Une entreprise de logiciels basée aux États-Unis a appris ce qu'est la CASL à ses dépens. Elle envoyait des courriels à toute sa liste — y compris aux abonnés canadiens — en utilisant la même approche d'exclusion (opt-out) qui fonctionne sous CAN-SPAM. Puis elle a reçu un avis du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC). L'enquête a duré des mois, coûté des frais juridiques importants et abouti à un engagement de conformité exigeant la refonte complète de leur programme d'envoi de courriels.
La CASL (Législation canadienne antipourriel) est l'une des lois antipourriel les plus strictes au monde. Contrairement au modèle d'exclusion (opt-out) de CAN-SPAM, la CASL exige un consentement d'inclusion (opt-in) avant d'envoyer des messages électroniques commerciaux. Si vous avez des abonnés canadiens, la CASL s'applique à vous, quel que soit l'endroit où se situe votre entreprise.
Ce que couvre la CASL
La CASL régit les messages électroniques commerciaux (MEC) envoyés vers ou depuis le Canada. Cela inclut les courriels, les SMS et certains messages sur les réseaux sociaux.
Un message est « commercial » si l'un de ses objectifs est d'encourager la participation à une activité commerciale. Les courriels marketing sont évidemment concernés. Mais le sont aussi les courriels qui promeuvent votre entreprise, même indirectement — des infolettres qui mentionnent des produits, des courriels transactionnels comportant du contenu promotionnel, voire certains messages de développement de relations.
La portée géographique est large. La CASL s'applique si le message est envoyé à une adresse canadienne, envoyé depuis le Canada, ou consulté au Canada. Si vous avez des abonnés canadiens, la CASL s'applique même si vous êtes basé ailleurs.
La CASL couvre également l'installation de programmes informatiques et la modification des données de transmission, mais pour la plupart des spécialistes du marketing par courriel, ce sont les dispositions relatives aux MEC qui comptent.
L'exigence de consentement
L'exigence centrale de la CASL est le consentement avant l'envoi de messages commerciaux. C'est fondamentalement différent de l'approche d'exclusion de CAN-SPAM.
Le consentement explicite est la référence. Le destinataire a explicitement accepté de recevoir vos messages. Il a coché une case, cliqué sur un bouton, ou autrement indiqué son consentement de manière affirmative. Vous avez une trace de quand et comment il a consenti.
Le consentement tacite existe dans des circonstances limitées. Vous avez une relation d'affaires existante (il a acheté chez vous au cours des deux dernières années, ou a fait une demande au cours des six derniers mois). Il a publié son adresse courriel de manière bien visible sans indiquer qu'il ne souhaite pas recevoir de messages commerciaux. Il vous a donné sa carte d'affaires.
Le consentement tacite est temporaire et limité. Le consentement fondé sur une relation d'affaires expire après deux ans sans transaction. Le consentement fondé sur une demande expire après six mois. Le consentement lié à une adresse publiée ne couvre que les messages pertinents à son rôle professionnel.
Le consentement explicite n'expire pas (sauf retrait), c'est pourquoi bâtir une liste fondée sur le consentement explicite est l'approche durable.
Obtenir un consentement valable
La CASL comporte des exigences précises sur la manière d'obtenir le consentement.
Le consentement doit être d'inclusion (opt-in), pas d'exclusion (opt-out). Les cases précochées ne comptent pas. Des clauses enfouies dans de longs contrats ne comptent pas. Le destinataire doit entreprendre une action affirmative pour consentir.
Vous devez vous identifier clairement. La demande de consentement doit inclure votre nom (ou le nom de la personne pour le compte de qui vous sollicitez le consentement) et vos coordonnées.
Vous devez décrire la finalité. Quels types de messages allez-vous envoyer ? "Courriels marketing" est trop vague. "Infolettre hebdomadaire sur le développement logiciel" est préférable.
Vous devez expliquer comment retirer le consentement. Même au stade du consentement, les destinataires doivent savoir qu'ils peuvent se désabonner plus tard.
Vous devez conserver des dossiers. Documentez quand le consentement a été obtenu, comment il a été obtenu, et à quoi la personne a consenti. En cas de contestation, vous devez prouver que vous aviez un consentement valable.
Exigences de message
Même avec un consentement valable, la CASL exige des éléments spécifiques dans chaque message commercial.
Identification : Le message doit identifier clairement l'expéditeur. Votre nom ou le nom de votre entreprise doit être inclus, ainsi que vos coordonnées (adresse postale et, soit numéro de téléphone, courriel ou adresse web).
Mécanisme de désabonnement : Chaque message doit inclure un mécanisme de désabonnement fonctionnel. Il doit être gratuit, facile d'accès et valide pendant au moins 60 jours après l'envoi.
Traitement des désabonnements : Vous devez honorer les demandes de désabonnement dans les 10 jours ouvrables. Une fois qu'une personne est désabonnée, vous ne pouvez plus lui envoyer de messages commerciaux (bien que vous puissiez toujours envoyer des messages purement transactionnels).
Ces exigences s'appliquent à chaque message commercial, quel que soit le type de consentement.
Sanctions et application
Les sanctions de la CASL sont sévères, d'où l'importance de la conformité.
Les pénalités monétaires administratives peuvent atteindre 1 million $ par infraction pour les particuliers et 10 millions $ par infraction pour les entreprises. « Par infraction » peut signifier par message, donc une campagne vers des milliers de destinataires pourrait théoriquement entraîner une responsabilité massive.
Le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes) applique la CASL. Il a poursuivi des dossiers contre des entreprises canadiennes et étrangères, entraînant des pénalités allant de milliers à des millions de dollars.
Les administrateurs et dirigeants peuvent être tenus personnellement responsables s'ils ont dirigé, autorisé ou participé aux violations. Ce n'est pas seulement un risque pour l'entreprise.
Le droit d'action privé était prévu mais a été suspendu indéfiniment. Actuellement, seul le CRTC peut poursuivre des violations, mais cela pourrait changer.
Les engagements de conformité sont des résolutions courantes. Les entreprises acceptent des mesures de conformité spécifiques, souvent incluant des audits par des tiers, en échange de pénalités réduites. Ils sont publics et peuvent nuire à la réputation.
CASL vs CAN-SPAM
Comprendre les différences aide si vous êtes habitué aux règles américaines.
Modèle de consentement : CAN-SPAM permet l'opt-out (envoyer jusqu'à ce qu'ils se désabonnent). La CASL exige l'opt-in (ne pas envoyer tant qu'ils n'ont pas consenti). C'est la différence fondamentale.
Sanctions : Les pénalités de CAN-SPAM plafonnent à 46 517 $ par infraction. Celles de la CASL peuvent atteindre 10 millions $. Les enjeux sont plus élevés sous la CASL.
Délai de désabonnement : CAN-SPAM exige d'honorer les désabonnements dans les 10 jours ouvrables. La CASL exige aussi 10 jours ouvrables. Similaire ici.
Exemptions transactionnelles : Les deux lois exemptent les messages purement transactionnels, mais les exemptions de la CASL sont plus étroites. Ajouter du contenu promotionnel à des courriels transactionnels est plus risqué selon la CASL.
Si vous respectez la CASL, vous respecterez généralement CAN-SPAM. L'inverse n'est pas vrai.
Étapes pratiques de conformité
Intégrer la conformité à la CASL dans votre programme d'envoi de courriels nécessite des actions spécifiques.
Segmentez votre liste par géographie. Identifiez les abonnés canadiens afin de pouvoir appliquer les exigences de la CASL spécifiquement. Si vous ne pouvez pas identifier la géographie, appliquez les normes de la CASL à tout le monde.
Auditez vos dossiers de consentement. Pour les abonnés canadiens, disposez-vous d'un consentement explicite documenté ? Si vous vous appuyez sur le consentement tacite, est-il toujours valable (dans les limites de temps) ? Retirez les abonnés sans consentement valable.
Mettez à jour votre processus d'inscription. Assurez-vous que le consentement est d'inclusion, vous identifie clairement, décrit ce que vous enverrez, et explique comment se désabonner. Conservez des traces du consentement.
Passez en revue le contenu de vos courriels. Chaque message vous identifie-t-il avec les coordonnées requises ? Chaque message comporte-t-il un mécanisme de désabonnement fonctionnel ?
Formez votre équipe. Toute personne impliquée dans le marketing par courriel doit comprendre les exigences de la CASL. Les erreurs proviennent souvent de personnes qui ne connaissent pas les règles.
Envisagez des campagnes de reconfirmation du consentement. Si vos dossiers de consentement sont flous, demander aux abonnés de reconfirmer leur consentement crée des traces claires. Vous perdrez certains abonnés, mais vous aurez un consentement défendable pour ceux qui restent.
Erreurs courantes liées à la CASL
Plusieurs erreurs causent fréquemment des problèmes de CASL.
Supposer que la conformité à CAN-SPAM suffit. Ce n'est pas le cas. L'exigence d'opt-in de la CASL est fondamentalement différente.
Cases de consentement précochées. Elles ne créent pas un consentement valable selon la CASL. Le consentement doit être affirmatif.
Libellé de consentement vague. "Nous pourrions vous contacter" n'est pas assez précis. Décrivez ce que vous enverrez réellement.
Ne pas tracer le consentement. Si vous ne pouvez pas prouver quand et comment quelqu'un a consenti, vous n'avez en pratique pas de consentement.
Ignorer l'expiration du consentement tacite. Le consentement fondé sur une relation d'affaires expire. Si vous n'avez pas transigé avec quelqu'un depuis deux ans, le consentement tacite est perdu.
Ajouter du contenu promotionnel à des courriels transactionnels. Cela peut transformer un message transactionnel exempté en message commercial réglementé nécessitant un consentement.
Frequently asked questions
La CASL s'applique-t-elle si je ne suis pas au Canada ?
Oui, si vous envoyez des messages commerciaux à des destinataires canadiens. La CASL s'applique en fonction de l'emplacement des destinataires, pas de celui où vous vous trouvez.
Puis-je envoyer un courriel à quelqu'un qui m'a donné sa carte d'affaires ?
Oui, cela crée un consentement tacite pour des messages pertinents par rapport à leur rôle professionnel. Mais le consentement tacite est limité — le consentement explicite est préférable pour le marketing à long terme.
Que faire si je ne peux pas dire si un abonné est canadien ?
Si vous ne pouvez pas déterminer la géographie, l'approche la plus sûre est d'appliquer les normes de la CASL à tout le monde. Cela simplifie aussi la conformité.
Les courriels transactionnels nécessitent-ils un consentement en vertu de la CASL ?
Les messages purement transactionnels (confirmations de commande, notifications d'expédition, alertes de compte) sont généralement exemptés. Mais l'ajout de contenu promotionnel peut supprimer l'exemption.