CanucktAI
Retour au blogue
LCAP May 22, 2026 9 min de lecture

La LCAP est la loi la plus enfreinte au sein des entreprises canadiennes. L'application s'en vient.

La LCAP est en vigueur depuis 2014. La plupart des entreprises canadiennes la considèrent comme un désagrément. Le CRTC voit de plus en plus les infractions comme des occasions d'application — et les amendes sont bien réelles.

Par Vivek Chakravarthy

La LCAP est la loi la plus enfreinte au sein des entreprises canadiennes. L'application s'en vient.

La loi que personne ne prend assez au sérieux

La Loi canadienne anti-pourriel est en vigueur depuis le 1er juillet 2014. Au cours des onze années qui ont suivi, elle a produit une poignée de mesures d'application bien médiatisées, beaucoup de théâtre de conformité du type « ajoutez simplement un lien de désabonnement » et une croyance répandue parmi les entreprises canadiennes selon laquelle l'application de la LCAP relève davantage du bruit de fond que d'un risque réel.

Cette croyance devient de plus en plus coûteuse à entretenir.

Le CRTC — le Conseil de la radiodiffusion et des télécommunications canadiennes, qui applique la LCAP — a affiné son approche d'application, a coopéré avec des autorités internationales sur le pourriel transfrontalier et a signalé un examen accru de la documentation du consentement. Les entreprises qui ont coulé des jours tranquilles avec des pratiques de consentement laxistes et des listes de suppression mal tenues accumulent une responsabilité dont elles ignorent l'existence.

Ce que la LCAP interdit réellement

La LCAP interdit l'envoi de messages électroniques commerciaux — courriels, textos et messages intégrés à une application ayant une fin commerciale — à un destinataire sans son consentement, à moins que le message ne relève de l'une des exceptions limitées.

La « fin commerciale » est large. Un courriel annonçant une nouvelle fonctionnalité de produit, un texto avec un code de réduction, un message qui fait la promotion de votre entreprise même sans argumentaire de vente explicite — tous ces messages sont des messages électroniques commerciaux. Un courriel purement transactionnel (une confirmation de commande, un reçu, une réinitialisation de mot de passe) n'est généralement pas visé, mais la ligne entre transactionnel et commercial devient floue rapidement.

Le consentement en vertu de la LCAP se présente sous deux formes : exprès et tacite.

Le consentement exprès est explicite — le destinataire a activement indiqué qu'il souhaite recevoir vos messages, au moyen d'un formulaire, d'une case à cocher ou d'un accord verbal. La mécanique importe : la demande de consentement doit être claire quant à ce à quoi le destinataire s'inscrit, à l'identité de l'expéditeur et à la façon de retirer son consentement. Une case à cocher indiquant « J'accepte les conditions générales » ne constitue pas un consentement exprès au sens de la LCAP pour le marketing par courriel.

Le consentement tacite existe dans des circonstances précises et énumérées : une adresse publiée bien en vue (comme une adresse courriel affichée sur un site Web sans mention de « pas de sollicitation »), une relation d'affaires en cours d'une durée prescrite (généralement trois ans à compter de la date d'un achat ou deux ans à compter d'une demande de renseignements), et quelques autres scénarios précis.

Les limites de durée du consentement tacite sont l'endroit où la plupart des entreprises se retrouvent en difficulté. Une relation d'affaires en cours vous accorde trois ans à compter de la date de la transaction. Après cela, le consentement tacite expire à moins que vous n'ayez obtenu un consentement exprès. Les organisations qui envoient des courriels à des clients depuis cinq ans sans jamais avoir recueilli de consentement exprès envoient des messages à une liste de suppression — une liste de personnes qu'elles n'ont plus le droit de joindre par courriel.

Les trois problèmes de documentation du consentement

Aucun registre du moment où le consentement a été obtenu. La LCAP exige des organisations qu'elles puissent démontrer qu'elles avaient le consentement avant l'envoi. Cela signifie un registre — idéalement horodaté, idéalement comprenant le mécanisme de consentement précis utilisé — pour chaque personne sur votre liste. Les organisations qui utilisent des plateformes de courriel ne saisissant pas les horodatages de consentement disposent d'un système qui peut envoyer des messages mais ne peut pas démontrer le droit de les envoyer.

Aucun mécanisme de suivi de l'expiration du consentement tacite. Si votre liste de marketing comprend des personnes qui ont fait un achat en 2020 et que vous n'avez pas obtenu leur consentement exprès, leur consentement tacite a expiré en 2023. Continuer de leur envoyer des messages depuis lors constitue une infraction depuis deux ans. La plupart des plateformes de marketing ne gèrent pas automatiquement l'expiration du consentement tacite — cela exige un processus.

Aucune gestion de la liste de suppression. La LCAP exige que chaque message électronique commercial comprenne un mécanisme de désabonnement fonctionnel qui traite les retraits dans les dix jours ouvrables. Les organisations qui respectent les demandes de désabonnement dans un système mais conservent les mêmes contacts dans d'autres systèmes — une GRC, un outil d'infolettre distinct, une plateforme de prospection commerciale — envoient des messages à des personnes qui ont retiré leur consentement.

Les réalités de l'application

Le CRTC a imposé des amendes allant de 15 000 $ à 1,1 million de dollars pour des infractions à la LCAP. La sanction de 1,1 million de dollars contre Compu-Finder en 2015 a été la première mesure d'application majeure — une entreprise envoyant des courriels à des personnes qui n'avaient jamais consenti, en récupérant des adresses sur des sites Web. La tendance depuis a été la suivante : des organisations qui envoient des messages commerciaux sans consentement, à grand volume, sans mécanisme de désinscription véritable.

Ce que le CRTC n'a pas encore eu à faire, c'est de poursuivre les infractions intermédiaires — les entreprises qui ont le consentement d'une partie de leur liste, ont laissé le consentement tacite expirer pour une autre partie, et envoient des messages à tout le monde. Cette tendance d'application est en train de se développer. Le CRTC a coopéré avec la FTC, la FCA au Royaume-Uni et d'autres autorités sur l'application transfrontalière. L'infrastructure pour s'en prendre aux contrevenants de taille moyenne existe.

La disposition sur le droit privé d'action — qui aurait permis aux particuliers de poursuivre pour des infractions à la LCAP — n'a jamais été proclamée en vigueur et a finalement été retirée. Mais le pouvoir d'application du CRTC demeure, tout comme les sanctions administratives pécuniaires pouvant atteindre 1 million de dollars pour les particuliers et 10 millions de dollars pour les organisations par infraction.

À quoi ressemble réellement la conformité à la LCAP en 2026

Un programme de conformité à la LCAP défendable pour une PME canadienne n'exige pas de logiciels coûteux. Il exige des processus documentés.

Connaissez votre fondement de consentement pour chaque contact de chaque liste. Pour chaque segment — clients, abonnés à l'infolettre, participants à des événements, pistes de salons professionnels — documentez quand et comment le consentement a été obtenu, et s'il est exprès ou tacite.

Mettez en place un suivi du consentement tacite. Les transactions qui créent un consentement tacite devraient générer un registre horodaté. Un champ de GRC ou une colonne de date dans votre base de données de contacts assurant le suivi de la « date de la dernière transaction » ou de la « date de la demande de renseignements » vous donne ce dont vous avez besoin pour déterminer quand le consentement tacite expire.

Vérifiez vos listes par rapport à vos registres de consentement. Quiconque figure sur votre liste de marketing sans fondement de consentement documenté ne devrait pas y être. L'épuration est inconfortable. C'est moins inconfortable qu'une enquête du CRTC.

Faites en sorte que les désabonnements fonctionnent partout. Lorsqu'une personne se désabonne d'un canal, elle devrait être retirée de tous les canaux de messagerie commerciale. Cela exige une liste de suppression réellement utilisée dans tous vos systèmes de messagerie.

N'utilisez pas de listes achetées. Cela devrait aller de soi, mais cela mérite d'être dit : acheter une liste d'adresses courriel canadiennes et les ajouter à votre système de marketing constitue une infraction à la LCAP dès le premier message que vous envoyez. Il n'existe aucun moyen d'avoir un consentement exprès conforme à la LCAP pour une liste que vous n'avez pas constituée vous-même.

La conformité à la LCAP n'est pas difficile. C'est le genre de chose qui semble moins urgente que tout le reste qui réclame votre attention — jusqu'à ce que le CRTC envoie un avis de violation et que ce soit soudainement la seule chose qui compte.

CASL compliance Canada 2026CASL enforcement CanadaCanada anti-spam law complianceCASL email marketing rulesCRTC CASL fines

La conformité IA et vie privée, simplifiée.

Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.

Découvrir Valdra

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

La LCAP est la loi la plus enfreinte au sein des entreprises canadiennes. L'application s'en vient. | Canuckt AI