Dans le présent article :

1. Objectifs du programme de conformité avec la LCAP en ce qui a trait aux messages électroniques commerciaux
2. Ce que vous devez savoir avant de commencer
3. Étapes clés quant à la conformité avec la LCAP


La loi la plus sévère à l’échelle mondiale sur le plan de la protection contre les pourriels et les maliciels, communément appelée la Loi canadienne anti-pourriel (LCAP), entrera en vigueur au Canada le 1er juillet 2014.  Cette date arrive à grands pas et les organisations doivent donc agir dès maintenant afin de se conformer à la LCAP dans les délais requis.  Le présent article énonce les étapes que les organisations sont appelées à suivre afin d’assurer leur conformité avec les dispositions anti-pourriel de la LCAP. 

La LCAP contient en outre des dispositions concernant l’installation de programmes informatiques sur les ordinateurs de tiers.  Ces dispositions anti-maliciel entreront en vigueur le 15 janvier 2015.  Aux organisations qui installent des programmes informatiques sur les ordinateurs de tiers, il est conseillé de prendre des mesures additionnelles afin de se conformer aux dispositions anti-maliciel de la LCAP. Ces mesures additionnelles seront traitées ultérieurement dans un article distinct. 

1. Objectifs du programme de conformité avec la LCAP en ce qui a trait aux messages électroniques commerciaux

Voici les objectifs clés à inclure dans le programme de conformité avec la LCAP de toute organisation :

(a)        transmettre une compréhension de la LCAP et des exigences y afférentes au sein de l’organisation;

(b)        former une équipe responsable des questions relatives à la LCAP au sein de l’organisation;

(c)        acquérir une compréhension approfondie des pratiques de l’organisation en ce qui a trait aux messages électroniques commerciaux (MEC);

(d)       construire des compartiments de données dans les systèmes d’information de l’organisation afin de catégoriser les données concernant l’obtention du consentement relatif au MEC : consentements requis et consentement reçus;

(e)        appliquer à l’organisation de même qu’aux systèmes et procédures de cette dernière les exceptions relatives au consentement et au contenu, ainsi que les scénarios relatifs au consentement tacite énoncés dans la LCAP;

(f)        établir des mécanismes d’information au sein de l’organisation afin de retracer et d’enregistrer l’information requise pour l’application des exceptions relatives au contenu, ainsi que des scénarios relatifs au consentement tacite énoncés dans la LCAP, en vue de faciliter les demandes de désabonnement des destinataires;

(g)        établir des politiques et des procédures afin de s’assurer que les exigences de la LCAP relatives au contenu seront respectées au sein de l’organisation;

(h)        s’assurer de l’existence de contrats appropriés s’appliquant dans les cas où l’organisation partage des consentements avec des tiers;

(i)         établir au sein de l’organisation une culture d’entreprise qui cadre avec la conformité à la LCAP; et

(j)         établir les fondements d’une défense de diligence raisonnable en vue du traitement d’éventuelles contraventions de la LCAP.

2. Ce que vous devez savoir avant de commencer

La planification éclairée est essentielle au développement d’un programme de conformité avec la LCAP qui sera efficace pour votre organisation.  Voici d’importants aspects de la LCAP dont il faut tenir compte durant la planification et la mise en œuvre de votre programme de conformité avec la LCAP.

(a)        Les sanctions applicables aux cas de non-conformité, la défense de diligence raisonnable et le fardeau de la preuve

Avant de commencer à concevoir son programme de conformité avec la LCAP, votre organisation doit s’assurer d’avoir compris les dispositions de la LCAP portant sur les sanctions.  En ayant une bonne compréhension des sanctions potentiellement majeures pouvant être infligées pour violation de la LCAP, les organisations seront en mesure d’attribuer le soutien et les ressources nécessaires pour leur programme de conformité, ce qui permettra d’optimiser l’efficacité de celui-ci.

La non-conformité avec la LCAP peut occasionner des sanctions considérables.  Des sanctions administratives pécuniaires allant jusqu’à 10 000 000 $ peuvent être imposées aux organisations qui contreviennent à la LCAP.  De plus, un droit privé d’action entrera en vigueur le 1er juillet 2017 afin de donner aux personnes touchées par une contravention de la LCAP le droit d’intenter une action en dommages-intérêts, lequel est assorti d’une sanction légale de 200 $ par infraction, ce qui pourrait éventuellement faire croître le nombre de recours collectifs visant des contraventions de la LCAP.

La responsabilité imputable en lien avec une contravention à la LCAP ne se limite pas uniquement à la personne morale. La LCAP précise que cette responsabilité s’étend aux dirigeants, aux administrateurs et aux mandataires d’une société ayant contrevenu à la LCAP, lorsque ces derniers ont ordonné ou autorisé une contravention, ou qu’ils y ont consenti ou participé1

Cependant, et heureusement pour les personnes susmentionnées, la LCAP prévoit une défense de diligence raisonnable.  Aux termes de la LCAP, nul ne sera tenu responsable d’une violation de cette loi s’il prouve qu’il a fait preuve de diligence raisonnable en vue de prévenir la violation2.  Le programme de conformité avec la LCAP doit donc être bien planifié et exécuté avec soin, en plus de comprendre une documentation appropriée afin qu’il soit possible de présenter les fondements d’une défense de diligence raisonnable, au cas où une telle défense s’avère un jour nécessaire.

En vertu de la LCAP, les organisations qui affirment avoir obtenu les consentements requis par la LCAP ont le fardeau de prouver la véracité de telles affirmations3.  Ainsi, la conformité avec la LCAP dépendra en grande partie du fait d’obtenir les consentements nécessaires, de les enregistrer et de les classer dans des systèmes d’information actualisés.

(b)       Qu’est-ce qu’un message électronique commercial (MEC)?

Selon la LCAP, un MEC est un message électronique ayant pour but, entre autres, d’encourager la participation à une activité commerciale4.  Les MEC comprennent précisément les messages envoyés pour faire la promotion d’une personne comme étant quelqu’un qui exerce une activité commerciale.  Il n’est pas nécessaire d’avoir une expectative de profit en lien avec l’activité commerciale.  Les communications vocales bilatérales, les messages envoyées par fac-similé ainsi que les messages vocaux envoyés à un compte de téléphone sont exclus de l’application des dispositions anti-pourriel de la LCAP5.

(c)        Exigences liées aux messages électroniques commerciaux

Voici une explication sommaire des dispositions anti-pourriel de la LCAP. Dès le 1er juillet 2014, les personnes qui envoient des MEC à des adresses électroniques au Canada doivent s’assurer que les MEC contiennent un contenu prescrit qui identifie l’expéditeur et qui permet au destinataire de se désabonner afin de ne pas recevoir de messages subséquents, d’une manière conforme aux prescriptions de la LCAP. Les expéditeurs doivent obtenir le consentement exprès et volontaire du destinataire avant d’envoyer un MEC. Les exigences susmentionnées relatives au contenu et au consentement ne s’appliqueront pas dans un nombre limité de cas, lorsque des exceptions y afférentes sont précisées dans la LCAP et dans les règlements connexes. En outre, dans un nombre restreint de cas précisés dans la LCAP, les expéditeurs pourront se limiter à l’obtention du consentement tacite. Toutefois, dans les cas où le consentement tacite est acceptable, les exigences liées au contenu des MEC demeureront tout de même applicables.

Par exemple, la LCAP prévoit que le consentement à recevoir un MEC est tacite lorsqu’une relation d’affaires, au sens de la LCAP, existe entre l’expéditeur et le destinataire6. Lorsqu’une telle relation existe effectivement, le consentement à recevoir un MEC est tacite, mais l’expéditeur doit néanmoins s’assurer que le MEC satisfait aux exigences de la LCAP en matière de contenu, par exemple l’exigence liée au mécanisme de désabonnement.

L’envergure du présent article ne permet pas de faire un examen détaillé des diverses exclusions quant aux exigences liées au consentement et au contenu, ni des différents scénarios relatifs au consentement tacite qui figurent dans la LCAP. Cependant, à des fins de référence quotidienne, un résumé de haut niveau de ces dispositions vous est fourni sous forme d’arbre décisionnel/organigramme à partir du lien suivant : La loi canadienne anti-pourriel : organigramme sur les procédures liées aux messages électroniques commerciaux (MEC). Il va sans dire que, pour tirer pleinement profit de ces dispositions, votre organisation devra se référer à la LCAP et aux règlements connexes ou aux recommandations précises d’un conseiller juridique d’expérience. 

(d)      Exigences liées au consentement : les lois sur la protection de la vie privée vs la LCAP

Il est important pour votre organisation de reconnaître que les exigences liées au consentement et imposées en vertu de lois applicables en matière de protection de la vie privée, se distinguent des exigences liées au consentement qui figurent dans la LCAP.  Par exemple, les organisations du secteur privé qui exercent des activités commerciales en Ontario sont assujetties à la LPRPDE7.  La LPRPDE oblige déjà ces organisations à obtenir le consentement des destinataires avant d’utiliser leurs adresses de courriel ou autres renseignements personnels à des fins d’activités commerciales.  Les consentements exigés en vertu de la LPRPDE peuvent être exprès ou tacites, selon les circonstances. 

La LCAP, en revanche, exige l’obtention d’un consentement exprès pour l’envoi de MEC, sous réserve uniquement de certaines exemptions et situations prescrites dans le cadre desquelles le consentement est implicite, tel qu’il a été mentionné brièvement ci-dessus. Les organisations qui se fient actuellement au consentement tacite pour envoyer des MEC en conformité avec une loi sur la protection de la vie privée risquent de constater que, pour l’application de la LCAP, de tels consentements seront insuffisants à partir du 1er juillet 2014. 

(e)        Obligation d’obtenir les consentements avant le 1er juillet 2014

Les demandes de consentement à recevoir des MEC envoyées par courriel seront elles-mêmes considérées comme étant des MEC aux termes de la LCAP, à partir du 1er juillet 2014.  Ainsi, les demandes de consentement envoyées par courriel à partir du 1er juillet 2014 seront assujetties aux exigences relatives au consentement et au contenu de la LCAP (ainsi qu’à certaines exigences liées au contenu s’appliquant uniquement aux demandes de consentement à envoyer en vertu de la LCAP8).  Si, en date du 1er juillet 2014, votre organisation n’a toujours pas obtenu les consentements requis pour l’envoi de MEC aux termes de la LCAP, il sera interdit à cette dernière d’envoyer des MEC pour demander de tels consentements le 1er juillet 2014 ou après cette date, sauf s’il convient d’appliquer l’une des exemptions prescrites ou l’un des scénarios relatifs au consentement tacite.

3. Étapes clés quant à la conformité avec la LCAP

(a)        Former votre équipe responsable des questions relatives à la LCAP

Les programmes de conformité avec la LCAP requièrent la participation de différentes unités fonctionnelles œuvrant dans divers domaines de l’organisation visée.  Dans bon nombre de cas, il convient d’inclure des représentants d’unités fonctionnelles telles que le marketing, les technologies de l’information et les ressources humaines dans l’équipe de mise en œuvre du programme de conformité avec la LCAP.  En outre, le conseiller juridique et le chef de la protection des renseignements personnels de votre organisation doivent jouer un rôle de premier plan dans le processus de préparation à la LCAP.  Il est souvent nécessaire de former une équipe de mise en œuvre du programme de conformité avec la LCAP afin de faciliter la participation de chacune des unités fonctionnelles susmentionnées tout au long du processus de conformité avec la LCAP.

(b)        Examiner vos pratiques actuelles en ce qui a trait aux MEC et aux consentements

L’objectif premier de votre équipe responsable de la conformité avec la LCAP est de bien comprendre les pratiques de votre organisation et les systèmes d’information liés aux MEC.  Plus précisément, il faut déterminer ce qui suit :

(i)         À quelles fins est-ce que votre organisation envoie des MEC?

(ii)        Sous quelle forme ces MEC sont-ils envoyés?

(iii)       Qui envoie les MEC de votre organisation?

(iv)       Quelles procédures les membres du personnel de votre organisation suivent-ils lorsqu’ils envoient des MEC?

(v)        À qui est-ce que votre organisation envoie des MEC?  Comment les bases de données contenant les adresses des destinataires sont-elles structurées et remplies?  Comment votre organisation procède-t-elle pour recueillir des noms et des adresses électroniques en vue d’envoyer des MEC?

(vi)       Comment votre organisation procède-t-elle actuellement pour obtenir et retracer les consentements et retraits de consentement à utiliser des adresses électroniques? 

(vii)      Les consentements auxquels votre organisation se fie actuellement pour l’envoi de MEC sont-ils exprès ou tacites?  Est-ce que votre organisation identifie ces catégories de consentement dans sa base de données, et établit-elle une distinction entre ces catégories?

(iix)      Votre organisation se fie-t-elle à des tiers pour obtenir et maintenir le consentement à envoyer des MEC en son nom?  Votre organisation envoie-t-elle des MEC au nom de tierces parties?  Le cas échéant, votre organisation est-elle en mesure de présenter les arrangements et les ententes conclus avec lesdites tierces parties en vue de justifier ces activités?

(c)        Construire des compartiments de données

Une fois que le processus d’examen des pratiques internes aura été complété, votre organisation saura précisément quels destinataires ont fourni un consentement exprès, lesquels ont fourni un consentement implicite, et lesquels ont retiré leur consentement ou n’ont jamais consenti à recevoir des MEC.  L’information ainsi catégorisée en « compartiments de données » doit être facile à repérer dans vos systèmes d’information. 

Avant le 1er juillet 2014, votre organisation doit obtenir le consentement exprès de chacun des destinataires de MEC figurant dans la catégorie des consentements tacites, dans les cas où aucune exception et aucun scénario relatif au consentement tacite n’est applicable en vertu de la LCAP. 

Votre organisation doit s’assurer que chaque consentement exprès auquel elle se fie pour l’envoi de MEC est assorti de la documentation appropriée, de sorte que votre organisation puisse s’acquitter du fardeau de prouver qu’elle a bel et bien obtenu un tel consentement, au besoin.

Votre organisation peut envoyer des MEC à des destinataires figurant dans la catégorie des consentements tacites après le 1er juillet 2014, pourvu qu’il y ait lieu d’appliquer une exception ou un scénario relatif au consentement tacite en vertu de la LCAP au moment de l’envoi du MEC, et pourvu que le destinataire ne se soit pas désabonné afin de ne plus recevoir de MEC de votre organisation.  Afin de tirer pleinement profit des possibilités susmentionnées, votre organisation doit créer des compartiments de données clairement délimités qui permettent de repérer les destinataires auxquels il convient d’appliquer les exceptions liées au consentement et les dispositions visant le consentement tacite de la LCAP. 

(d)       Appliquer les exceptions et les scénarios relatifs au consentement tacite de la LCAP à votre organisation

Si votre organisation désire envoyer des MEC à des destinataires desquels elle n’a pas obtenu de consentement exprès, elle devra, pour se conformer à la LCAP, être en mesure de prouver l’applicabilité d’une exception ou d’un scénario relatif au consentement tacite.  Les exceptions et les dispositions visant le consentement tacite de la LCAP et des règlements connexes doivent être appliquées en tenant compte des renseignements que vous avez recueillis dans le cadre de votre examen de conformité avec la LCAP, en vue de déterminer les cas dans lesquels votre organisation est autorisée à envoyer des MEC sans avoir d’abord obtenu un consentement exprès.  C’est d’ailleurs sur les résultats obtenus au terme de cette analyse que votre organisation se basera pour créer des compartiments de données, catégorisés selon les cas d’exception et de consentement tacite de la LCAP, tel qu’il a été mentionné ci-dessus.

Il est recommandé de refléter les résultats de l’analyse dans une politique énonçant les procédures liées à la LCAP, qui sera élaborée par votre organisation. Cette politique doit faire référence aux exceptions et aux scénarios relatifs au consentement tacite de la LCAP pouvant s’appliquer à votre organisation, en plus de préciser dans quelles circonstancesces exceptions et scénarios s’appliqueront, et d’expliquer comment l’information requise pour justifier ces exceptions et scénarios sera recueillie et retracée. 

Dans le cadre de l’élaboration de cette politique, vous pourriez avoir à interpréter certaines dispositions de la LCAP afin d’apporter des précisions qui n’apparaissent pas à première vue dans cette loi.  Prenons par exemple l’exception de la LCAP relative au consentement et au contenu qui s’applique aux MEC envoyés entre les employés de différentes organisations au sujet des activités de l’organisation destinataire9.  Cette exception s’applique aux MEC envoyés par les employés d’une organisation aux employés d’une autre organisation, lorsque les deux organisations entretiennent des « rapports ». La LCAP ne fournit pas de définition du terme « rapports » dans ce contexte.  Si votre organisation prévoit profiter de cette exception, elle doit, dans sa politique sur la LCAP, s’assurer d’énoncer les circonstances dans lesquelles il sera jugé que de tels rapports existent.  

À souligner que votre politique doit être révisée et mise à jour régulièrement, au fur et à mesure que se développe la jurisprudence afférente à la LCAP.

(e)        Établir des mécanismes d’information adéquats

Pour que votre organisation soit considérée comme étant conforme à la LCAP, elle devra munir ses systèmes d’information de certaines fonctions particulières.  Il faut créer des mécanismes et des processus permettant de déplacer les adresses électroniques vers les compartiments de données appropriés, afin que ces derniers puissent être constamment actualisés au fil du temps.  Par-dessous tout, les adresses des destinataires ayant retiré leur consentement devront promptement être déplacées vers le compartiment de données contenant les coordonnées à l’égard desquelles le consentement n’a pas été obtenu.

Lorsque votre organisation crée des compartiments de données afin de classer les renseignements concernant les exceptions liées au consentement et les scénarios relatifs au consentement tacite de la LCAP, elle doit également établir les méthodes qui seront employées pour retracer, recueillir et organiser les données requises en vue de démontrer que l’exception ou le scénario dont il est question est bel et bien applicable. Par ailleurs, ces méthodes doivent être reflétées dans les systèmes d’information de votre organisation.  Il faut installer des fonctions d’élimination graduelle afin que les adresses électroniques soient retirées de ces compartiments de données lorsqu’une exception ou un consentement tacite vient à échéance, aux termes de la LCAP. 

Les protocoles d’élimination graduelle employés par votre organisation doivent repérer et signaler à l’avance les scénarios relatifs au consentement tacite venant à échéance, lorsqu’il y a lieu, afin que le système déclenche l’envoi de demandes de consentement en vue de convertir les consentements tacites en consentement exprès avant que ceux-là ne viennent à échéance.

Finalement, les procédures que votre organisation adopte quant à l’envoi de MEC doivent s’accorder avec les compartiments de données contenant les adresses de destinataires de votre organisation, en plus de s’aligner sur les exigences de la politique sur la conformité avec la LCAP. 

(f)        Établir des politiques et des procédures qui contribueront au respect des exigences de la LCAP relatives au contenu

Votre organisation doit établir des politiques et des procédures qui favorisent la conformité avec les exigences de la LCAP relatives au contenu des MEC. Votre organisation doit réviser et mettre à jour ses modèles de MEC en vue de satisfaire à ces exigences.

Après le 1er juillet 2014, les MEC devront contenir un « mécanisme d’exclusion » (mécanisme de désabonnement) prescrit par la LCAP, lequel permet aux destinataires de signaler efficacement et promptement leur volonté de ne plus recevoir de MEC.  Vos systèmes des technologies de l’information et vos procédures y afférentes devront s’aligner sur ce mécanisme et en faciliter l’utilisation de manière à satisfaire aux exigences de la LCAP.  Votre organisation doit s’assurer d’employer un mécanisme de désabonnement efficace et facile à utiliser.

Vos politiques et procédures relatives au contenu des MEC doivent tenir compte des différentes exigences liées au contenu qui s’appliquent aux demandes de consentement communiquées par votre organisation en lien avec la LCAP.  Dans le cas des demandes de consentement que votre organisation communique par message électronique, il faut respecter les exigences liées au contenu des MEC applicables aux autres types de MEC.  Toutefois, lorsque le consentement à recevoir des MEC est sollicité par l’intermédiaire d’un MEC, il est également requis d’y inclure un énoncé indiquant que le destinataire peut retirer son consentement à tout moment.

Les exigences de la LCAP relatives au contenu ne se limitent pas aux demandes de consentement envoyées par message électronique.  Lorsqu’une demande du consentement à recevoir des MEC est faite sur papier ou oralement, cette dernière sera également assujettie aux exigences relatives au contenu.  Les demandes en format papier doivent elles aussi être révisées pour en assurer la conformité avec les exigences de la LCAP en matière de contenu.  Lorsque la demande de consentement se fait oralement, plus précisément par téléphone, il peut s’avérer utile d’employer un texte formulé à cette fin.  Votre organisation doit déterminer comment elle s’acquittera du fardeau de prouver qu’elle a bel et bien obtenu des consentements lorsque ceux-ci sont recueillis oralement.

(g)        Établir des contrats interentreprises, lorsque nécessaire, pour le traitement approprié du partage de consentements

Aux termes de la LCAP, les personnes qui partagent des consentements en lien avec l’envoi de MEC10 sont tenues de s’assurer que leurs homologues agissent conformément à la LCAP.  Lorsque votre organisation partage des consentements à recevoir des MEC avec d’autres organisations, telles que des sociétés affiliées, des fournisseurs de services ou des organisations clientes, il faut établir des protocoles de technologie de l’information conformes à la LCAP ainsi que des protections contractuelles et les réviser au besoin. 

(h)       Établir une culture d’entreprise qui cadre avec la conformité à la LCAP

Les membres du personnel de votre organisation doivent recevoir une formation et des renseignements sur la LCAP afin de bien comprendre les politiques et procédures y afférentes et de contribuer à l’application de celles-ci au sein de l’organisation.  La formation offerte doit entre autres inclure les procédures à suivre pour recueillir les consentements, les exigences relatives au contenu des MEC ainsi que des procédures connexes liées à l’utilisation des systèmes de technologie de l’information de votre organisation.  Votre organisation devra évidemment présenter sa politique portant sur les procédures liées à la LCAP dans le cadre de cette formation.  La formation sur la LCAP doit être accompagnée de documents sélectionnés avec choix, car cette documentation peut constituer une partie essentielle d’une défense en diligence raisonnable face à d’éventuelles accusations de contravention de la LCAP.  Une fois la formation terminée, il faudra occasionnellement fournir aux employés des mises à niveau sur la LCAP ainsi que des mises à jour relatives à la politique afin de s’assurer que ces derniers demeurent au fait des exigences de conformité avec la LCAP, et afin de contribuer à ce que la conformité avec la LCAP s’implante encore plus profondément dans la culture d’entreprise de votre organisation. 


1 CASL article 52.

2 LCAP, article 33.

3 LCAP, article 13.

4 LCAP, article 1(2).

5 LCAP, article 6(8).

6 LCAP, article 10(9)(a).

7 Loi sur la protection des renseignements personnels et les documents électroniques (Canada)

8 Règlement sur la protection du commerce électronique (CRTC), article 4.

9 Règl. 81000-2-175 (DORS/SOR), article 3(a)(ii).

10 Règl. 81000-2-175 (DORS/SOR) article 5.