Comment développer un service à la clientèle proactif et rentable?
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée en vigueur de la loi
1. Comment effectuer votre
démarche de conformité en vue
de l'entrée en vigueur de la loi
C-28
Nicolas Lassonde, LL.M.
Julie-Anne Archambault, M.Sc.
2. Application et Objet
Interdiction relative à la transmission de messages électroniques commerciaux
non sollicités, sauf en présence de consentement exprès ou tacite, ou encore en
cas d’exclusion
Application géographique : envoyé ou récupéré au Canada (non applicable si
le message ne fait que transiter par le Canada)
Exception si motif raisonnable de croire que le message sera récupéré à l’étranger et qu’il
respecte la loi du pays – qui doit être essentiellement similaire à la Loi
Autres interdictions relatives à l’installation de certains programmes
informatiques (clause anti spyware/malware)
Application géographique : système informatique situé au Canada ou si la
personne se trouve au Canada ou agit sous la supervision d’une personne au
Canada
Exception si le message est récupéré à l’étranger et qu’il respecte la loi du pays – qui doit être
essentiellement similaire à la Loi
2
3. Message Électronique
Commercial « MEC »
«message électronique» : message envoyé par tout
moyen de télécommunication, notamment un message
textuel, sonore, vocal ou visuel dont au moins un des
objectifs est commercial exclut conversations vocales
bilatérales, fax ou message vocal envoyé à un compte
téléphone
« adresse électronique » : toute adresse utilisée
relativement à la transmission d’un message électronique à
l’un des comptes suivants :
a) un compte courriel;
b) un compte messagerie instantanée;
c) un compte téléphone;
d) tout autre compte similaire. 3
4. Interdiction d’envoyer des MEC
Sauf si:
Consentement exprès – (art. 6(1)) ET
Respect de certaines formalités : (1) identification de la
personne qui envoie le MEC; (2) coordonnées de la personne
qui envoie le MEC; (3)prévoir un mécanisme d’exclusion
conforme à la Loi (art. 6(2)) OU
Par l’entremise d’un service de messagerie comportant un
mécanisme d’exclusion – doit inclure les coordonnées de la
personne qui envoie le MEC – consentement exprès ou implicite
du destinataire (IC Reg 3d)) OU
Par l’entremise d’un compte sécuritaire et confidentiel à accès
restreint, mais seulement par la personne fournissant un tel
compte (IC Reg 3e)) (ex. compte bancaire personnel)
4
5. Interdiction d’envoyer des MEC
Sauf si:
Consentement implicite –
Relation d’affaires ou non préexistante (expiration après 2 ans)
Demande de renseignements (expiration après 6 mois)
La personne qui reçoit le message a publié son adresse et que le message
est en lien avec les activités de la personne
La personne qui reçoit le message a donné son adresse à la personne qui
envoie sans lui préciser son refus de recevoir des MEC (ce MEC doit être
en lien avec les activités de la personne)
ET
Respect de certaines formalités : (1) identification de la personne qui
envoie le MEC; (2) coordonnées de la personne qui envoie le MEC;
(3)prévoir un mécanisme d’exclusion conforme à la Loi (art. 6(2))
5
6. Messages traités comme MEC
Le consentement n’est pas requis (mais toujours
conditions de forme et de désabonnement requises):
Estimations à la demande du récepteur
Facilitations ou confirmations de transactions
Messages d’information relativement à des garanties,
rappels ou renseignements relatifs à la sécurité
Informations factuelles sur utilisation d’un bien/service
acheté (incluant informations sur le compte)
Messages aux employés (prestations d’assurance etc.)
Délivrance d’un produit ou service : mise à jour, etc …
Une seule fois, si personne physique référée par une autre
6
7. Messages traités comme MEC
Le consentement n’est pas requis, ni les conditions de
forme et de désabonnement :
Si liens familiaux ou liens personnels
Messages d’information envoyés à une personne qui
exerce des activités commerciales
Messages envoyés à l’intérieur d’une même organisation
Messages envoyés entre deux organisations relativement
aux activités commerciales de la personne qui reçoit le
message
Messages de réponse , notamment à une plainte
Message découlant d’une obligation légale, ou donnant un
opinion légal …
7
8. Messages traités comme MEC
Le consentement n’est pas requis, ni les conditions de
forme et de désabonnement (suite) :
Message envoyé par un organisme de bienfaisance
enregistré
Message envoyé pour le compte d’une organisation ou un
candidat politiques à une charge publique élective si le
principal objet du message est de demander des
contributions
8
9. Application aux réseaux sociaux
La publicité ciblée est permise. : les adresses IP ne sont pas
des « adresses électroniques » au sens de la Loi (en autant
qu’elle ne permette pas d'identifier une personne)
Bannières
Fils de nouvelles
Application de l’exception « service de messagerie
comportant un mécanisme d’exclusion (IC Reg 3d) »
Message publicitaire sur son propre compte
Application ambiguë de l’exception de relation privée dans le
cadre d’un « share » sur le mur d’un « ami »
Bref, application encore incertaine
9
10. Consentement requis suivant l’EEV
TROIS PRINCIPES pour retenir un consentement exprès
préalable:
L’objet pour lequel le consentement est demandé
Coordonnées complètes de la personne demandant le
consentement
Mécanisme d’exclusion
La Loi exige la conservation de la preuve de l’obtention de
consentement
Les consentements doivent être spécifiques et séparés : i.e. un
pour MEC, un autre pour les programmes d’ordinateur ne pas
mettre de cases pré-cochées (mécanisme de « opt-in ») action
positive (exclut absence de réponse)
10
11. Pénalités
Doit-on s’inquiéter?
Pénalités administratives pouvant aller jusqu’à 10M$ pour
les entreprises
Droits d’actions privées
Risques de recours collectifs
Responsabilité des administrateurs, dirigeants, agents;
responsabilité pour ses employés ou toutes autres
personnes facilitant la violation
Responsabilité pour les « shares »
Peut utiliser la défense de précautions diligentes
11
12. Préoccupations
MEC : consentement obtenu d’un tiers:
Si demande consentement pour un tiers inconnu, obligation de s’identifier seulement /
si tiers connu : identification et coordonnées des deux personnes impliquées
Si le consentement est obtenu pour un tiers inconnu : mentionner lors de
l’obtention du consentement que l’adresse courriel pourra être partagée
Identification des parties impliquées jouant un rôle matériel dans le contenu du MEC
(possibilité d’utiliser des hyperliens)
Toujours prévoir mécanisme d’exclusion relativement à la personne qui a envoyé le
MEC ET toute autre personne autorisée par le tiers à utiliser le consentement
Si demande d’exclusion : doit aviser tiers qui a obtenu consentement et toute autre
personne autorisée à l’utiliser
Permettre un mécanisme d’exclusion spécifique ET général (un tiers ou tous les tiers)
Assurer les suivis d’exclusion
Message envoyé à un ami : s’assurer de limiter sa responsabilité
12
13. Préoccupations
Effets sur le commerce
Bloquer les « start-ups »
Favoriser la discrimination géographique envers le Canada dans
l’offre technologique
Décourager les opérateurs de serveurs de s’installer au Canada
Insécurité et méfiance du marché international
Augmentation des coûts d’opération et de conformité
Problèmes de décalage entre les versions des programmes
d’ordinateur (pas de mise à jour automatique)
Va dépendre de l’accessibilité des ressources et de la tolérance au
risque des entreprises canadiennes et internationales ET des
interprétations jurisprudentielles ou administratives de la Loi
13
14. Implémentation
Bonnes pratiques
Obtenir un consentement exprès de type double « opt-in »
Fonctionnalités interreliées entre les différentes plateformes
Gestion des consentements (et des préférences)
Identifier type de relation
Consentement exprès ou implicite : préférer les exprès
Gestion des exceptions
Gestion des exclusions
Conserver les preuves de consentement (combien de temps??)
Éduquer l’équipe marketing et les employés
Mise à jour des listes de données
Respect des conditions de la Loi dans les envois (« template », délai de retrait, etc.)
Vérification de conformité périodique
14
15. Implémentation
Concrètement
Faire l’inventaire des MEC que l’entreprise envoie ou compte envoyer
Par type d’adresse
Par type de MEC
Déterminer, pour chaque adresse, la source (clients actifs, clients passés, carte
d’affaires, adresses disponibles en ligne, partenaires, adresses provenant de tiers…)
Valider si la Loi s’applique pour chaque adresse
Déterminer l’application géographique (envoyé ou reçu au Canada)
Identifier le type de consentement applicable
Identifier l’application des exceptions, le cas échéant
Mise à jour des listes en conséquence
Développer des modèles d’envoi respectant les conditions énoncées dans la Loi (outre
les informations requises, inclure un hyperlien vers la politique de confidentialité)
Demander les consentements requis
Implémenter un système de suivi et de gestion de données (sans oublier les délais à
respecter), assurer une mise à jour périodique et une communication efficace avec les
tiers
15