INDU Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'industrie, des sciences et de la technologie
|
l |
|
l |
|
TÉMOIGNAGES
Le mardi 17 octobre 2017
[Enregistrement électronique]
[Traduction]
Bonjour à tous. Nous avons quelques minutes de retard, mais nous allons commencer immédiatement.
Nous poursuivons aujourd'hui notre étude sur ce que j'appellerai tout simplement la LCAP, ou législation canadienne anti-pourriel.
Nous accueillons aujourd'hui, à titre personnel, Michael Fekete, associé, Osler, Hoskin & Harcourt LLP; Michael Geist, titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique, Faculté de droit, Université d'Ottawa; et Adam Kardash, avocat, Bureau de la publicité interactive du Canada.
En qualité de représentants d'organisations, nous accueillons David Messer, vice-président, Politiques, de l'Association canadienne de la technologie de l'information et enfin, Deborah Evans, chef associée de la protection des renseignements personnels, Rogers Communications Inc.
Merci à tous d'être venus aujourd'hui. Nous avons une journée chargée et beaucoup de témoins à entendre. Nous allons accorder à chacun d'entre vous environ huit minutes pour présenter vos observations préliminaires, après quoi nous passerons aux questions.
Nous allons commencer par M. Fekete.
J'aimerais commencer par vous remercier tous de nous avoir invités à prendre la parole sur un sujet qui me paraît extrêmement important.
Je copréside, chez Osler, Hoskin & Harcourt, le groupe de la technologie qui conseille une grande variété de clients, des jeunes entreprises du secteur de la technologie aux plus grandes sociétés mondiales. Nous avons constaté, d'une part, que la LCAP est une loi sur laquelle il est difficile de conseiller nos clients et, d'autre part, que nos clients ont de la difficulté à comprendre les exigences de cette loi et à traduire celles-ci dans la réalité du monde des affaires.
Malgré ses intentions fort louables, la LCAP me semble présenter de sérieux défauts. Cela tient vraiment au fait qu'elle est trop complexe, très normative et d'une portée très large. Je pense qu'il est vraiment indispensable de souligner qu'elle contredit d'autres objectifs très importants de politique publique. Je vais en nommer quelques-uns.
La LCAP a accru les risques de cybersécurité, étant donné qu'elle impose des restrictions aux mises à niveau et aux correctifs logiciels qui peuvent être installés pour régler certaines failles et vulnérabilités en matière de sécurité.
D'autre part, la LCAP pénalise les entreprises canadiennes, dont beaucoup exercent dans le secteur de la technologie, entreprises que nous voulons soutenir et voir devenir des acteurs mondiaux, étant donné qu'elle impose un fardeau réglementaire que les entreprises concurrentes n'ont pas à supporter dans les autres marchés.
C'est le cas par exemple de l'installation des programmes informatiques. Une entreprise qui entre en activité au Canada doit respecter dans tous les pays du monde les règles imposées par la LCAP dans toutes les installations qu'elle met à la disposition de ses utilisateurs ou de ses bases installées, alors qu'une entreprise établie aux États-Unis ou dans un autre pays, ne doit respecter ces exigences que pour les ordinateurs qu'elle installe au Canada.
Ce n'est pas un élément anodin. Les règles qui s'appliquent aux logiciels sont assez complexes et particulières. Ce sont des règles typiquement canadiennes que l'on ne retrouve pas dans les lois des autres pays.
Je crois qu'il est juste de dire que la LCAP entraîne des formalités administratives et des coûts d'application inutiles. À une époque où l'on cherche à réduire les formalités administratives, on peut dire que la LCAP va dans la direction opposée. Ce sont les petites entreprises qui font les frais de ces formalités administratives, étant donné qu'elles ont de la difficulté à comprendre les exigences de la loi et à utiliser avec leurs clients les moyens de communication les plus efficaces — soit les communications électroniques.
Par ailleurs, on peut se demander si la LCAP est constitutionnelle. Il est clair qu'elle nuit à la libre-expression. Un tribunal chercherait à savoir si les restrictions sont proportionnelles aux dommages et quel impact minimal elles ont sur le droit d'expression garanti par la Charte.
La portée réglementaire et les règles normatives découlant de la LCAP sont telles qu'il est pratiquement impossible de respecter complètement la loi. Dans de nombreux cas, on peut dire qu'il peut paraître insensé pour une entreprise de respecter les règles dans le contexte de ses activités commerciales quotidiennes.
Je crois que c'est le secteur des programmes d'ordinateur qui nous offre l'exemple le plus frappant. Je suis un avocat spécialiste du secteur technologique. Je travaille en étroite collaboration avec des entreprises technologiques qui s'efforcent de respecter les règles. Je rappelle encore une fois que ces règles sont uniques et qu'aucun autre pays n'a adopté des règles aussi étendues et aussi normatives que celles qu'impose la LCAP.
La véritable question est la suivante. Lorsque ces règles ont été conçues, il n'existait que des ordinateurs et des appareils portables, alors que nous vivons actuellement dans un monde où l'Internet des objets est devenu un mot à la mode. Dans toutes nos activités quotidiennes, nous utilisons toutes sortes d'appareils. Beaucoup de ces appareils ne possèdent pas d'interfaces utilisateurs permettant de demander le consentement de l'utilisateur. De nombreux fabricants d'appareils, d'automobiles, de réfrigérateurs ou de télévisions, n'ont aucun lien direct avec les consommateurs, rendant ainsi difficile l'obtention de leur consentement.
Je peux vous donner d'autres exemples de difficultés pratiques causées par la LCAP. Il faut se demander s'il est raisonnable d'exiger que les entreprises qui vendent exclusivement en ligne — les commerces en ligne — offrent un mécanisme de désabonnement dans les messages transactionnels qu'elles envoient à leurs clients. En vertu des règles découlant de la LCAP, elles doivent inclure un mécanisme de désabonnement dans les messages de confirmation d'une transaction qu'elles envoient à leurs clients.
C'est essentiellement une source de confusion pour les avocats, les entreprises et les consommateurs. Je vous cite cet exemple parce qu'il illustre bien le côté normatif de la LCAP et montre que les règles normatives, quelle que soit l'intention qui a présidé à leur création, n'ont pas nécessairement l'effet attendu.
Prenons l'exemple des messages textes qui limitent le nombre de caractères utilisés. La LCAP exigeant la présentation d'informations de contact, de renseignements sur l'identité et d'un mécanisme de désabonnement, il ne reste pratiquement plus de place dans le message texte pour communiquer avec les consommateurs.
Par ailleurs, il est important de mesurer l'efficacité de la LCAP dans la lutte contre les pourriels, les logiciels espions et les autres menaces en ligne. En vérité, nous disposons de si peu d'informations empiriques qu'il est difficile de montrer les effets, faute de statistiques. On cite souvent un rapport publié en 2015 par la société de sécurité Cloudmark. Cette société a analysé les échanges de courriel au Canada à la suite de l'entrée en vigueur de la LCAP. Il est intéressant de noter que cette analyse a révélé une réduction, mais que celle-ci était due en grande partie à la diminution du nombre de messages envoyés par des compagnies légitimes. Je ne crois pas que telle était l'intention de la loi. Nous voulons encourager les activités numériques et non pas les réduire.
Que pouvons-nous dire encore au sujet de l'efficacité? Nous savons que les courriels hameçons demeurent très courants et que les préoccupations en matière de cybersécurité continuent à augmenter, prenant même l'allure d'une épidémie. Par conséquent, nous savons que la LCAP n'a pas été efficace dans la prévention de ces types de risques. Nous savons aussi que l'application de la loi par le CRTC a visé essentiellement des entreprises légitimes plutôt que les mauvais citoyens, les fraudeurs.
Nous pouvons alors nous demander comment se fait-il que nous soyons rendus là, avec une loi remplie de bonnes intentions qui a eu un effet contestable sur les logiciels espions et les pourriels qu'elle était censée combattre. Rappelons que la loi avait obtenu l'appui général des trois partis. Elle était aussi soutenue par l'industrie, la société civile et les milieux universitaires, étant donné que la lutte contre les pourriels et les logiciels espions est un objectif important. Cependant, je crois qu'on peut reconnaître en toute honnêteté que la loi n'a pas été un succès. De nombreuses plaintes se sont élevées contre la complexité et la normativité de la loi et les difficultés à l'appliquer dans la pratique. Nous voulons une loi qui encourage la participation aux activités commerciales et on ne peut pas dire que la LCAP a facilité celles-ci.
Les trois partis et tous les intervenants ont aujourd'hui l'occasion d'unir leurs forces pour apporter des correctifs. Je vais en mentionner quatre très rapidement.
Le premier consiste à réduire la portée réglementaire de la LCAP. Nous devons nous concentrer sur les pourriels dangereux et les logiciels espions et préciser très clairement qu'il s'agit là de l'intention et du but poursuivi.
Deuxièmement, nous devons nous assurer que la loi contienne une exception prévoyant le consentement implicite significatif. La règle normative qui existe actuellement devrait faire place à plus de souplesse. Comme dans la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, l'approche adoptée en matière de consentement devrait s'appuyer sur une évaluation contextuelle de ce qui paraît raisonnable. Cela ne nuirait en rien aux efforts déployés pour lutter contre le matériel dangereux. Cette approche permettrait au contraire d'accorder la souplesse dont les entreprises ont besoin.
Troisièmement, nous devons réduire le caractère normatif de la loi. Il y a trop de règles normatives pour l'application raisonnable des principes généraux.
Quatrièmement, dans le cas du droit privé d'action, il faudrait accorder le droit d'agir pour poursuivre non pas la personne qui reçoit un message non conforme, mais aux entreprises qui sont en mesure de poursuivre les mauvais sujets, en accordant à celles-ci la possibilité d'appuyer les efforts du CRTC.
Je vous remercie de m'avoir écouté et je me tiens prêt à répondre à vos questions.
Bonjour à tous. Tout d'abord, je tiens à remercier monsieur le président et mesdames et messieurs les membres du Comité de me donner la possibilité de venir témoigner devant eux aujourd'hui.
Je m'appelle Adam Kardash et je représente IAB Canada, une organisation sans but lucratif qui se consacre exclusivement au développement et à la promotion du marketing et de la publicité numériques, secteur en croissance rapide au Canada.
IAB Canada représente plus de 250 intervenants qui comptent parmi les plus connus et les plus respectés du secteur du marketing et de la publicité numériques, y compris des annonceurs, des agences, des éditeurs numériques, des plateformes de médias sociaux et des réseaux publicitaires. Nos membres regroupent de nombreuses petites et moyennes entreprises.
Disons simplement qu'il faut apporter des modifications d'envergure à la LCAP et que les travaux de votre comité sont très importants pour IAB Canada, étant donné que la LCAP a des impacts sur tous nos membres. Notre association professionnelle s'intéresse activement et de près à la LCAP depuis des années. Elle a présenté des mémoires officiels à propos du règlement de la LCAP, a rencontré des fonctionnaires et organisé à l'intention de nos membres, des séances d'information animées par le CRTC.
Les brèves observations préliminaires que je vais présenter ce matin s'appuient sur mon expérience d'avocat pour IAB, ainsi que sur mon expérience personnelle à titre de chef du bureau national d'Osler, Hoskin & Harcourt spécialisé dans la protection de la vie privée. Notre équipe, en collaboration avec le groupe de la technologie dirigé par M. Fekete, s'est vu confier des centaines de mandats concernant la LCAP dans tous les secteurs, en particulier dans celui du marketing et de la publicité numériques.
Au cours des commentaires que je vous présente ce matin, j'ai surtout l'intention d'insister sur le fait que la LCAP avait pour objectif d'augmenter la confiance dans l'écosystème numérique en luttant contre le pollupostage, les logiciels malveillants et autres activités répréhensibles. Or, il est notoire que le cadre réglementaire de la LCAP comporte des anomalies graves et fondamentales sur lesquelles il faut se pencher attentivement et éliminer de manière appropriée, essentiellement en apportant d'importantes modifications à la loi.
Nous proposons au Comité de se pencher sur les trois recommandations suivantes décrivant les changements qu'il est nécessaire d'apporter au régime législatif de la LCAP.
Tout d'abord, nous demandons au Comité, dans le cadre de son examen de la loi, de s'efforcer de réduire la portée exagérée de la LCAP. À notre avis, la portée du cadre de la LCAP est fondamentalement erronée. Au lieu de s'attaquer uniquement aux activités répréhensibles, la LCAP est structurée de manière à réglementer pratiquement toutes les activités de messagerie électronique. La LCAP pourrait être efficace si elle s'appliquait uniquement aux mauvais citoyens ou aux activités flagrantes, au lieu de réglementer des activités de communication pleinement légitimes que personne ne juge indésirables et encore moins comme des messages de pollupostage.
À titre d'exemple, sachez que la LCAP ne réglemente pas uniquement les messages de marketing et de publicité. Comme mon collègue M. Fekete l'a mentionné un peu plus tôt, la loi s'applique même à certains messages administratifs ou transactionnels qui fournissent uniquement des informations factuelles sur un compte, un rappel de produit ou même des précisions en matière de sécurité. Étonnamment, la LCAP exige que de tels messages contiennent un mécanisme de désabonnement ou d'opposition. Cette exigence est une source de grande confusion pour les consommateurs et les entreprises. Personne ne penserait à considérer de tels messages comme des pourriels. Pourtant, les entreprises qui n'offrent pas une option de désabonnement pour ces types de messages administratifs sont techniquement en infraction par rapport à la loi.
Des modifications sont indispensables afin d'exclure expressément du régime réglementaire de la LCAP ces messages ainsi que d'autres types de messages électroniques totalement légitimes. L'immense portée de la LCAP a entraîné la mise en place d'un régime législatif incroyablement et inutilement compliqué puisque les messages électroniques légitimes sont soumis aux exigences en matière de consentement, d'avis et d'options de désabonnement et que la loi prévoit l'imposition de pénalités à moins que les messages visés puissent bénéficier d'une des nombreuses exceptions hautement techniques prévues par le règlement.
D'après ce que nous constatons quotidiennement, l'interprétation et l'examen des dispositions de la LCAP à ce sujet peut être un exercice très long, compliqué et coûteux, surtout pour les petites entreprises.
En outre, il est extrêmement important de clarifier la portée de l'application de la loi à cet égard, même si l'affichage de publicité en ligne n'est pas assujetti aux dispositions de la loi, puisque ces publicités ne sont pas envoyées à une adresse électronique précise. La LCAP ne peut tout simplement pas s'appliquer à la publicité en ligne, car il serait pratiquement impossible pour les organismes du secteur de la publicité en ligne de respecter les exigences normatives de la loi.
À notre avis, il faut hors de tout doute clarifier la portée de la LCAP et il est tout à fait possible de réduire la portée de la LCAP sans pour autant mettre en danger l'objectif initial de la loi qui visait à renforcer la confiance.
Deuxièmement, nous prions le Comité de recommander l'élimination des exigences exagérément normatives et techniques de la LCAP, car elles sont soit ambiguës, soit souvent très difficiles à mettre en pratique et totalement inutiles pour atteindre les objectifs politiques de la loi.
Je vais vous donner un exemple. Lorsqu'un organisme demande un consentement explicite, la LCAP exige tout un éventail d'informations de contact précises et détaillées et une déclaration indiquant la procédure à suivre pour retirer à tout moment le consentement.
Cette exigence peut paraître tout à fait anodine, mais elle est plus stricte que celle qui s'applique au consentement explicite valide en vertu de la Loi sur la protection des renseignements personnels et pose des difficultés pratiques d'application lorsque, par exemple, une entreprise cherche à obtenir un consentement explicite valide par téléphone ou en personne, notamment dans un magasin de détail, auprès d'un client qui se trouve à la caisse.
Il faut supprimer de la loi ces exigences ainsi que les autres obligations inutiles concernant les avis. Ces exigences ne sont pas à l'avantage des consommateurs et il n'y a aucune raison qu'une entreprise soit soumise à l'application de la réglementation, et encore moins à un recours collectif, faute d'avoir respecté une exigence technique pour avoir omis de préciser que le client peut retirer son consentement en tout temps. Cela n'a aucun sens. Ce sont des infractions techniques et totalement négligeables à la loi telle qu'elle est rédigée actuellement.
Nous pressons le Comité de recommander que l'examen de toutes les questions soulevées par la LCAP soit fait au moyen de l'application des dispositions de la LCAP à des scénarios donnés de cas d'utilisation précis.
On ne saurait trop insister sur l'importance de cette suggestion. L'examen de l'impact réel de la LCAP sur les activités légitimes et quotidiennes de messagerie électronique vous montrera — ainsi qu'à ISDE Canada — à partir d'exemples réels, dans une étude au cas par cas, qu'il est absolument indispensable de se pencher sur une myriade de dispositions très difficiles à respecter, ambiguës, techniques et inutiles. L'application des études de cas le démontre clairement.
Troisièmement, nous voulons présenter une recommandation particulière concernant le droit privé d'action. Les membres d'IAB Canada ont accueilli avec soulagement le report de l'entrée en vigueur du droit privé d'action, comme toutes les personnes qui ont tenté de se conformer ou d'aider des entreprises à se conformer à la LCAP.
Je dirais brièvement que, dans leur forme actuelle, les dispositions de la LCAP relatives au droit privé d'action, est la recette parfaite pour provoquer des poursuites inutiles. En raison de sa portée excessive, de ses prescriptions normatives techniques, de son libellé ambigu et du droit de poursuivre sans aucune preuve de dommage, la LCAP aurait réuni tous les ingrédients nécessaires pour entamer une série de recours collectifs, y compris pour des motifs futiles et sans mérite. Or, tous ces recours collectifs coûtent cher aux plaignants.
IAB Canada recommande fortement au Comité d'examiner attentivement le droit privé d'action et d'envisager éventuellement de réduire sa portée afin de le limiter aux recours contre des mauvais citoyens et en cas d'infractions particulièrement néfastes et flagrantes à la loi.
Voilà qui termine mes observations préliminaires. Au nom d'IAB Canada, je vous remercie encore une fois de m'avoir invité à venir témoigner ce matin. Ce sera un plaisir pour moi de répondre à vos questions.
Excellent. Merci beaucoup.
Nous allons maintenant donner la parole à M. Geist.
Vous disposez de huit minutes.
Bonjour. Je m'appelle Michael Geist et je suis professeur de droit à l'Université d'Ottawa où je suis titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique. J'ai été membre du groupe de travail national sur le pollupostage et j'ai comparu devant votre comité au moment de l'élaboration de la LCAP. Comme d'habitude, je comparais à titre personnel et les points de vue que je présente n'engagent que moi-même.
Qu'il s'agisse de combines pour devenir riche rapidement ou pour augmenter la taille de certaines parties de l'anatomie, les pourriels frauduleux ont tous la même caractéristique en ce sens qu'ils font des promesses qui paraissent irréalisables, mais auxquelles les gens veulent souvent malgré tout croire. Au cours des dernières années, nous avons vécu quelque chose de semblable avec la législation anti-pourriel puisqu'il arrive souvent que les calamités annoncées ne se réalisent jamais.
On en trouve un parfait exemple dans l'idée fréquemment évoquée que les dispositions de la LCAP pourraient s'appliquer aux enfants qui s'installent sur le trottoir dans votre quartier pour vendre de la limonade. Essayons un moment d'imaginer le scénario. À l'exception des politiciens, combien d'entre nous connaissons les adresses courriels de tous nos voisins? Combien d'entre nous penseraient à recueillir toutes ces adresses courriels et à envoyer un message à tous leurs voisins pour les aviser que des enfants vendront de la limonade dans la rue? Tout comme le pourriel, il y a une part de vérité — la nécessité d'obtenir le consentement pour envoyer des messages commerciaux — et avec l'imagination, tout s'enflamme. Les tactiques alarmistes anciennes, qui sont même antérieures à la rédaction de la loi, ne sont pas un bon moyen pour évaluer cette loi.
L'évaluation de la LCAP doit nous amener vraiment à poser trois questions: Est-ce que nous faisons face à un danger ou à un risque réel? Est-ce que la LCAP contribue à résoudre le problème? Et même si la réponse aux deux questions précédentes est affirmative, la loi est-elle encore trop exigeante?
Permettez-moi de répondre à ces trois questions.
Tout d'abord, faisons-nous face à un danger ou à un risque réel? Je pense que cela ne fait aucun doute. Je vais prendre trois exemples. Les logiciels malveillants, les logiciels espions et les tentatives d'hameçonnage sont des problèmes de cybersécurité extrêmement sérieux qui sont directement confrontés par la LCAP. Aujourd'hui, de telles actions sont parrainées par des États ou simplement le résultat de manoeuvres criminelles. Prenez le cas des tentatives d'hameçonnage qui ont permis, au cours des dernières élections américaines, d'avoir accès à des milliers de courriels du DNC, manoeuvres frauduleuses qui ont peut-être changé le cours de l'histoire politique des États-Unis; ou les attaques massives de logiciels malveillants comme WannaCry qui ont touché des millions de personnes, causé des dommages de plusieurs millions ou même de milliards de dollars et mis à risque les systèmes informatiques des hôpitaux et des banques. Nous avons besoin de lois efficaces pour barrer la route à ces menaces qui relèvent sans conteste du régime de la LCAP.
Deuxièmement, je pense que nous reconnaissons tous l'importance du commerce électronique. Le succès du commerce électronique repose sur la confiance. Nous espérons que les informations que nous fournissons seront utilisées de la manière appropriée et que les vendeurs en ligne livreront la marchandise tel que prévu. Les préoccupations que soulèvent les pourriels frauduleux vont bien au-delà des préjudices que ressentent les victimes de ces messages. En effet, c'est le succès potentiel de toutes les activités de commerce électronique qui sont en jeu, car les messages frauduleux minent la confiance en général.
Troisièmement, le public prend de plus en plus conscience qu'il faut protéger les renseignements personnels et s'inquiète de l'utilisation qui en est faite. Nos principaux partenaires commerciaux, en particulier l'Union européenne, ont tenté de répondre à ces préoccupations en adoptant des lois sévères. La LCAP n'est pas distincte de la LPRPDE; elle fait partie intégrante de la réaction législative face au risque d'une mauvaise utilisation des renseignements personnels. La nécessité d'obtenir le consentement éclairé qui est au coeur de la loi, est une norme dont l'application est attendue depuis longtemps.
Comment le système fonctionne-t-il? Je dirais pour commencer qu'il ne recueille pas suffisamment de données. Je pense que les fonctionnaires commettent une erreur grave en omettant de recueillir des données complètes. Ils auraient dû collaborer avec le centre de recherche sur le pollupostage, les fournisseurs de service Internet et de courriel, ainsi que les organismes d'application de la loi, afin de recueillir des données. La nécessité de recueillir des données plus nombreuses nous rappelle que le travail des décideurs politiques ne s'achève pas à la fin du processus législatif. Il existe cependant plusieurs études et rapports qui fournissent des données précieuses sur les effets de la LCAP.
Me Fekete a déjà évoqué devant le Comité l'étude réalisée par Cloudmark en 2015 qui a révélé une importante diminution des pourriels, soit une réduction de 29 % des courriels destinés aux boîtes de réception canadiennes et une chute de 37 % des pourriels en provenance du Canada. Je serais heureux d'expliquer pourquoi cela me paraît être un élément positif.
Par ailleurs, un des problèmes centraux que rencontraient les mesures anti-pourriel au Canada avant l'adoption de la LCAP était notre incapacité à collaborer activement avec d'autres mesures d'application à l'échelle internationale. Notre groupe de travail s'est fait dire que le Canada risquait de devenir un paradis du pourriel s'il ne disposait pas d'une loi comparable de lutte contre le pollupostage, sans la capacité légale d'aider des pays partenaires dans des enquêtes et dans le cadre de mesures d'application. La LCAP a indubitablement réglé cette question, faisant en sorte que le Canada n'est plus seul dans sa lutte contre les pourriels. Nous avons conclu des ententes internationales d'application avec quatre pays et signé des protocoles d'entente avec 12 organismes dans huit pays. Mais surtout, il y a la liste ROKSO, le « register of known spamming organizations », tenu à jour par l'organisme Spamhaus — dont je ne pense pas que le Comité ait déjà eu connaissance. La liste ROKSO énumère les 100 plus grandes organisations pratiquant le pollupostage, qui sont à l'origine de 80 % de tous les pourriels diffusés dans le monde. Je vous avoue que l'existence de cette liste a été une surprise pour moi ainsi que pour beaucoup d'autres membres du groupe de travail sur les pourriels car elle confirme, de façon assez surprenante, je crois, que nous savons vraiment où se trouvent les principales sources de pollupostage.
En outre, nous avons appris que le Canada abrite un certain nombre de ces polluposteurs.
Lorsque la LCAP est entrée en vigueur en 2014, le Canada abritait une quantité disproportionnée d'organisations de pollupostage du monde, puisque sept des plus grandes d'entre elles étaient établies au Canada. Aujourd'hui, trois ans plus tard, il n'y en a plus que deux. Le déclin des grandes organisations de pollupostage au Canada s'explique peut-être par plusieurs facteurs, mais l'existence d'une législation anti-pourriel sévère qui impose des pénalités réelles, est certainement l'un d'entre eux.
Ces données confirment l'efficacité de la LCAP et, à ce titre, il faudrait rappeler que l'objectif de la loi n'a jamais été d'éliminer tous les messages pourriels. Aucune loi ne peut y parvenir, de la même manière qu'aucune technologie ne peut éliminer les pourriels ou nous protéger complètement des logiciels malveillants ou espions, et des tentatives d'hameçonnage. L'objectif de la loi était plutôt de réduire le pourriel en provenance du Canada, en espérant que d'autres pays feraient eux aussi leur part. À cet égard, la loi a été un succès.
Enfin, la loi a-t-elle une trop grande portée? Je dois dire que les plaintes à l'encontre de la LCAP m'ont toujours paru un peu étranges. Elles visent généralement les nombreuses exceptions de la loi, prétendant qu'elles sont trop étroites, restrictives ou difficiles à interpréter. La véritable étroitesse vient souvent des interprétations qui ont été fournies.
Prenons l'exemple des organismes de bienfaisance. Le ministre Navdeep Bains d'ISDE a déclaré ce qui suit dans un communiqué annonçant la décision de reporter la mesure concernant le droit privé d'action: « [...] les entreprises, les organismes de bienfaisance et les groupes sans but lucratif du Canada ne devraient pas porter le fardeau imposé par des tracasseries administratives et des coûts de conformité à la loi inutiles. » En revanche, le règlement pris en vertu de la LCAP précise que l'article 6 de la loi ne s'applique pas aux messages électroniques commerciaux qui sont envoyés par un organisme caritatif ou en son nom et dont l'objectif principal est de récolter des fonds pour l'organisme de bienfaisance. Autrement dit, la loi fait déjà une généreuse exception pour les organismes de bienfaisance.
De même, d'autres personnes sont venues vanter devant le Comité la prétendue nécessité de faire une exception pour le commerce électronique entre entreprises, alors que la loi précise déjà que cet article ne s'applique pas à un message électronique commercial envoyé à une personne prenant part à une activité commerciale et consistant uniquement à faire une demande en rapport avec cette activité. Les messages électroniques commerciaux légitimes entre des entreprises bénéficient d'une exemption.
Je pense même que cet intérêt particulier pour les exceptions n'a pas lieu d'être. Les entreprises se prévalent des exceptions lorsqu'elles ne veulent pas se soumettre à l'obligation fondamentale prescrite par la loi: le consentement. La loi est claire: dès lors qu'une entreprise obtient le consentement éclairé, elle n'a plus à chercher une exception pour exercer ses activités. Les gens qui se plaignent des exceptions étroites ou qui réclament un plus grand nombre d'exceptions, veulent en fait utiliser les renseignements personnels sans obtenir le consentement éclairé, grâce à l'application d'une exception. Cela me semble être une mauvaise politique et une mauvaise attitude pour la protection de la vie privée.
En conclusion, cela ne signifie pas que la loi ne peut être améliorée. Nous avons besoin de meilleures données; nous avons besoin de mieux faire connaître le Centre de notification des pourriels; nous avons besoin d'organismes chargés de communiquer plus directement avec les entreprises afin d'expliquer les exigences véritables de la loi; nous avons besoin d'une meilleure application, y compris celle des mesures relatives au droit privé d'action. Je dirais que nous avons besoin d'une loi anti-pourriel sévère qui comporte de réelles sanctions, une loi fondée sur le consentement éclairé, afin de barrer la route à une menace tout à fait réelle. Cette loi, c'est la LCAP.
Je suis prêt à répondre à vos questions.
Je remercie le président et les membres du Comité de m'avoir invité à venir témoigner aujourd'hui.
Je représente l'Association canadienne de la technologie de l'information. L'ACTI est l'organe national représentant le secteur de la technologie de l'information et des communications au Canada. Le Canada compte plus de 37 000 entreprises de technologie de l'information et des communications, un secteur qui emploie près de 600 000 travailleurs et travailleuses canadiens.
Le secteur de la technologie de l'information et des communications est bien placé pour offrir des commentaires sur la LCAP. Il regroupe en effet des entreprises de télécommunications, de service en ligne et de TI qui sont en première ligne pour lutter contre les pourriels et les logiciels espions, mais dont les activités les amènent parallèlement à faire abondamment usage de messages électroniques et de programmes informatiques.
La loi sur laquelle nous nous penchons est communément appelée la Loi canadienne anti-pourriel ou LCAP, mais il est important de rappeler l'objet précis de la Loi, tel que précisé par l'article 3:
la présente loi a pour objet de promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation des pratiques commerciales qui découragent l'exercice des activités commerciales par voie électronique pour les raisons suivantes:
a) elles nuisent à l'accessibilité, à la fiabilité, à l'efficience et à l'utilisation optimale des moyens de communication électronique dans le cadre des activités commerciales;
b) elles entraînent des coûts supplémentaires pour les entreprises et les consommateurs;
c) elles compromettent la protection de la vie privée et la sécurité des renseignements confidentiels;
d) elles minent la confiance des Canadiens quant à l'utilisation des moyens de communication électronique pour l'exercice de leurs activités commerciales au Canada et à l'étranger.
Bien sûr, la lutte contre les pourriels compte parmi les objectifs de la Loi, mais son objectif central est véritablement la promotion de l'économie numérique et l'encouragement des entreprises et des consommateurs qui optent pour l'électronique dans le domaine des communications et du commerce.
L'idée est d'éliminer les éléments indésirables afin de faciliter les communications et le commerce et les rendre plus sûrs pour tous. Les intérêts de l'industrie de la TIC sont tout à fait dans la même ligne que ces objectifs de politique publique. Cependant, les preuves objectives que la LCAP a entraîné un déclin des formes malveillantes de pourriels ou une augmentation de la confiance dans le commerce électronique ne sont pas très nombreuses jusqu'à présent. Nous savons que les courriels hameçons, les logiciels rançonneurs et autres cybermenaces demeurent très présents et nous savons que l'application de la LCAP par le CRTC a touché en grande partie des entreprises légitimes plutôt que de s'attaquer de façon ciblée aux activités des véritables auteurs de pourriels malveillants et autres mauvais citoyens. Nous savons également que la LCAP a imposé d'importants coûts administratifs aux entreprises de tout le pays.
La LCAP est complexe et manque de clarté, contient des règles très normatives, prévoit de lourdes amendes et une application agressive de la part du CRTC. Des organisations de toutes tailles doivent déployer des ressources considérables pour tenter de comprendre les règles et s'y conformer. La LCAP est si complexe qu'elle a donné naissance à tout un secteur de consultation à son sujet, une conséquence certainement imprévue de la Loi.
La confusion entraîne une aversion pour le risque et nos membres ont constaté que la LCAP décourage les entreprises canadiennes d'innover ou d'adopter les nouvelles technologies. Les mesures d'application prises par le CRTC ne font qu'aggraver cette aversion qui paralyse l'industrie sans offrir un guide utile pour permettre aux autres entreprises d'éviter les mêmes erreurs.
Par ailleurs, les dispositions souvent négligées concernant les programmes informatiques ont engendré des risques pour les consommateurs en dissuadant les entreprises d'installer des mises à jour pour se protéger contre les nouvelles menaces en matière de cybersécurité. Le règlement comporte des exceptions limitées concernant la présomption de consentement, mais ces dernières ne vont pas assez loin et finissent par miner l'objectif de la Loi qui vise justement à augmenter la sécurité des consommateurs.
Les dispositions concernant les logiciels sont particulièrement difficiles à appliquer quand on considère l'avènement rapide de l'Internet des objets, comme l'a mentionné Michael. Beaucoup d'appareils équipés de logiciels de commande que nous accueillons dans nos foyers et nos lieux de travail, n'ont pas d'interfaces utilisateurs et les sociétés internationales qui les conçoivent et les vendent n'ont souvent aucun lien direct avec le consommateur, rendant ainsi extrêmement difficile la conformité avec les dispositions de la LCAP.
Afin de répondre aux conséquences imprévues de la LCAP et de faciliter l'atteinte des objectifs énoncés dans la Loi, l'ACTI propose cinq thèmes de réflexion pour aider à définir les modifications à apporter à la Loi.
Premièrement, on a justifié l'adoption de la LCAP par la nécessité de cibler les pourriels trompeurs et causant des préjudices, les logiciels espions, les programmes malveillants et autres menaces. La modification de la LCAP pour faire en sorte que la Loi ne cible que ces activités nuisibles contribuerait beaucoup à la réduction des effets imprévus de la LCAP. Cela pourrait se faire en resserrant les définitions de trois termes: programme d'ordinateur, message électronique commercial et adresse électronique. Le mémoire que présentera l'ACTI présentera plus en détail les propositions concernant la façon dont il serait possible, selon nous, de resserrer ces définitions.
Deuxièmement, il faudrait élargir les circonstances dans lesquelles le consentement explicite n'est pas requis. La LCAP contient des règles normatives sur le consentement explicite et des exceptions étroitement définies. Cette combinaison entraîne une complexité et une rigidité qui rendent l'observation de la Loi particulièrement difficile et coûteuse par comparaison aux lois anti-pourriel d'autres pays comme les États-Unis ou l'Australie. La modification de la LCAP en vue d'inclure un principe de consentement implicite, comme dans la Loi canadienne sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, contribuerait à éliminer le fardeau réglementaire inutile créé par la LCAP.
Troisièmement, il faudrait rendre la LCAP moins complexe et moins rigide. Les entreprises canadiennes ne devraient pas avoir à faire appel à un avocat pour s'assurer qu'elles respectent bien la LCAP. Les règles excessivement normatives de la LCAP, y compris celles qui concernent les demandes de consentement et le contenu des messages, devraient être remplacées par des principes généraux semblables à ceux de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques. En suivant l'approche retenue par la LPRPDE, les entreprises seraient en mesure d'innover dans leur façon de communiquer des informations précises à leurs clients et le CRTC, le Commissariat à la protection de la vie privée et le Bureau de la concurrence du Canada disposeraient ainsi de la latitude nécessaire pour offrir des conseils.
Quatrièmement, il faudrait modifier la LCAP pour que les entreprises canadiennes soient sur un pied d'égalité avec leurs concurrents des autres pays. La disposition de la LCAP concernant les programmes d'ordinateur ne devrait pas s'appliquer, par exemple, aux programmes installés dans des appareils en service dans d'autres pays, dans la mesure où cette installation ne va pas à l'encontre de la loi de ce pays. En outre, il faudrait réduire les formalités administratives et le fardeau réglementaire qu'entraînent les règles normatives de la LCAP et, lorsque cela s'avère approprié, harmoniser l'approche canadienne avec celle des autres pays.
Enfin, tel que mentionné précédemment, le droit privé d'action qui combine un large droit d'agir pour poursuivre et des dommages-intérêts d'origine législative, fournit les conditions idéales pour la présentation de recours collectifs futiles contre des entreprises légitimes. Le ministre Bains a fait preuve de beaucoup de sagesse lorsqu'il a décidé de reporter l'entrée en vigueur de ce droit, un peu plus tôt cet été. Afin d'éviter des coûts importants pour le système judiciaire ainsi que pour l'industrie, il faudrait abroger le droit privé d'action ou tout au moins en limiter l'accès aux organisations telles que les réseaux et les fournisseurs d'accès Internet qui absorbent les coûts directs des pourriels, des logiciels espions et des autres menaces en ligne.
Merci. Je suis prêt à répondre à vos questions.
Merci, monsieur le président.
Je m'appelle Deborah Evans et je suis chef associée de la Direction de la protection des renseignements personnels de Rogers Communications. Je me réjouis d'avoir l'occasion de me présenter devant le Comité et d'apporter ma contribution à l'examen de la législation canadienne anti-pourriel
Certes, la LCAP a amélioré la protection des consommateurs, mais elle n'est pas parfaite. Le présent examen constitue une excellente occasion de veiller à ce que la législation donne plus de certitude aux consommateurs et aux entreprises en ce qui a trait à l'interprétation de la LCAP.
Si l'on songe aux trois dernières années, certaines dispositions auraient avantage à être clarifiées. Rogers souhaiterait plus précisément que les trois modifications suivantes soient apportées: renforcer l'application des sanctions administratives pécuniaires et veiller à leur proportionnalité, réduire l'ambiguïté du contenu et de la formulation de la Loi, et éliminer le droit privé d'action.
La structure actuelle de la LCAP permet au CRTC de faire observer la Loi au moyen d'un éventail de recours, notamment l'utilisation de sanctions administratives pécuniaires. Bien que nous reconnaissions les avantages de faire respecter la Loi par des sanctions dans les cas graves, le processus actuel se déroule non sans difficulté. Par exemple, toutes les entreprises des secteurs public et privé sont aux prises avec des erreurs des systèmes d'information. Le plus souvent, si les clients sont touchés, ils avisent directement les entreprises, mais ils se plaignent parfois au Centre de notification des pourriels du CRTC.
Au cours de l'examen par le Comité, il a été mentionné que des lettres d'avertissement sont fréquemment envoyées pour des violations qui demandent des mesures correctives. Cela n'a pas été le cas pour Rogers à l'occasion d'une enquête relative à la LCAP. Nous n'avons reçu aucun avertissement.
Rogers est une entreprise canadienne bien établie. Nous disposons de systèmes et de processus pour nous assurer de respecter toutes les lois et tous les règlements applicables. Nous avons néanmoins fait l'objet d'une enquête et il nous a fallu signer un engagement auquel un important paiement était lié. Cet engagement a été exigé même si Rogers, avant l'enquête, avait trouvé et résolu les erreurs mineures touchant nos clients. La LCAP ne nous accordait pas le droit à un processus de résolution anticipé avant que l'enquête n'ait lieu et que la pénalité soit imposée, contrairement à ce que l'on observe au Commissariat à la protection de la vie privée, au Conseil des normes canadiennes de la publicité et à l'Office des transports du Canada.
Lorsqu'il applique des sanctions et qu'il détermine les SAP, le CRTC tient compte de l'historique des violations et de la capacité de payer. Nous recommandons la révision de cette façon de faire et que les sanctions reflètent la gravité de l'infraction, non pas la capacité de payer. Pour une première violation, si l'acte de non-conformité de l'organisation découle d'une erreur des systèmes d'information, le CRTC devrait toujours envoyer une lettre d'avertissement ou émettre un avis de violation. Ce serait là une façon plus appropriée de lutter contre les infractions faites par inadvertance.
Si d'autres violations suivent, il devrait y avoir un cadre établi pour déterminer l'amende proportionnellement à la violation. Les SAP augmenteraient donc en fonction de la gravité et de la fréquence des infractions. La distribution d'un logiciel malveillant, par exemple, entraînerait une sanction beaucoup plus élevée que l'envoi d'un message électronique commercial auquel il manque un champ obligatoire. Pour toute violation ultérieure de même nature, le montant des amendes pourrait augmenter. La vaste majorité des entreprises canadiennes veut se conformer à la législation. Malheureusement, en raison de la formulation incertaine de la LCAP, bon nombre d'entreprises ont fait usage d'une approche exagérément prudente dans leurs communications avec les clients afin d'éviter de faire l'objet de sanctions. À cela s'ajoutent l'incertitude entourant l'application de SAP et la nature hautement punitive de l'amende maximale.
L'examen de la Loi, selon l'expérience de Rogers, est l'occasion d'établir des orientations claires et de supprimer l'ambiguïté de la formulation. Lors du présent examen, nous avons entendu des témoins souligner leurs préoccupations au sujet du manque de clarté dans la définition des messages électroniques commerciaux et des programmes informatiques. Nous appuyons ces positions. Par ailleurs, il y a aussi d'autres domaines au sujet desquels la Loi pourrait être plus claire pour les entreprises. Nous donnons comme exemple la formulation actuelle du paragraphe 6(6) qui énonce que les courriels d'avis, par exemple un message indiquant à un client que son appareil est en itinérance, sont exemptés des exigences de consentement. En revanche, ces courriels doivent présenter un mécanisme de désabonnement. Il n'y a aucune raison qu'une loi créée dans le but de réglementer des activités commerciales de nature électronique s'applique à des messages dont la nature n'est pas commerciale. Ces messages d'avis ne correspondent pas à la définition d'un message électronique commercial tel que prévu par la Loi et ne devraient pas être assujettis aux exigences de consentement ou de forme.
Nous recommandons de supprimer le paragraphe 6(6) de la Loi afin de limiter la portée de la LCAP aux messages électroniques commerciaux. Le CRTC devrait aussi réaliser du matériel d'orientation pour mieux définir les messages électroniques qui ne sont pas commerciaux. Il faudrait en outre mettre à jour la définition d'adresse électronique. Nous vivons à une époque qui voit l'avènement de nouvelles technologies et de percées numériques. La définition trop vague d'adresse électronique ajoute un autre niveau de complexité pour les entreprises canadiennes.
Nous recommandons de formuler une définition claire et précise de l'adresse électronique. Il faudrait en particulier retirer la référence à « tout autre compte similaire ». Nous recommandons par ailleurs de publier du matériel d'orientation indiquant ce qui est exclu de cette définition.
Nous appuyons la décision du ministre Bains de suspendre le droit privé d'action. Il n'est pas nécessaire et ne représente pas une réponse appropriée à l'objectif déclaré de la LCAP, soit une protection accrue des consommateurs. Les trois agences chargées de faire observer la Loi offrent suffisamment de protection aux consommateurs. Le droit privé d'action permet à toute personne touchée par une infraction alléguée d'intenter des poursuites pour dommages de fait allant jusqu'à 1 million de dollars pour violation, sans avoir à démontrer le préjudice.
À l'heure actuelle, le droit privé d'action est susceptible de créer un environnement qui encourage les consommateurs à intenter des poursuites contre des entreprises canadiennes qui pourraient n'avoir eu qu'un problème involontaire de système d'information, au lieu de viser des polluposteurs dont beaucoup mènent leurs activités à l'extérieur du Canada. Rogers est favorable à la suppression du droit privé d'action de la LCAP. Ce droit crée un environnement de poursuites futiles et ne fait pas un usage efficace des tribunaux du pays.
Comme a pu l'entendre le Comité, la plupart des entreprises canadiennes veulent se conformer à la LCAP. Elles sont bien intentionnées et ne devraient pas être associées aux entreprises qui transgressent la Loi de façon délibérée et malveillante. Si le droit privé d'action est maintenu, le gouvernement doit s'assurer qu'il est suffisamment précis pour cibler les personnes et les entreprises qui agissent volontairement en marge de la Loi.
En résumé, nous proposons ce qui suit: les délinquants primaires devraient recevoir des lettres d'avertissement si la violation découle d'une erreur non intentionnelle; les sanctions devraient se baser sur un cadre de proportionnalité qui prévoit d'augmenter les amendes en fonction de la gravité et de la fréquence de l'infraction; le retrait du paragraphe 6(6) afin de limiter la portée de la LCAP aux messages électroniques commerciaux; la mise à jour de la définition d'adresse électronique pour en retirer la référence à « tout autre compte similaire »; le retrait du droit privé d'action puisqu'il n'est pas nécessaire.
Je vous remercie de m'avoir donné l'occasion de participer à cet examen. C'est avec plaisir que je répondrai à vos questions.
Merci beaucoup.
Nous allons passer tout de suite aux questions, en commençant par M. Jowhari.
Vous disposez de sept minutes.
Merci, monsieur le président.
Je vais partager mon temps de parole avec M. Longfield.
Bonjour et bienvenue. C'est bon de revoir des visages familiers.
Dans ma circonscription de Richmond Hill, on compte environ 8 000 petites entreprises. La majorité d'entre elles emploient de quatre à cinq personnes. Elles utilisent les moyens électroniques pour communiquer avec leur clientèle. Certaines d'entre elles font du commerce électronique interentreprises. Elles se concentrent sur l'acquisition de compétences afin d'augmenter leur capacité d'innovation et atteindre ainsi leurs objectifs commerciaux.
Mises à part l'extrême complexité et la très grande portée de la Loi, vous avez dit que la question du consentement demeure, qu'il faut définir le consentement, la façon dont il est exprimé, dont il est demandé et reçu.
Je comprends aussi le droit privé d'action, mais plusieurs d'entre vous ont affirmé que la LCAP dans sa forme actuelle nuit à l'innovation. Vous avez mentionné en particulier l'Internet des objets et l'intelligence artificielle. En une minute et demie, le temps qu'il me reste, pouvez-vous nous dire quels sont les aspects précis de l'Internet des objets qui empêchent l'innovation et comment cela est-il possible? Cette question est vraiment importante pour les petites entreprises de ma circonscription.
David, voulez-vous répondre?
Certainement, je peux toujours commencer. D'après les entreprises, petites et très grandes, que regroupe notre association, je dirais que la Loi empêche l'innovation parce qu'elle crée de la confusion et que les gens ne savent pas quoi faire. Ce n'est pas le tout d'avoir une idée brillante, il faut encore se demander si on a le droit de l'appliquer. Les exigences sont si complexes et les exceptions si nombreuses, sans parler des détails ici et là, que les entreprises ne savent plus quoi faire.
Hier, par exemple, j'étais en communication avec une très grande société. Les dirigeants voulaient faire parvenir un message texte à leurs clients au sujet des incendies dans l'Ouest afin de solliciter des dons et proposer d'en doubler le montant. Ils voulaient procéder très rapidement afin de faire parvenir les dons à la Croix-Rouge, mais cette initiative a été bloquée à l'interne, parce que quelqu'un s'est demandé si cette initiative était conforme à la LCAP.
Les entreprises sont moins enclines à prendre des mesures novatrices et à changer leur façon de faire des affaires. Elles doivent s'arrêter et réfléchir, ce qui les amène à abandonner les activités novatrices.
À tout le moins, l'Internet des objets est un secteur dans lequel nous avons particulièrement besoin de règles plus strictes en matière de protection de la vie privée et une connaissance précise de la façon dont les données recueillies sur nous sont utilisées. Voyons de quoi il s'agit.
Si nous accordons aux entreprises le droit de recueillir des données par l'intermédiaire de nos machines à café, réfrigérateurs ou autres appareils intelligents, la nécessité d'obtenir une plus grande souplesse et le consentement... Pendant des années, la Loi autorisait cette souplesse et ce consentement et les consommateurs consentaient sans le savoir vraiment à certaines pratiques.
Si nous voulons encourager l'innovation et l'acceptation de ces nouvelles technologies par les consommateurs, ces derniers doivent savoir quand les données sont recueillies et comment elles sont utilisées et cela s'applique également aux messages envoyés de part et d'autre.
Merci. C'est très généreux de votre part.
Merci à tous. Les opinions sont très variées. Évidemment, c'est excellent d'avoir un bon équilibre des points de vue, lorsque nous travaillons à notre rapport.
J'aimerais me concentrer sur la partie technique afin de savoir si nous avons besoin d'une loi ou si la technologie dispose de solutions qui nous permettraient d'atteindre le même but que la Loi.
Monsieur Messer, votre groupe appartient au secteur de la technologie. Pouvez-vous nous expliquer comment la technologie progresse, au Canada ou à l'étranger, et permet de bloquer les pourriels ou les messages indésirables?
Certainement.
La plupart d'entre nous sont en mesure de constater que les filtres à pourriels et les mécanismes de cybersécurité de nos boîtes de réception, mis en place par les FAI, les fournisseurs et les programmes de courriels, se sont beaucoup améliorés, surtout depuis une dizaine d'années. Ces améliorations sont rendues possibles grâce à des technologies comme l'intelligence artificielle appliquée à la cybersécurité. À l'avenir, nos boîtes de réception seront plus sûres grâce aux avancées technologiques.
Bien.
Madame Evans, puisque nous parlons des fournisseurs d'accès Internet, les changements dans le secteur des communications, les nouvelles technologies, sont des sujets que nous avons abordés ensemble avant de commencer cette étude. Les messages textes ne sont pas nouveaux, mais relativement récents. Je viens de constater que j'ai reçu 25 messages textes de différentes adresses aux États-Unis sur mon téléphone cellulaire parlementaire. Je sais que je n'ai pas d'électeurs aux États-Unis et je ne veux pas recevoir ces messages. Est-ce que nos fournisseurs d'accès Internet peuvent traiter ces messages textes et les intercepter? Ils ne peuvent certainement pas poursuivre les expéditeurs.
Non, en effet. Beaucoup de fournisseurs d'accès Internet et de services de télécommunications ont installé des filtres à pourriels sur leur réseau afin de tenter de repérer les mots clés qui permettent de bloquer les pourriels. Évidemment, le système n'est pas parfait et les polluposteurs qui cherchent vraiment à vous atteindre pour réaliser leurs funestes visées, sont prompts à réagir et à contourner les barrages.
Je vais vous donner un autre exemple qui n'est pas lié à la LCAP, mais aux arnaques téléphoniques. Nous avons mis en place un dispositif pour éliminer un numéro de téléphone qui a servi à une arnaque, mais les polluposteurs s'en sont aperçus et ont pris un autre numéro. Ils réagissent vite et nous devons être aussi rapides qu'eux.
Sur le plan commercial, vous devez vous aussi être à la pointe de la technique afin de soutenir la concurrence avec les autres FAI.
Je me demande qui est le fournisseur de mon service de téléphone cellulaire.
Monsieur Fekete, avec le peu de temps qu'il me reste, je vais me contenter de vous remercier de contribuer à l'équilibre des points de vue. En tant qu'ancien président d'une chambre de commerce, j'en suis au même point qu'il y a quelques années à m'interroger sur l'efficacité de l'exercice auquel nous nous livrons actuellement.
Merci.
[Traduction]
Merci beaucoup.
Ma première question s'adresse à David Messer.
Sur votre site Web, vous affirmez que votre organisation encourage le développement d'une économie numérique robuste et durable au Canada. La Loi actuelle permet-elle l'émergence d'une économie numérique robuste et durable au Canada?
Si nous voulons que notre économie numérique soit florissante et plus forte, nous devons faire en sorte qu'elle soit au même niveau que celle de nos concurrents. Comme l'a fait remarquer Michael, les dispositions canadiennes en matière de logiciel sont aberrantes par rapport à celles des autres pays du monde. Les dispositions de la LCAP sont totalement différentes de celles de la loi américaine CAN-SPAM qui s'appuie beaucoup plus sur des principes.
Si nous voulons bâtir une économie numérique robuste, nous devons entrer en communication avec le monde et non pas étouffer nos entreprises avec l'application d'exigences strictes et inutiles; nous devons collaborer avec des organisations comme l'OCDE, l'APEC et le G20, afin de promouvoir l'interopérabilité là où c'est possible, parce que le secteur de la TIC est vraiment le plus mondialisé de la planète.
J'aimerais ajouter que la loi américaine CAN-SPAM est très bien nommée, puisqu'on peut interpréter son titre comme un feu vert aux pourriels.
La réalité est que le groupe de travail a eu l'occasion de s'intéresser à d'autres législations. L'idée que le Canada devrait imiter une loi qui est reconnue à l'échelle universelle comme inefficace me pose véritablement problème.
On voit au contraire que les pays adoptent des règles plus strictes. L'Australie, par exemple, prenant conscience du problème que posaient les pourriels à l'échelle nationale, a adopté des règles anti-pourriels plus fermes. Très rapidement, l'Australie a constaté, à l'instar des grandes organisations anti-pourriels, que les polluposteurs ont quitté l'Australie étant donné que les sanctions étaient si sévères qu'il ne valait pas la peine pour eux de poursuivre leurs activités.
Si l'on doute encore de l'utilité de renforcer ce type de règles, il suffit de voir ce qui se passe dans l'Union européenne avec le RGPD, un règlement qui impose des règles beaucoup plus sévères en matière de protection de la vie privée, non seulement dans l'Union européenne, mais dans le monde entier.
Je ne prétends pas que le Canada devrait affaiblir ses règles ou opter pour le plus petit commun dénominateur. Nous devrions trouver des façons de collaborer avec nos alliés et avec les autres pays afin de promouvoir l'interopérabilité pour que les entreprises canadiennes ne soient pas inutilement pénalisées.
Certainement. Je reconnais avec Michael que nous avons besoin de règles de confidentialité plus strictes en matière de collecte de données, et nous avons une loi fédérale sur la protection des renseignements personnels qui impose une norme très claire sur les façons de procéder en s'appuyant sur des principes et une approche souple selon les recommandations claires fournies par notre commissaire.
À propos des dispositions concernant les programmes d'ordinateur, Michael a raison de dire qu'ils permettent parfois la collecte de données personnelles, mais ce type de collecte est déjà régi par la LPRPDE. Il arrive souvent que les mises à jour des programmes informatiques ne donnent pas lieu à la collecte de renseignements personnels. Dans ces cas particuliers, il faut respecter des règles très normatives qui ne correspondent pas à celles qui s'appliquent dans d'autres pays. Si vous voulez savoir dans quel secteur le Canada décourage l'innovation chez les entreprises canadiennes, il vous suffit d'étudier attentivement les règles qui s'appliquent aux programmes informatiques et de vous demander pourquoi aucun autre pays n'a imité notre approche.
J'ai une question pour Mme Evans.
Avez-vous une idée des coûts que doit assumer Rogers pour se conformer à la Loi? Quels sont les coûts encourus par l'entreprise en termes de main-d'oeuvre et de base de données? Pouvez-vous nous expliquer ce que vous faites pour vous assurer de respecter complètement la Loi?
Nous avons mis en place un programme très solide de conformité qui suit les recommandations du CRTC.
Pour ce qui est des employés, tous ceux qui sont chargés d'envoyer des messages électroniques commerciaux sont pleinement conscients qu'ils doivent respecter les exigences de la LCAP. Ils savent ce qu'il faut faire pour respecter la Loi. Chaque année, ils reçoivent une solide formation consacrée aux obligations de conformité. S'ils ont besoin d'aide, ils peuvent faire appel à divers outils et documents de travail.
Nous disposons d'une base de données centralisée. Nous avons mis sur pied un centre de préférence en ligne où nos clients peuvent gérer eux-mêmes leurs communications avec nous selon les types de communications et leurs secteurs d'activités. Je ne peux pas évaluer les coûts de manière précise, mais c'est quelque chose qui fait partie de notre culture d'entreprise.
Merci à tous d'être venus aujourd'hui. Je remercie également votre personnel qui vous a aidés à préparer votre intervention aujourd'hui. Je sais que c'est beaucoup de travail.
Il y a plusieurs choses que j'aimerais clarifier. En préparation à cette réunion, nous avons entendu plusieurs exposés. Je vais vous lire quelques-unes des observations que nous avons entendues.
M. Scott Smith, de la Chambre de commerce du Canada, a indiqué dans son exposé que « ... 92,6 % du volume de courriels mondial était constitué de pourriels en 2008. En 2015, ce nombre avait diminué à 54 % ».
Dans un autre exposé présenté au nom du Centre pour la défense de l'intérêt public, M. Lawford a déclaré: « Selon un rapport du printemps 2015, le volume de pourriels en provenance du Canada a chuté de 37 %, et le volume total des courriels reçus par les Canadiens, qui englobe les pourriels et les messages légitimes, a également chuté d'environ 30 % immédiatement après l'entrée en vigueur de la LCAP le 1er juillet 2014. »
Plusieurs d'entre vous ont affirmé que la Loi n'avait eu aucun effet dans ce domaine. Est-ce que vous pouvez citer des rapports ou des statistiques qui confirment ces déclarations?
Je ne peux guère, à ce sujet, que vous répéter ce que je vous ai déjà dit dans mes commentaires préliminaires. Pour être honnête avec vous, ce que je trouve de plus parlant est de rappeler que, à une époque, le Canada servait d’abri à d’importantes organisations responsables, collectivement, de l’envoi de plus de 80 % des pourriels produits dans le monde, et hébergeait un nombre disproportionné de ces organisations. La situation n’est plus la même aujourd’hui. Sept de ces organisations ont disparu deux jours avant l’entrée en vigueur de la LCAP, en 2014, et il n’en reste plus que deux aujourd’hui — et c’est encore deux de trop. Cela montre bien l’efficacité de la législation destinée à s’attaquer à la quantité de pourriels générés au Canada, adressés à des Canadiens comme à des étrangers, pour réduire le nombre de ces organisations implantées dans notre pays.
Je vous remercie, monsieur le président.
Merci à vous, mesdames et messieurs, d’être venus nous rencontrer aujourd’hui.
Je représente bon nombre d’entreprises implantées dans ma collectivité qui ne veulent pas que le rythme de leurs innovations soit freiné par le nettoyage de courriels inutiles qu’elles ne veulent pas recevoir, par des virus et d’autres types d’escroqueries qui accaparent de leur temps, en particulier quand elles n’ont pas leurs propres employés de TI et doivent s’en remettre à des services par abonnement. Il faut aussi que vous sachiez que j’ai un point de vue différent. Je l’ai déjà indiqué la dernière fois et je le ferai à chaque fois que nous aborderons cette question. Je considère que m’envoyer ce type de publicité par courriel est un privilège et non pas un droit. Pour afficher ces publicités, je dois être abonné à un service de messagerie électronique, je dois acquitter des frais correspondant au volume de données téléchargées et je dois gérer mes courriels.
Si je ne me trompe, dans le cas de Rogers, c’est un problème lié au « désabonnement » qui a conduit à cela, et il s’est avéré que d’autres ont été confrontés à la même difficulté.
Pouvez-vous m’en donner un exemple? Comment auriez-vous pu procéder pour permettre de résoudre ce problème plus rapidement? Il y a eu d’autres groupes, comme Compu-Finder, qui se sont vu également imposer des amendes, mais en 2008, ils étaient connus comme des polluposteurs. Que pouvez-vous nous dire sur ces deux cas différents? D’autres aussi se sont vu imposer des amendes, comme Plentyoffish, un service de rencontres en ligne qui tournait en rond sur les serveurs de courriels des entreprises. Ce sont là les types de problèmes auxquels nous somment confrontés.
Notre enquête nous a permis de constater que, pendant une brève période, nous avons eu un problème dans notre volet des relations interentreprises, alors qu’un clic sur un bouton « désabonnement » ne donnait pas le résultat escompté. Avant de déployer ce système de courriels, nous avions mis en place un mécanisme robuste pour vérifier la façon dont nos listes étaient compilées, leurs formes et leurs contenus. Nous voulions tout faire pour nous conformer à la législation. Nous avons envoyé quelques messages et, malheureusement, le résultat n’a pas été celui que nous attendions. Certains clients nous en ont prévenus et nous nous sommes immédiatement penchés sur cette question. Nous l’avons résolue en quelques jours après qu’elle ait été portée à notre attention. Nous n’avons aucun intérêt à ne pas nous conformer à la législation. Nous voulons être perçus comme une entreprise citoyenne et nous ferons tout en notre pouvoir pour ne pas nous retrouver dans le même bateau que Compu-Finder qui, comme vous l’avez indiqué, a été considéré de tout temps comme un polluposteur. Nous sommes une entreprise établie et bien intentionnée.
J’en conviens. Ce qui a été frappant dans certains de ces cas est que cela est survenu dans l’intervalle pendant lequel certains ont procédé de cette façon, mais sans s’en servir comme produit d’appel. Cela a soulevé de nombreuses discussions.
Monsieur Geist, vous pourriez peut-être nous parler un peu du Register of Known Spam Operations, connu sous le nom de ROKSO, parce que, par le passé, les pourriels ont servi « à piéger des pigeons ». Un investissement minime en courriels permettait d’envoyer des millions et des millions de courriels. Il suffisait de piéger un seul destinataire. Je crois que tous les parlementaires reçoivent des appels concernant les tentatives d’arnaques de personnes âgées prétendument au nom de l’Agence du revenu du Canada. Malheureusement, ces tentatives déplorables se multiplient. Elles ne sont plus faites uniquement au téléphone, mais également par pourriels.
Cette question a accaparé une bonne partie des discussions que nous avons eues sur la scène internationale à ce sujet et j’ai demandé à ce que nous puissions entendre un témoin d’Interpol à l’avenir, mais pourriez-vous, s’il vous plaît, nous fournir un peu plus de détails sur ROKSO?
L’une des choses les plus surprenantes est que les grandes organisations responsables de l’envoi de pourriels fonctionnent en toute impunité et très souvent au grand jour, et on ne s’attendrait pas à cela. Cela s’explique, entre autres, par les législations laxistes en vigueur dans de nombreux pays. Presque tous conviennent qu’une des seules façons de s’attaquer à ces importants polluposteurs est d’adopter des législations sévères contre les pourriels. Quelques pays, comme l’Australie, et le Canada maintenant, sont parvenus à mettre au pas certaines de ces organisations en adoptant des lois musclées.
Le problème en est un, fondamentalement, de calcul des risques. Le polluposteur transfère, d’une certaine façon, la quasi-totalité des coûts sur les consommateurs. Ce sont nous qui assumons tous ces coûts et j’irai jusqu’à prétendre que les entreprises légitimes, grandes et petites, en payent également parce que tout ceci mine la confiance des gens dans le système. La solution réside dans le transfert de ces coûts sur le polluposteur au moyen d’un système efficace qui sera de la même façon à l’avantage des grandes et des petites entreprises. Le polluposteur sera alors poussé à aller s’installer dans un autre pays ou à cesser ses activités.
Je trouve décourageant d’entendre des témoins prétendre, devant notre comité, que nous devrions avant tout réduire le mordant des outils dont nous disposons pour faire appliquer cette loi. Le droit privé d’action en est une bonne illustration. Vous ne pouvez pas à la fois dire que les règlements d’application de la loi sont trop rigides et qu’il faut les adoucir tout en affirmant en même temps que les choses se passent très bien et que nous n’avons pas besoin d’un droit privé d’action.
Le droit privé d’action a été utilisé dans d’autres pays dans lesquels il s’est avéré efficace.
Oui, nous oeuvrons dans le même cabinet d’avocats, mais je travaille également pour le Bureau de la publicité interactive du Canada.
J’aimerais que vous me donniez des précisions, parce que nous ne disposons que de 20 minutes. J’ignore qui…
Les commentaires de M. Geist mettent essentiellement l’accent, et à juste titre, sur les « mauvais joueurs ». Or ce n’est pas d’eux qu'il est question ici. Personne n’aime les pourriels, et certainement pas nos clients. C’est un phénomène qui coûte cher aux entreprises. Les « mauvais joueurs » devraient être punis en conséquence. Cependant, ce n’est pas la question. Celle-ci est plutôt « Qu’est-ce que cela soulève de fondamental? » Nous parlons ici d’un régime législatif qui s’applique à l’ensemble des activités légitimes. Ce problème est aggravé non seulement par l’étroitesse de la portée des dispositions en question, mais également par des règlements d’application complexes qui, quand on les teste dans la vie réelle, n’ont pas de sens pour les petites entreprises.
Nous convenons que lorsqu’on fait face à un « mauvais joueur », comme ces polluposteurs qui ont maintenant quitté le pays, il serait logique que des mesures très ciblées relevant du droit privé d’action ou d’une autre forme de recours aboutissent à leurs condamnations. Ce dont nous parlons ici et qui préoccupe nos clients est la portée d’un régime législatif d’application générale, qui se révélera coûteux. En imposant un scénario très complexe, vous nous obligez en réalité à jouer au chat et à la souris en essayant de comprendre un régime législatif qui affirme que tout est couvert, sauf ce qui ne l’est pas.
C’est là que nos points de vue diffèrent. Je suis toujours d’avis que le fait que vous m’adressiez de l’information, à mes frais, au lieu que ce soit moi qui vous la demande, constitue un privilège. À mes yeux, c’est comme si quelqu’un entrait dans un magasin, et avait ainsi l’occasion de prendre un prospectus au lieu d’être contraint par quelqu’un de prendre ledit prospectus et de le payer. C’est ma façon de voir les choses. Si c’est une solution difficile à mettre en oeuvre, nous pouvons chercher des moyens de l’améliorer. Cela dit, le principe de base pour moi est que le fait que vous puissiez m’envoyer des informations que je n’ai pas demandées constitue un privilège et non pas un droit.
Nous avons dépassé le temps prévu pour traiter de cette question, et nous pouvons maintenant peut-être passer à une autre.
La parole est maintenant à M. Baylis.
Vous disposez de sept minutes.
Madame Evans, vous nous avez fait une suggestion intéressante concernant le paragraphe 6(6). Vous nous recommandez de limiter la portée de la Loi aux messages électroniques commerciaux et vous nous donnez comme exemple les messages d’avis d’itinérance. Actuellement, en théorie, vous êtes tenus d’insérer dans ce message la totalité des données exigées afin de permettre à votre client de se désabonner de ce message d’itinérance. Est-ce bien exact?
Un certain nombre de personnes ont déjà soulevé ce point. Je vais commencer avec Me Fekete. Vous avez évoqué un cas comparable, celui d’un correctif de mise à jour qui devrait également comporter un mécanisme de désabonnement.
Ce n’est pas précisément ce que j’ai dit, mais vous avez raison. Les règles imposées par le CRTC précisent que dans toute demande de consentement, vous êtes tenus d’indiquer au destinataire du message qu’il aura la possibilité de retirer son consentement par la suite s’il le souhaite.
Si nous devions mettre en oeuvre la suggestion de Mme Evans, soit que le paragraphe 6(6) s’applique uniquement aux messages commerciaux, en convenant que les mises à jour et les correctifs n’entrent pas dans cette catégorie, cela réglerait-il le problème?
Le paragraphe 6(6) ne traite pas d’un programme informatique, mais exclusivement de messagerie électronique.
Je peux vous donner d’autres exemples: un message de rappel sur la sécurité ou un avis vous prévenant que vous pouvez dorénavant consulter votre facture.
Si nous devions commencer par le paragraphe 6(6), ce qui suppose que nous nous attaquions à un certain nombre d’autres choses, cela réglerait le problème dans le cas de vos mises à jour et de l’itinérance, mais pas dans celui des éléments de logiciels comme des correctifs. Je vais en venir à vous dans une minute, monsieur Messer. Il est évident que ce texte de loi n’a pas été rédigé pour empêcher quelqu’un de recevoir un correctif ou une mise à jour. Vous nous dîtes qu’il est trop normatif. Dans cette perspective, quelles révisions précises devrions-nous apporter à ce texte?
Je crois que nous devrions nous inspirer de ce que font nos partenaires commerciaux. Ils ne réglementent pas toutes les installations de programmes informatiques. Ils réglementent les logiciels malveillants et les logiciels espions. Le fait d’adopter une approche trop large risque d’entraîner des conséquences involontaires, et je crains que celles-ci nuisent à l’innovation.
Ce n’est donc pas le volet concernant la messagerie électronique qui vous préoccupe, mais plutôt celui touchant les programmes informatiques, qui s’applique à vos mises à jour, alors qu’il devrait cibler exclusivement les logiciels malveillants. Est-ce bien ce que vous nous dîtes?
D’autres pays réglementent les logiciels malveillants et les logiciels espions, comme ils doivent le faire et comme nous le devons, mais sans prétendre réglementer tous les autres messages. Il est tout à fait exact qu’ils réglementent la collecte d’informations, l’utilisation des renseignements personnels au moyen de programmes informatiques, comme nous l’avons fait avec la LPRPDE et comme nous allons continuer à le faire. Dans ce domaine, nous allons beaucoup plus loin que quiconque.
Nous avons décidé de réglementer l’installation de tous les programmes informatiques, à l’exception de ceux qui sont dispensés de l’application de cette mesure par la réglementation.
Maître Kardash, vous avez parlé des messages de nature administrative. Ceux-ci seraient-ils touchés, que ce soit par le paragraphe 6(6) ou …
… par les dispositions touchant les messages administratifs. Ceux-ci seraient couverts si nous devions mettre en oeuvre des dispositions inspirées par la suggestion de Mme Evans.
Oui, les messages visés par le paragraphe 6(6) seraient expressément exclus de la définition des messages électroniques commerciaux.
Vous avez également abordé un autre sujet. Vous avez parlé de la publicité en ligne, comme sur Facebook. Si je vais sur Facebook, je reçois des publicités. Je n’ai pas compris ce que vous vouliez dire à ce sujet.
La LCAP s’applique aux messages électroniques commerciaux envoyés à une adresse électronique. La définition d’adresse électronique englobe précisément les comptes de courriel et les comptes de messagerie instantanée, ainsi que les comptes de téléphone.
Si je vais sur Facebook, le système sait où je suis allé et ce que je fais. Il m’envoie un message. Il affiche…
C’est effectivement un message qui s’affiche et non pas un message qui m’est envoyé. Cet affichage n’est en rien soumis à la législation.
Malheureusement, le CRTC a publié des commentaires qu’on a également retrouvés dans le Résumé de l’étude d’impact de la réglementation, le REIR, préparé par le ministère qui s’appelait alors Industrie Canada, sur l’application éventuelle de la législation aux adresses IP, ce qui, à notre avis, n’est pas prévu par ce texte et ne permet pas d’appliquer ce régime législatif.
En théorie, actuellement, nous pourrions englober l’adresse IP, qui correspond à une adresse de courriel. Est-ce bien mon adresse personnelle?
En vérité, il n’y avait pas de confusion avant les déclarations du CRTC et les commentaires figurant dans le RIER sur l’application possible du concept d’adresses électroniques aux adresses IP. Cela ne relève aucunement de ce texte.
C’est une idée qui est apparue comme ça, de vouloir que les dispositions concernant les adresses électroniques s’appliquent aux adresses IP, mais, pour l’instant, il n’y a pas de disposition en ce sens dans le texte de loi à l’étude.
J’ai compris.
Nous avons entendu parler de consentement tacite, et vous aussi, monsieur Messer, avez abordé ce sujet. Il y a quantité de logiciels dans le domaine de l’Internet des objets, mais je ne dispose d’aucun moyen pour donner mon consentement. Les choses se passent comme ça.
Si nous devions prendre en compte les suggestions de M. Fekete concernant les programmes, cela éliminerait-il les préoccupations que vous avez en ce qui concerne le consentement tacite dans les cas de mises à jour et de l’Internet des objets, et de toutes les choses de ce genre que nous découvrirons plus tard? Il n’existe pas de signal lumineux pour nous prévenir qu’on nous demande notre consentement.
Oui. Pour un certain nombre de types d’appareils relevant de l’Internet des objets, l’obtention du consentement tacite est vraiment la seule façon de procéder.
Si nous devions rédiger un texte de loi sur la programmation informatique pour nous attaquer précisément aux logiciels malveillants et aux logiciels espions, devrions-nous écrire quelque chose au sujet du consentement tacite, ou ce projet de loi permettrait-il de résoudre la question?
De façon générale, ce serait une bonne chose que la législation ait comme principe d’exiger le consentement tacite, comme dans le cas de la LPRPDE. Cela permettrait d’appliquer la législation de façon plus souple et de la rendre plus maniable. Le CRTC pourrait émettre des directives, et les entreprises pourraient, elles, poser des questions.
Même si nous rétrécissons la portée des dispositions sur la messagerie électronique et les ordinateurs, nous devrions quand même prendre en compte le consentement tacite, parce que nous ignorons ce que l’avenir nous réserve. Il se peut qu’il s’avère nécessaire dans certains domaines pour permettre aux choses de bien se passer.
Tout à fait. Cela donnerait une plus grande marge de manoeuvre. Il serait plus facile pour les entreprises de poser des questions, et d’apprendre les unes des autres.
Merci, monsieur le président.
Je tiens à poursuivre dans le prolongement des questions que j’ai déjà abordées, mais auparavant j’aimerais vous demander des précisions sur les réponses que vous avez données à M. Baylis.
Dans le cas des médias sociaux, si une entreprise m’envoie directement des messages au moyen d’un système de messagerie directe sur, par exemple, un compte Twitter ou un compte Instagram, cela devrait… Ce n’est pas permis ou il devrait être possible de se désabonner de ces messages.
Toutefois, où se trouve précisément la limite entre ce qui est permis et ce qui ne l’est pas quand une personne veut nous transmettre un message, le plus souvent au nom d’une entreprise, du moins je le suppose? Si une personne, alors qu’il n’y a jamais eu de transaction de quelque sorte que ce soit entre nous, décide de m’envoyer un message pour attirer mon attention sur quelque chose au nom de l’organisation qu’elle représente…
Où se trouve la limite entre ce qui est permis et ce qui ne l’est pas? C’est de vous deux, messieurs, que j’attends la réponse à cette question.
Je parle d’une personne qui envoie un message au nom d’une entreprise. Je vous laisse décider qui de vous deux va répondre. Disons qu’un fournisseur de téléphone cellulaire m’envoie un message sur Twitter et sur Instagram pour me dire: « Voici une excellente affaire. Vous devriez l’étudier. »
Je ne peux vous répondre qu’en termes généraux. La loi prévoit plusieurs circonstances dans lesquelles vous êtes autorisés à envoyer un message à quelqu’un. Il se peut que l’entité en question ait obtenu un consentement explicite en application de la loi. Les exigences à respecter dans ce type de cas sont définies très précisément, comme je l’ai indiqué précédemment, mais il se peut que l’entité s’appuie sur un consentement explicite. Il y a également une série de dispositions sur le consentement tacite, qui sont très détaillées, et qui indiquent, par exemple, que si vous avez vendu quelque chose à cette personne au cours des deux dernières années, vous avez le droit de lui envoyer un message, comme dans le cas où vous avez signé un contrat écrit. Vous êtes alors autorisés à communiquer avec votre client pendant la durée du contrat et deux ans après l’expiration de celui-ci. Donc, si on fait l’hypothèse qu’il s’agit d’un message de nature commerciale…
Cela va dépendre de la nature du message, et cela montre bien la complexité de ce type de cas. Il sera soumis à l’application du paragraphe 6(6) ou de l’une d’une série d’exemptions. Cela va dépendre des caractéristiques précises du contexte.
Je suis navré, mais, dans notre milieu, nous avons horreur des hypothèses.
En vérité, monsieur Geist, je vais passer à un autre sujet, si vous êtes d’accord, parce que je tiens à recueillir d’autres commentaires à la suite de ma première question sur l’autre volet des choses. J’ai pris connaissance de certaines statistiques qui, selon d’autres témoins, montrent que le nombre de pourriels a diminué. Certains d’entre vous ont affirmé dans leurs exposés que cette législation n’avait pas eu d’effets sur les pourriels. J’aimerais simplement que vous nous éclairiez sur ces tendances.
Je sais, monsieur Fekete, que vous vouliez déjà répondre la dernière fois.
Je crois, comme M. Geist l’a indiqué, que le problème tient au manque d’information. Nous disposons de quelques statistiques passablement vieilles, de 2015, qui laissent entendre qu’il y a eu une réduction de l’ensemble du volume de messages, y compris des messages légitimes. Pour faire écho au commentaire de M. Masse, la question à laquelle nous devons répondre du point de vue de la politique est de déterminer comment nous assurer que le recours aux moyens électroniques pour communiquer est bien un privilège, comme c’est le cas pour recueillir, utiliser et divulguer des renseignements personnels. Ce n’est pas un droit. Le cadre régissant ces pratiques doit toutefois respecter un équilibre entre les intérêts des diverses parties. Vous pouvez en déduire que, à mes yeux, le cadre mis en place par la LCAP ne parvient pas à un équilibre satisfaisant, et c’est là l’occasion pour tous les intervenants et toutes les parties concernées de collaborer pour parvenir au bon équilibre.
Quelqu’un a-t-il d’autres commentaires à formuler sur ce sujet?
Vous avez déjà eu l’occasion de vous exprimer, monsieur Geist. Vous souhaitez reprendre la parole? Eh bien, si vous avez quelque chose à ajouter, allez-y.
Je viens de réaliser, et ce point a été abordé plusieurs fois, que tout le monde a conscience qu’il y a des « mauvais joueurs », les organisations responsables de l’envoi de pourriels, et nous convenons tous qu’il faut s’attaquer à eux. Ensuite, on essaie de dire qu’il ne faut pas assimiler les autres entreprises à ces organisations. Je n’ai jamais douté que Rogers, chez qui je suis abonné, soit du mauvais côté de la barrière, mais je dirais que si vous m’adressez des messages sans avoir obtenu auparavant mon consentement, vous ne respectez pas les règles. Je crois que nous devons convenir qu’il y a quantité d’entreprises légitimes qui veulent se conformer à la législation et à la réglementation, mais qui, c’est mon opinion, utilisent à mauvais escient nos renseignements personnels sans obtenir au préalable le consentement qui s’impose. C’est un acte fautif et c’est ce que la loi veut corriger. Si nous envisageons de revenir au consentement tacite, nous allons nous retrouver exactement à notre point de départ. Le groupe de travail a réalisé une étude pour déterminer si la LPRPDE était efficace pour s’attaquer aux pourriels, et il a conclu par la négative. L’une des raisons de base de cette conclusion a été que le consentement tacite ne fonctionne tout simplement pas dans ce contexte. C’est quelque chose qui est évident pour vous tous étant donné le nombre de fois, j’en suis convaincu, que vous recevez des messages d’une entreprise légitime sans jamais comprendre pourquoi vous les recevez. C’est que les entreprises en question s’en remettent souvent au consentement tacite pour s’autoriser à expédier ces messages.
Monsieur Geist, je vous remercie de ces précisions. Nous allons poursuivre maintenant.
Madame Ng, vous disposez de cinq minutes.
Je vous remercie, monsieur le président.
J’aimerais que vous me donniez quelques précisions. Lors de notre dernière réunion, nous avons entendu les représentants de Desjardins nous dire que, dans l’ensemble, la LCAP va empêcher de transmettre des avis en matière de sécurité. Vous, de Rogers, nous dites sensiblement la même chose. Afin de protéger vos consommateurs, vous voulez avoir l’autorisation de leur adresser des avis d’itinérance, etc. Nous, nous allons encore entendre des gens se plaindre de recevoir ces messages. Nous avons également écouté M. Geist nous expliquer que nous ne savons pas encore comment interpréter avec certitude la LCAP et que, dans les faits, des entreprises le font pour contribuer à la protection de leurs clients, et qu’elles en font une interprétation trop étroite. Êtes-vous, tous les deux, en mesure de me fournir des précisions sur cette question? Il me semble qu’il y a là quelque chose de saugrenu. Est-ce lié à la mise en oeuvre de cette disposition, ou de quoi d’autre s’agit-il?
Vous avez raison. Je vais reprendre tout cela du début pour vous.
Cela tient au contenu du paragraphe 6(6), dont nous avons déjà parlé, qui indique que, dans ces cas-là, vous pouvez envoyer les messages aux clients. Vous n’avez pas besoin pour cela d’obtenir leur consentement, mais ils doivent respecter la présentation et le contenu imposés par la LCAP, et ils doivent donc permettre de se désabonner de ce type de message.
Ce que je vous dis est que, si nous envoyons certains messages à nos clients, c’est que nous y sommes obligés par la loi ou parce que nous tenons à ce que nos clients aient une bonne expérience. C’est ainsi que s’il faut que vous sachiez quelque chose à notre sujet, nous allons vous envoyer le message. Ajouter un bouton de désabonnement au bas du message donne une impression erronée. Cela crée de la confusion chez le client. Lorsque je suis obligée de vous envoyer un message et que j’y insère un bouton de désabonnement, et que vous cliquez sur celui-ci, vous croyez vous être désabonné. Est-ce bien le cas en réalité? Je vais continuer à vous envoyer ce message parce que je suis obligé de le faire. Cela crée de la confusion.
J’ai entendu des représentants d’autres entreprises dire qu’ils n’envoient pas ces types de messages parce qu’ils ne savent pas très bien comment procéder. Ils vont peut-être recourir à d’autres moyens pour contacter leurs clients, comme leur téléphoner directement ou leur poster une lettre. Je prétends que c’est là une conséquence négative et involontaire qui arrive par inadvertance.
Dans le cas des messages concernant la sécurité publique, la LCAP fait état d’une exemption qui permet leur envoi, mais l’obligation d’y ajouter un mécanisme de désabonnement crée de la confusion parce que l’entreprise va continuer à expédier ce type de messages à ses clients parce qu’elle est tenue de le faire ou parce que… Par exemple, vous allez devoir dire au client qui a donné son accord pour consulter ses factures en ligne qu’elles sont disponibles. Sinon, comment va-t-il le savoir? Maintenant, si le client se désabonne de ce type de message, alors que vous continuez à le prévenir que sa facture du mois suivant est disponible, c’est là que le problème apparaît.
Vous nous avez demandé d’où vient cette confusion. Je crois que ce qui s’est dit ici au cours des dernières minutes le montre bien.
Vous avez posé à notre groupe de témoins une question à laquelle je croyais que Me Kardash avait répondu en se servant d’un cas mentionné par M. Jeneroux. Il a commencé par vous expliquer que si vous disposez d’un consentement explicite, vous pouvez aller de l’avant et envoyer votre message, et il a ensuite abordé les diverses exceptions à la règle.
Le problème qui se pose à nous est que nous nous enlisons dans les diverses façons de procéder si nous n’avons pas le consentement du destinataire. Encore une fois, ce qui importe est d’obtenir son consentement. Si nous parlons d’un sujet différent, d’autre chose que de la possibilité d’envoyer un message comme, par exemple, de la confusion que peut créer un mécanisme de désabonnement, il est certain que c’est un problème qu’il est possible de régler dans le cas d’un message de sécurité publique. Le problème n’est pas que nous ne sommes pas autorisés à l’envoyer, mais c’est celui du désabonnement. Nous sommes alors bien loin des scénarios catastrophes qui ont été décrits aux membres de ce comité au cours de ses dernières réunions. On passe alors de la question « Pouvez-vous, s’il vous plaît, corriger le mécanisme de désabonnement dans un message de sécurité publique? » à des affirmations du genre « Le commerce électronique va s’effondrer au Canada si cette loi est maintenue. »
Je vous remercie de cette réponse.
Je vais poursuivre sur le même sujet. Nous avons entendu beaucoup de témoins du milieu des affaires. Il y a beaucoup d’entreprises de technologies et d’entreprises en démarrage dans ma circonscription et il est certain que, comme mes collègues, je tiens à ce que ce texte de loi permette d’éliminer les mauvais joueurs et de m’assurer qu’il comporte des mécanismes de protection de nos nombreuses personnes vulnérables, y compris les personnes âgées, qui utilisent maintenant de plus en plus les communications électroniques. Il nous faut parvenir à un équilibre entre la protection des consommateurs et la capacité pour les entreprises de faire des affaires facilement et d’innover.
Monsieur Geist, pouvez-vous nous recommander une façon de parvenir à cet objectif? Nous entendons des gens et des représentants du milieu des affaires qui nous disent, de bonne foi, que les coûts de conformité sont élevés et qu’il est difficile d’innover. Nous vous serions reconnaissants de nous aider en nous proposant des solutions pratiques que nous pourrions étudier, parce que je crois que, au bout du compte, c’est le travail de ce comité.
Malheureusement, nous avons largement dépassé le temps qui nous était imparti.
Nous pourrons peut-être revenir sur cette question.
Monsieur Eglinsky, vous disposez de cinq minutes.
Je tiens tout d’abord à remercier les témoins d’être venus nous rencontrer aujourd’hui.
Lors de nos réunions précédentes, j’ai écouté, comme aujourd’hui, ce que les témoins avaient à nous dire. Il est manifeste qu’il y a des désaccords importants entre les groupes de personnes qui comparaissent devant nous. Beaucoup d’entre vous disent que la législation ne fonctionne pas. D’autres disent qu’elle donne de bons résultats, mais on ne dispose que de peu d’informations montrant qu’elle atteint ses objectifs. C’est ce que nous entendons.
La semaine dernière, j’ai participé dans ma circonscription à une réunion sur la réforme fiscale, au cours de laquelle nous avons discuté sous forme de table ronde avec un groupe composé du même type de personnes que celui d’aujourd’hui, des gens d’affaires. Une fois ces discussions terminées, je me suis tourné vers les participants et leur ai demandé combien d’entre eux avaient entendu parler de la LCAP. La quasi-totalité d’entre eux n’avait aucune idée de ce dont je parlais. Un seul était au courant et c’est quelqu’un qui passe beaucoup de temps sur son ordinateur, qui est en quelque sorte son gagne-pain.
Ma question s’adresse à M. Messer. Que pouvons-nous faire pour sensibiliser les petites entreprises à ces questions? Les représentants des grandes entreprises qui comparaissent aujourd’hui nous disent que nous faisons face à un problème important. Pourtant, lorsque je m’adresse à un groupe d’hommes d’affaires, comparable à celui que nous avons ici aujourd’hui, ils me disent: « Je ne vois pas de problème. Je n’en ai même pas entendu parler. » Je crois par contre que, nous, nous avons un problème parce qu’ils devraient être au courant.
Pouvez-vous me dire comment nous devrions faire face à ce problème?
Je crois que la première chose que nous devrions faire est de simplifier la loi. Il faut indiquer plus clairement à qui elle s’applique et rendre son application plus souple et mieux adaptée à la réalité des entreprises, afin de pouvoir leur expliquer les dispositions de cette loi pour qu’ils les comprennent bien et puissent dire, « D’accord, voilà ce que je dois faire pour me conformer à la loi. »
Comme vous l’ont dit les membres de ce groupe de témoins, le problème tient en partie au fait qu’il y a des cas qui sont dispensés de son application et d’autres non, que dans certains cas les dispositions de la loi fonctionnent bien, mais pas dans d’autres. C’est la raison pour laquelle les entreprises, les grandes comme les petites, ont besoin d’avocats et de consultants pour leur expliquer comment se conformer aux exigences.
Il ne faut pas se surprendre que quantité de gens ne manifestent aucun intérêt quand ils en entendent parler pour la première fois ou qu’ils ignorent la question s’ils ne sont pas tenus d’y prêter attention parce que les gens qui doivent y faire attention ont, à juste titre, bien du mal à s’y retrouver. Je crois que la première chose à faire serait de simplifier le texte et de permettre de s’y conformer plus facilement.
Par la suite, bien évidemment, le CRTC devra intervenir comme partenaire dans ces questions. Il devra tendre la main aux entreprises.
Je vous remercie.
Monsieur Geist, vous avez mentionné plus tôt quelque chose qui a retenu mon attention. Lorsque nous avons adopté cette législation, nous avions sept polluposteurs importants au Canada. Cinq d’entre eux ont immédiatement pris leurs cliques et leurs claques. Peu importe, où ils sont partis. Par contre, il y en a encore deux au Canada. Pourquoi? Pourquoi ne nous en occupons-nous pas?
C’est bien vrai. Je me pose la même question et je crois que vous devriez vous adresser aux organismes chargés de l’application de la loi pour savoir pourquoi ils ne se sont pas attaqués à ces deux entreprises.
Très bien. À propos d’application de la loi, nous avons entendu, lors de notre dernière réunion, un témoin nous dire que le CRTC fait preuve de beaucoup d’indulgence et essaye de ramener à l’ordre les entreprises récalcitrantes implantées au Canada avec quantité de lettres d’avertissement et d’autres approches de ce genre. Par contre, deux témoins nous ont dit aujourd’hui que le Conseil intervient de façon plus autoritaire. Vous qui n’appartenez pas au milieu des affaires et êtes indépendants, qu’en pensez-vous?
Je vous dirai deux choses.
Tout d’abord, je crois que le CRTC n’a pas réussi à cibler, comme vous l’avez signalé à juste titre, je crois, les grandes organisations responsables de l’envoi de pourriels qui restent au Canada. Pour moi, c’est inexplicable étant donné que nous les connaissons. Il y avait de quoi être surpris pendant la rédaction de cette loi de voir un important polluposteur implanté au Canada bloguer ouvertement sur le sujet et même en rire et, d’une certaine façon, pratiquement exhorter les autorités à intervenir. Malgré cela, rien ne s’est passé depuis et je crois que le CRTC a manqué sa cible.
Par contre, j’éprouve sans aucun doute une certaine sympathie pour les grandes entreprises qui prétendent être ciblées par de telles mesures. Je crois qu’il y a en quelque sorte un lien avec votre première question dans laquelle vous demandiez comment nous assurer que les entreprises savent au moins que cette législation existe. Je crois aussi que c’est dans une certaine mesure que le CRTC court après certains des plus gros poissons, si vous me permettez l’expression, parce qu’ils devraient savoir quelles sont leurs obligations — ils ont les ressources nécessaires pour cela — et en partie, je crois, parce que cela pourrait contribuer à s’assurer que de nombreuses autres entreprises soient sensibilisées aux obligations que la loi leur impose.
Il me reste 30 secondes.
Je me suis adressé aux plus importants corps policiers du Canada: la Gendarmerie royale du Canada, la Police provinciale de l’Ontario… aucun de ces corps de police ne s’occupe de ces questions. Faudrait-il confier la lutte contre ces pratiques à d’autres que le CRTC? Quelqu’un veut-il répondre à cette question?
Je vous précise avec plaisir que notre groupe de travail a rencontré régulièrement des représentants des organismes d’application de la loi. Il n’était pas facile, à l’époque, de les convaincre que certains de ces problèmes avaient atteint une telle ampleur qu’ils méritaient qu’ils y portent attention et qu’ils y consacrent certaines de leurs maigres ressources.
Des années plus tard, sachant ce que nous savons aujourd’hui, en particulier en ce qui concerne certains des logiciels malveillants, et certains des autres cas importants… Ce n’est pas que je pense qu’il faudrait demander aux organismes d’application de la loi de consacrer toutes leurs ressources à ce type de problèmes, mais ceux-ci ont de lourdes répercussions, non seulement sur la vie économique, mais aussi sur la politique et sur quantité d’autres choses et je crois qu’il est temps d’y consacrer des ressources bien réelles.
Je tiens tout d’abord à tous vous remercier de cette discussion stimulante.
Je suis ravi que nous procédions à l’examen de ce texte de loi en nous appuyant sur tous les témoignages que nous avons entendus jusqu’à maintenant. Je vais revenir sur certaines des questions que j’ai posées lors de notre dernière réunion. Ce texte porte sur « certaines pratiques décourageant l’exercice des activités commerciales par voie électronique » et vise à modifier un certain nombre de lois. Il traite des divers moyens de s’adresser à quelqu’un et de récupérer… Quelques-unes des questions posées aujourd’hui ont porté sur Facebook.
Monsieur Geist, j’observe qu’à l’époque à laquelle votre groupe de travail s’est fait connaître, soit en 2004, nous avons connu un autre phénomène marquant avec l’apparition de Facebook. Vous ne vous y intéressiez probablement pas beaucoup à cette époque.
Ma question repose sur les chiffres dont j’ai pris connaissance: Facebook vient d’atteindre les deux milliards d’utilisateurs par mois; YouTube en compte 1,5 milliard; Instagram, 700 millions; Twitter, 328 millions, etc. Je ne vais pas énumérer toutes les plateformes sociales qui existent. Elles sont toutes importantes. Je les utilise toutes. Chacune d’elles s’adresse à une tranche d’âge précise. Les membres de certains groupes d’âge les utilisent plus que d’autres. À mon avis, la protection de la vie privée prend des dimensions différentes selon les tranches d’âge. Ma fille ne fait pas aussi attention que mon père à ce qu’elle dit et fait sur les médias sociaux.
Je me demande donc pourquoi et comment ce texte de loi précis touche les diverses plateformes sociales disponibles. Même Facebook a maintenant son service de messagerie, qui est pour l’essentiel un service de courriels. Mes compétences ne me permettent pas de parler des dimensions techniques de ce nouveau service. Comment cette législation va-t-elle toucher à l’avenir les diverses plateformes sociales? Si elle ne les touche pas, quelle en est la raison et devrait-elle le faire?
Quelqu’un est-il prêt à lancer cette discussion? Monsieur Geist, je vais commencer par vous en espérant que d’autres personnes interviendront ensuite.
Je saisis la balle au bond pour vous préciser que, en remontant à 2004, nous n’avions aucun moyen de prédire le développement des médias sociaux ni celui de certaines autres technologies. Je crois que c’est exact. En vérité, le Comité a convenu que les choses évoluaient à un rythme rapide. De façon ironique, en nous appuyant sur les recommandations que nous entendons aujourd’hui, on nous a fortement incités à adopter une approche aussi neutre que possible du point de vue technologique. Il s’agissait de ne pas cantonner la portée de ce texte à la définition étroite des pourriels, mais plutôt de veiller à ce que la loi puisse être efficace lorsque ces technologies évolueraient, ce qui explique pourquoi elle peut être efficace contre les pourriels, les logiciels espions, les logiciels malveillants et, éventuellement, même contre certaines des nouvelles technologies.
Ce que je trouve décourageant est d’entendre des recommandations qui vous disent « Non, ne faites pas ça. Retenez des dispositions aussi précises et étroites que possible. Nous n’avons pas besoin de mettre en place des mesures d’application aussi larges sur certaines de ces questions. La portée de la loi est trop large. »
À l’époque à laquelle nous avons rédigé ces dispositions, il s’agissait aux yeux de beaucoup d’une caractéristique voulue et non pas d’une erreur. Si on veut s’assurer que la loi reste efficace et pertinente lorsque les choses évoluent, il faut veiller à ce qu’elle puisse s'appliquer à certains de ces changements. Je tiens à attirer à nouveau votre attention sur des choses comme l’Internet des objets et ces genres de technologies. L’idée que nous puissions faire entrer ces technologies dans nos maisons sans disposer de protections efficaces contre des utilisations abusives de nos renseignements est un problème bien réel.
Je vais, pour ma part, adopter un point de vue différent. Il est bien évident que nous avons besoin d’une législation efficace protégeant nos renseignements personnels. Je suis tout à fait d’accord avec le point de vue et les arguments de M. Geist en la matière. C’est la justification de la LPRPDE. C’est aussi la raison pour laquelle nous avons un commissaire à la protection de la vie privée très actif et reconnu sur la scène internationale qui définit les lignes directrices et nous donne des orientations pour l’application d’une législation très neutre d’un point de vue technologique, qui repose sur des principes.
Le problème de la législation anti-pourriel est qu’elle ne repose pas sur des principes, mais sur des règles normatives qui ne donnent pas nécessairement les résultats escomptés dans ces nouveaux environnements. L’Internet des objets est un excellent exemple en la matière. Si vous ne disposez pas d’une interface vous permettant de recueillir le consentement, comment pouvez-vous vous conformer aux exigences? On se retrouve à appliquer de façon involontaire ces règles normatives à une technologie qui n’a pas été bien comprise ou qui n’a pas évolué comme on l’avait prévu. Notre législation sur la protection des renseignements personnels nous donne le cadre pour mettre en oeuvre une législation neutre d’un point de vue technologique et assez flexible pour s’adapter à l’évolution technologique. Ce n’est pas le cas de la LCAP qui est beaucoup trop normative.
Il faut que nous corrigions ce caractère normatif. Ce texte doit davantage reposer sur des principes si nous voulons atteindre les résultats que nous jugeons tous nécessaires pour protéger les consommateurs et pour nous assurer que les entreprises n’abusent pas du privilège qui consiste à s’adresser à des personnes ou du droit d’installer une mise à jour d’un programme informatique.
Je commence par m’adresser à M. Fekete.
Si les dispositions en matière de droit privé d’action étaient corrigées, et c’est ironique parce que vous êtes préoccupés par les poursuites futiles, mais nous n’avons enregistré aucune poursuite… Nous ne faisons actuellement que supposer que c’est dans ce domaine que nous verrons de telles poursuites apparaître, et je ne veux pas me lancer ici dans tout le débat sur les raisons pour lesquelles cela va se produire, ou sur toute autre question. Mais si ces dispositions étaient éliminées, et toujours avec les mêmes hypothèses, il s’agissait essentiellement d’avocats se comportant de façon inappropriée avec d’autres avocats, parce que c’est ainsi que débutent des poursuites. Seriez-vous partisans de tout ceci si nous nous débarrassions de cela et si ces dispositions étaient réservées aux cas graves?
Avec votre permission, je vais traiter de l’ensemble de la question très rapidement. Si le texte du projet de loi était révisé pour ne s’appliquer qu’aux cas les plus graves, et non pas à des cas hypothétiques…
Je vous remercie.
Je crois que si le droit privé d’action ne devait cibler vraiment que les mauvais joueurs, l’appui au projet de loi serait beaucoup plus fort. Au lieu de cela, nous nous retrouvons dans une situation dans laquelle nous ne combinons pas le droit privé d’action, une qualité pour agir, au sens large, et des dommages et intérêts, parce que c’est dans ces cas que les recours collectifs frivoles sont les plus probables. Je crois que le fait de limiter le champ d’application de la loi et de permettre les recours introduits par des particuliers contre les « mauvais joueurs » pourrait bénéficier d’un vaste appui.
Je crois qu’il nous faut comprendre que l’existence du droit privé d’action instaurée par la loi n’a rien d’un accident. Nous avons étudié ce qui se fait dans d’autres pays qui y ont recours, et nous nous sommes entretenus avec les représentants d’organismes qui ont utilisé ce droit et l’ont trouvé efficace.
Ceux-ci, en particulier aux États-Unis où des poursuites de ce type ont eu lieu, ont constaté que les abus, parfois de leur domaine ou d’autres sortes d’activités d’envoi de pourriels, ont diminué après qu’ils aient entamé ces poursuites. C’est pourquoi nous avons retenu ce droit privé d’action.
Je crois que nous pouvons faire toutes les hypothèses que nous voulons sur les mauvaises utilisations éventuelles du droit privé d’action si celui-ci devait entrer en vigueur, mais avec une société moins procédurière, typiquement celle des États-Unis — nous y avons observé une certaine efficacité — de mon point de vue. Il m’a semblé que nous aurions au moins dû examiner comment cela fonctionne. C’est d’ailleurs l’objet d’audition de témoins comme celle-ci où nous voulons voir si cela a entraîné des conséquences involontaires et s’il nous semble possible de corriger le tir après le fait, plutôt que de laisser de côté ce qui nous est apparu comme un élément important de la boîte à outils pour tenter de s’attaquer au problème.
Je vous remercie.
Je suis navré. Il nous reste assez de temps pour lancer une autre série de questions et réponses de cinq minutes chacun, et je suis sûr que M. Masse va en profiter pour vous interroger à nouveau.
Je donne immédiatement la parole à M. Baylis.
Vous disposez de cinq minutes.
J’aimerais approfondir un peu plus le concept d’imposition d’une norme.
Je crois que c’est vous, monsieur Messer, qui aviez suggéré une approche davantage axée sur les principes, au lieu de s’en remettre à des directives rigides et complexes. Pourriez-vous, s’il vous plaît, nous en dire un peu plus à ce sujet?
Certainement. Si nous prenons le cas de la LPRPDE, les entreprises peuvent l’étudier et déterminer si elles se conforment ou non à ces dispositions. En règle générale, elles ne doivent pas embaucher un avocat pour le savoir, et elles sont en relation avec le commissaire à la protection de la vie privée, à qui elles peuvent s'adresser. La vérification de la conformité se fait beaucoup plus dans le cadre d’une relation de partenariat.
Retenir une approche davantage axée sur les principes dans le cas de la LCAP contribuerait à rendre les entreprises plus désireuses d’atteindre la conformité et faciliterait leur tâche au lieu qu’elles disent: « Avons-nous analysé suffisamment la question pour conclure que, dans ce cas-ci, il s’agit effectivement d’une transaction? Si j’emploie ces mots, cela constitue-t-il une transaction commerciale? » Pour répondre, il faut tenir compte de quantité de détails infimes, et c’est difficile à dire.
J’imagine que, par exemple, dans un monde où les choses évoluent si vite, cela devient encore plus important. Il serait très difficile d’appliquer une approche normative et de tenir compte de tout. Les principes devraient donc s’appliquer encore davantage si on se trouve dans un environnement hautement dynamique, avec des éléments comme des messageries électroniques, Facebook, Twitter, etc.
Oui. Avec une approche reposant sur les principes, les entreprises auront un peu plus confiance de choisir la bonne orientation, ce qui leur permettra d’avoir confiance dans les décisions qu’elles prennent, et ensuite d’acquérir de l’expérience et d’en tirer les leçons. Par exemple, si vous utilisez un mot-clic dans un message transactionnel, qui indique le nom de votre société, cela ne signifie pas qu’il s’agit en partie d’une publicité. Nous sommes confrontés à quantité de questions auxquelles il n’y a pas vraiment de réponse claire. En me fiant à l’expérience de mes membres…
C’est très difficile, alors que je crois que le mot-clic n’existait même pas quand la première ébauche de ce texte a été rédigée. Il aurait donc été difficile d’être normatif dans ce domaine, et on peut donc se demander de quelles dispositions relève un mot-clic.
J’ai bien compris votre argument sur les principes.
Je crois, monsieur Fekete, que vous avez utilisé exactement le même argument. Cela cadre-t-il avec ce que nous dit M. Messer?
Permettez-moi de vous donner deux exemples tirés du monde réel.
La loi vous oblige à demander un consentement explicite.
Vous devez dire ceci est le nom de mon entreprise, et ceci est mon adresse postale, avec mon adresse de courriel, ou mon adresse Web, ou mon numéro de téléphone. Vous devez également préciser que vous avez le droit de retirer votre consentement, ou encore de le retenir, ou de le retirer plus tard.
Si je ne vous le demande pas de cette façon précise, avec ces informations, votre consentement n’est pas valide, et donc…
Donc, même jusqu’au moment où vous vous désabonnez, ou avec la façon dont vous demandez le consentement, les exigences sont si normatives qu’il se peut qu’elles ne permettent pas… C’est ainsi que si Twitter était considéré comme de la publicité, je ne pourrais pas l’inscrire dans Twitter, parce que cela ne respecterait pas la limite des 127 caractères.
C’est un très bon exemple.
Je vais maintenant vous donner un autre exemple sur le consentement tacite. Je suis parfaitement d’accord avec M. Geist quant à la nécessité de disposer d’un régime de consentement solide, mais il faut être prêt à faire preuve de bonne volonté pour étudier les circonstances et se demander si quelque chose est logique pour cette petite entreprise qui veut envoyer un message à un client et qui s’y sent autorisée parce qu’elle a déjà eu une relation avec celui-ci.
Sur cette question, on ne peut pas avoir quelque chose de trop normatif parce qu’on ignore ce qui s’en vient. J’imagine que vous convenez, avec M. Messer, que nous devrions nous pencher davantage sur les principes plutôt que sur des règles hautement normatives dans de tels domaines.
Tout à fait. Si je vous ai acheté quelque chose au cours des deux dernières années, vous pouvez m’envoyer un message, mais si je veux me désabonner d’un service gratuit, alors que je n’ai rien acheté, vous n’y êtes peut-être pas autorisés à me l’envoyer. Je dis « peut-être » parce que nous sommes laissés dans le noir pour interpréter le texte de la loi. Il est trop normatif pour avoir du sens pour les entreprises, sans parler du milieu juridique qui doit l’interpréter.
Vous pourriez apporter des révisions tenant compte des commentaires de M. Fekete, et il y a aussi énormément de points de convergence avec ce qu’a dit M. Geist. Ce n’est peut-être pas évident, mais c’est vraiment le cas. Vous pourriez faire toute une série de révisions pour éliminer des formulations inutiles, pour tirer au clair les questions ambiguës…
Je comprends parfaitement. Il arrive fréquemment que le gouvernement se dote de lois énergiques, et que les seules personnes qui se proposent de les appliquer sont de bons citoyens, honnêtes et travailleurs, alors que les gens que nous voulons cibler ne se trouvent pas dans cette pièce et ne viendront jamais y témoigner. Ils sont partis ou cachés quelque part ailleurs.
Une voix: Vous pourriez leur adresser une assignation à témoigner.
M. Frank Baylis: Nous pourrions, mais comme M. Geist nous l’a fait remarquer, cela ne donne pas les résultats escomptés, parce que nous avons encore des « mauvais joueurs » au Canada. Lorsque nous avons entendu les porte-parole du CRTC, il a été tout à fait manifeste que le Conseil ne s’était attaqué à aucun d’entre eux et pourtant, tous ses employés travaillent aussi fort qu’ils le peuvent et de bonne foi pour tenter de remplir le mandat qui leur a été confié.
Je partage l’avis voulant que, dans un monde parfait, aucun des bons intervenants n’envoie de pourriels. Il n’y aurait plus alors qu’à se débarrasser de tous les autres messages, qui proviendraient tous alors de mauvais joueurs. Nous ne vivons pas dans un monde parfait, mais…
Je vous remercie d’être venu nous faire part de votre point de vue et j’estime que vous tentez ainsi de façon légitime de faire progresser la cause. Je vous en remercie.
Je vais poursuivre sur le premier sujet que j’ai abordé, l’application de la loi. J’ai observé que, en Australie, ce sont les cours fédérales qui traitent de la législation. Au Royaume-Uni, on fait appel au commissaire à l’information. Aux États-Unis, c’est la Federal Trade Commission qui est sur la ligne de front, alors qu’au Canada c’est le CRTC. J’aimerais que chacun de vous me dise rapidement, en un peu moins de 45 secondes chacun, car il ne nous reste que cinq minutes, si vous estimez que le CRTC dispose des outils qui conviennent et si c’est bien l’organisme d’application de la loi qui devrait effectivement s’occuper de ces questions au Canada. Dites-moi en même temps comment notre système se compare à celui des autres pays.
Monsieur Fekete, je vous invite à me répondre en premier.
Je commencerai par donner quelques conseils au CRTC sur la façon d’aider les organisations à se conformer à la législation et à la réglementation. Le CRTC ne publie pas de conclusions ni de décisions permettant de bien comprendre la logique des amendes qu’il impose ni les conditions dans lesquelles il y a eu délit ou contravention. C’est là une attitude bien différente de celle du commissaire à la protection de la vie privée qui rend publiques des conclusions très utiles et très éclairantes expliquant les points de vue des deux parties ainsi que l’interprétation que le commissaire fait de la situation et sa décision. Nous avons besoin de la même chose dans ce cas-ci pour mieux comprendre la législation.
Pour être précis, il n’y a pas un seul organisme d’application de la loi, mais bien trois, et cela rend la situation passablement complexe. Selon les dispositions en jeu, leur application relève du Bureau de la concurrence, du CRTC ou du Commissariat à la protection de la vie privée du Canada. En vérité, selon les caractéristiques d’une activité donnée, plusieurs enquêtes pourraient être menées simultanément. Le CRTC…
Eh bien, cela peut aboutir à des procédures assez lourdes. Il est évident que le CRTC dispose des outils nécessaires pour exiger le respect de la loi des mauvais joueurs. Une fois encore, ce n’est pas le problème qui nous préoccupe ici. Ce problème est plutôt les modalités d’application de la loi contre les bons joueurs, et que ceux-ci ne soient pas exposés à des sanctions disproportionnées pour des contraventions de nature technique et aux conséquences quasi négligeables.
Je suis d’accord avec M. Geist là-dessus. Il y a effectivement trois organismes qui ont des moyens d’action dans ce domaine et je ne pense pas que l’un ou l’autre pose problème actuellement.
À nouveau, je reviens à la période où nous travaillions sur le rapport, nous avions rencontré les responsables de ces questions aux États-Unis et avions parlé à divers intervenants comme ceux du groupe M3AAWG, qui rassemble des gens travaillant à des activités d’application de la loi à travers le monde. Ils avaient surtout besoin d’un représentant canadien disposant des outils et des pouvoirs pour agir au même niveau qu’eux.
Pendant longtemps avant l’adoption de la Loi canadienne anti-pourriel, nous n’étions pas en mesure de le faire. Nous le sommes maintenant, donc la faute n’incombe pas à la législation, mais plutôt aux organismes mêmes qui n’ont pas été aussi efficaces en la matière qu’on l’espérait.
Je crois que les organismes d’application de la loi impliqués sont bien ceux qui doivent l’être. Je crois qu’ils possèdent les bons outils, qui je le crains pourraient être utilisés de façon disproportionnée, comme je l’ai mentionné dans mes commentaires préliminaires. Nous n’avons pas reçu de lettre d’avertissement. J’en ai parlé avec mes collègues de chez Porter. Les choses se sont déroulées chez eux de la même façon que chez Rogers. Il n’y a pas eu de lettre d’avertissement, et ils ont immédiatement fait l’objet d’une enquête suivie de dommages punitifs.
Je crois, pour m’exprimer sur le point soulevé par mes collègues de ce groupe de témoins, que ces organismes d’application de la loi pourraient fournir des lignes directrices plus précises et des outils plus efficaces pour aider les entreprises.
Voilà ce que j’avais à vous dire.
Je dirais que le CRTC est le bon organisme pour ce travail, mais il est, dans une certaine mesure, paralysé par les textes de la loi même et de ses règlements d’application qui sont si normatifs qu’ils ne lui laissent pas de marge de manoeuvre.
L’autre manquement tient au fait que le CRTC n’a pas fait d’efforts concertés pour mettre en place des partenariats avec l’industrie et pour profiter de son expérience. Quelques-unes de nos recommandations, qui visent à faire en sorte que le droit privé d’action s'applique au domaine des télécommunications ou d’autres organismes qui ont à subir les coûts qu’infligent les pourriels, seraient en mesure d’entraîner les autres acteurs et l’industrie dans leur sillage pour contribuer à la réduction des pourriels pour tout le monde, et établir un vrai partenariat avec le CRTC.
C’est là un point intéressant.
Monsieur Geist, j’ai une question rapide à vous poser. Je crois que vous avez mentionné plus tôt dans votre témoignage qu’en Australie les polluposteurs avaient disparu à cause de la sévérité de la législation. Pensez-vous qu’il serait possible que ce soit partiellement parce que c’est la cour fédérale qui s’en occupe plutôt qu’un organisme de type bureaucratique?
Non, les éléments de preuve dont nous disposons nous indiquent que le problème ne tient pas au choix de l’organisme, mais plutôt aux pénalités. En examinant les lois les moins énergiques, aux États-Unis par exemple, tout comme la Loi canadienne antipourriel, il devenait manifeste que si vous étiez une organisation responsable de l’envoi de pourriels, vous ne seriez pas trop préoccupés par la loi, parce qu’elle ne prévoyait pas d’amendes très élevées alors que, en Australie, leur montant était dissuasif et les entreprises concernées ont estimé que le risque n’en valait plus la chandelle.
Mme Evans et M. Messer peuvent peut-être en profiter pour répondre à la question précédente puisqu’ils n’en ont pas eu l’occasion. Je parle ici de poursuites en application du droit privé d’action.
Je dirai que s’il fallait ramener le droit privé d’action dans la législation, il devrait cibler les acteurs intentionnels qui commettent des actes plus que flagrants comme la diffusion de logiciels malveillants, la production de publicités trompeuses ou la récolte de courriels. Ce sont là les comportements que le droit privé d’action devrait cibler.
Comme je l’ai déjà mentionné, nous dirions que le droit privé d’action devrait permettre aux entreprises qui subissent les coûts des pourriels de se défendre et de mettre sur pied un partenariat avec le CRTC pour l’application de la loi.
Souvent, les fournisseurs de services de courriels sont en mesure de vous dire qui sont les polluposteurs mal intentionnés. Ce sont eux qui sont souvent les mieux placés pour les trouver, et donc, si le droit privé d’action était modifié pour leur permettre de devenir partenaires du CRTC, et ainsi de poursuivre et récupérer les coûts qu’entraînent les pourriels pour leurs propres réseaux, cela pourrait aider tout le monde et contribuer à une plus grande efficacité de la loi.
Oui.
Je reviens maintenant à M. Geist.
Il y a une question qui n’a pas été abordée au sujet du droit privé d’action, mais qui l’a été à propos de l’Australie et d’autres pays. Voici ce qui me préoccupe. Le modèle que nous avons adopté confie la surveillance de tout cela au CRTC, donc à la fonction publique. Il ne faut en effet pas oublier que le CRTC est financé à même les deniers publics. C’est le seul recours dont dispose le public pour obtenir des fonds compensant en quelque sorte ce comportement nuisible à l’économie et aux entreprises. C’est injuste pour les consommateurs qui s’abonnent et payent les coûts de ces pratiques. L’imposition de ces amendes n’est pourtant que la seule forme de dédommagement de la société.
Je crois que le délai de 30 jours et l’absence de préavis posent problème. Nous sommes confrontés ici à un problème de communication très réel, en particulier pour les grandes entreprises. Le CRTC devrait étudier très sérieusement ce délai de 30 jours qui ne convient tout simplement pas pour de nombreuses raisons. L’envoi d’un préavis faciliterait beaucoup les choses. Ça, c’est l’aspect facile.
Si nous supprimons le recours au droit privé d’action, pourquoi le public devrait-il être le seul à supporter ces coûts, y compris ceux des poursuites judiciaires, par l’intermédiaire du CRTC?
Je vais poursuivre sur le même sujet, et sur un autre. Nous supportons non seulement les coûts de ces pratiques, mais aussi ceux des pourriels que nous recevons. Je ne crois pas, comme M. Messer. que d’une certaine façon, ce sont les fournisseurs de services de télécommunications et d’Internet qui assument ces coûts. Nous les supportons tous et nous savons tous fort bien que le coût de l’accès à Internet pose des problèmes, tout comme le coût des téléchargements de données. Lorsque nous avons étudié cette question, nous avons constaté que les FAI ont joué le jeu. Ils étaient en mesure de nous donner le coût par client de nos dépenses en technologie, de la bande passante et du matériel dont ils ont besoin pour régler ces problèmes. Nous en payons le coût par le biais des frais très élevés d’abonnement. En ce qui concerne l’idée que c’est seulement les Rogers de ce monde, je regrette, mais ce ne l’est pas.
En ce qui concerne l’application de la loi, vous avez absolument raison. Selon moi, il est très difficile de comprendre pourquoi un élément de la boîte à outils aurait effectivement externalisé une partie des activités en la matière. Nous reconnaissons que ce serait très efficace, étant donné la nervosité des gens à l’idée de se lancer dans ce type de procédure pour faire appliquer la loi, et pourtant nous l’avons éliminé et avons confié cette tâche à un organisme qui n’a pas été assez efficace bien que ce soient le public et les contribuables qui en assument les coûts.
Je parle au nom de plusieurs entreprises, et j’ajouterais que les pourriels constituent également un énorme problème pour les entreprises. Elles en assument les coûts. Ce que nous essayons de faire ici est de réduire les coûts de la conformité, avec pour objectif de faire cibler les mauvais joueurs par le régime législatif.
Oui, le public assume les coûts, je le sais, comme nous tous, mais les entreprises en paient aussi le prix.
Ensuite, les entreprises répercutent leurs coûts sur leurs clients. En conclusion, c’est nous qui assumons tous ces coûts, d’une manière ou d’une autre. Ce qui est triste, c’est que nous payons pour cela sans même qu’on nous consulte.
J’imagine que c’est là l’équilibre que nous essayons tous d’atteindre en l’occurrence. En ce qui concerne le droit privé d’action, j’en étais vraiment surpris… J’espère que la ministre responsable du CRTC va s’emparer de ce dossier et examiner les modalités prévues de mise en œuvre de ce projet de loi et constater que nous avons effectivement des problèmes. En ce moment, combien de poursuites frivoles ont été jugées? Aucune, parce que… à cause de ce que la ministre aurait dit, mais nous ne savons même pas ce qui nous attendait. Tout ça n’était que spéculation.
Les difficultés que pose le recours au droit privé d’action dans la LCAP tiennent dans une large mesure à la complexité de la loi et aux innombrables situations dans lesquelles la conformité est pratiquement impossible, ainsi qu’au fait qu’il est combiné aux dommages-intérêts d'origine législative. Si vous êtes un avocat spécialisé dans les recours collectifs, en entamant une poursuite, vous prenez une décision économique. Vous anticipez que le temps que vous allez y consacrer sera rentabilisé. Les dommages-intérêts d’origine législative rendent cela possible.
Si le texte de la loi est révisé tout en donnant aux entreprises, et éventuellement à d’autres, le pouvoir de la faire respecter en recourant au droit privé d’action, nous n’aurons plus la même opposition généralisée parce que la législation sera équilibrée. Dans sa forme actuelle, le projet de loi est déséquilibré en prévoyant des pénalités très élevées à travers le droit privé d’action.
Merci.
Je voudrais revenir sur l’innovation, là où ma collègue Mme Ng s’est arrêtée, et vous donner, Me Kardash et M. Fekete, l’occasion de répondre. Je comprends très bien la position de M. Geist. Vous vouliez intervenir, mais j’avais épuisé mon temps de parole et je suis ravi d’en avoir récupéré.
Je voudrais me concentrer sur des mesures précises dont nous disposerions si nous révisions le texte à l’étude. Que devrions-nous faire? Quelles recommandations devrions-nous faire pour mettre un terme à ces freins à l’innovation?
Je commencerai par une proposition de base. Nos clients nous disent sans cesse que l’incertitude engendre des risques, et constitue donc un problème. Ça n’arrête pas complètement l’innovation, ce serait une exagération, mais l’incertitude fait augmenter le niveau de risque alors que, hormis le cas des mauvais joueurs, vous vous efforcez dans la majorité des cas d’éliminer les causes d’incertitude. Je sais que je me répète, mais les divers témoins formulent presque tous les mêmes reproches, et je trouve que cela justifierait d’en tenir compte.
L’incertitude est due en partie à la grande complexité du régime. Nous travaillons sur ces questions tous les jours, et cela nous prend énormément de temps avec nos clients pour les convaincre de choisir dans la sphère numérique de nouveaux produits et services très novateurs, ce qui implique inévitablement l’envoi, ou la possibilité d’envoi, de plusieurs centaines de millions de messages par mois.
Rien de tout cela n’est illégitime; tout cela devrait se faire après avoir obtenu le consentement des destinataires. Personne ne remet ce principe en question. Ce que nous voulons, ce sont des directives claires sans lourdeurs inutiles. Ensuite, tout d’un coup, en ayant limité la portée des mesures pour que les activités légitimes ne soient pas bridées, on pourra cibler les « mauvais joueurs ». Cela devrait permettre d’éliminer les deux qui restent au Canada et d’empêcher les autres de même rêver de venir s’implanter au Canada, ce qu’ils ne feraient pas de toute façon. Voilà l’approche que je prône.
Je ne peux que répéter encore et encore ce que j’ai dit au Comité dans mes commentaires préliminaires. Nous baignons tous les jours dans ces questions. Je prie donc instamment le Comité de se pencher sur des cas concrets, et je l’ai aussi exhorté implicitement à le faire, parce que les correctifs à appliquer sur ce cas vont vous sauter aux yeux dans toute leur splendeur. Étudiez ces cas!
L’un des témoins peut-il remettre des cas concrets au greffier pour que nous puissions les utiliser?
Je ne peux parler pour les autres, mais IAB Canada va déposer un mémoire plus détaillé. Respectueusement, nous n’aurons pas assez de trois pages pour vous illustrer toute la gamme des cas concrets et pour vous faire d’autres suggestions. Ceux que nous vous transmettrons vous permettront de voir la portée inutile des dispositions du projet de loi. Une fois ces dispositions éliminées ou corrigées, leur portée réduite, l’opposition à ce texte sera sensiblement réduite.
Je suis d’accord avec ce que Me Kardash vient de dire, mais j’aimerais vous donner un exemple de dispositions à la portée trop large dans le domaine des programmes d’ordinateur. Si votre entreprise en est à la phase démarrage, et que vous hésitez entre vous implanter dans la Silicon Valley ou dans la région de Waterloo, vous allez analyser les répercussions de la législation en vigueur à chaque endroit sur votre entreprise. Les installations et les mises à jour de programmes sont au coeur de vos activités. Si vous choisissez le Canada, vos opérations dans le monde entier sont soumises à ces règles normatives qui n’ont d’équivalent nulle part ailleurs. Nous poussons donc les gens à aller s’installer aux États-Unis. Je crois que nous devrions tenter d’harmoniser notre réglementation avec celle de notre voisin du Sud dans la mesure du possible pour permettre à nos entreprises de se battre sur un pied d’égalité. Nous voulons encourager le secteur canadien des technologies sans que notre législation ne lui impose des entraves indues.
Notre réunion va maintenant prendre fin. Je tiens à remercier tous les témoins de leur participation très active, avec leurs exposés et les discussions qui ont suivi. Je peux vous assurer que tout ceci n'est pas tombé dans les oreilles de sourds.
Mesdames et messieurs les membres du Comité, nous entendrons d’autres témoins jeudi prochain, puis le lundi suivant. Nous leur consacrerons donc nos deux prochaines réunions.
La séance est levée.
Explorateur de la publication
Explorateur de la publication