Le 21 septembre, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a accepté un engagement volontaire de Notesolution Inc., faisant affaire au Canada sous le nom de OneClass, de payer 100 000 $ pour régler l’enquête en cours du CRTC relativement à ses violations alléguées de la Loi canadienne anti-pourriel (LCAP) et de ses règlements d’application de celle-ci, de même que d’autres engagements visant à assurer la conformité future.

Cette enquête s’inscrit dans le mandat continu du CRTC de promouvoir et de veiller à l’observation des articles de la LCAP qui interdisent aux sociétés d’envoyer des messages électroniques commerciaux (pourriels) sans consentement, de modifier les données de transmission dans les messages électroniques sans consentement et d’installer un programme informatique sur le système informatique d’une autre personne sans consentement, entre autres choses.

Cette décision met en lumière la nécessité pour les entreprises canadiennes de bien comprendre les exigences réglementaires applicables liées à la législation en matière de pourriels et de protection de la vie privée, plus particulièrement en ce qui a trait aux logiciels.


OneClass paie 100 000 $ et corrige ses procédures d’entreprise

Ce règlement fait suite à une enquête lancée par le Cadre en Chef de la Conformité et des Enquêtes (CCCE) du CRTC, qui a déterminé qu’entre octobre 2016 et mars 2020, OneClass avait commis plusieurs infractions en vertu de la LCAP et de ses règlements d’application en envoyant des messages électroniques commerciaux de masse au Canada et à l’étranger sans le consentement des destinataires. Ces messages faisaient la promotion de la plateforme de OneClass permettant aux étudiants de niveau postsecondaire d’accéder aux guides d’étude des examens créés par les étudiants, des notes de cours et des didacticiels vidéo en achetant des abonnements.

De plus, l’enquête a montré que pendant l’activité commerciale, OneClass a installé unilatéralement une extension sur les navigateurs des étudiants appelée « OneClass Easy Invite » sans chercher à obtenir le consentement express des étudiants ni énoncer la raison pour laquelle ce consentement est sollicité, tel que l’exige la LCAP. Le CCCE a déterminé que OneClass aurait dû savoir que cette extension allait fonctionner d’une manière contraire aux attentes raisonnables des personnes concernées en recueillant des renseignements personnels stockés sur leurs ordinateurs, dont les noms d’utilisateur et les mots de passe. 

La LCAP exige que certaines dispositions soient respectées par toutes les entreprises qui font affaire au Canada ou qui installent un logiciel sur un système informatique au Canada. Ainsi, un développeur de logiciels doit, entre autres exigences, 1) décrire en termes simples, clairs et généraux la fonction et l’objet du programme informatique qui doit être installé si le consentement est donné, 2) informer la personne concernée de la raison pour laquelle le consentement est sollicité et 3) chercher, en employant des termes clairs et facilement lisibles, à obtenir ce consentement et le faire ailleurs que dans le contrat de licence octroyant les droits d’utilisation de ce logiciel.

En plus du paiement de 100 000 $, OneClass s’est engagée à faire en sorte que son logiciel et ses efforts en matière de commercialisation respectent la LCAP et ses règlements d’application en mettant en œuvre un programme de conformité aux termes duquel la société adoptera des politiques et procédures d’entreprise appropriées, dispensera des séances de formation aux employés et mettra en place des mécanismes de suivi, d’audit et d’établissement de rapports. Étant donné que OneClass exerce ses activités dans le domaine de la vente, elle s’est aussi engagée à évaluer si ses politiques internes actuelles peuvent inciter ses employés à violer la LCAP et ses règlements d’application et, le cas échéant, à éliminer ces incitatifs à l’avenir.

Le CRTC a salué le fait que OneClass a volontairement pris ces mesures correctives et participé activement à son enquête. Tel que l’a indiqué le CCCE, ce résultat fait ressortir le fait que « toutes les entreprises doivent veiller à ce que leurs activités commerciales ne compromettent pas la sécurité des Canadiens en ligne ni ne perturbent leurs activités en ligne alors qu’ils participent à l’économie numérique ».

Le CRTC a, en parallèle, récemment mis à jour ses lignes directrices relatives à l’installation de programmes informatiques, fournissant des indications en vue d’assurer la conformité à la LCAP. Cette information est disponible sur le lien suivant : Exigences de la Loi canadienne anti-pourriel concernant l’installation de programmes informatiques. Cette ressource présente des lignes directrices concernant les circonstances où une entreprise peut considérer avoir obtenu un consentement valable et les exigences de divulgation devant être remplies pour que ce processus soit jugé valide. Elle offre aussi de l’information précise concernant les cas où les mises à jour ou les mises à niveau de logiciels sont couvertes par les exigences de la LCAP. Vous pourriez avoir besoin d’autres conseils juridiques pour bien repérer et contourner ces écueils.



Personnes-ressources

Associé
Cochef canadien, Cybersécurité et confidentialité des données, Canada
Associée

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...