1. La Loi C28 : se conformer et se protéger
Par Philippe Le Roux
2.
3. • La Loi C28 est une loi anti pourriel
• La Loi C28 vise uniquement les spammers
• La Loi C28 ne couvre que les envois groupés
• Il suffit d’avoir le consentement pour être conforme
• Seuls les courriels de l’entreprise sont concernés
• Il reste 3 ans pour se conformer
• Le CRTC ne vise que les grandes compagnies
Se débarrasser de quelques mythes
4. • Demander le consentement AVANT d’envoyer un message et EXPLIQUER la portée du
consentement
• Indiquer l’information obligatoire (expéditeur, mandant, mandataire, coordonnées
physiques, etc.)
• Instructions pour arrêter les messages (fonctionnel pendant 60 jours, inclue la réponse
directe, maximum 10 jours)
• Exceptions de consentement (relations d’affaires, relations privées, B2B, collectes de
fonds charitables ou politiques, adresses publiques sans limites, demandes
d’informations, messages de suivi, garantie, sécurité, etc.)
• Exceptions de forme (appels vocaux par téléphone, télécopies, télécommunicateurs, etc.)
• Délais (avant 1er juillet 2014, 1er juillet 2014, 15 anvier 2015, 1er juillet 2017, 2 ans après
transaction, 6 mois après requête d’information, 3 ans de rétroaction)
3 grands principes et 70 règles
5. • Pour installer un programme informatique sur l’ordinateur d’une autre
personne, il faut :
• Obtenir son consentement exprès
• Expliquer CLAIREMENT pourquoi on doit installer ce programme
• Expliquer CLAIREMENT les fonctionnalités de ce programme
• Permettre le retrait du consentement
• Faciliter la suppression du programme en cas de retrait du consentement
• Exceptions (Cookies, HTML, Javascript, systèmes d’exploitation, mises à
jour, mises à niveau de sécurité, logiciel téléchargé par utilisateur, etc.)
• Responsabilités : amendes jusqu’à 10M$, coût de désinstallation du
programme
Les programmes d’ordinateur
6. • Toute activité depuis ou à destination d’un ordinateur présent au
Canada ou pour le compte d’une personne physique ou morale
présente au Canada
• Ententes du CRTC avec autorités correspondantes dans les autres
pays
Portée extraterritoriale
8. a) Envoie des millions de pourriels à des inconnus ?
b) Utilise le courriel pour vendre du faux Viagra ?
c) Utilise le courriel pour voler des informations financières ?
d) Installe des logiciels espions en douce ?
e) Trafique les données de vos clients en cours de transmission ?
Est-ce que vous ou votre compagnie
10. a) Dans les infolettres
b) Dans les courriels promotionnels
c) Dans le premier message envoyé à un nouveau contact
d) Dans les courriels des vendeurs
e) Dans les courriels de tous les employés
Où indiquez-vous comment ne plus recevoir vos messages ?
11. a) Supprimée immédiatement
b) Maintenue pendant moins de 60 jours
c) Maintenue plus de 60 jours
d) Les messages reçus sont lus et traités quotidiennement
Lors du départ d’un employé, son adresse courriel est
12. a) Envoyés depuis une adresse « donotreply@compagnie.com »
b) Les réponses ne sont donc pas traitées
c) Les réponses sont traitées de temps en temps
d) Les réponses sont traitées systématiquement
Messages transactionnels
13. • Une loi complexe avec 91 articles et dispositions
• Plus de 70 règles dont plusieurs se combinent
• Des milliers de situations potentielles
• Couvre la compagnie, ses employés et ses représentants
• Touche la compagnie, les dirigeants, les administrateurs
Des centaines de questions
14. Les risques
« Le pessimiste se plaint du vent,
L’optimiste espère qu’il change,
Le réaliste ajuste sa voilure »
William A. Ward
20. • Compiler les plaintes
• Filtrer les plaintes non pertinentes
• Classer les plaintes par volume et impact
• Lancer les enquêtes dans l’ordre
• Notice d’application
• Procès-verbal avec ou sans pénalité
• Vous devez prouver votre innocence
Le processus du CRTC
21. • UK : Festival de Manchester a payé une amende de 125 000$ pour
des SMS
• Chine : amendes prévues de 4 900$ par message non sollicité
• USA : 3 entreprises dont 1 canadienne payent une amende de 9M$
pour spam par SMS
• Australie : Virgin a payé une amende de 22 000$ et Grays 165 000$
• Italie : amendes de 120 000$ plus 3 ans de prison
• Canada : première amende d’1,1M$ pour PME de Morin-Heights
Les amendes existent partout
22. Se protéger
« Une bonne décision devient mauvaise
quand elle est prise trop tard »
Lee Iacocca
23. • Article 33 (1) : Nul ne peut être tenu responsable d’une violation s’il
prouve qu’il a pris toutes les précautions voulues pour prévenir sa
commission
• CRTC : Le personnel du Conseil peut tenir compte de l’existence et de
la mise en place d’un programme de conformité efficace si une
entreprise présente son programme dans le cadre d’une défense
fondée sur la diligence raisonnable en réponse à une violation
présumée des Règles ou de la LCAP. (Bulletin d’information de Conformité et Enquêtes
CRTC 2014-326)
Ce que disent les autorités
24. • Réaliser un audit de vos communications électroniques (pas juste les
infolettres)
• Corriger les faiblesses
• Documenter la démarche et les gestes posés
• Stocker tous les justificatifs (plateforme Cyberimpact)
• Faire connaître la politique de conformité par tous les employés
• Faire valider les situations particulières par un avocat spécialisé
Les composantes d’un plan de conformité
25. Avantages
• Autonomie
• Création d’expertise interne
• Contrôle de la démarche
• Peu d’investissement initial
Inconvénients
• Nécessite beaucoup de temps et
une culture juridique
• Niveau de risque très élevé
• Coût d’opinions juridiques
imprévues
• Coûts de défense élevés
• Risque important de failles et
oublis
• Aucune protection
L’approche « maison »
26. Avantages
• Investissement en temps
raisonnable
• Compétence du consultant
• Niveau de risque limit
• Coûts de défense limités
Inconvénients
• Évaluation du consultant
• Budget initial élevé (5 à 50K$)
• Opinions juridiques
complémentaires (1 à 5K$)
• Coûts de défense (3 à 20K$)
• Protection limitée
L’approche consultation traditionnelle
27. Avantages
• Nécessite très peu de temps
• Audit le plus complet du marché
• Niveau de risque quasi nul
• Coûts de défense nuls dans 99%
des cas
• Certificat
• Protection complète
Inconvénients
• Nécessite une responsabilité
centrale
• Repose sur la transparence
• Besoin d’autodiscipline
• Ajuster dans le temps aux
changements internes
• Limite 500 employés
L’approche Certimail
35. • Vérifier votre conformité : Audit
• Améliorer vos pratiques en vous conformant : Recommandations
• Rassurer vos contacts : Certificat
• Dépense facile en cas d’enquête : Rapport de bonne diligence
• Protection en cas d’amende : Assurance 1M$
• Coûts :
• Licence : 849$ illimité pour un an (120$ années suivantes)
• Audit 20 minutes
• Mise en place des recommandations 2 à 3 semaines
• Opinion juridique complémentaire 285$ si nécessaire
En conclusion
36. • Certimail
• BDSL
• Texte complet de la Loi canadienne anti-pourriel
• Règlement du CRTC
• Règlement du gouvernement
• Les 3 organismes qui font appliquer la LCAP
• Site web du CRTC dédié à la loi C28
• Centre de notification des pourriels pour signaler un message non
conforme
• FAQ du CRTC pour entreprises et organismes
Sites de référence
37. Philippe Le Roux, président
plr@certimail.ca
514.867.1230
www.certimail.ca
@CertimailCa
Pour toute question sur votre situation ou notre solution