Technologie

Vue d'ensemble

Les technologies redéfinissent le monde des affaires. L’importance des innovations technologiques et leur présence dans les entreprises créent de nouveaux défis et soulèvent de nouveaux enjeux tant pour les entreprises qui conçoivent les innovations que pour celles qui en bénéficient. Les enjeux juridiques liés aux innovations technologiques et aux modèles ou processus d’affaires qui en découlent sont parfois difficiles à cerner à court terme, mais il est important pour les entreprises de bien les analyser afin de protéger leurs droits et d’atteindre leurs objectifs. 

  1. Les grandes oubliées de l’intelligence artificielle: réflexion sur des lois applicables aux technologies de l’information

    Alors que les législateurs, au Canada1 et ailleurs2, tentent de mieux encadrer le développement et l’usage de technologies d’intelligence artificielle, il est important de se rappeler que ces technologies se qualifient aussi dans la famille plus large des technologies de l’information. Depuis 2001, le Québec s’est doté d’une loi visant à encadrer les technologies de l’information. Trop souvent oubliée, cette loi trouve application directement dans l’utilisation de certaines technologies d’intelligence artificielle. La notion très large de documents technologiques D’une part, les documents technologiques visés par cette loi sont définis pour inclure toute forme d’information délimitée, structurée et intelligible3. La loi donne quelques exemples de documents technologiques visés par divers textes législatifs, y incluant des formulaires en ligne, des rapports, des photographies, des diagrammes et même des électrocardiogrammes! On peut donc comprendre que cette notion s’applique sans difficulté à divers formulaires des interfaces d’utilisation de diverses plateformes technologiques4. Qui plus est, ces documents technologiques ne sont pas limités à des renseignements personnels. Cela peut aussi viser des renseignements relatifs à des entreprises ou à divers organismes, qui sont hébergés sur une plateforme technologique. À titre d’exemple, la Cour supérieure a récemment appliqué cette loi pour reconnaître la valeur probante de lignes directrices de pratique et de normes techniques en matière d’imagerie médicale qui étaient accessibles sur un site web5. Une décision plus ancienne a aussi reconnu l’admissibilité en preuve du contenu d’agendas électroniques6. À cause de leur lourdeur algorithmique, plusieurs technologies d’intelligence artificielle sont offertes sous forme de logiciel en tant que service ou de plateforme en tant que service. Dans la plupart des cas, l’information saisie par une entreprise utilisatrice est transmise sur des serveurs contrôlés par le fournisseur, où elle est traitée par des algorithmes d’intelligence artificielle. C’est souvent le cas des systèmes avancés de gestion de la relation client (souvent désignés sous l’acronyme anglais CRM) et d’analyse de dossiers électroniques. C’est aussi le cas également d’une panoplie d’applications visant la reconnaissance vocale, la traduction de documents et l’aide à la décision pour des employés de l’utilisatrice. Dans le contexte de l’intelligence artificielle, les documents technologiques s’étendent donc vraisemblablement à ce qui est ainsi transmis, hébergé et traité sur des serveurs à distance. Des obligations réciproques La loi prévoit des obligations spécifiques lorsque des prestataires de services, notamment des fournisseurs de plateforme informatique, doivent garder de l’information. Citons l’article 26 de la loi : «26. Quiconque confie un document technologique à un prestataire de services pour qu’il en assure la garde est, au préalable, tenu d’informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l’information et quant aux personnes qui sont habilitées à en prendre connaissance. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l’intégrité et, le cas échéant, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.» (note :  nos soulignements) Cet article impose donc un dialogue entre l’entreprise qui désire utiliser une plateforme technologique et le fournisseur de cette plateforme. D’une part, l’entreprise utilisatrice de la plateforme doit informer le fournisseur de la protection requise pour les renseignements qu’elle déposera sur la plateforme technologique. D’autre part, ce fournisseur a l’obligation de mettre en place des moyens technologiques de nature à en assurer la sécurité, l’intégrité et la confidentialité, correspondant à la protection requise qui lui est communiquée par l’utilisatrice. La loi ne spécifie pas quels moyens technologiques doivent être mis en place. Ces mesures doivent toutefois être raisonnables eu égard à la sensibilité des documents technologiques impliqués, du point de vue d’une personne possédant une expertise dans le domaine. Ainsi, un fournisseur qui offrirait une plateforme technologique comportant des modules désuets ou comportant des failles de sécurité connues se déchargerait-il de ses obligations en vertu de la loi? Cette question doit s’analyser dans le contexte de l’information que l’utilisatrice de la plateforme lui a transmise quant à la protection requise pour les documents technologiques. Un fournisseur ne doit toutefois pas cacher les risques liés à la sécurité de sa plateforme informatique à l’utilisatrice, ce qui irait à l’encontre des obligations d’information et de bonne foi des parties. Des individus sont impliqués? À ces obligations, il faut ajouter aussi la Charte des droits et libertés de la personne, qui s’applique également aux entreprises privées. Les entreprises qui traitent l’information pour le compte d’autrui doivent le faire dans le respect des principes de la Charte lorsqu’il s’agit de traiter des renseignements concernant divers individus. À titre d’exemple, si un fournisseur d’une plateforme informatique de gestion de la relation client offre des fonctionnalités permettant de classifier les clients ou d’aider les entreprises à répondre à leurs demandes, ce traitement d’information doit demeurer exempt de biais fondés sur la race, la couleur, le sexe, l’identité ou l’expression de genre, la grossesse, l’orientation sexuelle, l’état civil, l’âge (sauf dans la mesure prévue par la loi), la religion, les convictions politiques, la langue, l’origine ethnique ou nationale, la condition sociale, le handicap ou l’utilisation d’un moyen pour pallier ce handicap7. Un algorithme d’intelligence artificielle ne devrait en aucun cas suggérer à un commerçant de refuser de conclure des contrats avec un individu sur une telle base discriminatoire8. De plus, une personne qui recueille des renseignements personnels à l’aide de technologies permettant le profilage d’individus doit en aviser ces personnes au préalable9. Bref, loin du Far West décrié par certains, l’usage de l’intelligence artificielle doit se faire dans le respect des lois déjà en place, auxquelles s’ajouteront vraisemblablement de nouvelles lois plus spécifiques à l’intelligence artificielle. Si vous avez des questions relativement à l’application de ces lois à vos systèmes d’intelligence artificielle, n’hésitez pas à contacter un de nos professionnels. Projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique. Notamment, aux États-Unis, Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence du 30 octobre 2023. Loi concernant le cadre juridique des technologies de l'information, RLRQ c C-1.1, art. 3. Idem, art. 71. Tessier c. Charland, 2023 QCCS 3355. Lefebvre Frères ltée c. Giraldeau, 2009 QCCS 404. Charte des droits et libertés de la personne, art. 10. Idem, art. 12. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 8.1.

    Lire la suite
  2. Arrêt SOCAN : une seule redevance doit être payée par les diffuseurs de musique en ligne

    Dans l’arrêt Société canadienne des auteurs, compositeurs et éditeurs de musique c. Entertainment Software Association1 (l’« Arrêt SOCAN »), la Cour suprême du Canada s’est prononcée quant à l’obligation de verser une redevance pour la mise à disposition du public d’une œuvre sur un serveur en vue de sa diffusion ou son téléchargement ultérieur. Par le fait même, elle clarifie la norme applicable en appel lorsque les cours de justice et les organismes administratifs ont des compétences concurrentes en première instance et elle revisite les objectifs de la Loi sur le droit d’auteur2 et son interprétation à la lumière du Traité de l’OMPI sur le droit d’auteur3. La Cour suprême en profite également pour réitérer l’importance du principe de neutralité technologique quant à l’application et l’interprétation de la LDA. Ce rappel est transposable à d’autres médiums artistiques et il est d’une très grande actualité dans un contexte où le marché des arts visuels numériques connaît un engouement particulièrement important, notamment avec la production et la vente de jetons non fongibles (« NFT »). En 2012, les autorités législatives canadiennes ont modifié la LDA en adoptant la Loi sur la modernisation du droit d’auteur4 afin d’intégrer au droit canadien les obligations du Canada en vertu du Traité et plus particulièrement, d’harmoniser le régime juridique canadien en matière de droit d’auteur avec les règles internationales relatives aux technologies nouvelles et émergentes. La LMDA a introduit trois articles relatifs à la « mise à la disposition » dont l’article 2.4 (1.1) LDA s’appliquant aux œuvres originales et clarifiant l’article 3(1)f) qui confère aux auteurs le droit exclusif de « communiquer au public, par télécommunication, une œuvre » : 2.4 (1.1) LDA. « Pour l’application de la présente loi, constitue notamment une communication au public par télécommunication le fait de mettre à la disposition du public par télécommunication une œuvre ou un autre objet du droit d’auteur de manière que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement. » Avant l’entrée en vigueur de la LMDA, la Cour suprême a également conclu que le téléchargement d’une œuvre musicale sur Internet n’était pas une communication par télécommunication au sens de l’article 3(1)f) LDA5 alors que les diffusions en continu étaient visées par cet article6. Suivant l’entrée en vigueur de la LDMA, la Commission du droit d’auteur du Canada (la « Commission ») a reçu des observations concernant l’application de l’article 2.4 (1.1) LDA. La Société canadienne des auteurs, compositeurs et éditeurs de musique (« SOCAN ») y soutenait notamment que l’article 2.42.4 (1.1) LDA obligeait les utilisateurs à payer des redevances lorsqu’une œuvre était publiée sur Internet, ne faisant aucune distinction entre le téléchargement de l’œuvre, sa diffusion en continu et le cas des œuvres publiées, mais jamais transmises. La position de la SOCAN avait pour conséquence qu’une redevance devait être versée chaque fois qu’une œuvre était mise à la disposition du public, qu’elle soit téléchargée ou diffusée en continu. Ainsi, pour chaque téléchargement, une redevance de reproduction devait être payée et pour chaque diffusion en continu, une redevance d’exécution devait être payée. Historique judiciaire Décision de la Commission7 La Commission retient l’interprétation de la SOCAN voulant que la mise à la disposition du public d’une œuvre est une « communication ». Selon cette interprétation, deux redevances sont ainsi dues lorsqu’une œuvre est publiée en ligne : dans un premier temps lorsqu’elle est mise à la disposition du public en ligne et dans un second temps, lorsqu’elle est diffusée en continu ou téléchargée. Cette décision de la Commission reposait en grande partie sur son interprétation de l’article 8 du Traité selon laquelle l’acte de « mise à la disposition d’une œuvre » nécessite une protection distincte des États membres, justifiant une rémunération. Arrêt de la Cour d’appel fédérale8 Entertainment Software Association, Apple inc. et leurs filiales canadiennes (les « Diffuseurs ») ont porté la Décision de la Commission devant la Cour d’appel fédérale (« CAF »). S’appuyant sur la norme de la décision raisonnable, la CAF infirme la décision de la Commission affirmant qu’une redevance est due seulement lorsque l’œuvre est mise à la disposition du public sur un serveur et qu’aucune redevance n’est due ensuite pour la diffusion en continu. La CAF souligne par ailleurs l’incertitude quant à la norme de contrôle applicable en appel suivant l’arrêt Vavilov9ths pour un cas où un organisme administratif a une compétence concurrente aux cours de justice en première instance. Arrêt SOCAN La Cour suprême rejette le pourvoi de la SOCAN qui lui demande de rétablir la Décision de la Commission. Norme de contrôle en appel La Cour suprême reconnaît être en présence de circonstances rares et exceptionnelles donnant lieu à la création d’une sixième catégorie de questions pour lesquelles la norme de la décision correcte trouve application, soit la compétence concurrente en première instance entre les organismes administratifs et les cours de justice. L’article 2.4 (1.1) LDA donne-t-il droit au versement d’une seconde redevance à chaque téléchargement ou diffusion continue après sa publication sur un serveur pour que l’œuvre soit accessible au public ? Les droits conférés par l’article 3(1) LDA La Cour suprême commence son analyse en considérant les trois droits conférés par la LDA, soit les droits prévus à l’article 3(1) LDA : de produire ou reproduire une œuvre sous une forme matérielle quelconque; d’exécuter l’œuvre ou de la représenter en public; ou de publier une œuvre non publiée. Ces trois droits sont des droits distincts et une activité ne peut être rattachée qu’à un seul de ces droits. Par exemple, l’exécution de l’œuvre est passagère et permet à l’auteur de conserver un plus grand contrôle sur leurs œuvres que les reproductions. Ainsi, « le droit de l’auteur à l’égard de l’exécution entre en jeu pendant la période limitée où l’utilisateur profite de l’œuvre lors de l’activité. Une reproduction, en revanche, donne à l’utilisateur une copie durable de l’œuvre. »10 La Cour suprême souligne par ailleurs qu’une activité qui ne fait pas intervenir l’un des trois droits de l’article 3(1) LDA ou les droits moraux de l’auteur n’est pas protégée par la LDA et pour cette raison, aucune redevance ne doit être versée en lien avec cette activité. La Cour rappelle ses enseignements antérieurs voulant que le téléchargement ou la diffusion en continu d’une œuvre correspond pour chaque cas de figure à une activité distincte protégée, soit la reproduction pour les téléchargements et l’exécution pour la diffusion en continu. Elle souligne également que le téléchargement n’est pas une communication visée à l’article 3 (1)f) LDA et que la mise à disposition d’une œuvre sur un serveur n’est pas une activité distincte des trois droits justifiant rémunération.11 Objet de la LDA et principe de la neutralité technologique La Cour suprême critique la Décision de la Commission en ce qu’elle viole le principe de neutralité technologique, notamment en exigeant que les utilisateurs paient des redevances additionnelles pour accéder aux œuvres en ligne. La LMDA avait pour objectif d’« éliminer la spécificité technologique des dispositions de la LDA »12 et de marquer, par le fait même, l’adhésion du Canada au principe de la neutralité technologique. Le principe de neutralité technologique est expliqué plus en détail par la Cour suprême : [63] Selon le principe de la neutralité technologique, en l’absence d’une intention contraire du Parlement, la Loi sur le droit d’auteur ne devrait pas être interprétée de manière à favoriser ou à défavoriser une forme de technologie en particulier : SRC, par. 66. La distribution d’œuvres équivalentes sur le plan fonctionnel par des moyens technologiques anciens ou nouveaux devrait mettre en jeu les mêmes droits : Société canadienne des auteurs, compositeurs et éditeurs de musique c. Bell Canada, 2012 CSC 36, [2012] 2 R.C.S. 326, par. 43; SRC, par. 72. Par exemple, l’achat d’un album en ligne devrait faire intervenir les mêmes droits, et donner lieu aux mêmes redevances, que l’acquisition d’un album effectuée dans un magasin physique, étant donné que ces façons d’acheter les œuvres protégées par le droit d’auteur sont équivalentes sur le plan fonctionnel. Ce qui compte, c’est ce que l’utilisateur reçoit, et non la manière dont il le reçoit : ESA, par. 5-6 et 9; Rogers, par. 29. Dans son sommaire de la LMDA, lequel précède le préambule, le Parlement a signalé son adhésion au principe de la neutralité technologique en déclarant que les modifications visaient à « éliminer la spécificité technologique des dispositions de la [Loi sur le droit d’auteur] ». La Cour suprême affirme que le principe de neutralité technologique doit être observé à l’aune des objectifs de la LDA qui n’existe pas uniquement pour la protection des droits des auteurs, mais afin d’établir un équilibre entre les droits des utilisateurs et les droits des auteurs, en facilitant la diffusion des œuvres artistiques et intellectuelles afin d’enrichir la société et d’offrir une inspiration aux autres créateurs. Par conséquent, « ce qui compte, c’est ce que reçoit l’utilisateur, et non la manière dont il le reçoit. »13 Ainsi, que la reproduction ou la diffusion de l’œuvre ait lieu en ligne ou hors ligne, les mêmes droits d’auteur s’appliquent et donnent lieu aux mêmes redevances. Quelle est la bonne interprétation de l’article 2.4 (1.1) LDA ? L’article 8 du Traité La Cour suprême rappelle que les traités de droit international sont pertinents à l’étape du contexte en matière d’interprétation législative et qu’ils peuvent être examinés sans qu’il y ait d’ambiguïté dans le texte d’une loi14. Par ailleurs, si le texte de la loi le permet, elle devra être interprétée conformément aux obligations du Canada découlant du traité selon la présomption de conformité selon laquelle un traité ne peut pas évincer l’intention claire du législateur15. Elle conclut que l’article 2.4 (1.1) LDA avait pour but de mettre en œuvre les obligations du Canada résultant de l’article 8 du Traité et que, par conséquent, le Traité doit être pris en compte dans l’interprétation de l’article 2.4 (1.1) LDA. Même si l’article 8 du Traité confère aux auteurs le droit de contrôler la mise à la disposition du public des œuvres, il ne crée pas un nouveau « droit de mise à la disposition » protégé et donc justifiant une rémunération. Ainsi, il n’en découle pas des « communications distinctes » ou autrement dit, des « exécutions distinctes » 16. L’article 8 du Traité ne crée que deux obligations qui sont : « protéger les transmissions sur demande; et conférer aux auteurs le droit de contrôler comment et quand leur œuvre est mise à la disposition du public pour téléchargement ou diffusion en continu. »17 Le Canada a la liberté de choisir la manière dont ces deux objectifs sont mis en œuvre dans la LDA en recourant soit au droit de distribution, au droit de communication au public, à une combinaison de ces deux droits ou à un nouveau droit18. La Cour suprême conclut que la LDA donne effet aux obligations découlant de l’article 8 du Traité au moyen d’une combinaison des droits en matière d’exécution et représentation, de reproduction et d’autorisation prévus à l’article 3 (1) LDA et respectant le principe de neutralité technologique19. Quelle est l’interprétation de l’article 2.4 (1.1) LDA qui doit être retenue ? L’objectif de l’article 2.4 (1.1) LDA est de préciser le droit de communication visé à l’article 3(1)f) LDA en soulignant qu’il s’applique aux diffusions en continu sur demande. Une unique diffusion en continu sur demande à un membre du public constitue ainsi une « communication au public » telle que l’entend l’article 3(1)f) LDA20. L’article 2.4(1.1) LDA précise qu’une œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion sur demande21. Par conséquent, la diffusion en continu n’est que le prolongement de l’exécution de l’œuvre qui débute avec sa mise à disposition et une seule redevance doit être perçue en lien avec ce droit : [100] Cette interprétation n’exige pas que l’acte de mise à la disposition de l’œuvre soit considéré comme une exécution distincte de la transmission subséquente de l’œuvre par la diffusion en continu. L’œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion en continu. Une redevance d’exécution doit être payée à ce stade. Si l’utilisateur profite subséquemment de cette exécution en diffusant l’œuvre en continu, il bénéficie d’une exécution déjà en cours, et non d’une nouvelle exécution. Aucune redevance distincte ne doit être payée à ce stade. [traduction] « L’acte de “communication au public” sous la forme d’une “mise à la disposition” est entièrement accompli par la simple mise à la disposition d’une œuvre pour diffusion en continu sur demande. Si l’œuvre est alors effectivement transmise de cette façon, cela ne signifie pas que deux actes sont accomplis : la “mise à la disposition” et la “communication au public”. L’acte entier ainsi accompli sera considéré comme une communication au public » : Ficsor, p. 508. Autrement dit, la mise à la disposition d’une diffusion en continu et une diffusion en continu par un utilisateur sont toutes les deux protégées en tant qu’exécution unique — une communication unique au public. Pour résumer, la Cour suprême a affirmé et clarifié les éléments suivants dans l’Arrêt SOCAN : L’article 3(1)f) LDA ne vise pas le téléchargement d’une œuvre; La mise à disposition d’une œuvre sur un serveur et sa diffusion en continu subséquente constitue la mise en œuvre du seul et même droit à l’exécution de l’œuvre; Conséquemment, une seule redevance doit être versée pour une œuvre versée sur un serveur et qui est ensuite diffusée en continu; Cette interprétation de l’article 2.4(1.1) LDA respecte les obligations internationales du Canada en matière de protection du droit d’auteur; La question de la compétence concurrente en première instance entre les cours de justice et les organismes administratifs est celle de la décision correcte. Alors que les créations artistiques de l’intelligence artificielle se multiplient et qu’un nouveau marché de l’art visuel numérique émerge, propulsé par l’engouement pour les plateformes d’échanges NFT, l’importance du principe de neutralité technologique devient une pierre angulaire pour comprendre les droits d’auteur qui sont attachés à ces nouveaux objets numériques et aux transactions qui les concernent. Fort heureusement, les questions relatives à la musique numérique, à son partage et sa diffusion ont pavé la voie en permettant de repenser les droits d’auteur dans un contexte du numérique. Nous notons par ailleurs que dans des marchés numériques de NFT qui se veulent décentralisés et déréglementés, les droits associés à la propriété intellectuelle sont pour l’instant les seules balises qui sont réellement respectées par les plateformes d’échange et qui appellent à une certaine intervention des propriétaires de ces plateformes. 2022 CSC 30. L.R.C. (1985), c. C-42 (ci-après la « LDA »). R.T. Can. 2014 no 20 (ci-après le « Traité »). L.C. 2012, c. 20 (ci-après la « LMDA »). Entertainment Software Association c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 34. Rogers Communications Inc. c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 35. Commission du droit d’auteur du Canada, 2017 CanLII 1528886 (ci-après la « Décision de la Commission »). Cour d’appel fédérale, 2020 CAF 100 (ci-après l’« Arrêt de la CAF »). Canada (Ministre de la Citoyenneté et de l’Immigration) c. Vavilov, 2019 CSC 65. Arrêt SOCAN, par. 56. Idem, par. 59. LDMA, préambule. Arrêt SOCAN, par. 70, italique de la CSC. Idem, par. 44-45. Idem, par. 46-48. Idem, par. 74-75. Idem, par. 88. Idem, par. 90. Idem, par. 101 et 108. Idem, par. 91-94. Idem, par. 95 et 99-100.

    Lire la suite
  3. La cybersécurité et les dangers liés à l’Internet des objets

    Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

    Lire la suite