Combien d’entre nous avons déjà ressenti la frustration lorsque ces messages indésirables se faufilent dans notre boite à courriels, pour ensuite être réacheminés dans le petit icône « Junk Mail » ? Et encore lorsque les mêmes messages réapparaissent malgré nos efforts d’en disposer? Il y a espoir pour les canadiens dans cette situation avec l’arrivée de la loi anti-pourriel (la loi C-28 ou « CASL »), encore faut-il que cette dernière entre en vigueur une fois pour toute. Le Canada, loin d’être le premier à légiférer en la matière, s’est inspiré en quelque sorte de son équivalent américain, le CAN SPAM Act. Toutefois, il est bon de signaler que la portée de la loi canadienne est encore plus vaste que la loi américaine, puisqu’elle régit un « message envoyé par tout moyen de télécommunication, notamment un message textuel, sonore, vocal ou visuel», alors que la loi américaine ne s’applique qu’aux messages envoyés par courrier électronique. Une adresse électronique pour les fins de la loi, inclut un compte courriel, messagerie instantanée, téléphone, ou « tout autre compte similaire».
Cette loi adoptée depuis décembre 2010, a connu plusieurs retards, en partie dus aux nombreuses critiques concernant certaines incohérences dans la première version de la loi proposée. Le rapport qui fait état des changements proposés, le deuxième règlement sur la protection du commerce électronique, a été déposé en janvier 2013 par le ministère de l’industrie. Ce dernier règlement vient renforcer certaines exceptions, que nous verrons ci-dessous.
La loi régit l’envoi de messages électroniques commerciaux, que ce soit à partir du Canada, ou vers une adresse électronique située au Canada. La loi propose une définition très large et ambigüe de ce qu’est une activité commerciale. Il s’agit d’un acte qui revêt un caractère commercial, peu importe si le message « a pour but de réaliser un profit ou non ». Un peu curieux, comme il est difficile de concevoir une activité commerciale qui n’a pas pour but de réaliser un profit… L’article 6 de la loi, interdit tout message électronique commercial, à moins que le titulaire du compte à qui le message est envoyé (le « destinataire »), ait expressément ou implicitement consenti à recevoir ces messages. Le consentement implicite peut être inféré, par exemple, lorsqu’il existe une relation d’affaires ou d’affaires privée en cours (article 10(9)a), 10(10), 10(13)).
Le deuxième règlement du ministère de l’industrie ajoute quelques autres exceptions, notamment, les messages commerciaux envoyés entre employés d’une organisation (il n’est pas clair en quoi ceci consiste) ainsi que les messages commerciaux entre employés de deux organisations qui ont une relation d’affaires, et qui se rapportent aux affaires des organisations. De même, les messages commerciaux envoyés en réponse à une plainte ou une question par une personne ou ceux qui découlent d’une obligation légale, sont aussi exempts de l’interdiction à l’article 6. D’après nous, ces exceptions sont tout à fait logique. Une entreprise ne pourrait fonctionner sans que ses employés soient libres d’échanger entre eux.
Le paragraphe (5) de l’article 6 crée une exception à l’interdiction de sollicitation sans consentement, en autorisant les messages envoyés par une personne physique à une autre, si « ces personnes ont entre elles des liens familiaux ou personnels ». Nombreux sont ceux qui ont critiqué cette définition ambigüe, pour qu’ensuite le règlement sur la protection du commerce électronique en vienne à l’éclaircir. Les liens familiaux sont ceux prévues à la loi de l’impôt sur le revenu (époux/conjoint, enfants, parents) ainsi que ceux issus de grands parents (oncle, tante, cousin, nièce, neveu). La première version du règlement sur la protection du commerce électronique que les « liens personnels » devaient minimalement inclure une rencontre physique entre les parties en personne et que ces dernières se soient échangées des communications dans les 2 dernières années. La définition suggérée avait pour conséquence d’exclure certaines formes de communications indirectes ou électroniques, bien qu’un lien personnel au sens littéral, fût développé. Toutefois, la seconde version du règlement a modifié ceci et n’oblige que l’expéditeur et le destinataire ait eu des « communications volontaires directes et bidirectionnelles », et qui laisserait croire qu’ils partagent un intérêt commun entre ces derniers.
Le deuxième règlement est venu ajouter une nouvelle catégorie d’exception, soit celle dite de « référencement ». La loi autorise le premier message commercial qui est envoyé, sans consentement, par une personne physique vers une autre personne physique, lorsqu’un tiers qui partage avec l’expéditeur et le destinataire, un lien familial ; personnel ; des relations d’affaires ; ou relations privées en cours, recommande à l’expéditeur le nom du destinataire. Ceci a pour effet de faciliter l’introduction entre le destinataire et l’expéditeur, comme le règlement n’impose pas la condition que ces derniers soit physiquement présents lors de la recommandation par le tiers. Il serait intéressant de savoir en quoi consiste une « recommandation », à savoir s’il s’agit d’un geste positif de la part du tiers, ou s’il peut être tacite. Prenons le cas des réseaux sociaux ou même des réseaux d’affaires, par exemple.
Est-ce que le fait qu’un tiers partage des amis en commun, à la vue de tous, pourrait justifier qu’un de ses amis sollicite un autre de ses amis? On pourrait dire que le fait que le tiers ait accepté l’invitation d’une personne constitue, indirectement, une recommandation pour le bénéfice des autres amis. Nous sommes d’avis que le règlement ne pouvait laisser la porte entrouverte pour ce genre de sollicitation, et qu’un geste positif de recommandation doit être requis afin de satisfaire à l’exception.
Dans tous les cas, l’expéditeur devra obligatoirement inclure, entre autre, un mécanisme permettant au destinataire d’exprimer sa volonté à l’expéditeur pour faire cesser les messages. Cette mesure sert surtout afin de permettre au destinataire de se désengager s’il a consenti par erreur, s’il ne souhaite plus recevoir les messages, ou si le consentement a été frauduleusement donné par une tierce partie. Un destinataire qui continu à envoyer des messages non sollicités suite à la manifestation du destinataire afin de faire cesser les messages, se retrouvera en contravention en vertu de la loi.
Dans un blogue intitulé « Canada’s anti-spam law, all hype or something to watch out for? », Me Monica Goyal note un point intéressant, soit que la CASL impose un fardeau plus lourd aux expéditeurs que le CAN SPAM Act. En vertu du CASL, un expéditeur ne peut envoyer de messages non sollicités sans avoir reçu le consentement exprès du destinataire, à moins que le consentement implicite peut être inféré tel que discuté ci-dessus (article 10(9)). Par contre, le CAN SPAM Act, ne prévoit que l’interdiction d’envoyer des messages non sollicités dans les cas où le destinataire à exprimer sa volonté de faire cesser ces messages.
Comment peut-on obtenir le consentement d’un destinataire ?
Me Goyal fait référence à un blogue publié par Mail Chimp qui décrit les types de consentement qui peuvent être obtenu. Dans le premier cas, celui du « opt-out », le destinataire consent automatiquement à recevoir des messages non sollicités lorsqu’il fournit certaines informations à son égard. À priori, ce consentement pourrait sembler valide, sauf que le destinataire pourrait prétendre que le consentement a été donné par une autre personne, ou que le consentement a été donné contre son gré. Dans le cas du «opt-in » par contre, celui-ci requiert la confirmation expresse du destinataire à recevoir les messages non sollicités. Enfin, les méthodes de « confirmed opt-in » et « double opt-in » sont des mesures additionnelles, qui assurent que l’identité du destinataire est valide, et que son consentement reflète réellement sa volonté de recevoir les messages de sollicitation.
Quelles mesures devraient être prises pour se conformer à la loi ?
Dans un premier temps, chacun devra déterminer les méthodes qu’il utilise présentement pour contacter sa clientèle, que ce soit par l’entremise de cartes d’affaires, ou par courriel. Ensuite, il faudra se poser la question à savoir si un consentement quelconque est recueilli auprès du client. Si oui, il faudra documenter les consentements déjà reçus, et les renouveler périodiquement. De plus, il faudra vérifier la façon dont on obtient le consentement de l’utilisateur ; y’a-t-il une manifestation expresse de la part du destinataire à être solliciter ou emploie-t-on un mécanisme « opt-out » ? Nous avons discuté ci-dessus, que les mécanismes « opt-out » ne sont plus valides, à priori ; il devra d’abord s’assurer de recueillir le consentement exprès avant tout. Dernièrement, il faudra valider le contenu de chacun des messages électroniques : existe-t-il un mécanisme clair et simple pour que l’utilisateur puisse se désinscrire; est-ce que les messages de sollicitation incluent suffisamment d’informations pour identifier l’expéditeur, et pour que le destinataire puisse entrer en contact avec lui, le cas échéant ? Si la réponse est négative à ces questions, il faudra s’assurer de modifier le contenu du courriel pour inclure minimalement ces dispositifs. Entre temps, il est suggéré aux entreprises de mettre à jour les consentements qu’elles ont obtenus, et de filtrer les adresses électroniques pour lesquelles aucun consentement n’a été obtenu.