• Sécurité de l'information sur Internet
• Échanges sécuritaires
• Directives
• Pourriel, hameçonnage et logiciels espions
• Orientations gouvernementales en sécurité de l'information numérique
• Authentification des citoyens et des entreprises
• Réseau d'expertise et de vigie

Analyse du cadre réglementaire québécois et étranger à l'égard du pourriel, de l'hameçonnage et des logiciels espions

Depuis de nombreuses années, le courriel, tout comme nos boîtes à lettres, était pollué par de la publicité non sollicitée et, souvent, d'assez mauvais goût : le pourriel. Mais ce phénomène n'était, somme toute, qu'un irritant sans trop de conséquences.

La situation est aujourd'hui fort différente. D'une part, le nombre de pourriels s'est multiplié de façon explosive, au point de devenir une portion prépondérante des courriels qui transitent sur l'Internet. D'autre part, la nature de ce pourriel a changée. De publicité de mauvais goût, le pourriel est devenu un canal pour des tentatives d'escroqueries de toutes sortes : fausse représentation, fraude, collecte de renseignements personnels, vol d'identité et autres arnaques.

Les conséquences économiques de ces nuisances sont de plus en plus lourdes pour la société, que ce soit :

• par la nécessité, pour les fournisseurs de services Internet, de surdimentionner leurs équipements ;
• la nécessité, pour les usagers, de s'équiper de logiciels de sécurité de plus en plus sophistiqués et coûteux ;
• par la perte de temps qu'elles imposent à ces mêmes usagers et, surtout,
• par la perte de confiance dans les services en ligne, conséquence d'un nombre de plus en plus grand des arnaques utilisant le courriel électronique comme moyen de communication.

Le ministère des Services gouvernementaux a mandaté le Centre de recherche en droit public (CRDP) de l'Université de Montréal pour réaliser une vaste étude sur le cadre juridique et réglementaire dont dispose le Québec pour faire face à ce type de nuisances. La réalisation de cette étude a été confiée au professeur Pierre Trudel qui jouit d'une vaste expérience dans le domaine du droit des inforoutes.

Le rapport du CRDP trace un portrait détaillé des techniques et des stratégies employées par ceux qui sont à la source de ces nuisances. Il analyse ensuite les stratégies proposées par diverses organisations et celles adoptées par divers pays, notamment l'Australie, la France, les Pays-Bas et les États-Unis pour faire face à ces problèmes.

Le cœur du rapport, sa troisième partie, fait une analyse du cadre réglementaire applicable au Québec en matière de lutte contre le pourriel, l'hameçonnage et les logiciels espions (1 Mo). Cette section identifie les armes actuellement disponibles pour faire face à ces problèmes. Faute d'une législation visant directement ces phénomènes, ce sont des législations à portée générale ou réglementant des secteurs spécifiques d'activités qui ont vocation à s'appliquer à l'encontre de plusieurs gestes inhérents aux pratiques des polluposteurs et des hameçonneurs, ce qui rend les recours coûteux, complexes et peu efficaces. En effet, les armes en question sont dispersées parmi de nombreuses lois : Code criminel, Code civil, Loi sur la concurrence, Loi sur la protection des renseignements personnels dans le secteur privé, Loi sur les télécommunications, Loi sur la protection du consommateur, Loi sur les valeurs mobilières, Charte des droits et libertés de la personne, etc., et n'ont jamais été pensées pour lutter contre des phénomènes aussi changeants.

Le rapport conclut sur l'importance d'une entité en mesure d'assumer le rôle de concertation et de coordination des efforts de surveillance et de lutte contre ces nuisances de l'Internet ainsi que sur la nécessité d'une législation spécifique, ne serait-ce que pour donner un signal clair à ceux qui sont à l'origine de ces nuisances. Le but étant d'accroître le risque encouru par les polluposteurs afin de contrebalancer les bénéfices qu'ils sont successibles d'en tirer.

« La législation et la réglementation étatique doivent certes être mises à niveau mais cela ne donnera rien s'il n'y a pas une stratégie concertée de suivi et d'application systématique des règles […]. Avant même d'envisager l'adoption de lois nouvelles, il conviendrait de mettre en place un réseau de vigilance ayant pour but d'appliquer les règles actuelles, notamment celles du droit commun aux situations découlant d'agissements menés sur le territoire du Québec. Les enseignements découlant du fonctionnement d'un pareil réseau permettraient l'élaboration d'une législation et de stratégies adaptées aux contextes changeants dans lesquels sévissent les pratiques de pourriel. »

L'enjeu est important : c'est la confiance des usagers et des organisations dans les instruments de l'Internet, le commerce électronique et les services en ligne qui sont en jeu. Qui voudra demain transiger en ligne avec sa banque ou son gouvernement si personne ne peut plus lui garantir qu'il s'agit bien de sa banque ou de son gouvernement ?