Le DGEQ, la protection des données personnelles et les tactiques douteuses de Québec Solidaire

Cette semaine, dans l’article de La Presse, Les partis politiques mettent vos données personnelles à risque, selon le DGEQ, on pouvait lire :

Dans son rapport, rendu quelques mois plus tard, Me Reid évoque pour la première fois le risque que des pertes, des vols ou des accès non autorisés aux banques de données des partis exposent les données personnelles des millions de Québécois qui y sont fichés.

« Les partis politiques ne peuvent tenir pour acquis qu’ils sont à l’abri des cybermenaces contre le processus démocratique. Nous sommes préoccupés par cet enjeu et nous souhaitons agir d’une manière proactive afin de prévenir les conséquences sur la vie privée des électeurs. »

– Pierre Reid, directeur général des élections

Le DGEQ a certainement raison de s’inquiéter des risques d’intrusion et ou de vol des données personnelles des québécois que peuvent détenir les partis politiques. J’ajouterais à cette inquiétude, celle de l’obtention de la permission d’utilisation des données personnelles par les partis. Toutes les organisations se doivent d’obtenir, de documenter et de sécuriser de telles permissions sauf, les partis politiques. D’ailleurs, Vincent Marissal de Québec Solidaire souhaite un encadrement strict des partis politiques mais s’inquiète plutôt de pouvoir garder « la possibilité d’entrer en contact avec les gens ».

Le député de Québec solidaire Vincent Marissal a abondé dans le même sens. Il souhaite encadrer les partis « de la manière la plus solide possible ». Il a cependant souligné un autre passage du rapport du DGEQ, qui reconnaît leurs besoins particuliers.

« Il faut garder un équilibre pour assurer que nous soyons capables, comme parti politique, d’entrer en contact avec les gens, y compris pour faire de la sollicitation, y compris pour les inviter à des événements », a-t-il dit.

Je comprends monsieur Marissal de s’inquiéter de mettre en péril « le contact avec les gens de son parti ». Et pour cause, Québec Solidaire est champion du marketing électoral douteux. En effet, cette organisation politique, plutôt que de réellement proposer des législations et autres actions politiques qui ont réellement un impact sur la vie des citoyens durant les mandats de ses élus, privilégie les fameuses pétitions. Or, ces pétitions serviront d’outil de propagande électorale subséquente. Québec Solidaire profites de « trous dans la loi » sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de spammer les électeurs en période électorale et ce, sans avoir eu la délicatesse d’obtenir leurs consentements préalables pour recevoir leurs publicité/propagande électorale car il s’avère que les associations et partis politiques sont exempts de la loi. Est-ce illégal ? Non ce n’est l’est pas. Est-ce éthique ? J’ai de gros doutes là-dessus.

Comme vous pouvez le voir dans cet exemple récent de PÉTITION POUR UNE ASSURANCE DENTAIRE PUBLIQUE, on demande aux gens leurs nom, prénom, courriel, téléphone, code postal et signature. On omet volontairement par contre de leur demander la permission d’utiliser ces données. Ça deviendra très utile en période électoral pour spammer les électeurs.

Étonnamment, lors de la dernière campagne électorale, plusieurs personnes de Mercier m’ont averti avoir reçu des messages SMS de Québec Solidaire durant les élections, sans pour autant avoir jamais signé l’une de leurs très nombreuses pétitions. Il faut savoir que de moins en moins de gens ont un téléphone filaire et qu’ils sont plutôt des usagers de mobiles. Or, pour avoir ces numéros de téléphones, il faut soit faire une pétition, soit acheter des listes de numéros de cellulaires par code postale. Or ces listes sont interdites au Canada, mais peuvent aisément être acheté aux États-Unis. Il est donc aisé de soupçonner que c’est ce qu’a fait Québec Solidaire pour être capable de rejoindre des électeurs qui n’ont jamais signé leurs pétitions. J’ai donc fait une autre plainte officielle au DGEQ. La réponse des porte-paroles de l’organisme est sans équivoque. Nous ne pouvons rien faire pour ce cas précis, allez voir ailleurs… Voici la réponse officielle du DGEQ.

Il est aussi bon de rappeler que Québec Solidaire a aussi profité des listes de données personnelles d’Option nationale (encore une fois sans l’autorisation des gens qui avaient fournis leurs informations à option nationale) de même que les listes de l’initiative Faut qu’on se parle.

Comme quoi, la réflexion du DGEQ sur les données personnelles que détiennent les partis politiques devrait sans doute inclure aussi une réflexion sur la nécessaire obtention de permission par les électeurs, d’utiliser ces mêmes données …

C-28 Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil

Ça fait déjà un long moment que la communauté Web canadienne attend une loi avec un peu de dents, visant à contrer le fléau du pourriel au Canada. Nous sommes d’ailleurs le dernier pays du G8 à nous doter d’un tel outil. Cet outil est la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (qu’on nomme aussi LEPI) qui a été adoptée en décembre et qui entrera en vigueur l’été prochain. D’ailleurs, cette loi est un complément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais elle a préséance sur celle-ci, via le projet de loi C-29 qui viendra la mettre à jour.

Industrie Canada décrit en ces termes cette nouvelle loi :

En vertu de la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil, le CRTC pourrait imposer des sanctions administratives pécuniaires (SAP) pouvant atteindre 1 million de dollars pour les particuliers qui enfreignent la Loi, et 10 millions de dollars pour les entreprises fautives. Le Bureau de la concurrence du Canada, par le truchement d’une demande au Tribunal de la concurrence, pourrait imposer des SAP en vertu du régime en place de SAP prévu dans la Loi sur la concurrence. Ce régime permet des sanctions pouvant aller jusqu’à 750 000 $ pour les particuliers et jusqu’à 1 million de dollars pour les infractions subséquentes. Il prévoit aussi des sanctions pouvant aller jusqu’à 10 millions de dollars pour les entreprises, et jusqu’à 15 millions de dollars, en cas de récidive. Le Commissariat à la protection de la vie privée utiliserait ses outils et son cadre d’application de la loi actuels pour exécuter les dispositions de cette législation. Le projet de loi prévoit aussi accroître les pouvoirs du Commissaire à la vie privée, afin de lui permettre de coopérer avec ses homologues étrangers et d’échanger des renseignements, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques.

Le projet de loi prévoit également un droit privé d’action, qui s’inspire d’une législation américaine. Ainsi, les consommateurs et les entreprises pourraient intenter une poursuite civile contre quiconque enfreint la Loi. L’approche proposée, qui fait preuve de neutralité en matière de technologie traite toutes les formes de messages électroniques de la même façon. De la sorte, le projet de loi s’appliquerait également aux messages textes non sollicités, ou pourriels par téléphone cellulaire, qui seraient alors considérés comme une forme de message électronique commercial non sollicité.

Canoë résume cette loi ainsi :

Les compagnies devront demander de façon claire aux consommateurs dont ils collectent les informations s’ils désirent recevoir, à l’avenir, des courriels concernant leurs produits. Tous les messages envoyés par la suite devront contenir un passage expliquant aux destinataires la façon de se désabonner de la liste d’envoi. Si les entreprises confient leur marketing à une autre compagnie, elles devront s’assurer que celle-ci respectera la nouvelle loi.

Les compagnies devront aussi éviter l’installation automatique de programmes sur l’ordinateur des personnes sans leur consentement. Cette disposition de loi vise à limiter la propagation de virus et logiciels malveillants.

Enfin, la loi rendra illégaux les courriels contenant de fausses informations concernant leur source. Cela vise à empêcher la distribution de courriels frauduleux.

Il est à noter qu’il existe des dispositions dans la loi que les webmestres d’entreprises devraient connaître.
Concernant les cookies


Aux termes de l’article 9, nul ne peut, dans le cadre d’activités commerciales, installer ou faire installer un programme dans l’ordinateur d’une autre personne ou utiliser un programme ainsi installé pour faire envoyer un message électronique par cet ordinateur, sauf si la personne qui accomplit l’acte en question le fait avec le consentement exprès du propriétaire de l’ordinateur. (Le propriétaire doit aussi avoir la possibilité de retirer son consentement comme l’indique le par. 12(5).) Cette disposition vise principalement l’installation furtive ou clandestine de maliciels ou de logiciels espions, par exemple des programmes qui transforment les ordinateurs en « réseaux d’ordinateurs zombies » servant à relayer des pourriels sans l’autorisation du propriétaire des ordinateurs.

Concernant les adresses de courriel qui sont publiées sur un site Web d’entreprises


La définition de « consentement tacite » figurant au paragraphe 11(9) du projet de loi, qui encore une fois intègre des modifications apportées à l’ancien projet de loi, prévoit dorénavant une exception fondée sur la publication « bien en vue », notion empruntée à l’Australie et à la Nouvelle-Zélande. Si le destinataire a publié bien en vue son adresse électronique, par exemple sur un site Web commercial, sans préciser qu’elle ne doit pas servir à recevoir des messages électroniques commerciaux non sollicités, l’adresse peut être utilisée pour des messages liés à son activité professionnelle ou à son entreprise commerciale (al. 11(9)b)). Cette exception s’applique aussi lorsque le destinataire a communiqué son adresse électronique à l’expéditeur sans aucune mention précisant qu’il ne veut pas recevoir de message électronique commercial non sollicité et que le message a un lien avec son activité professionnelle ou son entreprise commerciale (al. 11(9)c)). D’autres exceptions peuvent être prévues par règlement (al. 11(9)d)).
Ceux qui peuvent présumer un consentement tacite en raison d’une relation d’affaires doivent satisfaire à l’un des critères suivants (par. 11(10)) :
 ils ont procédé à la vente, au louage ou au troc d’un produit, d’un bien, d’un service, d’un terrain ou d’un droit ou intérêt foncier au profit du destinataire du message dans les deux ans précédant l’envoi du message;
 ils ont offert une possibilité d’affaires, d’investissement ou de jeu qui a été acceptée par le destinataire dans les deux ans précédents;
 ils ont passé, avec le destinataire, pour une raison ou une autre, un contrat qui est toujours en vigueur ou qui est venu à échéance dans les deux ans précédents;
 ils ont reçu une demande quelconque de renseignements du destinataire au cours des six mois précédents.
Pour l’application du projet de loi, tout acheteur d’une entreprise est réputé avoir hérité des relations d’affaires existantes (par. 11(12)).
Les entreprises qui peuvent se prévaloir de ce genre de relation sont les coopératives au sens de la Loi canadienne sur les coopératives, les coopératives au sens de la Loi sur les associations coopératives de crédit et toute organisation similaire constituée en personne morale sous le régime d’une loi fédérale ou provinciale (par. 11(11)).
Ceux qui peuvent présumer le consentement tacite en raison d’une relation privée doivent satisfaire aux critères suivants (par. 11(13)) :
 le destinataire a fait un don ou un cadeau à l’expéditeur ou à son organisation au cours des deux ans précédant l’envoi du message et l’expéditeur ou son organisation est un organisme de bienfaisance enregistré, un parti politique, une organisation ou un candidat;
 le destinataire a effectué du travail à titre de bénévole pour l’expéditeur ou son organisation ou a assisté à une réunion organisée par lui ou son organisation au cours des deux ans précédents et l’expéditeur ou son organisation est un organisme de bienfaisance enregistré, un parti politique, une organisation ou un candidat;
 le destinataire a été abonné à l’organisation au cours des deux ans précédant l’envoi du message et celle-ci est

Je comprends à la lecture de ceci que vous devriez désormais protéger les courriels que vous publiez sur vos sites afin de ne pas devenir la proie légale des polluposteurs. Vous pouvez simplement mettre un avis accompagnant une liste de courriels, spécifiant qu’ils ne sont publiés que dans une optique de contact d’affaires et qu’ils ne doivent pas servir à recevoir des messages électroniques commerciaux non sollicités, encore plus efficaces, mettez vos adresses courriel avec un (at) au lieu du @ ou encore mettez vos adresses courriel en image sur vos sites au lieu de les mettre en code HTML.
Si vous faites du marketing par courriel, documentez l’autorisation de recevoir des communications promotionnelles de vos clients en usant d’un double opt-in (c’est-à-dire en envoyant un courriel de validation que le client confirme de nouveau en cliquant sur un hyperlien avant de recevoir vos promotions). Mettez toujours un hyperlien de désabonnement dans le corps du message que vous envoyez à vos clients. Documentez les abonnements et les désabonnements de vos clients dans une base de données sécurisée qui pourra servir de preuve électronique en cas de poursuite. Ayez des titres clairs qui stipulent le contenu de vos messages. Ayez un contact client dans le corps du message qui est LA personne responsable de la base de donnée client et que le client peut joindre en cas de question. Rappelez-vous qu’un client qui est consentant à recevoir vos promotions vaut beaucoup plus qu’un client qui ne sait pas ni d’Ève ni d’Adam qui vous êtes et pourquoi vous l’écœurez avec vos promotions. Songez par exemple à Groupon qui fait un tabac avec son service de promotions par courriels justement parce que leurs clients sont ravis de recevoir leurs offres chaque jour.

Écoutez mon entrevue avec Jean Pagé (en remplacement de Paul Arcand) lors de l’émission Puisqu’il faut se lever du 98.5FM (durée 6 :39 min.)