Ian Scott au groupe sur les «  Solutions réglementaires internationales » du forum sur les télécommunications et les médias de l’Institut international des communications (IIC)

Ian Scott, Président et premier dirigeant
Conseil de la radiodiffusion et des télécommunications canadiennes

Washington, D.C.
Le 4 décembre 2018

Le discours prononcé fait foi

Bonjour,

Je suis heureux d’être ici avec vous aujourd’hui et de prendre part à cette discussion en groupe.

Le CRTC est bien connu comme tribunal administratif qui surveille le système de communication canadien de façon à servir l’intérêt public. Nous participons activement à l’IIC depuis sa création il y a près de 50 ans, exprimant régulièrement notre point de vue sur des questions de radiodiffusion et de télécommunication à des conférences comme celle­ci.

Il est normal que vous connaissiez moins le rôle que nous jouons depuis une décennie dans les domaines de la vie privée et de la cybersécurité. En effet, depuis 2008, le CRTC est responsable de la Liste nationale de numéros de télécommunication exclus et s’assure que les télévendeurs respectent le choix des Canadiens de ne pas être importunés par des appels non sollicités.

Et depuis 2014, nous nous employons à faire connaître et à appliquer la Loi canadienne anti­pourriel.

Nos responsabilités à l’égard de la LCAP

La Loi canadienne anti­pourriel, également appelée LCAP, a été adoptée après que les Canadiens se sont plaints de la quantité de pourriels qui inondaient leurs boîtes de réception à l’époque. Ils ont dit aux législateurs que quelque chose devait changer. Notre gouvernement a répondu à leurs doléances par une loi qui protège les Canadiens contre les pourriels, les maliciels et d’autres menaces en ligne insidieuses.

De manière générale, la LCAP interdit aux entreprises d’envoyer des messages électroniques commerciaux (courriels, messages dans les médias sociaux et messages textes) sans le consentement des destinataires. En outre, elle instaure un régime à option d’adhésion, en vertu duquel les entreprises qui veulent envoyer des messages électroniques commerciaux aux consommateurs ou installer des logiciels doivent d’abord obtenir un consentement. De plus, tous les messages électroniques commerciaux doivent contenir les coordonnées et les renseignements d’identification de l’expéditeur ainsi qu’un mécanisme de désabonnement facile à trouver et à utiliser.

Ce qui est remarquable avec la LCAP, c’est qu’elle est neutre sur le plan technologique. Reconnaissant la nature évolutive des menaces en ligne, les législateurs ont rédigé une loi flexible et prospective qui a habilité le CRTC et ses partenaires d’application de la loi à cibler non seulement les pourriels, mais aussi les autres menaces en ligne comme les maliciels et les réseaux de zombies.

Bien que nous partagions la responsabilité de l’application de la LCAP avec deux autres organismes du gouvernement du Canada, à savoir le Bureau de la concurrence et le Commissariat à la protection de la vie privée, cette responsabilité nous incombe plus qu’à eux. La loi nous donne des outils pour faire enquête, intervenir et fixer des pénalités monétaires dans les cas que je viens de mentionner et aussi pour d’autres types d’infractions.

L’écosystème de la cybersécurité

Depuis que la LCAP a pris effet il y a quatre ans, nous progressons à grands pas. Je vais vous parler dans un instant de nos réalisations particulières, mais nous avons appris quelque chose de plus général qu’il est important de souligner : la cybersécurité est un écosystème.

Pour assurer la cybersécurité, il ne suffit pas de cibler les télévendeurs et les fournisseurs de services d’hébergement Web, parce que ces entreprises n’agissent pas seules. Elles font partie d’un groupe beaucoup plus vaste qui comprend des fournisseurs de technologies, d’infrastructures et de services. C’est ce que je veux dire quand je parle d’écosystème. Tout et tout le monde est interrelié et interdépendant.

Donc, si nous voulons avoir un impact dans l’univers de la cybersécurité, nous devons tenir compte de tous les acteurs. Nous devons examiner la situation dans son ensemble. Nous devons cerner les points de contact où il est possible de réduire le nombre de victimes et de protéger les Canadiens. Parce que lorsqu’un intervenant dans le système ne fait pas sa part pour tenir les acteurs malveillants à l’écart, ceux­ci saisissent les occasions de causer préjudice aux entreprises et aux consommateurs.

La bonne nouvelle est qu’il y a un autre écosystème en jeu. C’est une autre leçon que nous avons apprise. Il s’agit d’un écosystème de coopération et de collaboration dans lequel les partenaires — les organismes de réglementation comme nous, le secteur privé, les organismes d’application de la loi, les organismes gouvernementaux nationaux et les gouvernements étrangers — travaillent ensemble pour échanger l’information et les meilleures pratiques dans le but de protéger les consommateurs des nuisances.

C’est ainsi qu’il faut que ça fonctionne. Les cybermenaces ne sont ni régionales ni nationales. Elles sont mondiales. Elles sont envahissantes. La cybersécurité ne concerne pas seulement la vie privée et les finances des gens; elle touche la sécurité nationale, l’infrastructure critique et même la démocratie. Et les menaces évoluent constamment. C’est pourquoi notre approche en matière d’application de la loi doit aussi évoluer.

Évolution de notre approche en matière d’application de la loi

Lorsque la LCAP est entrée en vigueur, nous nous sommes concentrés sur la satisfaction des besoins des clients, soit la réduction du nombre de pourriels qu’ils recevaient. Un élément déterminant de notre stratégie pour atteindre cet objectif était de faire en sorte que les acteurs légitimes respectent le souhait des Canadiens de ne pas recevoir leurs messages électroniques commerciaux.

Plus récemment, nous nous sommes intéressés à deux entreprises qui n’envoyaient pas des pourriels, mais des messages textes non sollicités. Ce cas, une première pour nous, a démontré à quel point la LCAP est flexible pour intervenir dans le cadre d’un large éventail de messages électroniques commerciaux non sollicités.

Au début, nous nous sommes concentrés sur les courriels commerciaux non sollicités, mais notre approche a, depuis, évolué. Nous n’avons pas perdu de vue les courriels et les messages textes non sollicités, mais nous portons davantage attention à des problèmes plus graves — les activités des réseaux de zombies et l’installation de maliciels — qui posent de sérieux risques pour la sécurité en ligne des Canadiens.

Voilà un gros problème à régler; un problème mondial qui fait fi des frontières. Les transgresseurs peuvent mener leurs activités n’importe où dans le monde. Mais, la bonne nouvelle est que même s’il faut du temps pour poursuivre ces acteurs où ils vivent, nous sommes capables de mettre fin à leurs activités au Canada dès maintenant. Pour ce faire, nous prenons des mesures en vue de nettoyer l’infrastructure au Canada qui fait fonctionner Internet.

Plus précisément, nous nous adressons à des entreprises qui, traditionnellement, ne relèvent pas de la compétence réglementaire du CRTC : les fournisseurs de services d’hébergement Web, de courrier électronique et d’autres infrastructures. Nous informons ces entreprises qu’elles doivent savoir qui sont leurs clients, reconnaître leurs responsabilités selon la LCAP et comprendre qu’elles ne peuvent pas ignorer les pratiques malveillantes.

En juillet, le Cadre en chef de la conformité et des enquêtes du CRTC a pris des mesures contre deux entreprises ayant vraisemblablement facilité l’installation de logiciels dans des ordinateurs de consommateurs au moyen de publicités en ligne. Une de ces entreprises a accepté des clients non vérifiés et anonymes qui ont utilisé son réseau publicitaire pour diffuser des maliciels. Aucune d’elles n’avait établi de contrat forçant ses clients à se conformer à la LCAP ni surveillé la façon dont ses clients utilisaient ses services. Elles ont reçu des procès­verbaux de violation avec un total de 250 000 $ de pénalités. Elles ont depuis déposé des observations pour contester ces procès­verbaux.

Par ailleurs, le CRTC a récemment distribué un bulletin d’information aux fournisseurs de services et aux intermédiaires au sujet de leurs responsabilités en vertu de la LCAP. Dans ce bulletin, nous avons clairement indiqué que les entreprises qui fournissent des technologies ou des services servant de base au commerce électronique peuvent être tenues responsables si elles ne font pas preuve de diligence raisonnable ou qu’elles ne prennent pas les mesures appropriées pour empêcher les infractions.

Nous leur disons qu’elles ne peuvent pas se contenter de prendre l’argent de leurs clients chaque mois et fermer les yeux sur leurs activités. Elles doivent savoir qui sont leurs clients et mettre en œuvre des processus pour prévenir, signaler et faire cesser les pratiques abusives dans leurs réseaux. Ces entreprises ont des responsabilités au­delà de leurs simples soucis de rentabilité, et nous veillons à ce qu’elles les comprennent parfaitement.

En même temps, nous montrons au grand public que nous prenons au sérieux la protection de sa sécurité en ligne, et nous faisons preuve de transparence dans nos activités sans compromettre les enquêtes actuelles et futures.

Comment je l’ai dit tout à l’heure, la cybersécurité est un écosystème. Nous contribuons tous à sa santé.

Des solutions mondiales à des problèmes mondiaux

J’ai passé un certain temps à parler des travaux particuliers qu’accomplit le CRTC pour combattre les cybermenaces au Canada. Mais, ce n’est pas tout ce que nous faisons. Nous collaborons aussi avec les gouvernements, les organismes d’application de la loi et le secteur privé partout dans le monde pour rendre plus sécuritaire l’écosystème Web mondial.

Par exemple, le CRTC a signé des accords avec la Commission fédérale des communications et la Federal Trade Commission ici, aux États­Unis, et avec ses homologues au Royaume­Uni, en Nouvelle­Zélande et en Australie, entre autres. Nous utilisons ces accords pour échanger de l’information et apprendre les meilleures pratiques et de nouvelles approches qui optimisent les efforts d’application de la loi à l’échelle mondiale.

Le CRCT est par ailleurs un membre actif du Unsolicited Communications Enforcement Network (UCENet), un groupe d’organisations publiques et privées qui promeut l’application de la loi anti-pourriel et se penche sur les problèmes relatifs au télémarketing et aux pourriels, par exemple la fraude, l’hameçonnage et la propagation de virus. Dans le cadre de notre participation à ce réseau, nous avons conclu un protocole d’entente avec 12 organismes d’application de la loi de huit pays. Si vous souhaitez vous joindre à ce groupe, je vous encourage fortement à le faire.

En 2016, nous avons collaboré avec l’IIC pour organiser un atelier sur les pourriels et d’autres formes de communications nuisibles pendant la Semaine des politiques et de la réglementation en matière de communications à Bangkok, en Thaïlande. Le rapport que nous avons publié après cet atelier a fait ressortir bon nombre des thèmes dont je viens de vous parler. La cybersécurité est un enjeu mondial qui exige des solutions mondiales. La protection des citoyens dans l’univers en ligne consiste à discuter régulièrement des politiques, à tirer profit des partenariats entre le secteur public et le secteur privé et à travailler avec des groupes comme UCENet pour promouvoir la collaboration transfrontalière dans le domaine de l’application de la loi.

J’aimerais féliciter publiquement l’IIC d’avoir reconnu l’importance de ces problèmes et de jouer un rôle de leadership pour contribuer à les régler. Je sais que certains d’entre vous ici aujourd’hui ont pris part à ces discussions.

Qui plus est, nous dialoguons régulièrement avec de grands fournisseurs de plateformes technologiques, des fournisseurs de services de cybersécurité, des chercheurs et d’autres groupes qui travaillent à l’élimination des pratiques abusives en ligne. Notre succès repose en grande partie sur les organisations du secteur privé. Elles sont des joueurs clés dans cet écosystème, parce qu’elles sont à la fine pointe de la technologie et à l’affût des plus récents problèmes de sécurité. Et elles sont plus agiles que le gouvernement.

Conclusion

J’ai beaucoup parlé de l’écosystème de la cybersécurité et du rôle que toutes ses parties prenantes ont à jouer pour encourager la sécurité en ligne. Les menaces en ligne n’ont pas de frontières. Fluides, complexes et interreliées, elles évoluent dans leur propre écosystème. C’est une erreur de croire qu’un groupe d’intervenants, qu’il s’agisse des organismes de réglementation, des régulateurs ou même des entreprises privées, peut combattre le problème à lui seul.

Il y a cependant du positif : l’écosystème des menaces est réseauté parmi les plateformes et les services, mais l’écosystème des solutions est tout aussi robuste. Tout le monde présent dans cette salle doit travailler de concert, au­delà des frontières, pour lutter contre les menaces en ligne, détruire les refuges des personnes malveillantes et accroître la sécurité des citoyens que nous servons.

Merci.