La Loi canadienne anti-pourriel (LCAP) traite bien plus que des messages commerciaux indésirables. La LCAP interdit également, entre autres, l’installation de logiciels sur l’ordinateur d’une personne sans son consentement. Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) exerce des pouvoirs d’application de la loi à l’égard des dispositions relatives aux logiciels de la LCAP.
Le CRTC a signalé le 11 juillet 2018 que son agent en chef de la conformité et de l’application de la loi a émis des procès-verbaux de violation aux blocs de données et à Sunlight Media pour avoir prétendument aidé à l’installation de programmes informatiques malveillants par la distribution de publicité en ligne. C’est la première fois que le CRTC a pris des mesures contre l’installation de logiciels malveillants au moyen de publicités en ligne en vertu de la LCAP.
Datablocks et Sunlight Media opèrent dans l’industrie de la publicité en ligne. Le CRTC a indiqué que les publicités en ligne sont un moyen de premier plan pour la distribution de logiciels malveillants. Le CRTC a rapporté que Sunlight Media, le réseau publicitaire, utilise la plateforme d’enchères de Datablocks pour agir en tant que courtier entre les annonceurs et les éditeurs.
L’action du CRTC comprenait des pénalités de 100 000 $ pour les blocs de données et de 150 000 $ pour Sunlight Media. Les violations alléguées de la LCAP que le CRTC a affirmées étaient que Sunlight Media acceptait des clients anonymes non vérifiés qui utilisaient leurs services pour distribuer des logiciels malveillants. Ensuite, le CRTC a allégué que Datablocks fournissait à ces clients anonymes des clients de Sunlight Media l’infrastructure et les logiciels nécessaires pour livrer concurrence en temps réel pour le placement de leurs publicités. Ces publicités, cependant, contenaient des programmes informatiques malveillants.
Le CRTC a relevé un certain nombre de lacunes en matière de conformité à la LCAP dans les blocs de données et les activités de Sunlight Media, notamment le fait que leurs ententes avec les clients n’exigeaient pas la conformité à la LCAP, qu’ils ne surveillaient pas la façon dont les clients utilisaient le service et qu’ils n’avaient pas de politiques ou de procédures de conformité à la LCAP en place. Le CRTC a également allégué qu’il avait avisé les deux entreprises des problèmes de cybersécurité en 2016, mais qu’aucune des deux entreprises n’avait mis en œuvre de mesures de protection de base en matière de cybersécurité de l’industrie.
Datablocks et Sunlight Media peuvent choisir de contester les pénalités et nous pouvons donc en apprendre davantage sur les détails de cette affaire en temps voulu.
Les leçons tirées de cette mesure d’application de la loi comprennent que toutes les entreprises qui utilisent les communications commerciales en ligne devraient mettre en œuvre des politiques de conformité à la LCAP. C’est particulièrement le cas pour les participants de l’industrie de la publicité en ligne.
Une autre leçon importante pour les fournisseurs de services en ligne est de chercher à connaître vos clients et de surveiller leur utilisation de votre service. Cela permet de prendre des mesures correctives si les clients enfreignent les conditions de ces services et peut à la fois protéger le service et l’infrastructure contre l’utilisation abusive, mais aussi améliorer la conformité réglementaire par le fournisseur de services en ligne.