquêtes du CRTC. Voici mon collègue Daniel Roussy, avocat général et sous-directeur exécutif du secteur juridique du CRTC.

Nous reconnaissons vos précieux travaux pour protéger la vie privée des Canadiens, un enjeu important à l’ère numérique.

Nous savons que vous mettez l’accent dans vos travaux sur la Loi sur la protection des renseignements personnels et les documents électroniques. Comme tous les ministères et organismes du gouvernement fédéral, le CRTC respecte la législation en matière de la protection de la vie privée, mais il n’a pas d’expérience directe de cette loi à titre d’organisme de réglementation.

Par contre, nous comprenons que le comité s’intéresse à notre expérience en matière d’application de la Loi canadienne anti-pourriel. Nous croyons que certains aspects de notre expérience peuvent être utiles dans le cadre de votre étude, et, en particulier, notre pouvoir d’imposer des sanctions administratives pécuniaires.

Monsieur le Président, permettez-moi de présenter un aperçu de la loi afin de donner un contexte à nos observations au sujet de l’efficacité de ces pénalités.

En bref, l’objectif de la Loi canadienne anti-pourriel, ou la LCAP, est l’établissement d’un environnement en ligne sûr pour les Canadiens qui permet néanmoins aux entreprises de livrer concurrence sur le marché mondial.

La LCAP confère au Conseil le pouvoir de réglementer certaines formes de communication électronique, soit l’envoi de messages électroniques commerciaux, la modification des données de transmission des messages électroniques et l’installation de programmes informatiques sur l’ordinateur d’autrui, dans le cadre d’une activité commerciale. Le principe de base est que ce genre d’activité peut seulement être effectué avec le consentement préalable des personnes concernées.

Le CRTC est responsable de l’application du cadre relatif aux sanctions administratives pécuniaires, y compris l’imposition de sanctions en cas de violation.

La LCAP est fondée sur le principe de l’adhésion : un consentement est requis avant l’envoi de messages électroniques commerciaux aux Canadiens. La LCAP s’applique aux messages électroniques commerciaux envoyés par courriel ou au moyen de comptes de médias sociaux, ainsi qu’aux messages textes envoyés aux téléphones cellulaires. Comme prévu par la loi, le consentement peut être exprès ou tacite.

Le consentement exprès veut dire qu’une personne a indiqué clairement et de manière proactive qu’elle accepte de recevoir des messages. Par exemple, une personne peut choisir d’adhérer en s’inscrivant sur un site Web. Une fois le consentement exprès reçu, l’expéditeur peut envoyer des messages électroniques commerciaux tant que le destinataire ne l’avise pas qu’il ou elle ne veut plus les recevoir.

Un consentement tacite peut s’appliquer, par exemple, dans le cadre d’une relation d’affaires existante avec un consommateur en fonction d’une transaction commerciale précédente. Cela s’applique aussi aux relations personnelles ou familiales ou à des relations privées existantes, par exemple le fait d’appartenir à un club, à une association ou à une organisation bénévole.

Dans chaque cas, la LCAP précise qu’il incombe à la personne qui affirme avoir reçu le consentement d’en faire la preuve.

De plus d’obtenir le consentement, l’expéditeur de messages électroniques commerciaux doit clairement s’identifier dans chaque message. Chaque message doit aussi contenir un mécanisme d’exclusion indiqué en termes clairs et facilement lisibles qui permet au consommateur de se désabonner facilement s’il ou si elle ne veut plus recevoir de messages.

Monsieur le Président, signalons que la LCAP n’a jamais eu comme objectif d’éliminer tous les pourriels. Le but est de dissuader les actes les plus dommageables et les plus trompeurs liés aux pourriels, comme le vol d’identité, l’hameçonnage et la diffusion de logiciels espions et malveillants.

En cas de violation alléguée, le cadre en chef de la conformité et des enquêtes dispose de divers outils pour s’assurer du respect de la loi.

Voici certains de ces outils :

• une lettre d’avertissement pour signaler à l’entreprise une violation mineure qui exige des mesures correctives.
• un procès-verbal de violation délivré dans les cas d’infractions graves. La mesure d’application peut comprendre une sanction pécuniaire. Les procès-verbaux sont aussi publiés sur notre site Web. Nous avertissons les Canadiens de pratiques en ligne illégales pour qu’ils soient en mesure de reconnaître et de signaler des violations soupçonnées.
• un engagement, c’est-à-dire un type de règlement ou d’accord négocié avec l’autre partie, dans le cadre duquel l’entreprise ou le particulier s’engage à se conformer. Par exemple, une entreprise serait tenue de mettre en œuvre un programme de conformité d’entreprise ou de rendre compte de ses activités. Elle pourrait aussi avoir à payer un montant précis, bien que ce paiement ne soit pas considéré être une sanction administrative.

Le cadre en chef de la conformité et des enquêtes fait preuve de discrétion afin de choisir et d’appliquer les mesures appropriées d’application de la loi. Notre objectif est d’assurer le respect de la Loi et de prévenir les récidives.

Des efforts de sensibilisation et d’éducation du CRTC appuient ces outils d’application de la loi. Avant l’entrée en vigueur de la loi, le CRTC a organisé des séances d’information à l’intention d’intéressés dans l’ensemble du pays pour expliquer les nouvelles exigences et encourager la conformité. Nous continuons d’appliquer un programme d’éducation et de sensibilisation et de communiquer les leçons tirées des mesures d’application de la loi que nous avons prises.

Il faut comprendre que l’imposition de sanctions administratives pécuniaires n’est qu’un de nos outils. En général, nous n’utilisons des sanctions que lorsque tous les autres efforts ont échoué. Nous émettons des lettres d’avertissement, mais nous réservons les sanctions pécuniaires pour les cas les plus graves.

Selon la nature de la violation, le CRTC a le pouvoir d’imposer à des individus des sanctions pouvant atteindre un million de dollars par violation. Dans les cas d’une entreprise ou d’un groupe, les sanctions peuvent atteindre 10 millions de dollars par violation. La loi définit les facteurs dont nous devons tenir compte pour déterminer la sanction appropriée.

Les outils prévus par la LCAP pour protéger les Canadiens ne se limitent pas aux sanctions pécuniaires. Le cadre en chef de la conformité et des enquêtes a aussi le pouvoir de demander un mandat judiciairement préapprouvé pour visiter les locaux d’un résident ou d’une entreprise afin de vérifier la conformité à la loi.

Par exemple, en décembre 2015, dans le cadre d’un effort international concerté avec des partenaires nationaux et internationaux, le CRTC a désactivé un serveur de commande et de contrôle situé à Toronto qui distribuait des pourriels et des maliciels. Cela a mis un frein à l’une des familles de maliciels les plus répandues, Win32/Dorkbot, qui avait infecté au-delà d’un million d’ordinateurs dans plus de 190 pays.

Bien sûr, dans le monde interconnecté actuel, les pourriels et les autres menaces électroniques ne sont pas limités au Canada. Le Parlement a donné au CRTC un outil important : la capacité d’échanger des renseignements avec nos homologues internationaux et de leur demander de l’aide en matière d’application de la loi. Le CRTC a déjà conclu des accords internationaux avec la Federal Trade Commission et la Federal Communications Commission des États-Unis et avec le Department of Internal Affairs de la Nouvelle-Zélande.

En outre, pour régler le problème des pourriels provenant de l’étranger, nous collaborons avec nos partenaires internationaux au sein du Réseau de lutte contre les communications non sollicitées, ou UCENet. L’objectif du Réseau est de favoriser la coopération internationale au chapitre de l’application de la loi et de traiter les problèmes relatifs aux pourriels, par exemple la fraude et à l’escroquerie en ligne, l’hameçonnage et la propagation de virus.

Le CRTC a aussi signé, dans le cadre d’UCENet, un protocole d’entente avec 11 organismes d’application de la loi de huit pays. Cela comprend des organismes des États-Unis, de l’Australie, de la Nouvelle-Zélande, des Pays-Bas, du Royaume-Uni, de la Corée et de l’Afrique du Sud. Nous communiquons nos connaissances et notre savoir-faire au moyen de programmes de formation et d’échanges de personnel et nous nous informons mutuellement développements concernant les lois dans nos pays.

La collaboration avec nos partenaires nous aide à nous assurer que les distributeurs de messages commerciaux, du Canada ou d’ailleurs, se conforment à la Loi canadienne anti-pourriel.

En conclusion, nous sommes convaincus que les sanctions administratives pécuniaires, utilisées avec d’autres méthodes d’application de la loi, ont un effet dissuasif réel en ce qui concerne la non-conformité. Nous croyons que les entreprises ont adapté leurs pratiques pour éviter des sanctions potentielles. Cette observation est fondée sur notre expérience à date avec la LCAP, ainsi que notre expérience relative au télémarketing au cours des derniers dix ans.

Le conseil que nous vous donnerions, Monsieur le Président, est que les organismes d’application de la loi ont besoin d’un large éventail d’outils qu’ils peuvent adapter selon les circonstances.

Nous répondrons maintenant volontiers à vos questions.

- 30 -

Contacts

Relations avec les médias
(819) 997-9403

Renseignements généraux
(819) 997-0313
Numéro sans frais : 1 (877) 249-CRTC (2782)
Ligne ATS : (819) 994-0423
Poser une question ou déposer une plainte

Stay Connected
Suivez-nous sur Twitter @CRTCeng
Aimez-nous sur Facebook www.facebook.com/crtceng