Le CRTC impose des pénalités à des intermédiaires en vertu de la LCAP afin de contrer l’installation de maliciels

Le 11 juillet 2018, le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») a émis des procès-verbaux de violation en vertu de la Loi canadienne anti-pourriel (la « LCAP ») et a imposé des pénalités totalisant 250 000 $ CA à l’endroit de deux entreprises qui auraient facilité l’installation de programmes d’ordinateur malveillants (ou maliciels) par l’entremise de publicités en ligne. C’est la première fois que le CRTC prend des mesures d’application de la loi pour combattre l’installation de maliciels en vertu de la LCAP.

Cette décision témoigne de la volonté du CRTC d’imposer des sanctions aux entreprises qui ne mettent pas en place des mesures de protection adéquates afin d’empêcher la violation des dispositions relatives aux maliciels prévues dans la LCAP et souligne l’importance pour les entreprises de mettre en œuvre des politiques et procédures internes appropriées pour s’assurer d’être conformes à la LCAP.

DISPOSITIONS RELATIVES AUX PROGRAMMES D’ORDINATEUR DE LA LCAP

Les dispositions anti-pourriel de la LCAP qui s’appliquent aux messages électroniques commerciaux sont bien connues, mais la LCAP contient également des dispositions relatives à l’installation de programmes d’ordinateur. Elle interdit à quiconque d’installer ou de faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne sans le consentement exprès de cette dernière, ou d’aider à commettre un tel acte. Même si ces interdictions figurent dans les dispositions relatives aux maliciels ou aux logiciels espions de la LCAP, elles s’appliquent à la plupart des programmes installés sur des appareils informatiques (y compris les téléphones cellulaires) dans le cadre d’une activité commerciale.

DÉCISION

Datablocks, Inc. (« Datablocks ») et Sunlight Media Networks Inc. (« Sunlight Media ») exercent leurs activités dans le secteur de la publicité en ligne et offrent aux annonceurs en ligne des réseaux leur permettant de diffuser leurs publicités sur des sites Web. Sunlight Media utilise la plateforme d’enchères de Datablocks pour agir à titre de courtier entre les annonceurs et les éditeurs.

Selon le CRTC, les publicités préparées par des tiers et distribuées par l’entremise des services de Sunlight Media et de Datablocks ont entraîné l’installation de programmes malveillants sur les appareils des utilisateurs qui ont visionné les publicités. Une fois installés, les maliciels permettaient à des tiers de verrouiller le système de l’utilisateur, de voler les données de ce dernier ou d’utiliser les ressources de l’ordinateur de la victime aux fins de monétisation illicite.

Sunlight Media aurait accepté des clients anonymes non vérifiés qui utilisaient ses services pour diffuser les maliciels. Pour sa part, Datablocks aurait fourni l’infrastructure et le logiciel nécessaires pour permettre aux clients de Sunlight Media de diffuser les maliciels. Au terme de l’enquête, le CRTC a conclu que les deux entreprises auraient pu empêcher la diffusion des maliciels, mais qu’elles n’avaient pas mis en place de mesures de protection pour empêcher ces actes et qu’elles avaient donc violé la LCAP. Par conséquent, le CRTC a imposé à Datablocks et à Sunlight Media des amendes de 100 000 $ CA et de 150 000 $ CA respectivement.

POINTS À RETENIR

La décision du CRTC rappelle aux entreprises leur obligation de se conformer à la LCAP :

  • Une entreprise peut être assujettie à des sanctions en vertu de la LCAP si elle omet de mettre en place des mesures de protection appropriées, même s’il n’y a pas de violation délibérée de la loi.
  • Les entreprises doivent mettre en place des politiques et des procédures internes appropriées pour veiller à la sécurité en ligne des Canadiens. Elles doivent, par exemple :
    • passer des contrats écrits avec les clients qui les engagent à respecter la LCAP;
    • mettre en œuvre des mesures de surveillance régissant la façon dont les services de l’entreprise sont utilisés par les clients; et
    • adopter des politiques et des procédures de conformité d’entreprise afin de veiller au respect de la LCAP.
  •  Les entreprises qui sont en mesure de permettre ou de faciliter les violations de la LCAP par autrui doivent prendre des mesures afin d’empêcher ces violations.
  • Les politiques et procédures visant à assurer la conformité avec la LCAP doivent tenir compte du fait que la loi ne s’applique pas seulement aux messages électroniques commerciaux, mais aussi à l’installation de programmes d’ordinateur sur les appareils informatiques de tiers.

Pour en savoir davantage, communiquez avec :

Sunny Handa                          514-982-4008
Tricia Kuhl                               514-982-5020
Christine Ing                            416-863-2667
Wendy Mee                             416-863-3161

ou un autre membre de notre groupe Anti-pourriel.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.