La Loi canadienne anti-pourriel (LCAP) – Rapport de mesure du rendement 2018-2019

De : Innovation, Sciences et Développement économique Canada

La Loi canadienne anti-pourriel (LCAP) – Rapport de mesure du rendement 2018-2019 [PDF - 2 173 ko]

Table des matières

  1. Introduction
  2. Aperçu des résultats
  3. Partenaires
  4. L'environnement
    1. 4.1 Contexte international
    2. 4.2 Tendances, indicateurs et défis du commerce électronique
  5. Les résultats
    1. 5.1 Politiques et coordination
    2. 5.2 Promotion de la conformité
    3. 5.3 Coopération internationale et nationale
    4. 5.4 Surveillance de la conformité
    5. 5.5 Opérations d'application de la LCAP
  6. Annexe A : Modèle logique de la LCAP

1. Introduction

Promulguée en 2010, la Loi canadienne anti-pourriel (LCAP) est une loi neutre du point de vue technologique qui vise à protéger les Canadiens et le marché électronique contre le pourriel, les violations connexes et les menaces électroniques émergentes susceptibles d'imposer des coûts, de créer des inefficacités, de causer des préjudices ou de miner la confiance que les entreprises et les particuliers devraient avoir dans le marché électronique. La plupart de ses dispositions sont entrées en vigueur en 2014, assorties d'une période de transition de trois ans pour donner aux consommateurs et aux entreprises le temps de la comprendre et de s'y conformer.

Les règles de la LCAP régissent :

  • l'envoi de messages électroniques commerciaux;
  • la modification non autorisée des données de transmission;
  • l'installation de programmes informatiques sans consentement;
  • les indications fausses ou trompeuses au moyen de messages électroniques;
  • la collecte d'adresses électroniques;
  • la collecte de renseignements personnels par l'accès illégal à un ordinateur.

Le présent rapport annuel de mesure du rendement vise à mieux faire comprendre la LCAP au public, y compris les données pertinentes sur le rendement et les rôles et activités des partenaires gouvernementaux de la LCAP.

2. Aperçu des résultats

Promotion

Le site Web combattrelepourriel.gc.ca est un outil important de promotion de la LCAP. On y trouve des informations et des ressources importantes pour comprendre la Loi et accroître la conformité à celle-ci. En 2018-2019, le site Web a reçu 375342  visites.

Il y a eu 331805 visiteurs uniques (avec des adresses IP uniques), dont :

  • 286348 provenant du Canada;
  • 33181 provenant des États-Unis;
  • 12276 provenant d'autres pays.

Les partenaires de la LCAP partagent également de l'information, comme des foires aux questions et d'autres conseils pour les Canadiens et les entreprises sur leurs sites Web respectifs et au travers d'activités d'éducation et de sensibilisation. Les partenaires explorent également des moyens de rejoindre une variété de publics, notamment en diversifiant leurs activités par le biais de publications officielles, des billets de blogue et de médias sociaux. En 2018-19:

  • Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a publié 57 gazouillis, 12 messages sur Facebook, un bulletin d'information et a tenu 30 séances de sensibilisation.
  • Le Commissariat à la protection de la vie privée (CPVP) a publié 1 billet de blogue, 1 rapport, 5 annonces et a révisé 3 publications.
  • Le Bureau de la concurrence a publié 1 publication et 11 alertes aux consommateurs et aux entreprises.
  • Le Bureau de la consommation a remanié le site Web combattrelepourriel.gc.ca et a publié 5 messages dans les médias sociaux.

Surveillance

Le CRTC héberge le Centre de notification des pourriels, qui recueille des renseignements pouvant servir de preuve d'infractions potentielles à la LCAP. En 2018-2019, les Canadiens ont fait 280920 signalements au Centre, dont 8214 par voie de formulaires sur le Web et 272706 par courriel.

Application

Les 3 organismes chargés d'appliquer la LCAP sont le CRTC, le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada. La LCAP donne à ces agences d'application de la loi un ensemble d'outils pour répondre aux cas de non-conformité, comme des avertissements (ou des avis), des engagements et des ententes de consentement. Le CRTC et le Bureau de la concurrence peuvent aussi imposer des sanctions administratives pécuniaires. Ces réponses visent à promouvoir et à faire respecter la Loi et ses règlements.

Le CRTC a pris les mesures suivantes :

  • 2 procès-verbaux de violation;
  • plus de 50 lettres d'avertissement;
  • 1 mandat de perquisition;
  • 1 engagement.

Le Bureau de la concurrence :

  • a réglé 1 dossier qui a mené à des sanctions administratives pécuniaires de 700000 $;
  • a réglé 2 plaintes à l'aide d'un autre instrument de résolution;
  • a 1 affaire en cours auprès du Tribunal de la concurrence.

Le CPVP a entrepris :

  • 1 enquête sur des allégations de collecte sans discernement d'adresses électroniques et de communications par courriel non sollicitées par une maison d'édition (terminée);
  • 1 enquête à l'échelle de l'industrie sur les pratiques de gestion de la protection de la vie privée des courtiers en données et en listes (en cours).

3. Partenaires

L'initiative de la LCAP mobilise de multiples partenaires fédéraux aux mandats différents mais complémentaires. Innovation, Sciences et Développement économique Canada (ISDE) supervise l'initiative, tandis que le CRTC, le CPVP et le Bureau de la concurrence appliquent différents articles de la Loi. Les rôles et responsabilités de toutes les organisations ont été définis dans la loi et le règlement pertinent.

Innovation, Sciences et Développement économique Canada

L'initiative de la LCAP est administrée par ISDE. Au sein d'ISDE, l'Organe national de coordination, qui relève de la Direction de la protection des renseignements personnels et des données, est responsable des politiques et de la recherche, de la surveillance des communications publiques et de la sensibilisation, de la surveillance et des rapports sur l'efficacité globale du régime. Le Bureau de la consommation coordonne les efforts d'éducation et de sensibilisation des consommateurs et des entreprises à l'égard de l'initiative de la LCAP, y compris la gestion du site Web combattrelepourriel.gc.ca.

Conseil de la radiodiffusion et des télécommunications canadiennes

Le CRTC est un tribunal administratif sans lien de dépendance avec le gouvernement fédéral et a la responsabilité principale d'application de la LCAP. Le CRTC s'est engagé à réduire les effets néfastes des pourriels et des menaces connexes qui pèsent sur le commerce électronique. Il travaille à mettre sur pied un marché en ligne plus sécuritaire et mieux sécurisé pour les Canadiens, tout en permettant aux entreprises d'utiliser les télécommunications de façon légitime.

Bureau de la concurrence

Le Bureau de la concurrence est un organisme d'application de la loi indépendant qui veille à ce que les entreprises et les consommateurs canadiens prospèrent dans un marché concurrentiel et innovateur, y compris le marché électronique. Grâce aux modifications apportées à la Loi sur la concurrence, la LCAP permet au Bureau de la concurrence de s'attaquer plus efficacement aux indications fausses et trompeuses et aux pratiques commerciales trompeuses dans le marché électronique, y compris les indications fausses ou trompeuses dans les renseignements sur l'expéditeur ou dans l'objet d'un message électronique, dans un message électronique et dans un localisateur tel que les adresses URL et les métadonnées.

Commissariat à la protection de la vie privée du Canada

Le CPVP est un agent du Parlement dont la mission est de protéger et de promouvoir le droit à la vie privée. En vertu de modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le commissaire à la protection de la vie privée est chargé d'enquêter sur les infractions aux interdictions de recueillir des adresses électroniques et de recueillir et d'utiliser des renseignements personnels par l'accès illégal à des systèmes informatiques et de signaler ces infractions.

4. L'environnement

4.1 Contexte international

En raison du rythme croissant de l'innovation et de l'intégration au marché mondial des percées en matière de technologies algorithmiques et d'intelligence artificielle, les outils numériques gagnent en puissance et créent de nouvelles possibilités et de nouveaux défis. Les entreprises, les gouvernements et les citoyens du monde entier voient les risques de cybersécurité s'accentuer et changer. Le Canada est une cible de choix pour les activités malveillantes en ligne, bien qu'il soit un marché de moindre envergure.

À cette fin, la LCAP, en s'attaquant aux pourriels et aux menaces connexes en ligne, contribue à contrer les risques en matière de cybersécurité auxquels font face les Canadiens et les entreprises canadiennes, favorisant ainsi la confiance dans le marché ligne. Compte tenu de la nature internationale inhérente du risque de cybersécurité, la LCAP s'inscrit dans une vaste gamme de cadres juridiques et stratégiques nationaux et internationaux dans les domaines du spectre, des télécommunications, de la protection de la vie privée et de la cyberrésilience, y compris la cybersécurité. La LCAP aide à maintenir un cadre de protection de la vie privée et des données qui fournit des mécanismes permettant d'améliorer l'interopérabilité à l'échelle nationale et  internationale à l'aide de lois sur la protection de la vie privée et la protection électronique de prochaine génération telles que le Règlement général sur la protection des données et le règlement « vie privée et communications électroniques » prochain de l'Union européenne.

4.2 Tendances, indicateurs et défis du commerce électronique

La LCAP aide à protéger les Canadiens contre le pourriel et les autres menaces en ligne tout en veillant à ce que les entreprises puissent demeurer concurrentielles sur le marché mondial. Elle permet aussi au Canada de prendre des mesures contre les polluposteurs qui exercent des activités au Canada et facilite la coopération dans le cadre des mesures de lutte contre le pourriel à l'échelle mondiale.

Des enquêtes menées dans le monde entier ont soulevé des préoccupations à l'égard du marché moderne de l'Internet, qui permet de dresser systématiquement des profils détaillés d'utilisateurs du Web et à des centaines d'organisations de se les échanger ainsi que d'établir des méthodes de ciblage douteuses et de faire de la désinformation à grande échelle. Des technologies nouvelles et en évolution sont utilisées non seulement pour prévenir, mais également pour lancer des menaces électroniques en ligne.

En 2018, au Canada :

  • Pour la première fois, les dépenses de publicité numérique ont dépassé les dépenses de publicité traditionnelle.
  • 77 % des Canadiens craignaient que des organisations susceptibles de détenir leurs renseignements personnels soient la cible de cyberattaques.
  • Le taux de pourriel était de 53,4 %, la moyenne étant de 55 % dans le monde.
  • Le commerce électronique a continué de prospérer, 87 % des Canadiens ayant fait au moins un achat en ligne.

En 2018, à l'échelle mondiale :

  • La fraude publicitaire a coûté aux annonceurs jusqu'à 19 milliards de dollars.
  • Les gens éprouvaient un malaise grandissant face au pouvoir des entreprises de médias sociaux à leur endroit. Selon l'enquête mondiale CIGI- Ipsos de 2018, les internautes ont exprimé un niveau élevé de méfiance à l`égard des plateformes de médias sociaux avec 63% des répondants estimant que les médias sociaux ont trop de pouvoir.
  • 75 % des internautes ont déclaré que les plateformes de médias sociaux les avaient amenés à se méfier d'Internet.
  • 78 % des internautes craignaient pour leur vie privée et leur sécurité en ligne, 53 % se disant plus préoccupés que l'année précédente.

5. Les résultats

5.1 Politiques et coordination

Organe national de coordination

Les politiques, la recherche, la surveillance et la coordination entourant la LCAP relèvent de l'Organe national de coordination (ONC). Celui-ci se tient au courant des développements les plus récents dans les domaines du pourriel, des menaces en ligne, de la cybersécurité et du commerce électronique en effectuant des analyses de renseignement stratégique et des recherches d'information ainsi qu'en analysant les mesures et les tendances. Il travaille également avec des partenaires nationaux et internationaux en vue d'harmoniser les cadres législatifs et réglementaires avec les pratiques exemplaires internationales en matière de lutte contre le pourriel et les logiciels malveillants.

En 2018-2019, l'ONC :

  • a dirigé et coordonné l'élaboration du Rapport de mesure du rendement 2017-2018 de la LCAP de concert avec tous les partenaires de celle-ci;
  • a participé au Messaging Malware Mobile Anti-Abuse Working Group (M3AAWG), un forum international sur le pourriel, aux côtés de ses partenaires canadiens;
  • a informé et conseillé ISDE (le ministère responsable de la LCAP) au sujet de tous les développements liés à la gestion et aux politiques de l'initiative relative à la LCAP;
  • a conseillé le ministre sur la réponse du gouvernement au rapport d'examen législatif de la LCAP du Comité permanent de la Chambre des communes sur l'industrie, les sciences et la technologie. Déposée le 16 avril 2018, la réponse est en accord, entièrement ou en principe, avec toutes les recommandations du rapport et propose de consulter davantage les intervenants sur la façon de clarifier encore plus la Loi, de travailler à améliorer la cohérence des efforts d'éducation et d'orientation et d'étudier plus à fond l'incidence de la mise en œuvre du droit privé d'action et de l'échange de renseignements à l'échelle nationale avec les organismes d'application de la loi;
  • a participé aux Consultations nationales sur le numérique et les données en fournissant des questions, de l'information et des commentaires (les résultats étant censés orienter les modifications législatives liées à la protection de la vie privée ainsi qu'à d'autres politiques-cadres du marché, comme la LCAP);
  • a informé la Commission européenne des évolutions entourant la LCAP dans le Cinquième rapport d'étape sur les évolutions en matière de législation sur la protection des données au Canada;
  • a coordonné les activités de gouvernance de la LCAP pour discuter de politiques et de stratégies;
  • a soutenu la Direction générale de la vérification et de l'évaluation d'ISDE lors de l'Évaluation horizontale de la Loi canadienne anti-pourriel; et
  • a collaboré avec ses partenaires de la LCAP à l'élaboration d'une réponse et d'un plan d'action de la direction pour mettre en œuvre les quatre recommandations formulées dans le rapport d'évaluation.

5.2 Promotion de la conformité

Bureau de la consommation

Le Bureau de la consommation gère les produits de communication de la LCAP destinés aux particuliers et aux entreprises du Canada, y compris le site Web officiel de la LCAP : combattrelepourriel.gc.ca.

Combattrelepourriel.gc.ca fait la promotion de l'information liée à la LCAP. En 2018-2019, le site Web a reçu 375342 visiteurs (ou, pages vues), dont :

  • 331805 visiteurs uniques (avec une adresse IP unique);
  • 302394 visiteurs qui l'ont consulté une fois;
  • 29411 visiteurs qui l'ont consulté plus d'une fois.

En 2018-2019, les visiteurs de combattrelepourriel.gc.ca provenaient à :

  • 86,3 % du Canada;
  • 10 % des États-Unis;
  • 3,7 % de tous les autres pays.

Durant cette période, le Bureau de la consommation a dirigé le projet de revitalisation du site Web de la LCAP en collaboration étroite avec l'ONC et les trois partenaires d'application de la loi. Le nouveau site Web, au contenu mis à jour et simplifié sur le plan de la structure et du langage,  a été lancé le 1er avril 2019.

Pour aider à promouvoir le site Web et la publication du Rapport de mesure du rendement 2017-2018 de la LCAP, le Bureau de la consommation a publié une bannière Web « Pour les consommateurs » sur sa page d'accueil en février 2018.

En plus d'en faire la sensibilisation en ligne, le Bureau a fait la promotion de la LCAP dans les médias sociaux en publiant cinq messages au sujet de la LCAP dans les pages de médias sociaux d'ISDE en 2018-2019. En tout, ces messages ont été lus 13563 fois.

Le nombre de mentions négatives relevées pendant les activités de surveillance des médias a continué de diminuer, la LCAP ayant fait l'objet de :

  • 57 % de mentions positives;
  • 34 % de mentions neutres ou ambivalentes;
  • 9 % de mentions négatives.

Comparativement au ton des mentions des trois années précédentes (26,4 % de mentions négatives en 2015-2016, 22 % de mentions négatives en 2016-2017 et 18 % de mentions négatives en 2017–2018), ces résultats montrent que les perceptions négatives suivent une tendance constante à la baisse.

Conseil de la radiodiffusion et des télécommunications canadiennes

En complément de combattrelepourriel.gc.ca, le site Web du CRTC fournit également de l'information sur la LCAP aux Canadiens et aux intervenants pour qu'il soit plus facile à chacun d'obtenir l'aide requise. L'expérience en ligne comprend des alertes, des vidéos, des infographies, des politiques et des lignes directrices faciles à consulter pour renseigner les Canadiens sur la LCAP et pour aider les entreprises à s'y conformer. Le CRTC éduque et informe également les intervenants et les Canadiens par l'entremise de plateformes de médias sociaux telles que Twitter et Facebook.

En 2018-2019, le CRTC :

  • a dénombré 98789 consultations uniques et 128124 consultations des pages de son site Web relatif à la LCAP;
  • a publié 57 gazouillis qui ont généré 163268 impressions, 240 partages de gazouillis partagés et 222 réactions/J'aime;
  • a publié 12 messages sur Facebook, ce qui a permis de joindre 61213 personnes, utilisé 528 fois la fonction « Partager » et réagi ou utilisé la fonction « J'aime » 123 fois;
  • a tenu plus de 30 activités de sensibilisation à l'intention des intervenants nationaux et internationaux sous forme de séances d'information, de réunions sur la conformité, de webinaires et de discours liminaires, dont :
    • la présentation du président et premier dirigeant du CRTC au groupe sur les « Solutions réglementaires internationales » lors du forum sur les télécommunications et les médias de l'Institut international des communications (IIC);
    • et la présentation du cadre en chef de la conformité et des enquêtes du CRTC lors du Congrès de l'Association canadienne de la gestion des créances à Toronto (Ontario);
  • a envoyé un avis d'application et une série de lettres d'information afin de promouvoir la conformité à la LCAP auprès des membres de l'industrie canadienne des services d'hébergement Web, celle-ci étant particulièrement bien placée pour détecter, prévenir et arrêter les activités non conformes;
  • a publié un bulletin d'information traitant de l'approche générale du CRTC concernant l'article 9 de la LCAP et présentant des activités pouvant entraîner la non-conformité ainsi que des mesures permettant de gérer les risques connexes.

Bureau de la concurrence

En 2018-2019, le Bureau de la concurrence a pris un certain nombre de moyens pour mieux sensibiliser les consommateurs et les entreprises du Canada aux questions liées à la LCAP :

  • En juin 2018, le Bureau a publié sa quatrième édition du Recueil des pratiques commerciales trompeuses , qui offre des conseils aux professionnels du marketing, aux entreprises et aux influenceurs sociaux au sujet de leurs responsabilités et des risques associés au marketing d'influence, aux indications « Fait au Canada » et aux indications d'économie.
  • Le Bureau a publié 11 alertes aux consommateurs et aux entreprises portant sur des questions telles que l'investissement dans les cryptomonnaies, les jouets intelligents, les arnaques de rencontres en ligne et les escroqueries par annuaires d'entreprises.
  • Le Bureau a également joué un rôle important dans le Mois de la prévention de la fraude .

Commissariat à la protection de la vie privée du Canada

Le CPVP fournit continuellement des conseils de conformité à la LCAP aux entreprises et aux particuliers par différents canaux. Il utilise principalement son site Web pour joindre les particuliers et pour échanger de l'information avec les entreprises.

En 2018-2019 :

  • Les pages Web liées à la LCAP ont été consultées plus de 34000 fois.
  • La page Web intitulée « Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing » a été consultée plus de 17500 fois.
  • Le CPVP a mis à jour ses ressources en ligne liées à la LCAP, y compris celles qui portent sur l'aide aux entreprises en matière de conformité et une page générale sur la LCAP.
  • Il a également mis à jour le guide de la LPRPDE à l'intention des entreprises,  qui comprend une section sur la LCAP, et le mettra en ligne en 2019-2020.
  • Le CPVP a lancé et fait la promotion d'une nouvelle trousse de présentation de la LPRPDE destinée aux entreprises qui renferme des renseignements sur la LCAP et sur les répercussions de celle-ci sur le marketing électronique.

Le CPVP a diffusé du contenu dans les médias sociaux, y faisant la promotion de conseils et de documents concernant la LCAP auprès des entreprises et du public dans une série de gazouillis et de messages sur LinkedIn, par exemple pendant le Mois de la prévention de la fraude. Il a également participé à des événements et à des conférences et a tenu des séminaires tels que :

  • la conférence de la Canadian Association of Virtual Assistants à Ottawa;
  • la Conférence d'automne de l'Association du Barreau canadien en droit de la concurrence à Ottawa;
  • une séance organisée par l'Association du Barreau canadien et l'Association du Barreau de l'Ontario à Toronto (donnée avec le Bureau de la concurrence et le CRTC);
  • la 2018 Canadian LEAN Conference à Winnipeg;
  • Big Data Toronto 2018;
  • l'Immigrant Women's Small Business Expo à Toronto;
  • Expo Franchise à Winnipeg et à Toronto.

En 2018-2019, au chapitre de la distribution de documents, le CPVP :

  • a distribué 53  exemplaires de « Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing » et 1001  exemplaires de « 10 conseils pratiques pour protéger votre boîte de courriels, votre ordinateur et votre appareil mobile » lors d'événements;
  • a envoyé par la poste de l'information sur la conformité (y compris sur la LCAP) dans un encart de l'Agence du revenu du Canada à plus de 200000 petites entreprises;
  • a élaboré des bandes dessinées sur la protection de la vie privée, dont certaines sur la collecte d'adresses électroniques, qui serviront à promouvoir le contenu Web de la LCAP lors de présentations et dans les médias sociaux;
  • a envoyé par courriel un message de promotion à 360000 entreprises;
  • a fait de la sensibilisation à LCAP à travers le pays par l'entremise des bibliothèques publiques en imprimant des conseils et de l'information au sujet de la LCAP sur les reçus d'échéance des prêts de bibliothèque.

Le CPVP a également publié des articles et diffusé des messages radio, y compris :

  • des articles dans des journaux communautaires partout au pays;
  • une campagne radiophonique qui a été diffusée à l'antenne de stations locales au Canada pendant le Mois de la prévention de la fraude et qui a permis de joindre plus de 1,2 million d'auditeurs.

Concernant les réponses aux demandes de renseignements adressées à son Centre d'information :

  • Le CPVP a reçu 78 demandes de renseignements sur la LCAP de la part de particuliers et d'entreprises, la plupart par téléphone.
  • Les trois principales catégories liées à la LCAP étaient : les signalements de messages non sollicités, les questions sur le désabonnement de listes de distribution de courriels et les questions sur l'applicabilité de la LCAP et la façon d'assurer la conformité.

5.3 Coopération internationale et nationale

Les organismes d'application de la loi ont travaillé avec leurs pendants nationaux et internationaux à promouvoir la conformité. Compte tenu de la nature sans frontières de l'Internet, les infractions à la LCAP peuvent provenir de l'extérieur des frontières canadiennes. Par conséquent, les enquêtes sur les menaces en ligne exigent souvent une coopération internationale. À cette fin, l'échange d'information et la coopération, avec des gouvernements et organisations étrangères, sont essentiels pour assurer des mesures de coopération internationale efficaces et cohérentes contre les contrevenants à la LCAP.

Conseil de la radiodiffusion et des télécommunications canadiennes

Les communications non sollicitées sont un problème mondial. Les citoyens de tous les pays sont vulnérables, pouvant être la cible d'ennuis ou d'attaques, d'où l'importance pour la communauté internationale de combattre ce problème de concert. Le CRTC a bâti un réseau d'alliés nationaux et étrangers de confiance avec lesquels il a établi des protocoles de collaboration pour l'échange d'information et l'application de la loi.

En mars 2019, le CRTC et la Division nationale de la GRC ont exécuté des mandats dans une résidence de la région du Grand Toronto après le déclenchement d'une enquête sur la base de renseignements obtenus d'entreprises internationales privées de cybersécurité. L'opération s'inscrivait dans le cadre d'un effort international déployé en coordination avec la GRC, le Federal Bureau of Investigation et l'Australian Federal Police.

Les mandats avaient été obtenus dans le cadre d'enquêtes parallèles en cours sur la technologie du cheval de Troie d'accès à distance. Ce type de logiciel malveillant (maliciel) permet d'accéder à distance à des ordinateurs canadiens sans le consentement de leurs utilisateurs et peut mener subséquemment à l'installation d'autres logiciels malveillants et au vol de renseignements personnels. L'exécution de ce mandat témoigne de la façon dont la coopération entre les organismes d'application de la loi peut aider à protéger les Canadiens contre les menaces en ligne.

Bureau de la concurrence

En plus d'honorer les demandes d'aide provenant de l'étranger, le Bureau continue de collaborer activement avec un certain nombre de partenaires et de groupes de travail internationaux et nationaux, dont :

  • l'Organisation de coopération et de développement économiques
  • le Réseau international pour la protection des consommateurs
  • le Groupe de travail international sur la fraude par marketing de masse
  • le Centre antifraude du Canada, équipe de cogestion
  • le Partenariat stratégique de Toronto
  • le Partenariat de l'Alberta contre la fraude transfrontalière
  • le Partenariat du Pacifique contre la fraude transfrontalière

Commissariat à la protection de la vie privée du Canada

Au moment d'entrer en vigueur, la LCAP a modifié les dispositions de la LPRPDE, permettant ainsi au CPVP de collaborer et d'échanger de l'information avec ses pendants provinciaux et internationaux. Depuis, le CPVP a pris un certain nombre de mesures d'application conjointes ou concertées avec des partenaires par l'entremise de protocoles d'entente en participant à divers réseaux.

  • Le CPVP est membre de l'Unsolicited Communications Enforcement Network (UCENet), un réseau d'organismes de réglementation de lutte contre le pourriel, de protection des consommateurs et de télécommunications. Le CPVP a assisté à la réunion annuelle conjointe de l'UCENet et du Messaging Malware Mobile Anti-Abuse Working Group (M3AAWG) à New York en octobre 2018, événement auquel participaient des experts en sécurité des TI du secteur privé, et y a présenté une étude technique d'une enquête sur les logiciels publicitaires et une mise à jour sur la LCAP. À l'occasion de la réunion, le CPVP a également participé à des discussions en vue d'élaborer le plan opérationnel 2019-2021 du UCENet.
  • En plus d'héberger et d'administrer le site Web du Global Privacy Enforcement Network (GPEN), le CPVP participe, dans le cadre de celui-ci, à des activités concertées d'application de la loi, à des téléconférences mensuelles sur le thème de la protection de la vie privée et à des réunions annuelles.
  • Le CPVP a participé au « ratissage 2018 du GPEN » sous le thème de la reddition de comptes en matière de protection de la vie privée. Les autorités participantes avaient été invitées à sonder les organisations de leur choix pour vérifier leur conformité à certains des éléments clés (indicateurs) de la reddition de comptes, dont : les cadres internes de protection de la vie privée; les structures de gouvernance interne; la formation et la sensibilisation; la transparence; les régimes de gestion des incidents; et la capacité de documenter les données stockées et de faire le suivi des transferts de données. En dépit d'exemples de bonnes pratiques, les participants ont constaté qu'un certain nombre d'organisations ne disposaient d'aucun processus pour traiter les plaintes ou les demandes de renseignements et n'étaient pas outillées pour traiter adéquatement les incidents de sécurité des données.
  • En juin 2018, le CPVP a participé à la deuxième conférence des praticiens de l'application de la loi du GPEN à Tel-Aviv, en Israël, et y a fait des présentations. Mettant l'accent sur la collaboration internationale en matière d'application de la loi et les techniques d'enquête, le CPVP a fait une présentation au sujet d'une enquête menée par la GRC sur l'utilisation de simulateurs de sites cellulaires (aussi appelés intercepteurs d'identité internationale d'abonné mobile).
  • La Conférence internationale des commissaires à la protection des données et de la vie privée (ICDPPC) est une tribune mondiale pour les autorités de protection des données et de la vie privée. Le commissaire à la protection de la vie privée siège au comité exécutif de l'ICDPPC, qui supervise les activités de la Conférence.
  • Dans le même ordre d'idées, le CPVP a coparrainé la Résolution sur la collaboration entre les autorités chargées de la protection des données et les autorités de protection des consommateurs pour une meilleure protection des citoyens et des consommateurs dans l'économie numérique de l'ICDPPC. De plus, le CPVP a participé au groupe de travail « Citoyens et consommateurs numériques », qui a été instauré par une résolution de l'ICDPPC. En 2018-2019, le CPVP a codirigé le groupe chargé d'examiner les liens entre la protection de la vie privée, la protection des consommateurs et la concurrence et, ultimement, la façon de promouvoir la collaboration entre ces sphères réglementaires.
  • Lors de la 40e Conférence, à Bruxelles, le commissaire a participé à une table ronde sur le rôle des autorités internationales de protection des données dans la gouvernance de l'éthique numérique. Le CPVP a rédigé conjointement la résolution sur les plateformes d'apprentissage en ligne de l'ICDPPC avec le Commissariat à l'information et à la protection de la vie privée de l'Alberta et le commissaire à l'information et à la protection de la vie privée de l'Ontario.
  • Le CPVP continue de jouer un rôle de chef de file au sein du groupe de travail international sur la collaboration et l'application de la loi de l'ICDPPC, qui élabore des outils en ligne visant à favoriser une plus grande coopération en matière d'application de la loi et à évaluer d'autres mécanismes pour élargir la portée de la coopération.
  • En juin 2018, le CPVP a pris la parole lors du 49e forum des autorités de protection de la vie privée de l'Asie-Pacifique (APPA) à San Francisco à propos de la réputation en ligne et des capacités de recherche technologique des autorités responsables de la protection de la vie privée. Il a fait de même en décembre 2018, à l'occasion du 50e forum de l'APPA à Wellington, en Nouvelle-Zélande, au sujet des développements dans l'utilisation des données gouvernementales et du groupe de travail « Citoyens et consommateurs numériques » de l'ICDPPC.
  • Le CPVP a cherché à établir des liens avec les organismes de réglementation en matière de protection des consommateurs et d'antitrust de l'International Consumer Protection Enforcement Network (ICPEN), compte tenu du lien croissant entre la protection de la vie privée et des consommateurs et les questions antitrust. En avril 2018, le CPVP a assisté à la réunion annuelle de l'ICPEN à Istanbul, en Turquie, à titre d'observateur et y a organisé une réunion parallèle pour discuter du mandat actuel du groupe de travail « Citoyens et consommateurs numériques ».
  • Le CPVP est également devenu membre du Digital Clearinghouse du Contrôleur européen de la protection des données (CEPD), qui rassemble des organismes des domaines de la concurrence, de la protection des données et du droit des consommateurs qui sont disposés à échanger des renseignements et à discuter de la meilleure manière d'appliquer les règles dans l'intérêt des consommateurs de l'Union européenne et du monde entier. En décembre 2018, le CPVP a participé à la 4e réunion à Bruxelles, en Belgique, durant laquelle les membres ont discuté de facteurs de concurrence autres que les prix (comme la protection de la vie privée) ainsi que d'analyses de l'application des lois de protection des consommateurs et de la manipulation en ligne des processus électoraux.

5.4 Surveillance de la conformité

CRTC

Le CRTC surveille la conformité à la LCAP de plusieurs façons, y compris :

  • en recueillant et en analysant les données relatives aux plaintes;
  • en cernant les tendances et menaces en s'appuyant pour ce faire sur les flux de données;
  • en examinant et en analysant d'autres informations recueillies auprès des intervenants;
  • en effectuant régulièrement des analyses de l'environnement.

Ces activités permettent au CRTC de jauger l'efficacité de son programme de conformité afin d'aider à déterminer les domaines où les Canadiens courent des risques et de trouver des moyens d'aider les entreprises qui envoient des messages électroniques commerciaux à se conformer à la LCAP. En 2018-19, le CRTC a également émis 78 avis de production et 2 demandes de préservation afin de vérifier la conformité à la LCAP.

En 2018-2019, le Centre de notification des pourriels a reçu un total de 280920 signalements. De ce nombre :

Au cours de la même période, les principales raisons de porter plainte des Canadiens étaient :

  • réception d'un courriel sans y avoir consenti;
  • identification de l'expéditeur manquante ou incomplète;
  • logiciels et maliciels;
  • pratiques commerciales trompeuses.

Bureau de la concurrence

En 2018-2019, la Direction des pratiques commerciales trompeuses du Bureau a mis sur pied une Unité de vérification de la conformité, qui fut lancée en avril 2019. L'Unité s'assure que les cas réglés par le truchement d'accords de consentement, d'ordonnances de détermination de la peine, d'autres instruments de résolution ou d'autres ordonnances des tribunaux fassent l'objet d'une surveillance plus systématique pour veiller à ce qu'on se conforme à la loi. Les dossiers liés à la LCAP que règle le Bureau font aussi partie du travail de surveillance de la conformité de l'Unité.

CPVP

Le CPVP a également mis sur pied une Unité de surveillance de la conformité au cours de l'exercice 2017-2018.  Cette unité cherche à assurer une mise en œuvre satisfaisante des engagements pris par les organisations envers le CPVP reliés à la LPRPDE et à la LCAP, y compris ceux convenus dans le cadre d'ententes de conformité, et ceux découlant des enquêtes mises en évidence dans le présent rapport.

5.5 Opérations d'application de la LCAP

CRTC

Le CRTC est responsable de veiller à la conformité aux articles 6 à 9 de de la LCAP. Il a le pouvoir de mener des enquêtes, de prendre des mesures contre les contrevenants et d'imposer des sanctions administratives pécuniaires.

En général, le CRTC cible l'envoi de messages électroniques commerciaux sans le consentement du destinataire et l'installation de programmes sur un ordinateur ou réseau sans consentement. Cela comprend les logiciels malveillants, de pourriels ou d'hyperliens infectés.

Les outils d'application de la loi du CRTC comprennent :

  • des lettres d'avertissement;
  • des engagements; et
  • des procès-verbaux de violation, qui peuvent s'accompagner de sanctions administratives pécuniaires.

Le CRTC publie ses mesures d'application, y compris les dossiers réglés au moyen d'autres instruments de résolution. En 2018-2019, au nombre de ses mesures d'application, le CRTC a :

  • envoyé 2 procès-verbaux de violation (voir ci-dessous);
  • exécuté 1 mandat de perquisition (décrit ci-dessus);
  • envoyé plus de 50 lettres d'avertissement;
  • émis 1 engagement à 1395804 Ontario Ltd. (faisant affaire sous le nom de Blacklock's Reporter), qui a accepté de mettre en place un programme de conformité pour veiller à ce que toutes les parties envoyant des messages électroniques commerciaux en son nom respectent la Loi et son règlement.

Parmi les mesures d'application de la loi prises par le CRTC figurait la tenue d'une campagne éclair simplifiée de règlement au moyen d'autres instruments de résolution dans le cadre de laquelle des lettres ont été envoyées à plus d'une douzaine d'entreprises canadiennes et américaines. Les résultats préliminaires montrent que plus de 80 % des destinataires ont pris des mesures afin de se conformer davantage.

Toujours en 2018-2019, et pour la première fois en vertu de la LCAP, le CRTC a pris des mesures d'application de la loi contre des entreprises canadiennes pour avoir présumément aidé à installer des logiciels malveillants par l'entremise de publicités en ligne. Plus précisément, le personnel du CRTC désigné en vertu de la LCAP a émis des procès-verbaux de violation à Datablocks, Inc. et à Sunlight Media Network Inc. pour avoir présumément enfreint l'article 9 de la LCAP.

Le personnel du CRTC a constaté que les publicités distribuées par l'entremise des services de ces entreprises, au moyen de leur infrastructure exclusive, avaient entraîné l'installation de programmes malveillants. Chacune de ces installations représentait un acte interdit par l'article 8 de la Loi.

Par conséquent, le cadre en chef de la conformité et des enquêtes du CRTC a signifié deux procès-verbaux de violation comportant des sanctions administratives pécuniaires, soit un de 100000 $ à Datablocks et un autre de 150000 $ à Sunlight Media. Ces mesures d'application font actuellement l'objet d'un examen par le Conseil, conformémentà l'article  25 de la LCAP.

Bureau de la concurrence

En 2018–2019, le Bureau a :

  • conclu 1 accord de consentement comportant une sanction administrative pécuniaire de 700000 $;
  • réglé 2 dossiers au moyen d'autres instruments de résolution (non publics);
  • réglé 1 dossier en cours devant le Tribunal de la concurrence.

En octobre 2018, le Bureau a conclu un accord de consentement avec Discount Car & Truck Rentals Ltd. comportant une sanction administrative pécuniaire de 700000 $.

En janvier 2018, le Bureau a pris des mesures contre Ticketmaster et son entreprise mère, Live Nation.

CPVP

En 2018-2019, le CPVP a reçu du public 11 plaintes écrites liées à la LCAP. La plupart concernaient la réception présumée de messages électroniques commerciaux non sollicités (pourriels) et l'incapacité de se désabonner de tels messages. Toutes les plaintes ont été réglées dès leur réception. De ce nombre, 6 ont été redirigées vers la haute direction des organisations concernées et 5 ont été jugées ne pas relever de la compétence d'enquêter du CPVP.

Le CPVP a mené deux enquêtes liées à la LCAP :

  • Le CPVP a conclu une enquête sur des allégations de communications non sollicitées par courriel et de collecte sans discernement de coordonnées par une maison d'édition. Le CPVP a découvert que l'entreprise avait commis des infractions aux principes de consentement et de responsabilité de la LPRPDE, mais n'a trouvé aucune preuve que l'entreprise avait recueilli des adresses électroniques.
  • Le CPVP a également entrepris auprès de l'industrie sa première enquête proactive à l'initiative du commissaire sur les pratiques de protection de la vie privée de courtiers en données et en listes. Les recherches préliminaires sur les pratiques de l'industrie ont soulevé un certain nombre de préoccupations quant à la façon dont ces courtiers montent des bases de données renfermant des renseignements personnels détaillés sur les Canadiens et communiquent des renseignements à des spécialistes du marketing. L'enquête s'intéresse au respect par les courtiers de leurs obligations en matière de responsabilité, d'ouverture et de transparence dans la gestion des renseignements personnels. Elle examine aussi la façon dont les organisations obtiennent le consentement à la collecte, à l'utilisation ou à la communication de renseignements personnels, y compris d'adresses électroniques. Cette enquête est en cours.
Enquêtes du CPVP rendues possibles grâce à la mobilisation et à la collaboration dans l'application des lois de protection de la vie privée

Depuis la modification des dispositions de la LPRPDE par la LCAP pour permettre au CPVP de collaborer et d'échanger de l'information avec les autorités provinciales et internationales chargées de la protection des données, le CPVP a entrepris un certain nombre de mesures d'application conjointes avec ces autorités. Voici des exemples de mobilisation et de collaboration dans l'application des lois de protection de la vie privée qui ont permis au CPVP de mener des enquêtes.

  • En 2018-2019, le CPVP a entrepris des enquêtes conjointes, discuté de questions de protection de la vie privée d'intérêt mutuel et échangé des renseignements avec les commissariats à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique.
  • En août 2018, le CPVP a annoncé qu'il ouvrait une enquête sur Cadillac Fairview et son utilisation d'une technologie de reconnaissance faciale dans les répertoires interactifs de centres commerciaux, des préoccupations ayant été soulevées quant à la possible collecte ou utilisation sans consentement par l'entreprise de renseignements personnels. Le CPVP mène une enquête conjointe sur cette question avec ses pendants de l'Alberta et de la Colombie-Britannique. L'enquête est en cours.
  • À la fin de 2018-2019, le CPVP et le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique ont également terminé leur enquête conjointe sur le traitement des renseignements personnels par Facebook dans l'affaire très médiatisée impliquant Facebook et Cambridge Analytica. Le CPVP a publié un rapport conjoint des conclusions en avril 2019. L'enquête a révélé que Facebook avait commis de graves infractions aux lois canadiennes sur la protection de la vie privée et n'avait pas protégé les renseignements personnels des Canadiens. Facebook a contesté ces conclusions et a refusé de mettre en œuvre les recommandations pour corriger les lacunes.

Les lacunes particulières suivantes ont été constatées à l'égard de Facebook :

  • défaut d'obtenir le consentement valable des utilisateurs-installateurs des applications;
  • défaut d'obtenir le consentement valable des amis des utilisateurs-installateurs de communiquer leurs renseignements personnels aux applications;
  • insuffisance des mesures de protection des renseignements des utilisateurs, en particulier l'omission de surveiller efficacement la conformité aux modalités des ententes conclues avec les applications pour prévenir l'accès non autorisé aux renseignements des utilisateurs;
  • défaut d'assumer la responsabilité pour les renseignements d'utilisateurs dont elle a la gestion et transfert de la responsabilité de protéger la vie privée des utilisateurs à ceux-ci et aux applications.

Le CPVP a signalé son intention de porter l'affaire devant la Cour fédérale afin que celleci rende une ordonnance pour obliger l'entreprise à corriger ses pratiques de protection de la vie privée.

  • Le CPVP a également travaillé avec des organismes internationaux de protection des données à diverses activités de conformité comportant des mesures concertées d'application de la loi. En 2018-2019, il a collaboré à deux grandes enquêtes internationales :

Facebook/Aggregate IQ : Le CPVP et le Commissariat à l'information du Royaume-Uni ont échangé des renseignements et des analyses découlant de leurs enquêtes. Le rapport des conclusions devrait être publié en 2019-2020.

Equifax : Le CPVP a terminé son enquête sur l'atteinte mondiale à la sécurité des données et conclu qu'Equifax Canada et sa société mère basée aux États-Unis, Equifax Inc., étaient loin de respecter leurs obligations en matière de protection de la vie privée des Canadiens. Equifax a accepté de conclure un accord de conformité pour répondre aux préoccupations du CPVP et faire de la protection de la vie privée une priorité. Le CPVP a également tiré parti de sa collaboration avec la Commission fédérale du commerce (FTC) des États-Unis et le Bureau de la Commissaire à l'information du Royaume-Uni (ICO) au cours de son enquête.

Autres enquêtes dignes de mention
  • Profile Technology : En juillet 2018, le CPVP a conclu que Profile Technology, une entreprise de la Nouvelle-Zélande qui exploite le site Web Profile Engine, avait copié d'anciens profils d'utilisateurs de Facebook partout dans le monde et avait violé le droit à la vie privée de potentiellement 4,5 millions de Canadiens. L'entreprise avait agi ainsi sans consentement et à des fins inappropriées, ce qui avait rendu facilement accessible en ligne de l'information périmée et inexacte concernant des personnes. Profile Technology n'a pas entièrement donnée suite aux recommandations du CPVP. Le CPVP a fait part de ses conclusions au commissaire à la protection de la vie privée de la Nouvelle-Zélande, qui a accepté d'étudier les mesures de conformité pouvant être prises en vertu des lois de la Nouvelle-Zélande pour corriger les agissements de l'entreprise.
  • Microsoft : En 2018, le CPVP a conclu une enquête visant à déterminer si Microsoft obtenait un consentement valable par l'entremise des paramètres de confidentialité par défaut de son système d'exploitation Windows 10. Le CPVP a constaté que le consentement exprès de se retirer de Microsoft n'était pas suffisant pour certains paramètres et que l'entreprise ne donnait pas aux utilisateurs les renseignements dont ils avaient besoin pour consentir de manière éclairée à ce qu'elle recueille, utilise et communique leurs renseignements personnels. Dans sa réponse aux recommandations du CPVP, Microsoft a accepté d'apporter des changements, y compris de donner aux utilisateurs le choix d'activer les paramètres de confidentialité souhaités, d'améliorer ses communications sur la protection de la vie privée et de renforcer ses procédures de confidentialité. Pendant l'enquête, le CPVP a travaillé en collaboration étroite avec ses pendants des Pays-Bas et d'autres pays. Ces collaborations ont aidé le CPVP à obtenir pour les utilisateurs de Windows 10 au Canada un résultat ayant un impact sur la protection de leur vie privée.

Annexe A : Modèle logique de la LCAP

Version textuelle

L'annexe présente un modèle logique de la LCAP. Un modèle logique montre la façon dont les activités de programme sont censées produire des extrants et dont ceuxci devraient permettre d'obtenir différents niveaux de résultats.

Il y a quatre séries d'activités et d'extrants :

  1. La défense des droits, soit les conseils informels ou la correspondance, les conseils officiels et les interventions, et la liaison avec des institutions clés (à l'échelle pangouvernementale)
  2. Le spectre de la conformité, soit la promotion de la conformité, la surveillance de la conformité, la tenue d'enquêtes sur les cas de non-conformité et la prise de mesures d'application pour contrer la non-conformité
  3. Les communications et la sensibilisation, soit la connectivité multimédia, les initiatives de sensibilisation, les produits d'information, les documents d'orientation concernant l'administration et l'application des questions liées à la LCAP, et les centres d'information
  4. Les catalyseurs, soit les initiatives de renforcement des capacités, les résultats de l'Organe national de coordination (p. ex. les conseils et orientations stratégiques, les rapports publics, les études de recherche, les processus et procédures opérationnels et les modifications législatives et réglementaires) ainsi que la coopération pangouvernementale (fédérale, provinciale et internationale)

Les quatre séries d'activités et d'extrants mènent à trois résultats immédiats :

  1. La sensibilisation au pourriel et aux autres menaces en ligne
  2. L'échange d'information pour faciliter la mise en œuvre de la LCAP
  3. La reconnaissance de pratiques appropriées et inappropriées sur le marché électronique

Les trois résultats immédiats mènent à trois résultats intermédiaires :

  1. La coopération pour les activités de conformité
  2. L'atténuation des menaces d'impact sur le marché électronique
  3. Les actions proactives pour protéger le marché électronique

Les résultats intermédiaires mènent à un résultat final : le commerce électronique au Canada est concurrentiel et renforce l'économie canadienne.

 Signaler un problème sur cette page
Date de modification: