Le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») rendait il y a quelques jours une nouvelle décision d’intérêt en vertu de la Loi canadienne en matière de pourriels (la « LCAP » ou « CASL »). Cette décision du CRTC vient interpréter et appliquer la LCAP, en réduisant au passage l’amende qui avait été imposée préalablement à la société québécoise 3510395 Canada inc. (faisant affaire sous le nom « Compu.Finder »).
Comme on s’en souviendra, Compu.Finder avait été mise à l’amende en 2015 à la suite de son envoi de messages commerciaux non sollicités violant la Loi canadienne, autant par manque de consentement préalable des destinataires qu’à cause de mécanismes inadéquats de désabonnement. Devant l’objection de Compu.Finder, le CRTC devait réévaluer et/ou justifier le montant de l’amende de 1,1 million imposée dans ce dossier.
1. Information insuffisante quant aux courriels qui auraient été expédiés
Le réexamen de sa décision par le CRTC doit ici prendre en compte l’existence d’anomalies quant aux pourriels identifiés ou montrés par le CRTC dans ses communications avec Compu.Finder. Après analyse des points soulevés à ce sujet, le CRTC conclut effectivement à certaines lacunes dans ce qu’on a fourni à Compu.Finder. Puisqu’on a fourni à Compu.Finder de l’information inadéquate et qu’elle n’a donc pas été en mesure de se défendre adéquatement, il serait injuste de retenir l’ensemble des courriels ciblés comme étant pertinents. Compu.Finder parvient ainsi à réduire le nombre de courriels qu’on peut lui reprocher, de 451 à 317.
Morale de l’histoire sur ce point : à l’avenir, le CRTC devrait donc mieux faire ses devoirs en préparant et en étoffant adéquatement la documentation qu’elle communique aux entreprises qu’elle accuse de violer la LCAP. Chaque pourriel qu’on reproche d’avoir expédié illégalement devrait pouvoir être mis en preuve, dans un format intelligible qui en montre notamment le contenu et l’en-tête complets.
2. Exception des communications B2B
En second lieu, Compu.Finder adopte aussi la position qu’environ la moitié des courriels qu’on lui reproche d’avoir expédiés étaient autorisés par une exception applicable. En l’occurrence, on prétend ici que le paragraphe 3(a)(ii) du Règlement d’application (quant aux messages échangés entre organisations) s’applique.
Sur ce point, cependant, contrairement à la prétention de Compu.Finder, le CRTC conclut qu’avoir vendu des services à un membre d’une organisation ne permettra généralement PAS d’en contacter les autres manu militari. Pour pouvoir se faire, il faudrait plutôt démontrer l’existence d’une réelle relation pertinente entre les organisations, en plus de limiter le contenu des communications à ce qui touche les activités de l’entreprise visée, etc. Bref, une vente n’est pas une carte blanche de spammer les collègues de l’acheteur.
3. Mécanisme requis de désabonnement
En plus de l’absence de consentements valables, une autre partie des infractions reprochées à Compu.Finder touche les mécanismes requis de désabonnement dans ses pourriels. En effet, une partie des courriels expédiés ici n’aurait pas contenu de mécanisme fonctionnel de désabonnement, malgré que ce soit en principe requis dans tous les messages électroniques commerciaux. À ce sujet, ce qui paraît digne de mention ici a trait à l’inclusion dans certains pourriels de Compu.Finder de deux liens distincts permettant prétendument de se désabonner de leur liste d’envoi. La question que se pose le CRTC à ce sujet devient donc : qu’arrive-t-il si l’un de ces deux liens ne fonctionne pas, comme cela a été le cas dans une partie des pourriels de Compu.Finder ? A-t-on pour autant violé la LCAP ?
Après réflexion, le CRTC fournit la réponse suivante à cette question : une telle pratique peut équivaloir à ne pas inclure de mécanisme de désabonnement du tout. Ce sera particulièrement le cas s’il est démontré que les liens non fonctionnels ont fait avorter les tentatives de certains usagers qui ont alors cru ne pas pouvoir se désabonner du tout. Encore une fois, comme vous pouvez le constater, on demeure dans ce qui traite du gros bon sens.
Morale de l’histoire sur ce point : si on inclut deux liens visant à permettre à un destinataire de se désabonner d’une liste d’envoi, on a tout intérêt à ce que les deux fonctionnent. À défaut, il est presque préférable ne pas se donner la peine d’inclure de mécanisme de désabonnement.
4. Consentement implicite par la publication d’une adresse de courriel
Le dernier argument soulevé par Compu.Finder a trait à la possibilité qu’offre la LCAP de ramasser les adresses de courriel publiées sur Internet, afin de contacter les destinataires relativement à leur travail et les activités de cette organisation. Compu.Finder allègue à ce sujet avoir trouvé sur Internet nombre de ces adresses, incluant souvent le poste de la personne visée.
Après examen des justifications offertes par Compu.Finder à ce sujet, par contre, le CRTC conclut que l’entreprise ne disposait pas d’assez d’informations pour pouvoir valablement prétendre avoir expédié des courriels ciblés pertinents quant à leur emploi à des individus qui avaient sciemment publié leur adresse de courriel.
Morale de l’histoire sur ce point : si on espère pouvoir prétendre qu’une adresse a été valablement copiée sur Internet, on a intérêt à pouvoir démontrer que c’est bien l’individu qui l’y a placé et que le contenu du courriel visait bien quelque chose de pertinent aux fonctions de cet individu pour son employeur.
5. Défense de précautions requises
La LCAP prévoit qu’une entreprise peut échapper à sa responsabilité même en cas de violation si elle avait pourtant « pris toutes les précautions voulues pour prévenir sa commission » (art. 33). Compu.Finder allègue donc finalement que c’est son cas et qu’elle a fait de son mieux pour se conformer à la loi, malgré qu’elle n’y soit pas parvenue.
Sur ce point, le CRTC écarte une partie des choses que Compu.Finder se targue d’avoir fait pour se conformer comme étant non-pertinentes, parce que faites après les incidents en question. Les autres initiatives mentionnées par Compu.Finder s’avèrent insuffisantes pour convaincre le CRTC que les efforts déployés par Compu.Finder s’avéreraient suffisants, parce qu’elle n’a adopté aucune politique et aucun programme de vérification et de surveillance internes visant à assurer le respect par l’entreprise de la LCAP. En l’absence de tels mécanismes, il s’avère difficile de croire que les précautions requises ont été réellement prises.
Morale de l’histoire sur ce point : faire des choses ponctuelles pour éviter de violer la LCAP n’est peut-être pas mauvais, mais rien ne vaut de se munir de politiques et de protocoles écrits applicables à tous dans l’entreprise et de mécanismes de surveillance et de vérification quant au respect de la LCAP. À défaut d’en avoir, il est probable que le temps venu, le CRTC vous trouve négligent et donc responsable en vertu de la LCAP.
Au final, malgré le rejet de beaucoup de points avancés par Compu.Finder, le CRTC estime néanmoins qu’il y a lieu de réduire l’amende à 200 000 $, notamment en prenant en compte la capacité de payer de la société et l’importance de doser les amendes imposées en vertu de la LCAP.