Sous-groupe de travail sur l'examen de la législation et son application
Groupe de travail sur le pourriel
mai 2005
Conclusions
1. Les lois actuelles traitent de facettes précises du pourriel, mais elles ne permettent pas, individuellement ou ensemble, d'atteindre l'objectif global qui est de décourager les polluposteurs au Canada.
La Loi sur la concurrence vise les représentations trompeuses contenues dans le courriel, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) peut s'appliquer au courriel non sollicité, et le Code criminel du Canada renferme des dispositions visant la fraude ou les activités qui endommagent les serveurs. Après un examen des causes types et de discussions sur la question, le Groupe de travail a conclu que ces lois avaient une portée et un champ d'application trop restreints pour traiter les infractions liées au pourriel.
2. Une loi autonome, neutre quant aux techniques utilisées et visées, et traitant clairement du pourriel et des infractions connexes, s'impose. Des modifications aux lois actuelles pourraient également s'avérer nécessaires.
Les organismes d'application de la loi et les administrateurs d'une autre législation applicable ont clairement indiqué que la création de nouvelles infractions ou la modification des infractions actuelles devait correspondre à l'objet et au champ d'application de cette loi. Par exemple, le personnel du Bureau de la concurrence qui siège au Sous-groupe de travail sur l'examen de la législation et son application a déclaré que le pourriel non trompeur ne tombait pas sous le coup de la Loi sur la concurrence. Cela comprendrait, notamment, le pourriel qui engorge les systèmes et sert à acheminer les logiciels espions, les logiciels publicitaires et autres programmes pirates.
Une nouvelle loi traiterait plus spécifiquement du problème et ses nouvelles dispositions renforceraient celles des lois actuelles.
Toute nouvelle disposition prévoirait des exemptions pour les activités menées à des fins légitimes (par exemple tests de sécurité par des tiers autorisés ou par une organisation sur ses propres systèmes).
Nature des infractions et recours/sanctions
3. Le défaut de se conformer à des procédures d'inclusion pour l'envoi de courriel commercial non sollicité devrait constituer une infraction au titre d'une loi anti pourriel autonome, neutre quant aux techniques utilisées et visées.
La « boîte à outils » anti-pourriel a deux volets : des dispositions ciblant la conduite frauduleuse ou trompeuse des polluposteurs et des dispositions visant le pourriel en tant qu'abus sans plus. Les dispositions mentionnées ci-après visent la conduite des polluposteurs, tandis que le pourriel abusif exige une interdiction claire, directe de l'activité faisant l'objet d'infraction – l'envoi de courriel (commercial) non sollicité. Bien que la LPRPDE traite du consentement à la collecte, à l'utilisation et à la divulgation des renseignements personnels, telles les adresses de courriel, le Groupe de travail a constaté que la capacité de la loi à répondre au problème du pourriel était restreinte. En effet, la nature transitoire du pourriel et l'évolution continue des méthodes de travail des polluposteurs exigent l'adoption d'une loi qui permet de réagir rapidement et de mettre en œuvre des mesures d'application souples, agiles et rapides.
4. Pour éliminer les nouvelles menaces associées au pourriel (par exemple, logiciel espion), le Groupe de travail sur le pourriel devrait envisager de traiter la question du consentement personnel et du contrôle des utilisateurs dans un contexte plus vaste.
Les logiciels espions, les logiciels de surveillance des entrées au clavier et les réseaux d'ordinateurs zombies menacent sérieusement l'utilisation d'Internet ainsi que l'infrastructure commerciale essentielle de celui-ci. Le Code criminel renferme des dispositions qui pourraient régler certains aspects de ces activités, il est vrai, mais les difficultés inhérentes à son application en font un recours inefficace pour les éliminer complètement. Une disposition générale traitant du consentement et du contrôle des utilisateurs, soigneusement libellée, est indispensable pour englober ces activités clandestines.
5. L'utilisation d'en-têtes ou de lignes de mention objet faux ou trompeurs (c'est-à-dire transmission de faux renseignements) destinés à déguiser l'origine, l'objectif ou le contenu d'un courriel devrait constituer une infraction et ce, que le but soit de tromper les destinataires ou de contourner les filtres technologiques.
La transmission de faux renseignements et l'exactitude des en têtes ne sont pas visées par les lois actuelles. Les dispositions de la Loi sur la concurrence à l'égard des représentations déloyales et trompeuses traitent du contenu fallacieux des messages, mais ne s'appliquent pas à celui des en-têtes. Les poursuites judiciaires intentées contre les infractions de ce genre auraient peu de chance de réussir à l'heure actuelle. Il serait préférable de traiter les en-têtes fallacieux destinés à tromper les consommateurs en modifiant la Loi sur la concurrence, pourvu que l'on puisse les assujettir à la portée et à l'objet de la loi – c'est-à-dire les relier à la promotion d'un produit ou d'un intérêt commercial. La Loi devrait être modifiée pour considérer pertinent un en-tête qui induit le destinataire à ouvrir un message électronique.
Dans une loi autonome, les infractions liées aux en-têtes pourraient s'inscrire dans un contexte plus vaste dépassant la portée et l'objet de la Loi sur la concurrence. La loi autonome devrait expliciter, à l'instar de la Loi sur la concurrence, ce que l'on qualifie de « trompeur ». Elle devrait également contenir une définition de « trompeur de façon importante » englobant la conduite telle que le simple fait d'ouvrir un courriel, d'éviter de faire un achat ou de conclure une proposition d'affaires. Les organismes d'application pourront ainsi plus facilement déterminer si une nouvelle disposition a été enfreinte ou non. La définition devrait englober la pratique d'insérer des termes absurdes ou obscurs dans les lignes de mention objet.
L'usurpation du nom ou de l'adresse de personnes ou d'entreprises réelles (« hameçonnage ») devrait constituer une infraction nouvelle, distincte et être assujettie à des sanctions plus sévères à cause des aspects intentionnels de l'infraction. Non seulement cette conduite trompe-t-elle les consommateurs, mais elle peut constituer une menace grave pour la concurrence.
6. La construction d'adresses URL et de sites Web faux ou trompeurs dans le but de recueillir des renseignements personnels par escroquerie ou à des fins criminelles (ou pour commettre les autres infractions énumérées) devrait constituer une infraction.
Le hameçonnage est une forme de fraude, par conséquent, une cause impliquant une victime de hameçonnage pourrait être poursuivie en vertu des dispositions à l'égard de la fraude énoncées dans le Code criminel. Cependant, le hameçonnage est directement lié au pourriel, car celui-ci est le véhicule qui sert à livrer la fraude. Toute nouvelle mesure interdisant le pourriel ou les activités liées au pourriel pourrait donc s'appliquer aux tentatives de hameçonnage. Dans la mesure où les adresses URL et les sites Web faux ou trompeurs échappent au champ d'application et à l'objet de la Loi sur la concurrence, il faudrait les traiter dans une loi autonome. Cependant, si cette conduite entrave la concurrence, aucune modification à la Loi sur la concurrence ne serait requise. Par ailleurs, il importe que le libellé d'une telle infraction n'englobe pas les sites pastiches, afin de préserver cette forme de liberté d'expression.
On a mentionné que l'usurpation d'identité sortait du cadre des travaux du Groupe de travail. D'ailleurs, le ministère de la Justice Canada examine la question et pourrait fort bien tirer ses propres conclusions législatives. Le Groupe de travail devrait consulter le ministère de la Justice sur cette question.
7. La collecte d'adresses de courriel sans consentement, ainsi que la diffusion, l'utilisation ou l'acquisition de ces listes, devraient constituer une infraction.
« La collecte d'adresses » est une conduite présentement visée par la LPRPDE, car celle ci interdit la cueillette, l'utilisation ou la divulgation des renseignements personnels d'une personne, y compris son adresse de courriel, sans son consentement. Toutefois, tel que mentionné précédemment, la LPRPDE n'est sans doute pas le recours approprié pour traiter de la conduite susceptible d'entraver le réseau Internet et son utilisation, en plus des renseignements personnels. La collecte d'adresses à des fins de pourriel a des conséquences qui nécessitent des mesures de dissuasion punitives et fortes. De plus, elle doit être contrée rapidement, parce que les effets découlant de la communication ou de l'utilisation des listes recueillies peuvent croître exponentiellement. Pour endiguer les retombées économiques et les dommages à l'infrastructure commerciale essentielle qu'est Internet, ce genre de conduite devrait tomber sous le coup d'une loi autonome.
L'utilisation ou l'acquisition de logiciels de collecte de données pourrait constituer une infraction si l'objectif des logiciels ou du matériel informatique était de générer des listes d'adresses de courriel sans avoir le consentement approprié. Pour constituer une infraction, la possession desdits logiciels doit être associée à une activité que la loi tente d'éliminer. À noter que les logiciels de collecte de données peuvent être utilisés à des fins légitimes.
8. Les attaques de dictionnaire devraient constituer une infraction.
La collecte d'adresses de courriel par l'entremise d'attaques de dictionnaire ne serait probablement pas visée par la LPRPDE, mais l'utilisation ou la divulgation subséquente des adresses le serait. Pareillement, les attaques de dictionnaire ne tomberaient pas sous le coup du Code criminel à moins qu'un serveur ne soit compromis et, dans ce cas, elles seraient visées par les dispositions relatives à l'endommagement des données. Les attaques de dictionnaire pourraient être assujetties à la LPRPDE (il suffirait de la modifier), mais la Loi sur la concurrence ne pourrait s'y appliquer car elles échappent au champ d'application de la disposition de la déclaration d'objet et se rapportent plutôt aux questions de vie privée. Bien que le Code criminel semble approprié à ce genre d'infraction, on pourrait avoir de la difficulté à prouver l'intention blâmable qui constitue un élément essentiel d'une infraction. Par conséquent, cette activité doit être traitée dans une loi autonome.
La possession ou l'acquisition de logiciels aux fins d'attaques de dictionnaire ou de collecte d'adresses (selon la conclusion no 7) crée une inversion du fardeau de la preuve pour l'accusé, qui doit maintenant démontrer l'absence d'intention blâmable. Or, les tribunaux détestent de plus en plus les dispositions d'inversion du fardeau de la preuve. Par ailleurs, il faudrait établir prudemment les circonstances dans lesquelles la prestation de ces logiciels devient une infraction, étant donné qu'ils peuvent avoir des fins légitimes.
9. Les nouvelles infractions établies devraient être d'ordre civil et de responsabilité stricte, et prévoir une responsabilité criminelle pour les infractions plus flagrantes ou répétées. Il devrait y avoir des sanctions statutaires importantes pour toutes les infractions décrites.
Les infractions liées au pourriel devraient, pour la majeure partie, être d'ordre civil (la responsabilité stricte n'exige pas d'intention blâmable). Cependant, lorsque des facteurs flagrants démontrent la présence d'une intention blâmable, les mesures d'application de la loi devraient comprendre l'éventualité de poursuites criminelles. Ce genre de régime à deux volets est présent dans la Loi sur la concurrence. Il faudrait prévoir une sanction significative applicable à chaque infraction et, éventuellement, à chaque infraction subséquente.
10. Un droit d'action approprié devrait être offert aux personnes, particuliers et entreprises. Des dommages-intérêts statutaires significatifs devraient être prévus pour les personnes qui entament une poursuite civile.
Cette question a été étudiée à fond dans un document commandé par le Groupe de travail. Ce dernier croit qu'un nouveau droit d'action privé sera une composante essentielle de toute stratégie anti-pourriel. Cependant, les règles de procédure civile actuelles pourraient restreindre l'utilité de cette approche. Elles méritent examen.
Les dommages-intérêts statutaires élimineraient la nécessité de prouver des pertes ou des dommages dans les cas d'action privée. La présence de facteurs accablants pourrait également assujettir l'auteur à des sanctions ou dommages doubles ou triples.
11. Les entreprises dont les produits ou services sont promus par le truchement du pourriel devraient être tenues partiellement responsables du pourriel. La responsabilité devrait également incomber aux tiers qui bénéficient du pourriel.
Les entreprises qui savent ou auraient dû savoir que leurs produits ou services sont promus à l'aide de messages commerciaux non sollicités ou de messages porteurs des éléments nuisibles décrits dans les présentes conclusions, qui ont profité financièrement et n'ont pas pris de démarches en vue de déceler ou de prévenir le pourriel doivent être tenues responsables de leurs actions. Cette démarche réduirait la demande de polluposteurs. Les vendeurs seraient assujettis à des sanctions significatives et les victimes des dommages causés par le pourriel pourraient recouvrer leurs pertes en entamant une action privée contre les entreprises dont les produits sont promus. Les tiers qui reçoivent ou anticipent un avantage financier du courriel commercial qui enfreint une nouvelle loi devraient également être passibles de sanctions. Toutefois, les parties qui peuvent démontrer qu'elles ont agi de façon responsable ne devraient pas être affectées par cette disposition.
Administration et application de la loi
12. L'application des nouvelles dispositions législatives anti-pourriel devrait relever des organismes existants. La loi devrait inclure des dispositions visant à permettre aux organismes d'utiliser leurs pouvoirs d'application et d'enquête actuels, mis à jour au besoin.
Il importe que l'application d'une nouvelle loi anti-pourriel relève d'organismes possédant de l'expérience, un savoir et des connaissances techniques dans des domaines complémentaires ou analogues. Les pouvoirs d'enquête pourraient devoir être actualisés pour inclure des procédures et des pratiques conformes à la prise de démarches en temps réel, rapides et parfois immédiates.
La Loi sur les télécommunications (article 41) pourrait toucher les domaines non visés mentionnés précédemment, bien que son champ d'application soit restreint. L'article 41 de la Loi sur les télécommunications porte sur les télécommunications non sollicitées et confère au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) l'autorité dans ce domaine. Le projet de loi C-37 autorise le CRTC à imposer des sanctions monétaires administratives aux personnes qui enfreignent une interdiction ou une exigence énoncée à l'article 41 de la Loi sur les communications, mais le projet de loi n'a pas encore été débattu en comité, et il est trop tôt pour envisager ce pouvoir éventuel. Le Groupe de travail est d'avis que la Loi sur les télécommunications ne peut s'appliquer aux autres infractions énumérées dans les présentes conclusions. Le Groupe de travail devrait poursuivre ses entretiens avec le CRTC sur cette question, s'il y a lieu.
13. L'administration d'une nouvelle loi autonome devrait relever d'un seul centre ou organisme de responsabilité.
D'un autre côté, l'administration d'une nouvelle loi, la coordination des mesures d'application et l'élaboration des politiques et des campagnes devraient relever d'un organisme distinct. De plus, il faut établir un organisme central responsable des questions relatives au pourriel auquel les consommateurs pourraient s'adresser. Cet organisme s'occuperait activement de sensibiliser les consommateurs et de faire de l'éducation un outil important de la lutte anti pourriel.
14. On devrait augmenter les ressources et l'aide destinées à l'organisme ou aux organismes responsables de l'application des dispositions anti-pourriel nouvelles et actuelles.
Sans financement correspondant pour les enquêtes et l'application de la loi, une loi anti pourriel – et même, des provisions actuelles renforcées – aura peu d'effet et sera immédiatement critiquée. Un financement adéquat indiquerait que l'on fait confiance au réseau Internet pour le commerce électronique. L'infrastructure de la cyber économie ne peut être protégée par des mots forts et des démarches faibles. Toute initiative législative doit impérativement s'accompagner de ressources solides, d'un financement approprié et de directives prioritaires.
15. Étant donné que le pourriel est un problème sans frontière, on devrait prévoir des dispositions favorisant l'application des lois et la tenue d'enquêtes à l'échelle internationale. Toutes les dispositions actuelles devraient être examinées et modifiées au besoin pour permettre la mise en œuvre de démarches anti-pourriel homogènes.
La partie III de la Loi sur la concurrence prévoit une entraide juridique dans le cas d'infractions d'ordre civil au droit de la concurrence commises à l'étranger. Ces dispositions pourraient ou non contribuer à la lutte anti pourriel. En vertu du Code criminel, le Bureau de la concurrence ou un autre organisme de l'application de la loi peut recourir aux traités d'entraide juridique pour appuyer l'application transfrontalière des lois. Étant donné que cette fonction est exigeante en termes de ressources, il faut prévoir un financement approprié. La LPRPDE énonce des dispositions relatives à la divulgation sans consentement dans le cadre d'une enquête.