English | French Canada
Deux entreprises se voient infliger une amende en vertu de la LCAP pour transmission de logiciels malveillants
Perspectives Aon

Deux entreprises se voient infliger une amende en vertu de la LCAP pour transmission de logiciels malveillants

 

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a imposé 250 000 $ de sanctions administratives pécuniaires à deux entreprises qui avaient contribué à l’installation de logiciels malveillants par l’entremise de publicités en ligne. Les sanctions et les avis de violation associés ont été émis en vertu de la Loi canadienne anti-pourriel (LCAP) le 11 juillet 2018. C’est la première fois que le CRTC a invoqué la LCAP pour sanctionner l’installation de logiciels malveillants.

Sunlight Media Network Inc. (Sunlight) et Datablocks, Inc. (Datablocks) ont fourni des réseaux à des publicitaires tiers en ligne, leur permettant ainsi de diffuser leurs publicités sur divers sites Web légitimes. Toutefois, ces publicitaires ont installé des programmes malveillants sur les appareils des utilisateurs qui visualisaient les publicités. Grâce à ces logiciels malveillants, les clients tiers à l’origine des publicités ont pu verrouiller les systèmes des utilisateurs, dérober leurs données ou utiliser les ressources de leurs ordinateurs à des fins pécuniaires. Ce faisant, ces clients non nommés ont enfreint la LCAP et le CRTC a allégué que Sunlight et Datablocks avaient aidé à commettre ces actes. Plus particulièrement, le CRTC a allégué que Sunlight avait accepté que des clients anonymes et non vérifiés utilisent ses services pour diffuser les logiciels malveillants, tandis que Datablocks avait fourni le logiciel nécessaire aux clients de Sunlight pour y parvenir. Une enquête a permis au CRTC de déterminer que les deux entreprises auraient pu empêcher la diffusion des logiciels malveillants, mais ont omis de mettre en place les protections nécessaires à cet effet, enfreignant ainsi la LCAP. Datablocks s’est vu imposer une amende de 100 000 $, tandis qu’une amende de 150 000 $ a été infligée à Sunlife.

Les entreprises et leur direction auraient intérêt à se rappeler que le programme de conformité mis en place par la LCAP ne se limite pas aux pratiques encadrant la diffusion de messages électroniques commerciaux. En effet, l’application de la LCAP s’étend également à l’installation de programmes sur les appareils informatiques d’autrui. Par ailleurs, ces sanctions administratives pécuniaires rappellent que, en vertu de la mise en application de la LCAP, le CRTC peut également cibler les intermédiaires en ligne, telles les organisations qui fournissent une infrastructure ou des réseaux publicitaires. Outre les mécanismes internes visant à assurer la conformité, une police d’assurance cyberresponsabilité peut aider les organisations qui cherchent à transférer une partie des risques pouvant survenir lors de la transmission non délibérée de codes malveillants à des tiers. La police couvrira également les frais de règlement, de jugement et de défense lorsque l’organisation est partie à un litige de tiers ou à une instance réglementaire. Si la police d’assurance cyberresponsabilité souscrite par votre société comprend des dispositions robustes, vous pourriez aussi avoir la possibilité de soutenir que les amendes et les sanctions non pénales, telles que les sanctions administratives pécuniaires imposées en vertu de la LCAP, sont assurables et sont donc couvertes par celle-ci.