La Loi canadienne anti-pourriel (LCAP) – Rapport de mesure du rendement 2017-2018

1. Introduction

La Loi canadienne anti-pourriel (LCAP) protège les Canadiens contre le pourriel et d'autres menaces électroniques tout en veillant à ce que les entreprises canadiennes puissent demeurer concurrentielles sur le marché mondial. De façon générale, elle interdit ce qui suit : l'envoi de messages électroniques à caractère commercial sans le consentement du destinataire; l'installation de programmes informatiques sans le consentement exprès du propriétaire de l'ordinateur; les indications fausses ou trompeuses données au public au moyen de messages électroniques; la collecte de renseignements personnels par l'accès illégal à un ordinateur; et la collecte et l'utilisation d'adresses électroniques au moyen de programmes informatiques (collecte d'adresses).

La LCAP a été adoptée en 2010 et la majorité de ses dispositions sont entrées en vigueur en 2014 avec une période de transition de trois ans pour donner aux consommateurs et aux entreprises le temps d'en prendre connaissance et de s'y conformer.

En 2017, la Direction générale de la vérification et de l'évaluation d'ISDE a évalué la LCAP, concluant à la nécessité de mieux coordonner les activités d'éducation et de sensibilisation des partenaires gouvernementaux. Le présent rapport annuel fait partie des mesures qui ont été prises par la direction pour répondre à ce besoin.

Le rapport fait également suite à une recommandation formulée par le Comité permanent de la Chambre des communes sur l'industrie, les sciences et la technologie dans son rapport d'examen réglementaire sur la LCAP.

2. Aperçu des résultats

Promotion :

En 2017-2018, le site Web fightspam.gc.ca a reçu 400184 visiteurs, dont 339978 visiteurs uniques; 68,8 % venaient du Canada, 22,2 %, des États-Unis et 9 %, des autres pays.

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a dénombré 133386 consultations uniques et 173578 consultations des pages de son site Web relatif à la LCAP.

Les pages Web du Commissariat à la protection de la vie privée du Canada (CPVP) relatives à la LCAP ont été consultées plus de 20000 fois, tandis que la page Web intitulée « Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing » l'a été plus de 14400 fois.

En 2017-2018, le nombre de mentions négatives dans les médias sociaux concernant la LCAP (18 %) a continué de diminuer. Comparativement au ton des mentions des deux années précédentes (26,4 % de mentions négatives en 2015-2016 et 22 % de mentions négatives en 2016-2017), ces résultats montrent que les perceptions négatives suivent une tendance constante à la baisse.

Surveillance :

Le CRTC a reçu des Canadiens 7873 soumissions par voie de formulaires sur le Web et 335926 par voie de courriels au Centre de notification des pourriels, pour un total de 343799 soumissions.  Le CRTC a émis 13 avis de communication à des organisations afin de vérifier leur conformité avec la LCAP.

Application :

Le CRTC a pris cinq mesures d'application de la loi, soit deux lettres d'avertissement et trois engagements.

Le Bureau de la concurrence a réglé deux dossiers qui ont donné lieu à des sanctions administratives pécuniaires de 2,25 millions de dollars, tandis qu'une demande a été déposée auprès du Tribunal de la concurrence.

Le CPVP a reçu du public neuf plaintes écrites liées à la LCAP, dont six ont été acceptées et ont été réglées avec succès par règlement rapide ou en faisant l'objet d'une enquête.

3. Partenaires

L'initiative relative à la LCAP est administrée par Innovation, Sciences et Développement économique Canada (ISDE) et mise en application par le CRTC, le CPVP et le Bureau de la concurrence. Les rôles et responsabilités de toutes les organisations ont été définis dans les documents de base, dont la loi et le règlement.

Innovation, Sciences et Développement économique Canada

Innovation, Sciences et Développement économique Canada est le ministère responsable de la LCAP au gouvernement du Canada; au sein d'ISDE, la Direction générale des politiques-cadres du marché et le Bureau de la consommation y partagent les responsabilités afférentes.

Organe national de coordination

L'Organe national de coordination réside à ISDE et relève de la Direction de la politique sur la vie privée et la protection des données de la Direction générale des politiques-cadres du marché. L'Organe national de coordination est responsable des politiques et de la recherche, de la surveillance des communications publiques et de la sensibilisation, de la surveillance et des rapports sur l'efficacité globale du régime.

Bureau de la consommation

Le Bureau de la consommation coordonne les efforts d'éducation et de sensibilisation des consommateurs et des entreprises pour l'initiative relative à la LCAP.

Partenaires en application de la loi

Conseil de la radiodiffusion et des télécommunications canadiennes

Le CRTC est l'organisme de réglementation de la radiodiffusion et des télécommunications au Canada. À titre de principal responsable de l'application de la LCAP, il enquête, prend des mesures et fixe les sanctions administratives pécuniaires pour les infractions suivantes :

• Envoi de messages électroniques commerciaux non conformes, par exemple un message envoyé sans consentement préalable;
• Modification de données de transmission sans consentement exprès. À titre d'exemple, cela interdit la pratique d'orienter les internautes vers des sites Web qu'ils n'avaient pas l'intention de visiter et comprend d'autres activités illégales qui ciblent les internautes;
• Installation d'un programme d'ordinateur sur un système ou un réseau informatique sans consentement exprès. Cela comprend les logiciels malveillants, les logiciels espions et les virus installés avec des programmes d'ordinateur dissimulés dans des pourriels ou téléchargés par des liens aux sites Web infectés.

Bureau de la concurrence

Le Bureau de la concurrence est un organisme d'application de la loi indépendant qui veille à ce que les entreprises et les consommateurs canadiens prospèrent dans un marché concurrentiel et novateur, y compris le marché électronique.

Grâce aux modifications apportées à la Loi sur la concurrence, la LCAP permet au Bureau de la concurrence de s'attaquer plus efficacement aux indications fausses et trompeuses et aux pratiques commerciales trompeuses dans le marché électronique, y compris les indications fausses ou trompeuses dans les renseignements sur l'expéditeur ou dans l'objet d'un message électronique, dans un message électronique et dans un localisateur tel que les adresses URL et les métadonnées.

Commissariat à la protection de la vie privée du Canada

Le Commissariat à la protection de la vie privée du Canada (CPVP) est un agent du Parlement qui a pour mission de protéger et de promouvoir le droit à la vie privée. Grâce à des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le commissaire à la protection de la vie privée applique la LCAP pour deux types de conduite :

• La collecte et l'utilisation de renseignements personnels par l'accès à des systèmes informatiques en contravention à la loi;
• La collecte d'adresses électroniques par la compilation de listes d'adresses électroniques en nombre à l'aide de mécanismes, y compris l'utilisation de programmes d'ordinateur qui fouillent automatiquement Internet pour y trouver des adresses.

4. L'écosystème

4.1 Contexte international

La prolifération du pourriel et des menaces électroniques telles que les logiciels malveillants, l'hameçonnage, le contenu faux et trompeur et le vol d'identité, représentent pour les internautes, les entreprises et les gouvernements du monde entier, un ensemble de problèmes évoluant, nuisible et coûteux. Le coût de ces menaces continue d'augmenter malgré les filtres anti-pourriel et les nouvelles technologies. En 2017, 14,5 milliards de pourriels ont été envoyés mondialement à chaque jour, ce qui représentait 45 % de tous les courriels envoyés.

Comme la majorité de ces menaces proviennent de l'extérieur du Canada, les partenaires de la LCAP ont établi des relations avec 16 pays, dont l'Australie, les Pays-Bas, le Royaume-Uni et les États-Unis, afin de résoudre certains de ces problèmes. À cette fin, les partenaires de la LCAP sont aussi membres de l'Unsolicited Communications Enforcement Network (UCENet), un réseau international d'organismes qui échangent des renseignements et collaborent pour lutter contre le pourriel et les autres menaces électroniques.

4.2 Tendances, indicateurs et défis du commerce électronique

La LCAP protège les Canadiens contre le pourriel et les autres menaces en ligne tout en veillant à ce que les entreprises puissent demeurer concurrentielles sur le marché mondial. Elle permet aussi aux organismes d'application de la loi de prendre des mesures contre les polluposteurs qui exercent des activités au Canada et facilite la coopération dans le cadre des mesures de lutte contre le pourriel à l'échelle mondiale.

Le marché électronique dans lequel évolue la LCAP est complexe et change rapidement. La LCAP s'inscrit dans une vaste gamme de cadres juridiques et stratégiques nationaux et internationaux dans les domaines du spectre, des télécommunications, de la protection de la vie privée et de la cyberrésilience, y compris la cybersécurité.

En 2017, la protection de la vie privée et la confiance en ligne continuent de préoccuper les Canadiens. En effet, 44 % des internautes canadiens se disent plus préoccupés par la protection de leur vie privée en ligne qu'il y a un an. La cybercriminalité était la principale source de préoccupation des Canadiens, mais ceux-ci disaient également se méfier des plateformes de médias sociaux, des moteurs de recherche et des entreprises de technologie Internet, 58 % des internautes canadiens estimant que les médias sociaux ont trop de pouvoir. Malgré cela, le commerce électronique demeure en bonne santé, 86 % des Canadiens ayant effectué un achat en ligne au cours de la même année.

Ces préoccupations sont le signe d'un véritable défi, 39 % des entreprises canadiennes déclarant avoir été victimes d'une attaque de logiciels malveillants. À elles seules, les arnaques liées aux achats en ligne et la fraude par virement électronique ont fait perdre plus de 33 millions de dollars aux Canadiens.

Pour s'y attaquer, il se serait dépensé 2,26 milliards de dollars en cybersécurité au Canada. On estime que 71 % des atteintes à la sécurité ont affecté de petites entreprises, tandis que 24 % des entreprises canadiennes ont déclaré ne pas utiliser de logiciels contre les programmes malveillants.

Cela illustre la pertinence de la LCAP, qui a contribué à ce que le Canada ne fasse pas partie des 10 principaux pays pour le pollupostage.

5. Les réalisations

5.1 Politiques et coordination

Les fonctions de la LCAP en matière de politiques, de recherche, de surveillance et de coordination sont la responsabilité de l'Organe national de coordination, qui relève de la Direction générale des politiques-cadres du marché d'ISDE. L'Organe national de coordination se tient au fait des derniers développements dans les domaines du pourriel, des menaces en ligne, de la cybersécurité et du commerce électronique en effectuant des analyses de renseignement stratégique et des recherches d'information ainsi qu'en analysant les mesures et les tendances. Il travaille également avec des partenaires nationaux et internationaux en vue d'harmoniser les cadres législatifs et réglementaires avec les pratiques exemplaires internationales en matière de lutte contre le pourriel et les logiciels malveillants. Par exemple, en collaboration avec ses partenaires chargés de l'application de la LCAP, l'Organe national de coordination participe à des forums internationaux (et parraine certains d'entre eux) sur le pourriel, comme le Messaging Malware Mobile Anti-Abuse Working Group (M3AAWG) et le UCENet.

L'Organe national de coordination est chargé d'informer et de conseiller le ministre de l'Innovation, des sciences et du développement économique, qui est responsable de la LCAP, sur tous les développements liés à la gestion et aux politiques de l'initiative relative à la LCAP. Il supervise également les efforts de communication et de sensibilisation, y compris le développement du site Web fightspam.gc.ca, qui relève du Bureau de la consommation.

L'Organe national de coordination coordonne également les activités de gouvernance de la LCAP en présidant les réunions du Comité des directeurs généraux pour discuter de politiques et de stratégies.

L'Organe national de coordination dirige et coordonne la préparation des rapports annuels de mesure du rendement de l'initiative relative à la LCAP, qui sont produits conformément aux politiques et aux lignes directrices du Conseil du Trésor. Un tel rapport a été produit pour 2016-2017 et les années précédentes en collaboration avec tous les partenaires de la LCAP.

Le cadre de mesure du rendement de la LCAP a été mis à jour en 2017. L'Organe national de coordination et tous les partenaires de la LCAP ont collaboré avec la Direction générale de la vérification et de l'évaluation d'ISDE afin de coordonner cet effort.

La Direction générale de la vérification et de l'évaluation a également réalisé une évaluation de la LCAP en 2017-18. Cette évaluation portait sur les réalisations initiales de l'initiative, sur sa gestion et sur la mesure dans laquelle les répercussions de la LCAP sur le marché électronique peuvent être mesurées. Elle a de plus fait ressortir la nécessité de mieux coordonner les activités d'éducation et de sensibilisation des partenaires gouvernementaux. Le présent rapport annuel fait partie des mesures qui ont été prises par la direction pour répondre à ce besoin. L'Organe national de coordination a soutenu la Direction générale dans cet exercice et coordonnera la mise en œuvre de la réponse de la direction et plan d'action, qui est la réponse de la direction aux recommandations formulées dans l'évaluation. Tous les partenaires collaborent avec l'Organe national de coordination à l'élaboration du plan, comme ils l'ont fait pour l'évaluation ellemême.

Réalisations de l'Organe national de coordination axées sur les politiques de la LCAP pour 2017-2018 :

La LCAP prévoit un droit privé d'action, qui devait entrer en vigueur en juillet 2017. En réponse aux préoccupations générales soulevées par les entreprises, les organismes de bienfaisance et le secteur sans but lucratif, l'Organe national de coordination a coordonné la consultation et effectué la recherche et l'analyse stratégiques qui ont mené, le 2 juin 2017, à la suspension de l'entrée en vigueur du droit privé d'action par le gouvernement du Canada.

L'article 65 de la LCAP exige que la Loi, entrée en vigueur en 2014, soit examinée par un comité parlementaire trois ans après son entrée en vigueur. Le Comité permanent de la Chambre des communes sur l'industrie, les sciences et la technologie en a donc fait l'examen entre le 26 septembre et le 12 décembre 2017. L'Organe national de coordination était responsable de la comparution d'ISDE devant le Comité ainsi que de l'appui requis par les travaux de celui-ci. Le 13 décembre 2017, le Comité a déposé son rapport, intitulé « La Loi canadienne anti-pourriel : des précisions s'imposent ». Le rapport formule 13 recommandations concernant l'application et les exigences de la LCAP et demande une réponse du gouvernement, que l'Organe national de coordination est chargé de préparer.

En collaboration avec l'Organe national de coordination, tous les partenaires ont comparu devant le Comité, où tous ont exprimé leur appui à la Loi et à son incidence sur la lutte contre le pourriel et les menaces en ligne susceptibles de porter préjudice aux Canadiens. Voici les déclarations faites par les partenaires de la LCAP devant le Comité.

• https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/conseils-au-parlement/2017/parl_20171024/
• https://www.ourcommons.ca/Content/Committee/421/INDU/Brief/BR9285658/br-external/CanadianRadio-televisionAndTelecommunicationsCommission-f.pdf (PDF, 303,66 Ko)
• https://www.noscommunes.ca/DocumentViewer/fr/42-1/INDU/reunion-80/temoignages
• https://www.noscommunes.ca/DocumentViewer/fr/42-1/INDU/reunion-72/temoignages

5.2 Promotion de la conformité

Bureau de la consommation

Le Bureau de la consommation gère les produits de communication de la LCAP destinés aux particuliers et aux entreprises du Canada, y compris le site Web fightspam.gc.ca.

Fightspam.gc.ca fait la promotion de l'information liée à la LCAP. En 2017-2018, le site Web a reçu 400184 visiteurs Web, dont :

• 339978 visiteurs uniques;
• 303327 visiteurs qui l'ont consulté une fois;
• 36651 visiteurs qui l'ont consulté plusieurs fois.

Répartition des visiteurs sur fightspam.gc.ca en 2017-2018 :

• 68,8 % du Canada;
• 22,2 % des États-Unis;
• 9 % de tous les autres pays.

Répartition des mentions liées à la LCAP sur les médias sociaux en 2017-2018 :

• 71 % du Canada;
• 14,5 % des États-Unis;
• 4,5 % du Royaume-Uni;
• 10 % de tous les autres pays.

En 2017-2018, le Bureau a publié 10 messages liés à la LCAP sur les pages Facebook intitulées « Your Money Matters » et « Questions d'argent ». Ensemble, ces messages sur Facebook ont été lus 48730 fois. La surveillance des médias en ligne et des médias sociaux a permis au Bureau de recenser 2475 mentions liées à la LCAP.

Principales tendances et faits saillants des mentions de la LCAP sur les médias sociaux en 2017-2018 :

• 62 % des mentions concernaient le droit privé d'action de la LCAP (8 juin 2017).
• Avant le 8 juin, toutes les mentions principales étaient des discussions ou des conseils sur la mise en œuvre prochaine du droit privé d'action.
• Peu après le 8 juin, toutes les mentions principales étaient des réactions à l'annonce de la suspension des articles de la LCAP portant sur le droit privé d'action.
• À compter de juillet, le nombre de mentions est resté faible. Depuis ce moment-là, les principales mentions portent sur divers sujets tels que la conformité, le consentement, le droit privé d'action et l'examen par le Comité.

En 2017-2018, le nombre de mentions négatives a continué à diminuer :

• 36,75 % de mentions positives;
• 45,25 % de mentions neutres ou ambivalentes;
• 18 % de mentions négatives.

Comparativement au ton des mentions des deux années précédentes (26,4 % de mentions négatives en 2015-2016 et 22 % de mentions négatives en 2016-2017), ces résultats montrent que les perceptions négatives suivent une tendance constante à la baisse.

En plus de faire la promotion de l'information en ligne, le Bureau distribue des exemplaires de cartes postales imprimées, intitulées « Le pourriel vous inquiète? », pour aider les Canadiens à reconnaître les pourriels potentiels.

Distribution de cartes postales imprimées aux bureaux régionaux des députés en 2017-2018 :

• 1400 cartes postales en anglais;
• 840 cartes postales en français.

La promotion continue de la conformité à la LCAP auprès des entreprises s'effectue en ligne par l'entremise du site Web fightspam.gc.ca. Au total, les pages Web traitant spécifiquement de la conformité des entreprises à la LCAP ont été consultées 77985 fois.

CRTC

En complément de fightspam.gc.ca, le site Web du CRTC fournit également de l'information sur la LCAP aux Canadiens et aux intervenants pour qu'il soit plus facile à chacun d'obtenir l'aide requise. En 2017-2018, le CRTC a également continué de renforcer la présence de la LCAP sur les médias sociaux en utilisant Twitter et Facebook pour éduquer et informer les intervenants et les Canadiens.

Le fait d'enrichir l'expérience en ligne à l'aide d'alertes, de vidéos et d'infographies faciles d'accès s'est traduit par une augmentation de 34 % du nombre de visiteurs sur des appareils mobiles et par une hausse globale de 9 % du nombre de nouveaux visiteurs, tous appareils confondus. Cela signifie que le CRTC joint plus de Canadiens que jamais.

En 2017-2018, le CRTC :

• a enregistré 133386 consultations uniques et 173578 consultations des pages de son site Web relatif à la LCAP;
• a publié 52 gazouillis qui ont généré 60692 impressions et 26 partages de gazouillis;
• a affiché 20 messages sur Facebook, qui ont été lus par 68513 personnes et ont suscité 286 réactions;
• a tenu plus de 40 séances de conformité et de sensibilisation à l'intention de diverses associations d'entreprises et de groupes de consommateurs au Canada;
• a prononcé un discours liminaire sur la conformité des entreprises à la LCAP lors de la conférence du Conseil en crédit du Canada;
• a participé avec le Réseau Entreprises Canada à un clavardage en direct qui mettait l'accent sur les obligations de conformité de ses membres en vertu de la LCAP.

Bureau de la concurrence

En 2017-2018, le Bureau de la concurrence s'est employé de plusieurs façons à mieux sensibiliser le plus grand nombre possible de consommateurs et d'entreprises du Canada aux questions liées à la LCAP :

• a publié le 3e volume du recueil des pratiques commerciales trompeuses, le 2 mai 2017. Ce volume portait principalement sur la façon dont les organismes d'application de la loi peuvent mieux travailler ensemble comme membres du Comité de la politique à l'égard des consommateurs de l'Organisation de coopération et de développement économiques ainsi que du Réseau international de contrôle et de protection des consommateurs (« ICPEN »). Il a aussi examiné les récents travaux d'application de la loi dans l'économie numérique, notamment certaines pratiques commerciales pouvant entraîner des « chocs de la facture mensuelle »;
• a publié « Mégadonnées et innovation : les grands thèmes de la politique en matière de concurrence au Canada » en février 2018 dans le cadre de son engagement à rester à la page des nouveaux enjeux de l'économie numérique;
• a publié à l'intention des consommateurs et des entreprises 13 alertes portant sur un vaste éventail de questions, dont les fausses déclarations d'experts techniques, les escroqueries de faux PDG, les arnaques d'essai gratuit ou d'abonnement piégé et les fraudes de magasinage en ligne.

CPVP

Le CPVP fournit continuellement des conseils de conformité liés à la LCAP à l'intention des entreprises et des particuliers par l'entremise de différents canaux. Le site Web du CPVP (https://www.priv.gc.ca/fr/) est son principal outil pour joindre les particuliers et pour échanger de l'information avec les entreprises.

Voici des faits saillants pour 2017-2018 :

• Les pages Web liées à la LCAP ont été consultées plus de 20000 fois;
• La page Web intitulée « Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing » a été consultée plus de 14400 fois;
• Les ressources en ligne pour les aînés, qui comprennent de l'information liée à la LCAP sur la protection des renseignements personnels en ligne, la protection des renseignements personnels des utilisateurs d'appareils mobiles et la prévention du vol d'identité, ont été mises à jour.

Échange de contenu par l'entremise des médias sociaux :

• Des conseils et des documents liés à la LCAP ont été envoyés en guise de promotion aux entreprises dans une série de gazouillis et de messages sur LinkedIn accompagnés de graphiques, y compris d'images et de photos, par exemple pendant le Mois de la prévention de la fraude.

Participation à des événements et à des conférences :

• Des représentants du CPVP ont fait des exposés et pris la parole lors d'événements et de séminaires, dont :
  • une tournée de conférences à travers le Canada à l'intention des petites entreprises;
  • des séances sur des sujets liés à la LCAP à l'intention des avocats, des responsables de la protection de la vie privée et des experts en cybersécurité.

Distribution de publications :

• 2400 exemplaires du document intitulé « Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing » et 2076 exemplaires du document intitulé « 10 conseils pratiques pour protéger votre boîte de courriels, votre ordinateur et votre appareil mobile » ont été distribués lors d'événements;
• 9000 exemplaires du calendrier 2018 sur la protection de la vie privée, dans lequel un mois (et la caricature éditoriale correspondante) a été consacré à la LCAP, ont été envoyés;
• Des renseignements sur la conformité (dont la LCAP) ont été envoyés par la poste à plus de 500000 petites entreprises dans un encart de l'Agence du revenu du Canada;
• De la sensibilisation sur la LCAP a été faite à travers le pays par l'entremise des bibliothèques publiques, par exemple en imprimant des conseils et de l'information liés à la LCAP sur les reçus pour les emprunts.

Publication d'articles et diffusion de messages radio :

• L'édition du printemps 2018 du Canadian Retailer Magazine (environ 32500 lecteurs) a publié un article du CPVP sur les ressources liées à la LPRPDE et à la LCAP;
• Des articles ont été publiés dans des journaux communautaires partout au pays;
• Une campagne radiophonique a été menée dans les stations de radio locales au Canada pendant la Semaine de sensibilisation à la cybersécurité et a permis de joindre plus de 1,8 million de Canadiens.

Réponse aux demandes de renseignements adressées au Centre d'information du CPVP :

• En tout, 52 demandes de renseignements sur la LCAP ont été reçues de particuliers et d'entreprises – la plupart par téléphone;
• Les trois principales catégories liées à la LCAP étaient : la conformité des organisations, les préoccupations des organisations à l'égard du pourriel et la collecte d'adresses.

5.3 Coopération internationale et nationale

Tous les organismes d'application de la loi ont travaillé en collaboration et ont rencontré régulièrement des partenaires nationaux et internationaux afin de promouvoir la conformité avec la LCAP.

CRTC :

• Par l'entremise de UCENet, le CRTC a collaboré avec 10 organismes pour identifier les entités qui se livrent à des activités de cybermarketing qui pourraient être considérées comme illégitimes, non conformes, injustes ou frauduleuses.
• Dans le cadre de cette initiative, les partenaires de UCEnet ont examiné plus de 900 sites Web et plus de 6500 plaintes de consommateurs liées au marketing par affiliation. Cette initiative a non seulement permis au CRTC de repérer des infractions potentielles, mais elle l'aidera aussi à élaborer de futurs produits de communication et tactiques d'application de la loi.

Bureau de la concurrence :

• Le Bureau de la concurrence a participé activement aux réunions de l'ICPEN et du Comité de l'OCDE de la politique à l'égard des consommateurs, et a assisté aux réunions du UCENet, du M3AAWG et de l'Internet Corporation for Assigned Names and Numbers (ICANN).

CPVP :

• Le CPVP a participé activement aux activités de plusieurs réseaux internationaux de réglementation et soutenu ceux-ci, dont le UCENet, le M3AAWG et du Global Privacy Enforcement Network (GPEN).
• En juin 2017, le CPVP a participé au premier « ratissage » réglementaire du UCENet sur le marketing par affiliation. Le ratissage mondial a permis de dégager un certain nombre de problèmes de conformité liés à cette forme de marketing, et des sites Web ont été signalés par les autorités participantes du UCENet pour que d'autres mesures soient prises.
• Le CPVP a présenté une étude de cas et une mise à jour sur la LCAP à la réunion annuelle conjointe du UCENet et du M3AAWG, à Toronto, à laquelle assistent des experts en sécurité des TI du secteur privé.
• Le CPVP est membre du comité de gestion du GPEN, dont il héberge et administre le site Web, participe à des téléconférences et assiste à des réunions annuelles.
• En 2017-2018, le CPVP et le Commissariat à l'information et à la protection de la vie privée de l'Ontario ont examiné des demandes en ligne et des sites Web utilisés en salle de classe, de la maternelle à la 12e année, dans le cadre du cinquième ratissage mondial du GPEN sur le contrôle des renseignements personnels par les utilisateurs. Selon le CPVP, bien que de nombreux sites et applications aient pris des mesures pour protéger la vie privée des enfants et des jeunes, d'autres encourageaient les élèves à fournir plus de renseignements que nécessaire.
• En juin 2017, le CPVP a coprésidé la première conférence des praticiens de l'application de la loi du GPEN à Manchester, en Angleterre. Des enquêteurs de 33 organismes de réglementation du monde entier y ont discuté de techniques d'application de la loi et de pratiques exemplaires.
• Conférence internationale des commissaires à la protection des données et de la vie privée (ICDPPC) [en anglais seulement] – L'ICDPPC est la principale tribune mondiale des autorités chargées de la protection des données et de la vie privée. Le commissaire à la protection de la vie privée siège au comité exécutif de l'ICDPPC, qui supervise les activités de la Conférence. Au cours de la 39e Conférence à Hong Kong, le CPVP a reçu deux prix mondiaux pour la protection de la vie privée de l'ICDPPC, tout comme ses vis-à-vis américains et australiens, pour son enquête conjointe sur l'atteinte aux renseignements personnels du site Ashley Madison. Le CPVP participe également aux activités d'application de la loi de l'ICDPPC. Le CPVP fait également partie du groupe de travail sur la consommation numérique, qui a été chargé d'examiner les liens entre les réglementations de la protection de la vie privée, de la protection des consommateurs et de la concurrence et, ultimement, la façon de promouvoir la collaboration entre ces sphères.
• Autorités de protection de la vie privée de la zone Asie-Pacifique (APPA) [en anglais seulement] – Le CPVP a pris la parole lors du 47e forum de l'APPA à Sydney, en Australie, où l'on s'est penché sur les moyens pour les autorités de protection de la vie privée asiatiques de mieux travailler ensemble dans les domaines de l'orientation réglementaire et de l'application de la loi de même que sur les avantages d'une telle démarche. En novembre 2017, le CPVP a été l'hôte conjoint du 48e forum, qui s'est déroulé à Vancouver, au Canada, sous le thème de la collaboration avec l'industrie, la société civile et le milieu universitaire en matière de recherche sur la protection des renseignements personnels.
• ICPEN – Le CPVP a cherché à établir des liens avec les organismes de réglementation en matière de protection des consommateurs et d'antitrust de l'ICPEN, compte tenu du lien croissant entre la protection de la vie privée et des consommateurs et les questions antitrust. En 2017-218, le GPEN a obtenu le statut d'observateur auprès de l'ICPEN, le CPVP servant d'intermédiaire entre les deux réseaux.

5.4 Surveillance de la conformité

CRTC

Le CRTC surveille la conformité à la LCAP de plusieurs façons, y compris :

• en recueillant et en analysant les données relatives aux plaintes;
• en cernant les tendances et menaces en s'appuyant pour ce faire sur les flux de données;
• en examinant et en analysant d'autres informations recueillies auprès des intervenants;
• en effectuant régulièrement des analyses de l'environnement.

En 2017-2018, le CRTC :

• a reçu des Canadiens 7873 soumissions par voie de formulaires sur le Web et 335926 par voie de courriels au Centre de notification des pourriels, pour un total de 343799 soumissions;
• a émis 13 avis de communication afin de vérifier la conformité.

CPVP

Le CPVP a terminé son examen de la mise en œuvre de mesures de protection de la vie privée de Compu-Finder, déterminant que le fournisseur de formation québécois s'était acquitté de ses obligations en vertu d'un accord de conformité conclu avec le CPVP en avril 2016.

5.5 Opérations d'application de la LCAP

CRTC

Le CRTC a établi un réseau d'alliés nationaux et étrangers de confiance avec lesquels il a élaboré des protocoles de collaboration pour l'échange d'information et l'application de la loi. En 2017-2018, le CRTC a signé des protocoles d'entente distincts avec le ministère des Affaires internes et des Communications du Japon, le commissaire à l'information du Royaume-Uni et l'autorité australienne des communications et des médias pour lutter contre les pourriels et les appels téléphoniques nuisibles. Le CRTC compte maintenant des partenariats avec 16 pays.

Partenariats internationaux du CRTC

Description de la carte mondiale des partenariats internationaux du CRTC

Carte mondiale des 16 pays avec lesquels le CRTC a établi un partenariat : les États-Unis, le Mexique, le Royaume-Unis, l'Irlande, la Suède, les Pays-Bas, la France, l'Espagne, le Portugal, Israël, l'Australie, la Nouvelle-Zélande, Hong Kong, la Corée, le Japon et le Canada. 

Les outils d'application de la loi du CRTC comprennent :

• des lettres d'avertissement;
• des engagements;
• des procès-verbaux de violation, qui peuvent comprendre des sanctions administratives pécuniaires (SAP).

Les mesures d'application de la loi du CRTC sont publiées sur son site Web. En 2017-2018, le CRTC a pris cinq mesures d'application de la loi :

• 2 lettres d'avertissement;
• 3 engagements.

Résultats obtenus en 2017-2018 :

• 514-BILLETS, dont l'activité principale est la revente de billets pour des événements sportifs et culturels, a dû payer 100000 $ pour avoir prétendument violé la LCAP. Le CRTC a enquêté sur l'allégation selon laquelle l'entreprise n'avait pas respecté diverses exigences de la loi entre juillet 2014 et janvier 2016. Au cours de cette période, l'entreprise aurait envoyé des messages texte sans le consentement du destinataire, sans information permettant d'identifier la personne qui a envoyé les messages et sans information permettant au destinataire de contacter facilement l'expéditeur. En reconnaissance des violations alléguées, 514-BILLETS a accepté de verser la somme de 75000 $ en offrant des bons de réduction de 10 $ à 7500 clients et a payé 25000 $ au Receveur général du Canada. De plus, pour veiller à ce que ses activités futures soient entièrement conformes aux exigences de la LCAP, 514-BILLETS mettra en place un programme de conformité et nommera un agent responsable de la conformité organisationnelle.
• Ancestry Ireland Unlimited Company, avec qui le CRTC a contracté son premier engagement avec une société non canadienne, a volontairement contracté un engagement concernant des violations alléguées du paragraphe 3 (2) du Règlement sur la protection du commerce électronique (CRTC) (le Règlement du CRTC). La société Ancestry s'est engagée à se conformer, et à s'assurer que toute tierce partie envoyant des messages électroniques commerciaux en son nom se conforme, à la LCAP ainsi qu'au Règlement du CRTC, en particulier au paragraphe 3(2) dudit règlement. De plus, Ancestry a accepté de mettre en place un programme, qu'elle décrit en détail, pour s'assurer d'être conforme à la LCAP. En raison de la nature des violations alléguées et de la coopération proactive dont Ancestry a fait preuve, aucun paiement n'a été exigé dans le cadre de l'engagement.

Bureau de la concurrence

En 2017-2018, le Bureau de la concurrence  a :

• réglé deux cas qui ont donné lieu à des sanctions administratives pécuniaires de 2,25 millions de dollars;
• déposé une demande auprès du Tribunal de la concurrence.

En avril 2017, le Bureau a conclu un accord de consentement avec Hertz Canada Limited et Dollar Thrifty Automotive Group Canada.

• 1,25 million de dollars en sanctions administratives pécuniaires.

En février 2018, le Bureau a conclu un accord de consentement avec Enterprise Rent-A-Car Canada Company (Enterprise).

• 1 million de dollars en sanctions administratives pécuniaires.

En janvier 2018, le Bureau a déposé une demande auprès du Tribunal de la concurrence contre Ticketmaster pour de la publicité présumée trompeuse sur le prix des billets.

CPVP

En 2017-2018, le CPVP a reçu du public neuf plaintes écrites liées à la LCAP, dont certaines ont donné lieu à des enquêtes.

Plaintes reçues :

• 3 plaintes ont été réglées dès leur réception;
  • 2 plaintes ont été redirigées vers la haute direction des organisations concernées;
  • 1 plainte a été jugée ne pas relever de la compétence du CPVP en matière d'enquête;

Six (6) plaintes ont été acceptées. De celles-ci :

• 3 plaintes ont rapidement été réglées et traitées comme des plaintes pour absence de consentement; 1 plainte a été jugée bien fondée, et les 2 autres ont été jugées réglées sans avoir tiré de conclusion;
• 3 plaintes ont été renvoyées à des enquêtes, dont 2 ont été jugées ne pas relever de la compétence du CPVP et 1 fait l'objet d'une enquête en cours.

Le CPVP a mené trois enquêtes liées à la LCAP au cours de l'année :

• Dans le cas d'une enquête concernant des allégations de communications par courriel non sollicitées, le plaignant a retiré sa plainte avant qu'un rapport final ne puisse être publié;
• Une deuxième enquête sur des allégations de communications non sollicitées par courriel et de collecte sans discernement de coordonnées par une maison d'édition est toujours en cours et devrait se conclure en 2018-2019;
• En juin 2016, le CPVP a entrepris une enquête à la demande du commissaire sur les pratiques en matière de protection de la vie privée de l'entreprise canadienne de logiciels Wajam concernant son logiciel de recherche sur les médias sociaux du même nom (par la suite renommé « Social2Search » et promu sous ce nom). Le CPVP a vérifié : i) comment et quand l'entreprise a obtenu le consentement pour installer son logiciel; ii) si l'entreprise rendait difficile la désinstallation du logiciel par les utilisateurs; et iii) si l'entreprise protégeait adéquatement les renseignements personnels des utilisateurs. À l'issue de son enquête, en 2017-2018, il a conclu que Wajam avait enfreint la LPRPDE à l'égard de chacun des trois points susmentionnés et d'autres points, dont : l'absence d'un cadre de protection des renseignements personnels; le manque de transparence du logiciel et de son fonctionnement; et le stockage continu de renseignements personnels longtemps après que les utilisateurs eurent désinstallé le logiciel. La LCAP a modifié les dispositions de la LPRPDE afin de limiter la période durant laquelle une entreprise peut recueillir et utiliser des renseignements personnels au moyen d'un logiciel qui a été installé sans consentement. L'enquête a mis en lumière l'importance pour les concepteurs de logiciels d'obtenir un consentement explicite et valable pour l'installation d'un logiciel qui recueille et utilise des renseignements personnels. Durant l'enquête du CPVP, Wajam a cessé de distribuer ses logiciels au Canada. Par la suite, l'entreprise a vendu ses actifs, y compris le logiciel, à une société de Hong Kong.
• En avril 2011, la LCAP a modifié les dispositions de la LPRPDE afin de permettre au CPVP de collaborer et d'échanger plus facilement de l'information avec les autorités provinciales et internationales chargées de la protection des données. Depuis, il a pris plusieurs mesures d'application conjointes ou coordonnées avec des partenaires nationaux et internationaux.
• En 2017-2018, le CPVP a discuté de questions relatives à la protection de la vie privée d'intérêt mutuel, a échangé des renseignements et a entrepris des enquêtes conjointes avec les commissariats à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique. L'enquête conjointe avec la Colombie-Britannique, ouverte en mars 2018, portait sur Facebook et Aggregate IQ (concernant l'affaire Facebook/Cambridge Analytica, qui a fait grand bruit dans les médias).
• Le CPVP travaille également avec des organismes internationaux de protection des données dans le cadre d'activités de conformité diverses, y compris des mesures collaboratives d'application de la loi. En 2017-2018, il a collaboré à des enquêtes internationales majeures, dont :
  • Equifax Inc. – En septembre 2017, le CPVP a ouvert une enquête sur une importante atteinte à la protection des données dans cette organisation après avoir reçu des plaintes et des appels de citoyens canadiens préoccupés. L'enquête est toujours en cours.
  • VTech Holdings Ltd – En janvier 2018, le CPVP a publié les conclusions de son enquête au sujet de l'atteinte à la protection des données à l'échelle mondiale chez ce fabricant de jouets connectés, qui a compromis les renseignements personnels de millions de personnes, dont plus de 500000 Canadiens. L'enquête a été menée en collaboration avec des partenaires en protection des données des États-Unis et de Hong Kong.
  • Fonction « Retrouver des amis » de Facebook – En septembre 2018, le CPVP a publié les résultats de son enquête sur une atteinte à la protection des données concernant les coordonnées téléchargées par les utilisateurs de Facebook au moyen de l'outil d'importation de contacts du site, aussi appelé « Retrouver des amis ». Menée en collaboration avec la Data Protection Commission of Ireland, l'enquête a poussé Facebook à offrir davantage de transparence aux utilisateurs concernant le processus d'association des coordonnées de l'outil, à apporter des améliorations à l'outil et à cesser de conserver les coordonnées associées des non-utilisateurs.