Un guide pour les entreprises œuvrant dans le domaine du cybermarketing

Supports de substitution

Novembre 2015


L’économie et la société actuelles sont de plus en plus numériques et branchées. Une organisation peut se faire connaître auprès de milliers de contacts par un simple clic.

Même s’il est tout à fait possible de recueillir des milliers et des milliers d’adresses à des fins commerciales, ou d’acheter des listes auprès de tiers, agir ainsi sans discernement peut entraîner des risques, autant à l’égard de l’application de la loi qu’à l’égard de l’image de marque d’une organisation.

Le 1er juillet 2014, la Loi canadienne anti-pourriel (LCAP) qui vise à lutter contre les pourriels et les menaces électroniques est entrée en vigueur. Les dispositions législatives adoptées comprenaient aussi des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), soit la loi fédérale qui couvre la collecte, l’utilisation et la divulgation de renseignements personnels par le secteur privé dans le cadre d’activités commerciales.

La portée du présent guide

Le présent guide vise à informer les organisations du mandat du Commissariat à la protection de la vie privée du Canada (Commissariat) à l’égard de la récolte d’adresses électroniques.

Le guide est conçu pour répondre aux questions des organisations concernant l’application des dispositions de la LPRPDE dans le cadre de la récolte d’adresses.

Qui est responsable de quoi en vertu de la LCAP?

Notre Bureau partage la responsabilité de l’application de la LCAP avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau fédéral de la concurrence.

Le CRTC a la responsabilité d’enquêter sur l’envoi de messages non sollicités, la modification des données de transmission et l’installation de logiciels sans consentement préalable.

Le Bureau de la concurrence traite les plaintes portant sur les représentations fausses ou trompeuses, ainsi que sur les pratiques de commercialisation frauduleuses dans l’espace électronique commercial.

Pour de plus amples renseignements sur la gamme complète des questions couvertes par la LCAP, y compris les points qui touchent des organisations autres que le Commissariat, veuillez consulter : www.combattrelepourriel.gc.ca.

Récolte d’adresses

Sur quoi portent les dispositions de la LPRPDE concernant la récolte d’adresses?

Selon la LPRPDE, la récolte d’adresses s’entend de la collecte d’adresses électroniques, telles que des adresses de courriel, à l’aide d’un programme informatique qui peut « éplucher » les sites Web ou générer des listes d’adresses de courriel.

Les restrictions en matière de récolte d’adresses sont très pertinentes pour toutes sortes d’organisations, quel que soit leur taille, ou leur secteur d’activité. Toute organisation a la responsabilité de voir à ce que les personnes qui reçoivent ses messages électroniques aient consenti de façon appropriée à la collecte et à l’utilisation de leur adresse de courriel à des fins commerciales ou à d’autres fins.

Nous ne procédons pas à la récolte des adresses; alors qu’est-ce que ces changements signifient pour mon entreprise?

La LPRPDE stipule que les organisations sont responsables des moyens qu’elles emploient pour recueillir, utiliser et divulguer des renseignements personnels, y compris les adresses électroniques, dans le cadre de leurs activités commerciales. Ces dispositions précisent aussi que les organisations doivent veiller à ce que les personnes concernées aient consenti de manière éclairée à ce que leurs adresses électroniques puissent être recueillies et utilisées, même si les adresses obtenues par l’organisation ont été acquises auprès d’un tiers.

Si une organisation se livre à la récolte d’adresses, ou obtient et utilise une liste colligée par des méthodes de récolte électronique, il y a de bonnes chances que cette collecte d’adresses électroniques se fasse ou ait été effectuée sans le consentement des personnes concernées, contrevenant ainsi aux dispositions de la LPRPDE. Même si des exceptions sont prévues par la LPRPDE en matière de collecte de renseignements personnels sans consentement préalable, ces exceptions ne s’appliquent pas généralement à la récolte d’adresses.

Selon le paragraphe 7.1(2) de la LPRPDE,  certaines exceptions relatives à la collecte et à l’utilisation de renseignements personnels sans consentement préalable ne s’appliquent pas :

  • (a) à la collecte de l’adresse électronique d’un individu effectuée à l’aide d’un programme d’ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir; ou
  • (b) à l’utilisation d’une telle adresse recueillie à l’aide d’un programme d’ordinateur visé à l’alinéa a).

Que se passe-t-il si je fais appel à un fournisseur pour effectuer des tâches de cybermarketing, par exemple? Est-ce que mon organisation est responsable du travail effectué en mon nom par un tiers?

La réponse est oui. Même dans les cas où votre organisation n’a pas recueilli ou généré des adresses de courriel à des fins commerciales, elle est responsable, conformément à la LPRPDE, de veiller à ce qu’un consentement approprié soit obtenu.  

Si votre organisation fait l’acquisition et utilise une liste auprès d’un fournisseur qui recueille des adresses sans consentement préalable, ou si vous faites appel à une entreprise pour effectuer une campagne de commercialisation et que celle-ci utilise des adresses recueillies sans consentement, votre organisation pourrait être accusée de contrevenir à la LPRPDE.

Quelles sont les principales mesures à prendre en matière de collecte d’adresses afin d’éviter de contrevenir à la LPRPDE?

Les personnes concernées doivent d’abord consentir à ce que leurs adresses de courriel soient recueillies et utilisées à des fins commerciales.

Cela signifie que les personnes concernées doivent être clairement et précisément informées, au moment de la collecte, des fins de l’utilisation de leurs adresses et de la possibilité de mettre fin à la réception autorisée de messages, en tout temps. Vous trouverez des renseignements supplémentaires à propos du consentement plus loin dans le présent document.

Si des personnes affichent leurs adresses de courriel en ligne, est-ce que je peux les recueillir à des fins commerciales?

Non. On ne peut présumer que ces personnes, dont les adresses sont affichées, souhaitent recevoir des offres commerciales.

On peut afficher des adresses de courriel en ligne pour différentes raisons. Par exemple :

  • une personne peut vouloir obtenir de la rétroaction d’autres personnes qui s’intéressent au sujet abordé dans une entrée de blogue ou un article qu’elle a écrit;
  • un club ou un groupe communautaire pourrait souhaiter faciliter la communication entre ses membres pour organiser des activités;
  • un organisme de charité pourrait afficher son adresse pour recueillir des dons;
  • une organisation pourrait inscrire les adresses d’employés sur une page de contact ou dans un annuaire afin de permettre de communiquer avec les employés pour des questions liées à leur emploi ou profession.

Pour vous protéger, ne présumez de rien et assurez-vous que les adresses recueillies à des fins commerciales ont fait l’objet d’un consentement éclairé des personnes concernées.

Pollupostage : peu dispendieux, mais coûteux

Même si l’envoi de courriels non sollicités à des milliers d’adresses peut être un moyen peu dispendieux de se faire connaître, les organisations doivent se demander si elles veulent associer leur nom à du pollupostage.

Songez, par exemple, qu’un sondage de l’opinion publique en 2012 pour le Commissariat a révélé que 73 % des Canadiens qui ont utilisé Internet s’inquiétaient de savoir que les entreprises pouvaient utiliser leurs renseignements personnels pour leur envoyer des pourriels.

Les entreprises et organisations qui respectent la LPRPDE et la LCAP – et qui veillent à ce que les tiers avec lesquels elles travaillent font de même – en tireront un avantage certain : elles ne seront pas considérées comme des polluposteurs.

À titre d’organisation travaillant avec des tiers actifs dans le cybermarketing, quelles sont les principales mesures à prendre pour éviter d’enfreindre la LPRPDE?

Si vous envoyez des messages à partir d’une liste d’un fournisseur, demandez-lui comment les adresses ont été obtenues, ainsi que le consentement à cet effet. Il est de votre responsabilité de vérifier si l’entreprise avec laquelle vous collaborez connaît les dispositions de la LPRPDE et s’y conforme. En d’autres termes, même si c’est une autre entreprise qui fait le travail, elle le fait en votre nom et vous demeurez responsable.

Si vous faites affaire avec une entreprise de marketing, demandez à ses représentants de vous expliquer, en détail, où ils obtiennent les adresses de courriel qu’ils utilisent pour faire la promotion de votre entreprise.

Si la liste de cette entreprise a été achetée auprès d’un tiers, demandez aux spécialistes du marketing de vous expliquer comment les adresses de courriel ont été recueillies à l’origine, et comment le consentement a été obtenu.

Vous devriez aussi demander au fournisseur ou aux représentants de l’entreprise de marketing de vous décrire comment les listes sont mises à jour et comment les organisations qui achètent et utilisent ces listes sont tenues informées des changements.

Par exemple, comment s’assurent-ils que les nouvelles adresses sont ajoutées à une liste uniquement après l’obtention d’un consentement valable; et qu’elles sont supprimées quand une personne se « désabonne » pour ne plus recevoir de courriels ultérieurs, et retire ainsi son consentement?

Dans tous les cas, exprimez clairement vos intentions et tenez un compte rendu écrit indiquant que vous ne voulez pas que l’on envoie vos courriels à des gens qui n’ont pas consenti à ce que leurs adresses de courriel soient utilisées ou à recevoir des courriels de nature commerciale.

Après tout, étant donné l’aversion généralisée des gens à recevoir des pourriels, quelle organisation voudrait courir le risque d’être perçue comme un polluposteur?

La collecte d’adresses de courriel et la vente de listes à des organisations font partie intégrante des activités de mon entreprise. Que dois-je savoir à propos du consentement?

Dans un tel cas, un fournisseur de listes peut très bien recueillir des adresses sans toutefois envoyer des messages aux propriétaires de ces adresses. Bien que le CRTC soit responsable de l’application des règlements de la LCAP concernant l’envoi de messages commerciaux électroniques et l’obtention d’un consentement approprié à cet effet, les dispositions de la LPRPDE s’appliquent à la collecte, à l’utilisation et à la divulgation de renseignements personnels qui comprennent les adresses de courriel personnelles.

En règle générale, en vertu des dispositions de la LPRPDE, une organisation doit informer clairement les personnes concernées des raisons de la collecte, de l’utilisation ou de la divulgation de renseignements personnels (et une adresse de courriel, même une adresse de courriel d’entreprise, constitue bel et bien un renseignement personnel selon la LPRPDE).

De plus, le consentement des personnes devrait être obtenu avant ou au moment de la collecte, puis renouvelé quand une nouvelle utilisation de leurs renseignements est établie.

Les organisations devraient permettre aux personnes concernées de retirer, en tout temps, leur consentement quant à l’utilisation de leurs renseignements personnels, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable.

Par conséquent, si un fournisseur de listes recueille un lot d’adresses de courriel par voie électronique et les revend sans en informer les personnes concernées, et obtenir de ces dernières un consentement approprié, il pourrait enfreindre plusieurs dispositions de la LPRPDE.

Pièges potentiels : quelques scénarios

Les scénarios hypothétiques ci-dessous démontrent comment des personnes et des organisations bien intentionnées pourraient risquer de faire l’objet d’enquêtes liées à la récolte et à l’utilisation d’adresses électroniques sans consentement préalable, en vertu de la LPRPDE.

Transmettre un message à des milliers de personnes en un clic… mais d’où proviennent les adresses?

Une petite entreprise qui vend des étuis personnalisés pour téléphones intelligents cherchait un moyen peu dispendieux de faire connaître son produit à des milliers de personnes. Elle a acheté une liste d’adresses de courriel auprès d’un fournisseur. Ce dernier a créé sa liste en utilisant un « robot Web » pour extraire les adresses de courriel affichées sur Internet, donc, sans obtenir le consentement des personnes concernées.

Recueillir des adresses dans un but précis, et les vendre ensuite

Plusieurs consommateurs se plaignent par écrit de pourriels provenant d’une entreprise de vente de voitures et de pièces d’automobile, alors qu’ils ne lui ont pas transmis leurs adresses de courriel. Tous ces consommateurs ont adhéré au même site Web d’amateurs d’automobiles et ont fourni leurs adresses de courriel respectives afin d’obtenir un mot de passe leur permettant d’accéder à la section du site réservée aux membres. Il semble que le site Web pourrait avoir vendu une liste des adresses de courriel de ses membres à l’entreprise de vente de voitures et de pièces d’automobile, sans avoir obtenu leur consentement.

Téléchargement de données ouvertes

Un fournisseur de listes apprend qu’une organisation employant des milliers de personnes et adhérant au concept des « données ouvertes » permet le téléchargement de milliers d’adresses de courriel d’employés en un simple clic ou presque. Le fournisseur présume faussement que les adresses, puisqu’elles sont associées à un employeur, ne sont pas soumises à la LPRPDE. Toutefois, les coordonnées d’affaires peuvent être soumises à la Loi si elles sont recueillies, utilisées ou communiquées à d’autres fins que pour communiquer avec une personne ou faciliter la communication avec une personne pour des raisons d’affaires, professionnelles ou liées à l’emploi.

Non pas recueillir, mais générer des adresses

Un entrepreneur technophile veut vendre à des spécialistes en marketing des listes d’adresses de courriel, mais veut éviter de donner l’impression de voler celles-ci auprès de personnes dont les coordonnées sont affichées sur le Web. Il utilise donc un outil qui génère des adresses en utilisant des noms de personnes (comme on en trouve dans les annuaires téléphoniques) qui sont par la suite jumelés à des domaines de fournisseurs de services de courriel. Ses frais généraux sont modestes et plusieurs clients potentiels sont attirés par les listes qu’il offre à des prix très bas, d’autant plus qu’il affirme que ce ne sont pas des adresses « saisies » sur le Web. Or, il n’a pas obtenu le consentement des personnes concernées quant à l’utilisation de leurs noms respectifs dans des adresses de courriel.

Collecte d’adresses et vente à des fins commerciales – sans consentement

Un site Web offre à ses visiteurs la chance de gagner un voyage toutes dépenses payées dans un endroit de rêve. Pour avoir la chance de gagner, les intéressés doivent fournir leurs adresses de courriel. L’heureux gagnant recevra l’annonce de son prix dans sa boîte aux lettres électronique. Une semaine plus tard, le gagnant reçoit, en effet, un courriel l’informant qu’il a gagné et que le prix est tout à fait légitime. Mais peu de temps après, le gagnant et d’autres personnes ayant fourni leurs adresses de courriel commencent à recevoir des offres de produits et de services de vendeurs inconnus; cela parce que les adresses générées ont été recueillies et vendues sans consentement préalable à des entreprises désirant les utiliser à des fins commerciales.

Ressources en ligne
Consultez notre site Web : www.priv.gc.ca
Suivez-nous sur Twitter : @priveeprivacy

Nous joindre
Centre d’information ouvert du lundi au vendredi, de 8 h 30 à 16 h 30, HAE
Sans frais : 1-800-282-1376
Téléphone : 819-994-5444
Télécopieur : 819-994-5424
ATS : 819-994-6591

Adresse postale
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :