Mesures anti-pourriel du FSI contestées

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-319

(Article 2; Principe 4.3)

Plainte

Le plaignant soutient que son fournisseur de services Internet (FSI) lisait les messages qu’il envoyait par courrier électronique et refusait de les acheminer, à moins que les messages ne passent par les serveurs de courrier du FSI.

Résumé de l’enquête

Le plaignant s’est abonné au service Internet haute vitesse du FSI. Il s’est également abonné au service de courrier électronique d’un tiers fournisseur, une société Internet, qui permet à des particuliers d’envoyer et de recevoir des courriels à partir de comptes extérieurs. Le plaignant était contrarié de ne pas pouvoir envoyer de messages électroniques sans passer par les serveurs de courrier de son FSI.

Le plaignant a communiqué avec son FSI à ce sujet. Le FSI l’a informé qu’il faisait en sorte que ses clients utilisent son serveur de courrier sortant en raison des mesures anti-pourriel installées sur celui-ci. Il a fait valoir que, en tant qu’administrateur de réseau responsable, il avait dû mettre en place des mesures de sécurité de réseau afin de protéger son réseau et ses utilisateurs.

Le plaignant s’inquiétait du fait que, pour acheminer le courrier sortant par le truchement de ses serveurs de courrier, le FSI inspectait et triait ses messages électroniques sans son consentement. Il a déclaré que le personnel de soutien technique de son FSI lui avait dit qu’il « fouinait » dans la portion utilisateur (portion TCP) des paquets et que, lorsque le port TCP 25 était utilisé, le FSI bloquait l’accès aux serveurs de courrier extérieurs. Le plaignant croyait que l’information concernant le port était indissociable du reste du paquet; par conséquent, en lisant l’adresse du port, le FSI lisait le message électronique en entier.

Le FSI a déclaré que ses systèmes automatisés devaient identifier les éléments du paquet (c’est‑à‑dire l’information concernant l’adresse et le port) pour pouvoir acheminer correctement le message et fournir le service de courrier électronique de base. Il a ajouté, cependant, que le contenu du flot de paquets ne faisait l’objet d’aucune inspection, mises à part l’inspection normale de l’adresse IP d’origine et de destination pour déterminer où acheminer l’envoi, ainsi que l’inspection des adresses de port TCP d’origine et de destination.

Si l’adresse de port est 25, le FSI identifie l’adresse IP de destination afin de s’assurer que le message courriel est acheminé par le truchement de son serveur de courrier. Le plaignant essayait d’acheminer ses courriels par le truchement du serveur de courrier extérieur et il croyait que son FSI n’était pas en droit de savoir qu’il faisait affaire avec une autre société Internet en tant que tiers fournisseur de services de courrier.

Le FSI a déclaré qu’il bloquait les messages électroniques qui ne satisfont pas aux critères de ses serveurs de courrier. Si le trafic de messages électroniques ne passe pas par ses serveurs de courrier, il contourne également ses mécanismes de filtrage des pourriels visant à éliminer ceux-ci. Le blocage des courriels utilisant le port 25 est conforme aux pratiques exemplaires recommandées pour les FSI et autres exploitants de réseaux par le Groupe de travail sur le pourriel d’Industrie Canada. Le plaignant a fait savoir qu’il croyait avoir le droit d’envoyer des pourriels, puisque aucune loi ne l’interdit, sinon les pratiques exemplaires susmentionnées.

Le FSI a affirmé qu’il vérifiait la présence de TCP 25 dans le champ du port de destination sur l’en-tête des paquets. Lorsque le port TCP de destination du paquet est 25 et que l’adresse IP de destination est celle d’un réseau autre que les serveurs de courrier du FSI, le paquet est supprimé. En d’autres termes, le message n’est pas acheminé. Suivant les conditions de service que le plaignant a acceptées à titre d’utilisateur résidentiel du service haute vitesse, tous les messages électroniques doivent être acheminés par le truchement des serveurs de courrier du FSI.

Aux termes de la politique de la société sur les utilisations acceptables des services Internet, il est interdit pour le client d’exercer ou d’aider d’autres personnes à exercer des activités qui contreviennent aux politiques, aux règles ou aux directives applicables du FSI ou d’autres fournisseurs de services en direct, y compris afficher, télécharger en amont, reproduire, distribuer, transmettre de toute autre manière ou saisir des pourriels. De plus, il est interdit pour le client d’exercer une activité qui, directement ou indirectement, encourage, facilite, favorise, permet des activités interdites semblables ou prend appui sur celles-ci, y compris la non-application de mesures techniques ou administratives raisonnables pour empêcher le pourriel.

Suivant la convention relative aux services Internet du FSI, l’utilisateur reconnaît avoir lu l’énoncé  relatif à la protection de la vie privée du FSI et consentir à ce que le FSI recueille, utilise et communique au besoin les renseignements personnels obtenus dans le cadre de la prestation ou de l’utilisation des services Internet du FSI, uniquement aux fins précisées dans l’énoncé en question. Selon cet énoncé, le FSI recueille des renseignements personnels aux fins de la prestation du service.

La convention précise également que l’utilisateur convient que le FSI a le droit, sans préavis, de surveiller l’utilisation de ses services Internet, ainsi que de surveiller, examiner et retenir du contenu, du matériel ou de l’information s’il juge, de bonne foi, qu’une telle mesure est raisonnablement nécessaire afin de fournir à ses clients ses services Internet.

Bien que, dans un premier temps, le plaignant ait nié avoir accepté les conditions de service, le FSI a communiqué au Commissariat la preuve du contraire sous la forme d’un imprimé obtenu à partir de son système de facturation qui indique que le plaignant a accepté les conditions à trois occasions distinctes, la première étant lorsqu’il s’est initialement abonné au service haute vitesse en décembre 2002. Il a également reçu un courriel de bienvenue où il était question de ces conditions. Néanmoins, il a soutenu que, même s’il avait accepté les conditions de la convention de service, il n’était pas au courant de celles-ci.

Conclusions

Rendues le 3 novembre 2005

Application  : Selon l’article 2 de la Loi sur la protection des renseignements personnels et les documents électroniques, « tout renseignement concernant un individu identifiable» constitue un « renseignement personnel ». Le principe 4.3 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire ».

Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :

  • D’abord, la commissaire adjointe à la protection de la vie privée devait déterminer si l’information dont il est question dans la présente plainte pouvait être considérée comme un « renseignement personnel » suivant la définition de l’article 2.
  • À son avis, une adresse IP peut être considérée comme un renseignement personnel si elle peut être associée à une personne identifiable.
  • Dans le cas du plaignant, celui-ci s’est vu attribuer une adresse IP dynamique, c’est-à-dire que celle-ci change chaque fois qu’il entre en communication. Cette adresse IP se rapportait à l’ordinateur utilisé par celui-ci.
  • Le FSI n’identifie pas l’utilisateur avant que ce dernier ne soit autorisé à envoyer un message électronique, mais il s’assure que l’utilisateur est directement connecté au réseau du FSI et que, par conséquent, il est un client du FSI.
  • Dans la présente plainte, où il est question de l’envoi de messages électroniques par le plaignant, la commissaire adjointe convient que l’adresse IP d’origine identifiait le plaignant et, par conséquent, constituait un renseignement personnel, conformément à l’article 2.
  • Le FSI doit connaître l’adresse IP de destination pour livrer le message envoyé. Cependant, une adresse de port n’est pas considérée comme un renseignement personnel puisque cette information ne se rapporte pas à un individu identifiable.
  • Le plaignant a accepté les conditions de la convention de service, laquelle spécifie que le FSI recueille et utilise des renseignements personnels aux fins de la prestation du service. En envoyant des messages électroniques, le plaignant a également consenti à ce que le FSI lise les adresses IP afin d’acheminer le courrier.
  • Par conséquent, elle a établi que le FSI ne contrevenait pas au principe 4.3 en lisant l’adresse IP d’origine.
  • Pour ce qui est de l’allégation selon laquelle le FSI lisait tout le contenu du paquet de messages électroniques sans le consentement du plaignant, la commissaire adjointe a déterminé qu’aucune preuve permettait de croire que c’était le cas.
  • Le FSI a affirmé ne lire aucune autre information que l’adresse IP et l’adresse de port (cette dernière n’est pas un renseignement personnel). Lorsque l’information sur le port contenue dans l’adresse est lue, elle est lue de façon électronique par les serveurs de courrier du FSI. Personne ne lit réellement les messages courriels au cours de ce processus.
  • Pour effectuer la lecture de l’adresse de courrier électronique et acheminer le message, il n’est pas nécessaire que les serveurs aient accès à la partie utilisateur du courriel ou lisent celle-ci. Le logiciel est réglé pour accéder à une portion prédéterminée de l’adresse et, par conséquent, seule cette portion de l’adresse est lue.
  • Par conséquent, la commissaire adjointe a conclu que le FSI n’avait pas contrevenu au principe 4.3.

La commissaire adjointe a donc conclu que les plaintes étaient non fondées.

Date de modification :