Le 15 janvier 2015, les dispositions relatives aux logiciels de la Loi canadienne anti-pourriel (LCAP) entreront en vigueur, créant des interdictions importantes et exigeant le consentement, entre autres, pour installer des logiciels, modifier les paramètres de l’appareil, recueillir des renseignements personnels et mettre à jour les logiciels existants.
Dans un environnement d’entreprise, les politiques d’apport de votre propre appareil (BYOD) et les politiques d’utilisation de la TI devront être réexpéduits compte tenu du lien entre les interdictions de la LCAP et les pratiques de l’industrie en matière de gestion de la technologie d’entreprise et de l’infrastructure de communication. De façon générale, en vertu de la LCAP, l’utilisateur ou le propriétaire autorisé d’un appareil (par exemple, un ordinateur portatif, un téléphone intelligent, une tablette, etc.) doit consentir à des installations logicielles qui ne sont pas auto-initiées. Dans certaines circonstances, le consentement sera requis même lorsqu’une installation est auto-initiée. En outre, la loi impose des obligations spécifiques de notification et de divulgation. Le défaut de se conformer à la LCAP pourrait entraîner des amendes allant jusqu’à 10 000 000 $ pour les organisations, ou 1 000 000 $ pour les particuliers, les employeurs étant tenus responsables des actes des employés.
Lorsqu’un programme est capable de certaines « fonctions spéciales », définies dans la LCAP comme étant les suivantes :
les exigences en matière de consentement et de notification sont plus onéreuses.
Ce qui est remarquable, c’est que ces fonctions n’ont pas besoin d’être malveillantes. En fait, beaucoup de ces fonctions sont effectuées par de nombreux programmes informatiques.
La LCAP exige que l’installateur du programme donne un avis et obtienne un consentement exprès distinct du propriétaire ou de l’utilisateur autorisé de l’appareil pour chacune de ces fonctions. Ces fonctions spéciales doivent être divulguées et décrites à l’utilisateur séparément des autres consentements et ne peuvent pas faire partie des conditions générales d’utilisation ou d’un contrat de licence.
À la lumière de ces exigences en matière de notification et de consentement en vertu de la LCAP, la plupart des organisations devront revoir et mettre à jour leurs politiques de TI. De nombreuses entreprises exploitent des services d’assistance à distance, offrent des prêts d’ordinateurs portables ou permettent aux utilisateurs de télécharger du contenu sur leurs ordinateurs. En conséquence, les politiques informatiques doivent tenir compte des entreprises qui installent des programmes, modifient ou contrôlent des données ou accèdent à des systèmes informatiques appartenant à des employés; tous envisagés comme des « fonctions spéciales » en vertu de la LCAP. Les organisations doivent informer les utilisateurs des fonctions du programme, de l’incidence de ces programmes ou politiques et de la capacité d’un employé à désinstaller des programmes. Nous conseillons aux organisations de veiller à ce que les consentements envisagent de futures mises à jour du programme qui pourraient inclure des fonctions spéciales en vertu de la loi.
De plus, les politiques de BYOD devront être examinées et révisées pour s’assurer que les participants au BYOD consentent officiellement, entre autres, à ce que l’organisation installe des politiques de sécurité, des clés de chiffrement, des logiciels d’assistance à distance et des mises à jour automatiques de programmes sur leurs appareils mobiles. De plus, la LCAP peut exiger une reconnaissance du fait que ces programmes comprennent une ou plusieurs des « fonctions spéciales » décrites ci-dessus, ainsi qu’une explication de la façon dont ces fonctions spéciales peuvent fonctionner sur l’appareil de l’utilisateur. Les politiques devraient permettre aux participants à la DOSL de révoquer les consentements, et les organisations devraient être conscientes du suivi des consentements à la lumière de la nature complexe des questions d’emploi et des incertitudes entourant l’application de la LCAP aux opérations sur les systèmes informatiques des employés.
Pour un aperçu plus complet de la Loi canadienne anti-pourriel et de ce qu’elle signifie pour vous et votre entreprise, veuillez visiter notre Centre d’apprentissageanti-spam.