Première
Précédente
2. Clarifier les règles
Freinons le pourriel : Créer un Internet plus fort et plus sécuritaire
Rapport du Groupe de travail sur le pourriel
Mai 2005
Le défi
Les marchés traditionnels des biens et services sont régis par des lois et des règlements destinés à promouvoir la concurrence loyale et à protéger les consommateurs. Pour fonctionner efficacement, le cybercommerce requiert des règlements semblables pour guider le comportement commercial. Tel que discuté dans le chapitre précédent, le pourriel pose une menace de taille au développement du cybercommerce, car il occasionne des coûts, crée de l'inefficacité, cause du tort et entrave la confiance des entreprises et des consommateurs.
Des mesures telles que le renforcement des lois actuelles, la sensibilisation des entreprises et des consommateurs et la promotion de l'éducation du public permettraient d'éliminer certaines menaces attribuables au pourriel. Toutefois, il est peu probable que ces mesures viennent à bout des polluposteurs vraiment malhonnêtes — ceux qui entendent commettre une fraude, usurper l'identité ou enfreindre la vie privée des gens, obtenir un accès non autorisé ou endommager les ordinateurs et le matériel de réseau. Il faut donc mettre en œuvre des lois plus précises interdisant le comportement illicite, prévoir des peines sévères et appliquer rigoureusement les lois pour traiter ce genre de menace et appuyer la démarche anti-pourriel de type « boîte à outils » du Canada.
La mise en œuvre d'un cadre national solide sera encore plus essentielle, à mesure que le pourriel deviendra de plus en plus le véhicule d'activités telles que l'hameçonnage et de technologies comme les logiciels espions, les virus et les réseaux d'ordinateurs zombies, qui, en minant la confiance, menacent sérieusement l'utilisation d'Internet en tant que plate-forme pour le commerce. Internet fait maintenant partie de l'infrastructure essentielle du pays, et il faut être capable d'éliminer ces menaces à sa sécurité.
Un cadre national solide permettrait également au Canada de prendre part à la lutte internationale contre le pourriel. La grande majorité des pourriels envoyés aux citoyens et aux entreprises du Canada provient de l'étranger. Cependant, avec un cadre législatif précis et solide, ainsi que des mécanismes d'application efficaces, le Canada serait bien positionné pour contribuer à la mise au point de démarches internationales harmonisées et de mesures d'application concertées.
L'une des premières questions qui s'est posée au Groupe de travail sur le pourriel était la mesure dans laquelle le cadre juridique et les mesures d'application actuellement en vigueur au Canada pourraient servir à combattre le pourriel.
Lors de l'élaboration du Plan d'action anti-pourriel du Canada, bon nombre d'intervenants ont déclaré qu'une meilleure application des lois fédérales existantes pourrait réduire sensiblement le volume du pourriel. Ils ont cité, notamment, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la Loi sur la concurrence et le Code criminel du Canada comme étant des outils pouvant servir à la réduction du courriel commercial non sollicité. Les motifs invoqués étaient les suivants.
- La LPRPDE, conçue de manière à protéger les renseignements personnels à l'ère électronique, interdit la collecte, l'utilisation ou la divulgation des renseignements personnels d'une personne, y compris son adresse de courriel, sans son consentement. Cette loi précise également que les renseignements personnels ne peuvent être utilisés à des fins autres que celles pour lesquelles ils sont recueillis, et que les propriétaires de ces renseignements doivent consentir à toute utilisation secondaire qui en est faite. Par conséquent, tout courriel non sollicité envoyé à l'adresse de courriel d'un particulier qui n'a pas consenti à le recevoir pourrait enfreindre cette loi fédérale et, peut-être, d'autres lois provinciales essentiellement similaires.
- La Loi sur la concurrence renferme des dispositions formelles à l'égard des représentations déloyales et trompeuses auxquelles on a souvent recours pour traiter la publicité mensongère publiée dans les médias traditionnels. L'application de la Loi aux revendications trompeuses contenues dans les sollicitations par courriel, est un domaine digne d'examen.
- Le Code criminel du Canada renferme des dispositions traitant spécifiquement de l'accès non autorisé aux systèmes et aux réseaux informatiques, de l'endommagement des données, ainsi que des dispositions plus générales concernant la fraude. Vu que bon nombre de polluposteurs enchâssent dans les courriels des « chevaux de Troie » pouvant être activés par les multiposteurs pour transmettre un pourriel, on pourrait éventuellement utiliser le Code criminel du Canada afin de punir ces délits. Ses dispositions prévoient des amendes importantes et même des peines d'emprisonnement.
Bien que les lois actuelles comportent des dispositions potentiellement utilisables dans la lutte contre le pourriel, le Groupe de travail a noté que leur efficacité était une question discutable, étant donné que la majorité d'entre elles n'ont pas encore été appliquées à des cas de pourriels.
Le premier défi du Groupe de travail consistait donc à examiner l'application du cadre juridique et des mécanismes d'application actuels du Canada à la lutte contre le pourriel. Pour ce faire, il a décidé de travailler avec les ministères et les organismes du gouvernement à l'examen des lois et des mécanismes d'application actuels pour déterminer s'ils comportent des lacunes susceptibles de les rendre inefficaces dans la lutte anti-pourriel.
Puisque cela s'est révélé être le cas, le deuxième défi était de déterminer quelles mesures il faudrait adopter pour combler ces lacunes et doter le Canada d'un cadre juridique efficace et d'une démarche nationale concertée afin de contrer le pourriel et les activités connexes.
Activités du Groupe de travail
Sensibilisation et action catalytique des organismes d'application de la loi
La première tâche du Groupe de travail a été d'organiser des entretiens entre des sociétés privées et les organismes d'application des lois fédérales responsables de la législation susceptible d'être utilisée afin de contrer le pourriel, notamment le Bureau de la concurrence, le Commissariat à la protection de la vie privée du Canada et la Gendarmerie royale du Canada (GRC). L'objectif était d'évaluer l'efficacité de chaque loi pour les poursuites fondées sur des infractions liées au pourriel.
En première étape, le Groupe de travail a identifié toutes les lois fédérales pouvant s'appliquer aux diverses facettes du pourriel. Il a décidé de concentrer ses efforts sur les facettes ayant les liens les plus clairement associés aux lois actuelles. Le Groupe de travail a créé quelques sous-groupes pour aborder les exigences des diverses situations de fait, associées aux poursuites selon chaque loi. Au moment de la publication de ce rapport, trois plaintes ont été réglées en vertu de la LPRPDE, et une l'a été en vertu de la Loi sur la concurrence (voir l'encadré 1 — Récentes poursuites reliées au pourriel).
Peu de progrès ont été réalisés quant à l'application du Code criminel du Canada, à cause d'un manque de priorisation et de questions de compétence. En effet, les poursuites relèvent des administrations provinciales et des organismes locaux d'application de la loi. Cependant, le Groupe de travail a collaboré avec ces groupes pour faire progresser les travaux. En outre, il a travaillé avec Justice Canada et la Direction de la criminalité technologique de la GRC, afin de cerner les éléments de preuve voulus pour intenter une poursuite en vertu de dispositions précises du Code criminel.
Encadré 1 — Récentes poursuites reliées au pourriel
Décisions relatives à des plaintes déposées devant le Commissariat à la protection de la vie privée du Canada
Deux membres du Groupe de travail sur le pourriel ont porté plainte en vertu de la LPRPDE.
Michael Geist a reçu deux courriels l'invitant à acheter des billets de saison d'une équipe de football locale. Le bureau de l'équipe avait obtenu son adresse de courriel sur les sites Web de son université et de son cabinet juridique. M. Geist a déposé une plainte auprès du Commissariat à la protection de la vie privée, à la réception du deuxième courriel, après avoir demandé d'être rayé de la liste d'envoi.
Le commissaire à la protection de la vie privée a déterminé qu'une adresse de courriel commerciale est un renseignement personnel protégé par la LPRPDE. Ce genre de renseignement peut être recueilli et utilisé sans le consentement de la personne concernée, mais uniquement aux fins prévues (c'est-à-dire associées aux activités professionnelles de M. Geist). Le commissaire a conclu que l'équipe de football ne pouvait invoquer cette exception, étant donné que ses intentions étaient totalement étrangères aux fins pour lesquelles l'adresse de courriel avait été publiée.
Suzanne Morin a reçu des sollicitations par courriel, à son adresse de courriel commerciale, d'une société différente de celle de M. Geist. L'adresse de courriel provenait du répertoire électronique des membres d'une association professionnelle. Mme Morin a déposé une plainte auprès du Commissariat à la protection de la vie privée. Le commissaire a jugé, encore une fois, qu'en vertu de la LPRPDE, une adresse de courriel commerciale est un renseignement personnel. Le commissaire a déterminé que la collecte et l'utilisation subséquente de l'adresse de courriel aux fins de sollicitations commerciales avaient été effectuées par la société de marketing sans le consentement de Mme Morin et qu'il y avait eu violation de la Loi.
Dans les deux cas, les organismes ont présenté des excuses, retiré les adresses de courriel de leurs listes de marketing et modifié leurs procédures internes en conséquence.
Règlement d'un cas par le Bureau de la concurrence
Performance Marketing Ltd. a fait de fausses représentations selon lesquelles les timbres Zyapex et Dyapex étaient des produits naturels et sans danger qui permettaient de perdre du poids, donnant ainsi la fausse impression que, sans suivre de régime ni effectuer d'exercice physique, une personne pourrait perdre du poids, avoir moins d'appétit, contrôler son envie de manger et accélérer son métabolisme. Ces allégations ont été faites par courriel. Performance Marketing a aussi échoué à mettre en œuvre sa politique anti-pourriel, ce qui a incité ses filiales à avoir recours au pourriel pour vendre les produits.
La cause a été jugée en vertu du Projet FrancNet du Bureau de la concurrence, destiné à éliminer la publicité trompeuse qui se retrouve dans Internet. Aux termes du consentement intervenu avec Performance Marketing en décembre 2004, la société s'est engagée à veiller à ce que le pourriel ne soit pas un véhicule de commercialisation de ses produits, à afficher un avis correctif dans son site Web et à rembourser intégralement les consommateurs qui avaient acheté les timbres coupe-faim.
Suite à des entretiens avec le secteur canadien des communications sans fil, on a soulevé la possibilité d'appliquer les dispositions de la Loi sur les télécommunications au pourriel envoyé aux combinés sans fil. L'adoption du projet de loi C-37 (prévoyant la création d'une liste nationale de numéros de téléphone exclus) pourrait renforcer la capacité du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) de mettre un frein au pourriel acheminé par les appareils sans fil — précisément l'envoi électronique de pourriels par messagerie texte aux combinés sans fil. Le pouvoir du CRTC d'imposer des amendes revêtirait une importance particulière. Mais avant l'adoption du projet de loi C-37, il est peut-être encore trop tôt pour juger du rôle que la Loi sur les télécommunications pourrait jouer.
Problème de la mise en application des lois
Durant les étapes initiales de ses travaux, le Groupe de travail sur le pourriel a informé les deux organismes d'application de la loi de l'ampleur et de la gravité du problème du pourriel, et a mis les sociétés privées au fait des exigences juridiques et des critères de preuve relatifs aux poursuites. Parallèlement à ces travaux, certains organismes d'application de la loi ont entamé une action directe contre les polluposteurs (voir l'encadré 1 ci-dessus). Néanmoins, les mesures d'application ont été peu efficaces jusqu'à présent.
En effet, les organismes d'application ont de la difficulté à appliquer leur loi à toutes les facettes du pourriel. Qui plus est, les deux organismes d'application concernés, tout comme la GRC et les autorités policières locales, ont des ressources restreintes et des priorités conflictuelles qui limitent leur capacité d'intervention. L'application est également entravée par la pénurie chronique d'experts nécessaires pour retracer, mener des enquêtes et intenter des poursuites contre les polluposteurs. Enfin, dans bien des cas, les pouvoirs d'application actuels n'ont pas encore été utilisés, et les mesures législatives qui permettraient d'attaquer certaines facettes du pourriel ont une application trop incertaine ou sont simplement inexistantes.
Le Groupe de travail croit fermement qu'il faut renforcer le processus d'application. Pour ce faire, il faut tout d'abord s'engager politiquement à freiner le pourriel et les activités semblables, non seulement en répondant aux plaintes, mais en menant des enquêtes proactives et en intentant des poursuites contre les polluposteurs. L'augmentation des ressources financières et techniques est essentielle, mais le soutien accordé aux organismes d'application devrait également prendre la forme de mécanismes plus efficaces pour la collecte, la coordination et le traitement des renseignements sur le pourriel, notamment ceux qui sont fournis par les gens qui déposent des plaintes. Le chapitre 7 du présent rapport aborde ces mécanismes. Enfin et surtout, il importe de combler les lacunes du régime juridique et réglementaire qui s'applique au pourriel et aux autres menaces pour Internet, tels les logiciels espions.
Recherche juridique
Pour établir le contexte de ses délibérations, le Groupe de travail a entrepris une analyse des lois anti-pourriel des autres pays, particulièrement des États-Unis, du Royaume-Uni et de l'Australie. L'analyse avait pour but de comparer la situation actuelle du Canada à celle de ces compétences. L'encadré 2 intitulé « Lois internationales anti-pourriel » énonce le titre des lois en vigueur dans quelques pays clés.
En outre, le Groupe de travail a commandé une étude du droit privé d'action contre le pourriel au Canada, qui abordera notamment le cadre législatif existant, les principaux éléments constitutifs d'un tel droit et l'opinion des entreprises canadiennes sur l'importance de ce dernier.
Identification des lacunes législatives
Après avoir examiné les lois et les mécanismes d'application, l'expérience des pays ayant déjà adopté des lois générales anti-pourriel, l'issue des poursuites de ses membres et les leçons retenues, le Groupe de travail a conclu qu'il y avait des lacunes évidentes dans les lois et les mécanismes d'application canadiens.
En effet, bien qu'elles soient applicables à certaines facettes du pollupostage, les dispositions des trois lois pertinentes ne peuvent être utilisées avec suffisamment de certitude pour contrer efficacement les méthodes et les moyens des polluposteurs, les intrusions plus agressives et envahissantes, ni les nouvelles menaces à la sécurité du réseau Internet. Pour leur part, les pouvoirs d'application des organismes sont limités par la portée et les objectifs des lois qui les régissent, et, selon leur libellé actuel, ces lois excluent un grand nombre d'activités de pollupostage et d'activités connexes.
On a cerné une autre lacune sur le plan de la dissuasion. Au regard des lois applicables, on s'est posé la question suivante : « Les sanctions sont-elles suffisamment sévères pour décourager le pollupostage? ». Le Groupe de travail a déterminé que, bien que les mécanismes actuels soient adéquats dans le cas des sociétés légitimes qui se sont adonnées au pollupostage par erreur, il n'est pas évident qu'ils dissuaderaient les véritables contrevenants. En outre, même lorsque des sanctions significatives sont prévues, par exemple dans le Code criminel, l'aspect pratique de leur application aux poursuites fondées sur des infractions liées au pourriel est limité.
Encadré 2 — Lois internationales anti-pourriel
États-Unis — Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 (CAN-SPAM Act of 2003)
Australie — Spam Act 2003
Royaume-Uni — Privacy and Electronic Communications Regulations 2003
France — Loi pour la confiance dans l'économie numérique 2004
Union européenne — Directive 2003/58/CE
Un cadre pour les lois anti-pourriel et leur mise en application
Après avoir systématiquement évalué l'utilité des lois et des mesures d'application actuelles à la lumière des menaces posées par le pourriel et les activités connexes, le Groupe de travail a conclu ce qui suit :
- Bien que les lois actuelles traitent de facettes précises du pourriel, elles ne permettent pas, individuellement ou ensemble, d'atteindre l'objectif global, à savoir décourager les polluposteurs au Canada.
- Une loi autonome, neutre quant aux techniques visées et traitant clairement du pourriel, des infractions liées au pourriel et des nouvelles menaces (par exemple réseaux d'ordinateurs zombies, logiciels espions et logiciels de surveillance des entrées au clavier de l'utilisateur) s'impose. Des modifications aux lois actuelles pourraient également s'avérer nécessaires.
Nature des infractions, recours et sanctions
- Le défaut de se conformer à des procédures d'inclusion pour l'envoi de messages électroniques non sollicités devrait constituer une infraction au titre d'une loi anti-pourriel autonome, neutre quant aux techniques visées.
- L'utilisation d'en-têtes ou de lignes de mention objet faux ou trompeurs (c'est-à-dire transmission de faux renseignements) destinés à déguiser l'origine, l'objectif ou le contenu d'un courriel devrait constituer une infraction et ce, que le but soit de tromper les destinataires ou de contourner les filtres techniques.
- La construction d'adresses URL et de sites Web faux ou trompeurs dans le but de recueillir des renseignements personnels par escroquerie ou à des fins criminelles (ou pour commettre les autres infractions énumérées) devrait constituer une infraction.
- La collecte d'adresses de courriel sans consentement, ainsi que la diffusion, l'utilisation ou l'acquisition de ces listes, devraient constituer une infraction.
- Les attaques de dictionnaire devraient constituer une infraction.
- Les nouvelles infractions établies devraient être d'ordre civil et de responsabilité stricte, et prévoir une responsabilité criminelle pour les infractions plus flagrantes ou répétées. Il devrait y avoir des sanctions statutaires importantes pour toutes les infractions susmentionnées.
- Un droit privé d'action approprié devrait être offert aux personnes, individus et entreprises. Des dommages-intérêts statutaires significatifs devraient être prévus pour les personnes qui entament une poursuite civile.
- Les entreprises dont les produits ou services sont promus par le truchement du pourriel devraient être tenues également responsables du pourriel. La responsabilité devrait aussi incomber aux tiers qui bénéficient du pourriel.
Administration et application de la loi
- L'administration de la nouvelle loi antipourriel devrait être du ressort du ministre de l'Industrie, et l'on devrait établir un centre de responsabilité pour la surveillance et la coordination des politiques, l'éducation et la sensibilisation du public et l'octroi d'un soutien aux organismes d'application de la loi.
- L'application des nouvelles dispositions législatives anti-pourriel devrait relever des organismes existants.
- On devrait augmenter les ressources et l'aide destinées aux organismes responsables de l'application des dispositions anti-pourriel nouvelles et actuelles.
- Étant donné que le pourriel est un problème sans frontière, on devrait prévoir des dispositions favorisant l'application des lois et la tenue d'enquêtes à l'échelle internationale. Toutes les dispositions actuelles devraient être examinées et modifiées au besoin pour permettre la mise en œuvre de démarches anti-pourriel homogènes.
Mesures réglementaires
Bien que les discussions du Groupe de travail aient porté principalement sur l'interdiction du pourriel et des activités connexes, les participants à la Table ronde des intervenants de décembre 2004 et les membres du Groupe de travail ont discuté du bien-fondé de mesures réglementaires plus vastes. Certains favorisaient une démarche coréglementaire fondée sur le modèle australien qui énoncerait les responsabilités des FSI dans des secteurs tels que la protection des réseaux contre le pourriel. D'autres préféraient la pratique canadienne axée sur la coopération volontaire et la pression uniformisante du secteur industriel, mentionnant qu'elle serait une méthode de lutte anti-pourriel plus rapide et efficace que la démarche coréglementaire. Le sujet a été longuement débattu, mais on a convenu à l'unanimité que le gouvernement ne devrait pas dicter de solutions techniques précises et que les règles fondamentales législatives (y compris celles qui sont décrites précédemment) devraient être plus neutres quant aux techniques utilisées et visées.
Le secteur industriel s'efforce déjà de régler le problème du pourriel, mais l'expérience du Groupe de travail démontre que le dialogue gouvernement-secteur industriel peut contribuer à mobiliser les énergies du secteur privé. Par conséquent, le Groupe de travail accorde énormément d'importance à la poursuite du dialogue entre le gouvernement et le secteur industriel dans ce domaine. Il croit également que les questions plus vastes concernant la réglementation d'Internet doivent être étudiées dans le cadre de l'examen de la politique des télécommunications annoncé par le gouvernement du Canada dans le budget fédéral de 2005.
Recommandations
Après avoir analysé la situation canadienne et l'expérience des autres pays, le Groupe de travail a conclu que le Canada ne pourrait pas combattre efficacement le pourriel au pays à moins d'intégrer à sa démarche anti-pourriel multiple, un ensemble de lois plus précises, exhaustives et appliquées de façon active, qui protègent les internautes et favorisent la croissance du cybercommerce.
En conséquence, nos recommandations sont les suivantes :
Recommandation 2 :
Le gouvernement fédéral devrait adopter un ensemble de règlements judiciaires précis, visant à interdire le pourriel et les nouvelles menaces à la sécurité du réseau Internet (par exemple réseaux d'ordinateurs zombies, logiciels espions et logiciels de surveillance des entrées au clavier de l'utilisateur) et, pour ce faire, adopter une nouvelle loi et modifier les lois actuelles au besoin.
Recommandation 3 :
À cette fin, les activités et pratiques de multipostage abusif suivantes devraient constituer des infractions au titre d'une loi anti-pourriel spécifique (ces dispositions peuvent également être énoncées, en totalité ou en partie, dans les lois actuelles) :
- le défaut de se conformer à des procédures d'inclusion pour l'envoi de courriels non sollicités;
- l'utilisation d'en-têtes ou de lignes de mention objet faux ou trompeurs (c'est-à-dire transmission de faux renseignements) destinés à déguiser l'origine, le but ou le contenu d'un courriel, que l'objectif soit de tromper le destinataire ou de contourner les filtres techniques;
- la construction d'adresses URL et de sites Web faux ou trompeurs dans le but de recueillir des renseignements personnels par escroquerie ou à des fins criminelles (ou pour commettre les autres infractions énumérées);
- la collecte d'adresses de courriel sans consentement, ainsi que la diffusion, l'utilisation ou l'acquisition de ces listes;
- les attaques de dictionnaire.
Recommandation 4 :
Les sanctions et recours suivants devraient s'appliquer à ces nouvelles infractions :
- les nouvelles infractions établies devraient être d'ordre civil et de responsabilité stricte, et prévoir une responsabilité criminelle pour les infractions plus flagrantes ou répétées. Il devrait y avoir des sanctions statutaires importantes pour toutes les infractions énumérées à la recommandation 3;
- un droit privé d'action approprié devrait être offert aux personnes, individus et entreprises. Des dommages-intérêts statutaires significatifs devraient être prévus pour les personnes qui entament une poursuite civile;
- les entreprises dont les produits ou services sont promus par le truchement du pourriel devraient être tenues également responsables du pourriel. La responsabilité devrait également incomber aux tiers qui bénéficient du pourriel.
Recommandation 5 :
En ce qui concerne l'application et l'administration de la nouvelle loi :
- l'administration de la nouvelle loi anti-pourriel devrait être du ressort du ministre de l'Industrie, et l'on devrait établir un centre de responsabilité pour la surveillance et la coordination des politiques, l'éducation et la sensibilisation du public et l'octroi d'un soutien aux organismes d'application;
- l'application des nouvelles dispositions législatives anti-pourriel devrait relever des organismes existants.
Recommandation 6:
Le gouvernement fédéral devrait accorder la priorité à l'application des mesures anti-pourriel en renforçant le soutien et les ressources destinés aux organismes responsables de l'application des lois anti-pourriel nouvelles et actuelles.
Recommandation 7:
Le gouvernement fédéral, de concert avec les provinces et les territoires, devrait conclure et mettre en œuvre des accords de coopération en matière d'application des lois avec d'autres pays. Toutes les dispositions législatives actuelles devraient être examinées et modifiées au besoin pour permettre la mise en œuvre d'enquêtes coopératives et de mesures de mise en application homogènes, à l'échelle internationale.