Conformité des entreprises aux dispositions relatives aux logiciels de la LCAP - Six questions pour les grandes organisations

Les dispositions sur les communications électroniques de la Loi canadienne anti-pourriel (LCAP) sont entrées en vigueur le 1er juillet 2014. La LCAP est généralement connue pour sa réglementation radicale de la « messagerie électronique commerciale ». Toutefois, en plus des dispositions ci-dessus, un certain nombre de dispositions de la LCAP qui doivent entrer en vigueur le 15 janvier 2015 imposeront de nouveaux fardeaux de conformité aux entreprises qui créent, distribuent ou utilisent des systèmes informatiques dans le cadre de leurs activités », c’est-à-dire la plupart des entreprises au Canada.

De façon générale, la LCAP interdit à une personne d’installer un programme d’ordinateur sur un système informatique d’une autre personne sans le consentement exprès préalable du propriétaire du système ou d’un utilisateur autorisé. La LCAP définit un programme informatique comme y compris toute donnée ou tout symbole susceptible d’entraîner l’exécution d’une fonction d’un système informatique. La LCAP exige en outre qu’une personne qui installe un programme capable de certaines fonctions spécifiées « y compris les fonctions qui suivent ou enregistrent des renseignements personnels » donne un avis et obtienne un consentement exprès distinct à l’égard de chaque fonction précise.

Nous prévoyons que les grandes entreprises seront confrontées à un certain nombre de problèmes de conformité en vertu des nouvelles dispositions de la LCAP sur les logiciels. À cette fin, nous suggérons aux entreprises d’examiner toutes les répercussions de ce nouvel effort de conformité. Parmi ces considérations, les six questions suivantes peuvent être utiles lors de l’élaboration d’un programme de conformité d’entreprise.

1. Qui possède et gère vos actifs informatiques? De nombreuses grandes entreprises louent ou octroient des licences pour une gamme d’actifs informatiques auprès de divers fournisseurs de services. D’autres sous-traitent les fonctions informatiques à des fournisseurs spécialisés qui peuvent tirer parti des économies d’échelle ou utiliser des services basés sur le cloud. La LCAP peut créer des obligations de conformité spéciales pour ces organisations, en particulier lorsque les biens de TI sont contrôlés ou mis à jour à distance.
2. Votre politique de TI envisage-t-elle et s’harmonise-t-elle avec les nouvelles dispositions de la LCAP? La plupart des grandes organisations utilisent déjà des politiques et des processus pour arbitrer les interactions des employés avec les actifs informatiques de l’entreprise. Si votre entreprise a déjà mis en place de telles politiques, vous devrez les réévaluer pour vous assurer qu’elle tient compte des effets de la LCAP « ce n’est pas seulement important du point de vue de la conformité, il peut également être important d’aider à soutenir une défense de diligence raisonnable à l’égard de la responsabilité.
3. Permettez-vous aux employés d’utiliser leurs propres téléphones intelligents (p. ex., apportez votre propre appareil ou byod)? Les entreprises permettent de plus en plus à leurs employés et à leurs gestionnaires d’utiliser des appareils « extérieurs » derrière la clôture de l’entreprise. Si votre entreprise permet ou encourage les employés à utiliser des appareils extérieurs, vous devrez faire face à des considérations particulières en ce qui concerne l’application de la LCAP. Par conséquent, les politiques et les pratiques de la DMSI devraient être réexaminées à la lumière de la divulgation de renseignements et d’autres exigences de la LCAP.
4. Distribuez-vous, vendez-vous ou concédez-vous sous licence des logiciels au public? Les entreprises du secteur du logiciel peuvent être confrontées à une application différente de la législation, en fonction de la distribution et de la mise en œuvre du logiciel. Si vous fournissez des logiciels installés traditionnellement, vous pouvez faire face à des fardeaux de conformité différents des de la part d’une entreprise qui fournit des logiciels en tant que service (services infonuagiques) (voir La législation anti-pourriel du Canada: un avantage pour l’infonuagique?), et vice versa.
5. Votre modèle d’affaires repose-t-il sur les fonctionnalités du logiciel incluses en tant que « fonction spécifiée » de la LCAP? La LCAP prévoit des fardeaux de conformité particulièrement lourds en ce qui concerne des fonctions spécifiées « cependant, certaines entreprises comptent sur certaines de ces fonctionnalités dans le cadre d’un modèle d’affaires légitime, comme, par exemple, les fonctions de service d’assistance à distance. Si votre entreprise s’appuie sur des fonctionnalités logicielles qui pourraient être caractérisées comme l’une de ces « fonctions spécifiées » en vertu de la LCAP, vous devrez faire face à des obligations de conformité supplémentaires, difficiles et nouvelles au Canada.
6. Le délai de grâce prévu par la LCAP s’applique-t-il aux logiciels utilisés, distribués ou contrôlés par votre entreprise? La LCAP prévoit que les logiciels installés sur le système informatique d’une personne avant le 15 janvier 2015 sont assujettis à un délai de grâce, en vertu duquel la personne est réputée consentir aux mises à jour et aux mises à niveau jusqu’à ce qu’elle révoque ce consentement, ou jusqu’au 15 janvier 2018, selon la première éventualité. Comme le 15 janvier 2015 approche à grands pas, les entreprises devront déterminer un plan d’action approprié à la lumière de ce délai de grâce.

Notre vaste expérience de l’interdiction de la LCAP sur les messages électroniques commerciaux suggère que la plupart des grandes organisations peuvent respecter leurs obligations de conformité à l’égard des logiciels sans avoir d’incidence importante sur les résultats financiers.

Une évaluation réfléchie de l’interface entre les nouvelles dispositions de la LCAP sur les logiciels suggère qu’une action proactive précoce de la part des fournisseurs de logiciels et des utilisateurs d’entreprise peut minimiser les risques de non-conformité le 15 janvier 2015, lorsque ces dispositions sont en vigueur.

Télécharger le PDF