La Loi C28 : se conformer et se protéger

La Loi C28 : se conformer et se protégerPar Philippe Le Roux

• La Loi C28 est une loi anti pourriel

• La Loi C28 vise uniquement les spammers

• La Loi C28 ne couvre que les envois groupés

• Il suffit d’avoir le consentement pour être conforme

• Seuls les courriels de l’entreprise sont concernés

• Il reste 3 ans pour se conformer

• Le CRTC ne vise que les grandes compagnies

Se débarrasser de quelques mythes

• Demander le consentement AVANT d’envoyer un message et EXPLIQUER la portée du consentement

• Indiquer l’information obligatoire (expéditeur, mandant, mandataire, coordonnées physiques, etc.)

• Instructions pour arrêter les messages (fonctionnel pendant 60 jours, inclue la réponse directe, maximum 10 jours)

• Exceptions de consentement (relations d’affaires, relations privées, B2B, collectes de fonds charitables ou politiques, adresses publiques sans limites, demandes d’informations, messages de suivi, garantie, sécurité, etc.)

• Exceptions de forme (appels vocaux par téléphone, télécopies, télécommunicateurs, etc.)

• Délais (avant 1er juillet 2014, 1er juillet 2014, 15 anvier 2015, 1er juillet 2017, 2 ans après transaction, 6 mois après requête d’information, 3 ans de rétroaction)

3 grands principes et 70 règles

• Pour installer un programme informatique sur l’ordinateur d’une autre personne, il faut :• Obtenir son consentement exprès

• Expliquer CLAIREMENT pourquoi on doit installer ce programme

• Expliquer CLAIREMENT les fonctionnalités de ce programme

• Permettre le retrait du consentement

• Faciliter la suppression du programme en cas de retrait du consentement

• Exceptions (Cookies, HTML, Javascript, systèmes d’exploitation, mises à jour, mises à niveau de sécurité, logiciel téléchargé par utilisateur, etc.)

• Responsabilités : amendes jusqu’à 10M$, coût de désinstallation du programme

Les programmes d’ordinateur

• Toute activité depuis ou à destination d’un ordinateur présent au Canada ou pour le compte d’une personne physique ou morale présente au Canada

• Ententes du CRTC avec autorités correspondantes dans les autres pays

Portée extraterritoriale

La question à 10M$

a) Envoie des millions de pourriels à des inconnus ?

b) Utilise le courriel pour vendre du faux Viagra ?

c) Utilise le courriel pour voler des informations financières ?

d) Installe des logiciels espions en douce ?

e) Trafique les données de vos clients en cours de transmission ?

Est-ce que vous ou votre compagnie

Les questions à 10K$

a) Dans les infolettres

b) Dans les courriels promotionnels

c) Dans le premier message envoyé à un nouveau contact

d) Dans les courriels des vendeurs

e) Dans les courriels de tous les employés

Où indiquez-vous comment ne plus recevoir vos messages ?

a) Supprimée immédiatement

b) Maintenue pendant moins de 60 jours

c) Maintenue plus de 60 jours

d) Les messages reçus sont lus et traités quotidiennement

Lors du départ d’un employé, son adresse courriel est

a) Envoyés depuis une adresse « [email protected] »

b) Les réponses ne sont donc pas traitées

c) Les réponses sont traitées de temps en temps

d) Les réponses sont traitées systématiquement

Messages transactionnels

• Une loi complexe avec 91 articles et dispositions

• Plus de 70 règles dont plusieurs se combinent

• Des milliers de situations potentielles

• Couvre la compagnie, ses employés et ses représentants

• Touche la compagnie, les dirigeants, les administrateurs

Des centaines de questions

Les risques« Le pessimiste se plaint du vent,

L’optimiste espère qu’il change,

Le réaliste ajuste sa voilure »William A. Ward

Coûts de réputation

Coûts d’une enquête

1,000

30,000

85,000

120,000

140,000

167,000

220,000

245,000

4-Jul 30-Jul 31-Aug 8-Oct 20-Oct 20-Nov 31-Dec 5-Mar

Tsunami de plaintes

• Compiler les plaintes

• Filtrer les plaintes non pertinentes

• Classer les plaintes par volume et impact

• Lancer les enquêtes dans l’ordre

• Notice d’application

• Procès-verbal avec ou sans pénalité

• Vous devez prouver votre innocence

Le processus du CRTC

• UK : Festival de Manchester a payé une amende de 125 000$ pour des SMS

• Chine : amendes prévues de 4 900$ par message non sollicité

• USA : 3 entreprises dont 1 canadienne payent une amende de 9M$ pour spam par SMS

• Australie : Virgin a payé une amende de 22 000$ et Grays 165 000$

• Italie : amendes de 120 000$ plus 3 ans de prison

• Canada : première amende d’1,1M$ pour PME de Morin-Heights

Les amendes existent partout

Se protéger« Une bonne décision devient mauvaise quand elle est prise trop tard »

Lee Iacocca

• Article 33 (1) : Nul ne peut être tenu responsable d’une violation s’il prouve qu’il a pris toutes les précautions voulues pour prévenir sa commission

• CRTC : Le personnel du Conseil peut tenir compte de l’existence et de la mise en place d’un programme de conformité efficace si une entreprise présente son programme dans le cadre d’une défense fondée sur la diligence raisonnable en réponse à une violation présumée des Règles ou de la LCAP. (Bulletin d’information de Conformité et Enquêtes

CRTC 2014-326)

Ce que disent les autorités

• Réaliser un audit de vos communications électroniques (pas juste les infolettres)

• Corriger les faiblesses

• Documenter la démarche et les gestes posés

• Stocker tous les justificatifs (plateforme Cyberimpact)

• Faire connaître la politique de conformité par tous les employés

• Faire valider les situations particulières par un avocat spécialisé

Les composantes d’un plan de conformité

Avantages

• Autonomie

• Création d’expertise interne

• Contrôle de la démarche

• Peu d’investissement initial

Inconvénients

• Nécessite beaucoup de temps et une culture juridique

• Niveau de risque très élevé

• Coût d’opinions juridiques imprévues

• Coûts de défense élevés

• Risque important de failles et oublis

• Aucune protection

L’approche « maison »

Avantages

• Investissement en temps raisonnable

• Compétence du consultant

• Niveau de risque limit

• Coûts de défense limités

Inconvénients

• Évaluation du consultant

• Budget initial élevé (5 à 50K$)

• Opinions juridiques complémentaires (1 à 5K$)

• Coûts de défense (3 à 20K$)

• Protection limitée

L’approche consultation traditionnelle

Avantages

• Nécessite très peu de temps

• Audit le plus complet du marché

• Niveau de risque quasi nul

• Coûts de défense nuls dans 99% des cas

• Certificat

• Protection complète

Inconvénients

• Nécessite une responsabilité centrale

• Repose sur la transparence

• Besoin d’autodiscipline

• Ajuster dans le temps aux changements internes

• Limite 500 employés

L’approche Certimail

Comparaison

Audit AjustementsPolitique de conformité

Situations particulières

Protection Coût

ConsultantsAgences

Oui Sur mesure Oui Sauf légal Non 5 à 50K$

Avocat Non Ponctuels Oui OuiSur points couverts

2 à 10K$

Certimail Oui Personnalisés Oui Oui via partenaires Complète 849$ (+285$)

• Vérifier votre conformité : Audit• Améliorer vos pratiques en vous conformant : Recommandations• Rassurer vos contacts : Certificat• Dépense facile en cas d’enquête : Rapport de bonne diligence• Protection en cas d’amende : Assurance 1M$

• Coûts :• Licence : 849$ illimité pour un an (120$ années suivantes)• Audit 20 minutes• Mise en place des recommandations 2 à 3 semaines• Opinion juridique complémentaire 285$ si nécessaire

En conclusion

• Certimail

• BDSL

• Texte complet de la Loi canadienne anti-pourriel

• Règlement du CRTC

• Règlement du gouvernement

• Les 3 organismes qui font appliquer la LCAP

• Site web du CRTC dédié à la loi C28

• Centre de notification des pourriels pour signaler un message non conforme

• FAQ du CRTC pour entreprises et organismes

Sites de référence

Philippe Le Roux, pré[email protected]

514.867.1230

www.certimail.ca@CertimailCa

Pour toute question sur votre situation ou notre solution