Publications

Dans l’arrêt Société canadienne des auteurs, compositeurs et éditeurs de musique c. Entertainment Software Association1 (l’« Arrêt SOCAN »), la Cour suprême du Canada s’est prononcée quant à l’obligation de verser une redevance pour la mise à disposition du public d’une œuvre sur un serveur en vue de sa diffusion ou son téléchargement ultérieur. Par le fait même, elle clarifie la norme applicable en appel lorsque les cours de justice et les organismes administratifs ont des compétences concurrentes en première instance et elle revisite les objectifs de la Loi sur le droit d’auteur2 et son interprétation à la lumière du Traité de l’OMPI sur le droit d’auteur3. La Cour suprême en profite également pour réitérer l’importance du principe de neutralité technologique quant à l’application et l’interprétation de la LDA. Ce rappel est transposable à d’autres médiums artistiques et il est d’une très grande actualité dans un contexte où le marché des arts visuels numériques connaît un engouement particulièrement important, notamment avec la production et la vente de jetons non fongibles (« NFT »). En 2012, les autorités législatives canadiennes ont modifié la LDA en adoptant la Loi sur la modernisation du droit d’auteur4 afin d’intégrer au droit canadien les obligations du Canada en vertu du Traité et plus particulièrement, d’harmoniser le régime juridique canadien en matière de droit d’auteur avec les règles internationales relatives aux technologies nouvelles et émergentes. La LMDA a introduit trois articles relatifs à la « mise à la disposition » dont l’article 2.4 (1.1) LDA s’appliquant aux œuvres originales et clarifiant l’article 3(1)f) qui confère aux auteurs le droit exclusif de « communiquer au public, par télécommunication, une œuvre » : 2.4 (1.1) LDA. « Pour l’application de la présente loi, constitue notamment une communication au public par télécommunication le fait de mettre à la disposition du public par télécommunication une œuvre ou un autre objet du droit d’auteur de manière que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement. » Avant l’entrée en vigueur de la LMDA, la Cour suprême a également conclu que le téléchargement d’une œuvre musicale sur Internet n’était pas une communication par télécommunication au sens de l’article 3(1)f) LDA5 alors que les diffusions en continu étaient visées par cet article6. Suivant l’entrée en vigueur de la LDMA, la Commission du droit d’auteur du Canada (la « Commission ») a reçu des observations concernant l’application de l’article 2.4 (1.1) LDA. La Société canadienne des auteurs, compositeurs et éditeurs de musique (« SOCAN ») y soutenait notamment que l’article 2.42.4 (1.1) LDA obligeait les utilisateurs à payer des redevances lorsqu’une œuvre était publiée sur Internet, ne faisant aucune distinction entre le téléchargement de l’œuvre, sa diffusion en continu et le cas des œuvres publiées, mais jamais transmises. La position de la SOCAN avait pour conséquence qu’une redevance devait être versée chaque fois qu’une œuvre était mise à la disposition du public, qu’elle soit téléchargée ou diffusée en continu. Ainsi, pour chaque téléchargement, une redevance de reproduction devait être payée et pour chaque diffusion en continu, une redevance d’exécution devait être payée. Historique judiciaire Décision de la Commission7 La Commission retient l’interprétation de la SOCAN voulant que la mise à la disposition du public d’une œuvre est une « communication ». Selon cette interprétation, deux redevances sont ainsi dues lorsqu’une œuvre est publiée en ligne : dans un premier temps lorsqu’elle est mise à la disposition du public en ligne et dans un second temps, lorsqu’elle est diffusée en continu ou téléchargée. Cette décision de la Commission reposait en grande partie sur son interprétation de l’article 8 du Traité selon laquelle l’acte de « mise à la disposition d’une œuvre » nécessite une protection distincte des États membres, justifiant une rémunération. Arrêt de la Cour d’appel fédérale8 Entertainment Software Association, Apple inc. et leurs filiales canadiennes (les « Diffuseurs ») ont porté la Décision de la Commission devant la Cour d’appel fédérale (« CAF »). S’appuyant sur la norme de la décision raisonnable, la CAF infirme la décision de la Commission affirmant qu’une redevance est due seulement lorsque l’œuvre est mise à la disposition du public sur un serveur et qu’aucune redevance n’est due ensuite pour la diffusion en continu. La CAF souligne par ailleurs l’incertitude quant à la norme de contrôle applicable en appel suivant l’arrêt Vavilov9ths pour un cas où un organisme administratif a une compétence concurrente aux cours de justice en première instance. Arrêt SOCAN La Cour suprême rejette le pourvoi de la SOCAN qui lui demande de rétablir la Décision de la Commission. Norme de contrôle en appel La Cour suprême reconnaît être en présence de circonstances rares et exceptionnelles donnant lieu à la création d’une sixième catégorie de questions pour lesquelles la norme de la décision correcte trouve application, soit la compétence concurrente en première instance entre les organismes administratifs et les cours de justice. L’article 2.4 (1.1) LDA donne-t-il droit au versement d’une seconde redevance à chaque téléchargement ou diffusion continue après sa publication sur un serveur pour que l’œuvre soit accessible au public ? Les droits conférés par l’article 3(1) LDA La Cour suprême commence son analyse en considérant les trois droits conférés par la LDA, soit les droits prévus à l’article 3(1) LDA : de produire ou reproduire une œuvre sous une forme matérielle quelconque; d’exécuter l’œuvre ou de la représenter en public; ou de publier une œuvre non publiée. Ces trois droits sont des droits distincts et une activité ne peut être rattachée qu’à un seul de ces droits. Par exemple, l’exécution de l’œuvre est passagère et permet à l’auteur de conserver un plus grand contrôle sur leurs œuvres que les reproductions. Ainsi, « le droit de l’auteur à l’égard de l’exécution entre en jeu pendant la période limitée où l’utilisateur profite de l’œuvre lors de l’activité. Une reproduction, en revanche, donne à l’utilisateur une copie durable de l’œuvre. »10 La Cour suprême souligne par ailleurs qu’une activité qui ne fait pas intervenir l’un des trois droits de l’article 3(1) LDA ou les droits moraux de l’auteur n’est pas protégée par la LDA et pour cette raison, aucune redevance ne doit être versée en lien avec cette activité. La Cour rappelle ses enseignements antérieurs voulant que le téléchargement ou la diffusion en continu d’une œuvre correspond pour chaque cas de figure à une activité distincte protégée, soit la reproduction pour les téléchargements et l’exécution pour la diffusion en continu. Elle souligne également que le téléchargement n’est pas une communication visée à l’article 3 (1)f) LDA et que la mise à disposition d’une œuvre sur un serveur n’est pas une activité distincte des trois droits justifiant rémunération.11 Objet de la LDA et principe de la neutralité technologique La Cour suprême critique la Décision de la Commission en ce qu’elle viole le principe de neutralité technologique, notamment en exigeant que les utilisateurs paient des redevances additionnelles pour accéder aux œuvres en ligne. La LMDA avait pour objectif d’« éliminer la spécificité technologique des dispositions de la LDA »12 et de marquer, par le fait même, l’adhésion du Canada au principe de la neutralité technologique. Le principe de neutralité technologique est expliqué plus en détail par la Cour suprême : [63] Selon le principe de la neutralité technologique, en l’absence d’une intention contraire du Parlement, la Loi sur le droit d’auteur ne devrait pas être interprétée de manière à favoriser ou à défavoriser une forme de technologie en particulier : SRC, par. 66. La distribution d’œuvres équivalentes sur le plan fonctionnel par des moyens technologiques anciens ou nouveaux devrait mettre en jeu les mêmes droits : Société canadienne des auteurs, compositeurs et éditeurs de musique c. Bell Canada, 2012 CSC 36, [2012] 2 R.C.S. 326, par. 43; SRC, par. 72. Par exemple, l’achat d’un album en ligne devrait faire intervenir les mêmes droits, et donner lieu aux mêmes redevances, que l’acquisition d’un album effectuée dans un magasin physique, étant donné que ces façons d’acheter les œuvres protégées par le droit d’auteur sont équivalentes sur le plan fonctionnel. Ce qui compte, c’est ce que l’utilisateur reçoit, et non la manière dont il le reçoit : ESA, par. 5-6 et 9; Rogers, par. 29. Dans son sommaire de la LMDA, lequel précède le préambule, le Parlement a signalé son adhésion au principe de la neutralité technologique en déclarant que les modifications visaient à « éliminer la spécificité technologique des dispositions de la [Loi sur le droit d’auteur] ». La Cour suprême affirme que le principe de neutralité technologique doit être observé à l’aune des objectifs de la LDA qui n’existe pas uniquement pour la protection des droits des auteurs, mais afin d’établir un équilibre entre les droits des utilisateurs et les droits des auteurs, en facilitant la diffusion des œuvres artistiques et intellectuelles afin d’enrichir la société et d’offrir une inspiration aux autres créateurs. Par conséquent, « ce qui compte, c’est ce que reçoit l’utilisateur, et non la manière dont il le reçoit. »13 Ainsi, que la reproduction ou la diffusion de l’œuvre ait lieu en ligne ou hors ligne, les mêmes droits d’auteur s’appliquent et donnent lieu aux mêmes redevances. Quelle est la bonne interprétation de l’article 2.4 (1.1) LDA ? L’article 8 du Traité La Cour suprême rappelle que les traités de droit international sont pertinents à l’étape du contexte en matière d’interprétation législative et qu’ils peuvent être examinés sans qu’il y ait d’ambiguïté dans le texte d’une loi14. Par ailleurs, si le texte de la loi le permet, elle devra être interprétée conformément aux obligations du Canada découlant du traité selon la présomption de conformité selon laquelle un traité ne peut pas évincer l’intention claire du législateur15. Elle conclut que l’article 2.4 (1.1) LDA avait pour but de mettre en œuvre les obligations du Canada résultant de l’article 8 du Traité et que, par conséquent, le Traité doit être pris en compte dans l’interprétation de l’article 2.4 (1.1) LDA. Même si l’article 8 du Traité confère aux auteurs le droit de contrôler la mise à la disposition du public des œuvres, il ne crée pas un nouveau « droit de mise à la disposition » protégé et donc justifiant une rémunération. Ainsi, il n’en découle pas des « communications distinctes » ou autrement dit, des « exécutions distinctes » 16. L’article 8 du Traité ne crée que deux obligations qui sont : « protéger les transmissions sur demande; et conférer aux auteurs le droit de contrôler comment et quand leur œuvre est mise à la disposition du public pour téléchargement ou diffusion en continu. »17 Le Canada a la liberté de choisir la manière dont ces deux objectifs sont mis en œuvre dans la LDA en recourant soit au droit de distribution, au droit de communication au public, à une combinaison de ces deux droits ou à un nouveau droit18. La Cour suprême conclut que la LDA donne effet aux obligations découlant de l’article 8 du Traité au moyen d’une combinaison des droits en matière d’exécution et représentation, de reproduction et d’autorisation prévus à l’article 3 (1) LDA et respectant le principe de neutralité technologique19. Quelle est l’interprétation de l’article 2.4 (1.1) LDA qui doit être retenue ? L’objectif de l’article 2.4 (1.1) LDA est de préciser le droit de communication visé à l’article 3(1)f) LDA en soulignant qu’il s’applique aux diffusions en continu sur demande. Une unique diffusion en continu sur demande à un membre du public constitue ainsi une « communication au public » telle que l’entend l’article 3(1)f) LDA20. L’article 2.4(1.1) LDA précise qu’une œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion sur demande21. Par conséquent, la diffusion en continu n’est que le prolongement de l’exécution de l’œuvre qui débute avec sa mise à disposition et une seule redevance doit être perçue en lien avec ce droit : [100] Cette interprétation n’exige pas que l’acte de mise à la disposition de l’œuvre soit considéré comme une exécution distincte de la transmission subséquente de l’œuvre par la diffusion en continu. L’œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion en continu. Une redevance d’exécution doit être payée à ce stade. Si l’utilisateur profite subséquemment de cette exécution en diffusant l’œuvre en continu, il bénéficie d’une exécution déjà en cours, et non d’une nouvelle exécution. Aucune redevance distincte ne doit être payée à ce stade. [traduction] « L’acte de “communication au public” sous la forme d’une “mise à la disposition” est entièrement accompli par la simple mise à la disposition d’une œuvre pour diffusion en continu sur demande. Si l’œuvre est alors effectivement transmise de cette façon, cela ne signifie pas que deux actes sont accomplis : la “mise à la disposition” et la “communication au public”. L’acte entier ainsi accompli sera considéré comme une communication au public » : Ficsor, p. 508. Autrement dit, la mise à la disposition d’une diffusion en continu et une diffusion en continu par un utilisateur sont toutes les deux protégées en tant qu’exécution unique — une communication unique au public. Pour résumer, la Cour suprême a affirmé et clarifié les éléments suivants dans l’Arrêt SOCAN : L’article 3(1)f) LDA ne vise pas le téléchargement d’une œuvre; La mise à disposition d’une œuvre sur un serveur et sa diffusion en continu subséquente constitue la mise en œuvre du seul et même droit à l’exécution de l’œuvre; Conséquemment, une seule redevance doit être versée pour une œuvre versée sur un serveur et qui est ensuite diffusée en continu; Cette interprétation de l’article 2.4(1.1) LDA respecte les obligations internationales du Canada en matière de protection du droit d’auteur; La question de la compétence concurrente en première instance entre les cours de justice et les organismes administratifs est celle de la décision correcte. Alors que les créations artistiques de l’intelligence artificielle se multiplient et qu’un nouveau marché de l’art visuel numérique émerge, propulsé par l’engouement pour les plateformes d’échanges NFT, l’importance du principe de neutralité technologique devient une pierre angulaire pour comprendre les droits d’auteur qui sont attachés à ces nouveaux objets numériques et aux transactions qui les concernent. Fort heureusement, les questions relatives à la musique numérique, à son partage et sa diffusion ont pavé la voie en permettant de repenser les droits d’auteur dans un contexte du numérique. Nous notons par ailleurs que dans des marchés numériques de NFT qui se veulent décentralisés et déréglementés, les droits associés à la propriété intellectuelle sont pour l’instant les seules balises qui sont réellement respectées par les plateformes d’échange et qui appellent à une certaine intervention des propriétaires de ces plateformes. 2022 CSC 30. L.R.C. (1985), c. C-42 (ci-après la « LDA »). R.T. Can. 2014 no 20 (ci-après le « Traité »). L.C. 2012, c. 20 (ci-après la « LMDA »). Entertainment Software Association c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 34. Rogers Communications Inc. c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 35. Commission du droit d’auteur du Canada, 2017 CanLII 1528886 (ci-après la « Décision de la Commission »). Cour d’appel fédérale, 2020 CAF 100 (ci-après l’« Arrêt de la CAF »). Canada (Ministre de la Citoyenneté et de l’Immigration) c. Vavilov, 2019 CSC 65. Arrêt SOCAN, par. 56. Idem, par. 59. LDMA, préambule. Arrêt SOCAN, par. 70, italique de la CSC. Idem, par. 44-45. Idem, par. 46-48. Idem, par. 74-75. Idem, par. 88. Idem, par. 90. Idem, par. 101 et 108. Idem, par. 91-94. Idem, par. 95 et 99-100.

Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

Emboîtant le pas à l’Australie qui a adopté une loi semblable l’an dernier, le ministre du Patrimoine canadien, Pablo Rodriguez, a récemment présenté au Parlement le projet de loi C-18, dont le titre abrégé est la Loi sur les nouvelles en ligne. Ce projet de loi vise essentiellement à assurer un partage plus équitable des revenus entre les plateformes numériques et les médias d’information canadiens. Si ce projet de loi est adopté, il obligera notamment les plateformes numériques comme Google et Facebook à conclure des accords commerciaux avec les organisations journalistiques pour les textes et reportages qui sont publiés sur ces plateformes. Le projet de loi C-18, déposé le 5 avril 2022, a une portée très large et vise toutes les organisations journalistiques canadiennes, quel que soit le type de média sur lequel elles diffusent leurs nouvelles, dans la mesure où elles répondent à certains critères d'admissibilité. En ce qui concerne les « intermédiaires de nouvelles numériques » sur lesquelles ces nouvelles sont partagées, le projet de loi C-18 vise les plateformes de communication en ligne, notamment un moteur de recherche ou un réseau social, au moyen desquelles les contenus de nouvelles sont rendus disponibles au Canada et qui, en raison de leur taille, sont en situation de déséquilibre quant au partage de revenus qu’elles tirent de l’information diffusée. Le projet de loi C-18 prévoit que ce déséquilibre de négociation sera déterminé par l’évaluation de certains critères comme la taille de la plateforme numérique en cause, le fait que le marché de la plateforme lui accorde ou non un avantage stratégique par rapport aux médias et le fait que la plateforme occupe ou non une position de premier plan au sein du marché. Il s’agit à l’évidence de critères très subjectifs qui rendent difficile la détermination précise de ces intermédiaires. La version actuelle du projet de loi prévoit par ailleurs que ce sont les intermédiaires eux-mêmes qui devront aviser le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») du fait que la loi leur est applicable. Le processus obligatoire de négociation constitue véritablement le cœur du projet de loi C-18. Si celui-ci est adopté dans sa forme actuelle, les exploitants de plateformes numériques seraient en effet tenues de négocier de bonne foi avec les médias canadiens afin de conclure des accords de partage de revenus. À défaut d’entente entre les parties à l’issue du processus de négociation et de médiation prévu par la loi, une formation de trois arbitres pourra être appelée à choisir l’offre finale de l’une ou l’autre des parties, qui sera alors réputée être un accord conclu entre les parties. Le projet de loi C-18 prévoit enfin que les exploitants de plateformes numériques peuvent demander au CRTC d’être exemptés de l’application de la loi si elles ont déjà conclu des accords qui, de l’avis du CRTC, satisfont aux critères suivants: Ils prévoient une indemnisation équitable des entreprises journalistiques pour le contenu de nouvelles rendu disponible par la plateforme numérique; Ils assurent qu’une partie convenable de l’indemnisation soit utilisée par les entreprises de nouvelles pour soutenir la production de contenu de nouvelles locales, régionales et nationales; Ils ne laissent pas l’influence des entreprises porter atteinte à la liberté d’expression et à l’indépendance journalistique dont jouit tout média d’information; Ils contribuent à la viabilité du marché canadien des nouvelles; Ils assurent qu’une partie importante des entreprises de nouvelles locales et indépendantes en bénéficie, ils contribuent à leur viabilité et ils encouragent les modèles d’entreprises novateurs dans le marché canadien des nouvelles; L’éventail des médias d’information qu’ils visent reflète la diversité du marché canadien des nouvelles, notamment en ce qui concerne les langues, les groupes racialisés, les collectivités autochtones, les nouvelles locales et les modèles d’entreprises. Un projet de loi d’une telle envergure fera certainement l’objet d’une étude approfondie par le Parlement canadien et il ne serait pas surprenant que des modifications importantes y soient apportées en cours de route. Certaines précisions seraient d’ailleurs les bienvenues, notamment en ce qui a trait à la détermination précise des entreprises devant être considérées comme des « intermédiaires d'informations numériques ».

Les rançongiciels ont fait tellement de ravages dans les dernières années que plusieurs en oublient les autres risques liés à la cybersécurité. Pour certains, le fait de ne pas détenir de renseignements personnels les immunise contre les pirates informatiques et les cyberincidents. Pour d'autres, tant que leurs ordinateurs continuent de fonctionner, c’est qu’il n’y a aucun logiciel malveillant qui y réside. Malheureusement, la réalité est toute autre. Une nouvelle tendance se dessine à l’horizon, où l’on voit des logiciels malveillants déployés pour détourner de l’information confidentielle, notamment des secrets commerciaux, pour les vendre par la suite à des tiers ou les divulguer au public1. Les médias ont abondamment discuté du logiciel Pegasus utilisé pour épier des journalistes et des opposants politiques à travers le monde, au point où les autorités des États-Unis ont décidé de l’inclure dans leur liste d’interdictions2. Mais l’utilisation de logiciels espions n’est pas limitée à la sphère politique. Récemment, un tribunal californien a condamné une société américaine, 24[7].ai, à payer 30 millions de dollars à une de ses concurrentes, Liveperson3. C'est qu’un logiciel de 24[7].ai était installé côte à côte avec le logiciel de Liveperson sur des systèmes de clients mutuels. Liveperson alléguait dans sa poursuite que 24[7].ai installait des logiciels espions capturant de l’information confidentielle de l’application Liveperson. De plus, les logiciels que 24[7].ai auraient installés faisaient disparaître certaines fonctionnalités de l’application de Liveperson, notamment le bouton activant la fonction de clavardage.  Ce faisant, 24[7].ai aurait interféré dans la relation entre Liveperson et ses clients. Cette saga judiciaire se poursuit d’ailleurs, puisqu’un autre procès devra avoir lieu relativement aux secrets commerciaux d’une cliente de Liveperson4. Ce litige illustre bien que la cybersécurité concerne non seulement les renseignements personnels, mais aussi les secrets commerciaux et même le bon fonctionnement des logiciels d’entreprise. Plusieurs précautions peuvent être prises pour diminuer les risques d’incidents de cybersécurité. Des politiques internes robustes à tous les niveaux dans l’entreprise aident à maintenir un cadre sécuritaire pour les opérations des entreprises. Combinées à une sensibilisation des employés aux enjeux juridiques et commerciaux de la cybersécurité, ces politiques peuvent être des ajouts importants aux meilleures pratiques en informatique. Par ailleurs, la sensibilisation des employés facilite l’adoption de meilleures pratiques, notamment des investigations systématiques des anomalies de fonctionnement et l'utilisation de méthodes de programmation protégeant les secrets commerciaux de l’entreprise. Qui plus est, il peut être opportun de s’assurer que les contrats avec des clients accordent aux fournisseurs informatiques des accès permettant les suivis nécessaires pour assurer la sécurité des deux parties. Finalement, il faut se rappeler que le conseil d’administration doit faire preuve de soin, de diligence et de compétence tout en veillant à l’intérêt supérieur de l’entreprise.  Les administrateurs pourraient être tenus personnellement responsables s’ils manquent à leurs obligations de veiller à ce que des mesures adéquates soient mises en place pour prévenir des cyberincidents, ou s’ils font fi des risques et font preuve d’aveuglement volontaire.  Ainsi, les membres du conseil d’administration doivent faire preuve de vigilance et être formés et sensibilisés en matière de cybersécurité afin de pouvoir intégrer celle-ci dans leur gestion des risques.    Dans une ère où la propriété intellectuelle est devenue l’actif le plus important d’une société, il va de soi qu’il est primordial de mettre en place les outils technologiques, mais aussi les procédures et les politiques requises pour bien la protéger! N’hésitez pas à faire appel aux services de Lavery pour vous conseiller sur les aspects juridiques de la cybersécurité. voir notamment  Carly Page, This new Android spyware mascarades as legitimate apps, Techcrunch, 10 novembre 2021, en ligne : https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps; Carly Page, FBI says ransomware groups are using private financial information to further extort victims, Techcrunch, 2 novembre 2021, en ligne : https://techcrunch.com/2021/11/02/fbi-ransomware-private-financial-extort. Frank Gardener, NSO Group: Israeli spyware company added to US trade blacklist, BBC News, 3 novembre 2021, en ligne: https://www.bbc.com/news/technology-59149651. Thomas Claburn, Spyware, trade-secret theft, and $30m in damages: How two online support partners spectacularly fell out, The Register, 18 juin 2021, en ligne:  https://www.theregister.com/2021/06/18/liveperson_wins_30m_trade_secret. Blake Brittain, LivePerson wins $30 million from [24]7.ai in trade-secret verdict,Reuters, 17 juin 2021, en ligne: https://www.reuters.com/legal/transactional/liveperson-wins-30-million-247ai-trade-secret-verdict-2021-06-17.

A-t-on le droit de copier le code source écrit et développé par quelqu’un d’autre? La réponse à cette question dépend du contexte, mais même en contexte d’innovation ouverte, les droits de propriété intellectuelle sont le point de départ de l’analyse requise pour y répondre. Dans le domaine du logiciel, les licences open source (parfois désignées « licences de logiciels ouverts ou libres » ou « licences à source ouverte » (Open Source) permettent de donner à tous accès au code source du logiciel, gratuitement et avec peu de restrictions. Le but est généralement de favoriser l’évolution de ce code en incitant le plus grand nombre de gens à l’utiliser. Linus Torval, le programmeur du noyau Linux (certainement l’un des plus importants projets open source) a récemment déclaré que sans l’approche open source, son projet n’aurait probablement pas survécu1. Cette approche a des conséquences juridiques : la société Vizio est depuis peu visée par une poursuite alléguant le non-respect d’une licence open source de type GPL lors de la conception du logiciel SmartCast OS intégré aux téléviseurs qu’elle fabrique. Elle est poursuivie par Software Freedom Conservacy (« SFC »), un organisme américain sans but lucratif faisant la promotion et la défense de licences open source. Dans le cadre de sa poursuite, SFC allègue notamment que Vizio devait distribuer le code source de SmartCast OS sous la même licence open source, ce que Vizio n’a pas fait, privant les consommateurs de leurs droits2. En droit canadien, l’article 3 de la Loi sur le droit d’auteur3 confère à l’auteur le droit exclusif de produire ou de reproduire la totalité ou une partie importante d’une œuvre originale. Ce principe est repris par tous les pays signataires de la Convention de Berne de 1886, soit la quasi-totalité des pays du monde. Le contrat de licence, qui permet de conférer à une autre personne le droit de reproduire l’œuvre, peut prendre différentes formes. Il permet aussi d’établir l’étendue des droits conférés et les modalités de l’utilisation permise. Mais toutes les licences de type open source ne sont pas équivalentes. Plusieurs permettent aux créateurs d’assortir le droit d’utiliser le code rendu ainsi disponible à diverses conditions. En vertu de ces licences, l’utilisation de l’œuvre ou du logiciel peut être faite par tous, mais est susceptible d’être assujettie aux contraintes suivantes, selon le type de licence en vigueur : Obligation d’affichage : Une licence open sourcepeut exiger la divulgation de certaines informations dans le logiciel ou dans le code source lui-même : Le nom de l’auteur, son pseudonyme ou même son anonymisation, selon le souhait de cet auteur et/ou citation du titre de l’œuvre ou logiciel; La licence d’utilisation de l’œuvre ou du logiciel Open source redistribué; La mention de modification pour chaque fichier modifié; La mention d’exclusion de garantie. Devoir contributif : Certaines licences exigent le partage de toute modification du code open source,à des conditions identiques. Dans certains cas, cette obligation va même jusqu’à inclure tout logiciel qui incorpore le code open source. En d’autres mots, le code dérivé du matériel open source devient aussi open source. Ce devoir contributif peut généralement être catégorisé selon l’un des niveaux suivants : Toute redistribution doit se faire sous la licence initiale, faisant en sorte que le résultat devienne lui aussi open source; Toute redistribution du code, modifié ou non, doit se faire sous la licence initiale, mais un autre code peut être associé ou ajouté sans être assujetti à la licence open source; Toute redistribution se fait sans contrainte de partage. Interdiction de commercialisation : Certaines licences interdisent toute utilisation à des fins commerciales. Apache v2 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui BSD Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui CC BY-NC 4.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseNon CC0 1.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué. Utilisation commerciale permiseOui GPLv3 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui, mais les sous-licences sont interdites. LGPLv3 Niveau de l’obligation du devoir contributif à la redistributionLa redistribution du logiciel, modifié ou non, doit se faire selon les termes de la licence initiale. De nouvelles composantes peuvent être ajoutées, mais non intégrées, sous d’autres licences non open Source. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui MIT Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui Il est important de sensibiliser les équipes de programmation aux problématiques pouvant survenir en cas d’utilisation de modules régis par des licences « contaminantes » (telle que la licence CC BY-NC 4.0) dans la conception de logiciels à vocation commerciale. Ces logiciels pourraient perdre une valeur importante en cas d’incorporation de tels modules, rendant ainsi difficile, voire impossible, toute commercialisation du logiciel. Dans un contexte d’innovation ouverte où il est souhaité par les développeurs de partager leur code informatique, notamment pour susciter les collaborations, il est important de bien comprendre la portée de ces diverses licences. Le choix de la licence appropriée doit se faire en tenant compte des objectifs du projet. Par ailleurs, il faut garder à l’esprit qu’il n’est pas toujours possible de changer la licence utilisée pour la distribution du code une fois que celui-ci a commencé à être distribué. Le choix de la licence peut donc avoir des conséquences à long terme sur un projet. David Cassel, Linus Torvalds on Community, Rust and Linux’s Longevity, The NewStack, 1 Oct 2021, en ligne : https://thenewstack.io. Voir le communiqué de presse de SFC : https://sfconservancy.org/copyleft-compliance/vizio.html LRC 1985, c. C-42.

Le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à effectuer un survol des nouvelles exigences pour les organismes publics visés par la Loi sur l’accès. Nous avons préparé une version amendée de la Loi sur l’accès afin de refléter les changements apportés par le projet de loi n 64. 1. Renforcer les mécanismes d’obtention du consentement et accroître le contrôle des individus à l’égard de leurs renseignements personnels Le Projet de loi n° 64 apporte des changements importants à la notion de consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement requis par la Loi sur l’accès aux fins de communication des renseignements personnels devra être demandé distinctement de toute autre information communiquée à la personne concernée (art. 53.1). De plus, tout consentement à la collecte de renseignements personnels sensibles (par exemple des renseignements touchant la santé ou ceux de nature financière qui suscitent un haut degré d’attente raisonnable en matière de vie privée) devra être obtenu de manière expresse (art. 59). Il est maintenant prévu que le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels doit être donné par le titulaire de l’autorité parentale ou le tuteur, alors que celui du mineur de plus de 14 ans pourra être donné par ce dernier, le titulaire de l’autorité parentale ou le tuteur (art. 53.1). Les personnes auront dorénavant le droit d’accéder aux renseignements les concernant recueillis par les organismes publics dans un format technologique structuré et couramment utilisé (le droit à la portabilité) et d’en exiger la communication à un tiers (art. 84). Si une décision fondée exclusivement sur un traitement automatisé de renseignements personnels est prise par un organisme public, la personne concernée doit en être informée. Si la décision produit des effets juridiques ou le touche autrement, l’organisme public devra divulguer à cette personne (i) les renseignements personnels utilisés dans la prise de décision (ii) les raisons et principaux facteurs ayant mené à la décision et (iii) l’existence d’un droit à la rectification des renseignements personnels utilisés dans la prise de décision (art. 65.1).  Les organismes publics qui ont recours à des moyens technologiques permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne doivent maintenant les informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 65.0.1). 2. Protéger les renseignements personnels en amont Les organismes publics devront dorénavant réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services mettant en cause la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 63.5). Cette obligation forcera ainsi les organismes publics à se questionner dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. Dès le début d’un tel projet, les organismes publics devront consulter leur comité d’accès à l’information, dont la création est dorénavant enchâssée dans la Loi sur l’accès. 3. Favoriser la responsabilisation des organismes publics et la transparence des pratiques Les changements apportés par le Projet de loi n° 64 visent également à accroître la transparence des processus employés par les organismes publics dans la collecte et l'utilisation des renseignements personnels, ainsi qu'à mettre l'accent sur la responsabilité. Lorsque la nouvelle loi sera en vigueur, les organismes publics devront publier sur leurs sites Internet les règles encadrant la gouvernance à l’égard des renseignements personnels (art. 63.3). Ces règles pourront prendre la forme d’une politique, d’une directive ou d’un guide et devront prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. Les programmes de formation et de sensibilisation offerts au personnel à cet égard devront également être décrits. Tout organisme public qui recueille des renseignements personnels par un moyen technologique devra diffuser une politique de protection des renseignements personnels en termes simples et clairs (art. 63.4). Un règlement, à être adopté, pourra préciser les renseignements que devra couvrir la politique de protection des renseignements personnels. La communication de renseignements personnels à l’extérieur du Québec devra être divulguée aux personnes concernées (art. 65) et est également assujettie à la réalisation d’une évaluation des facteurs d’impacts sur la vie privée, incluant une analyse du régime juridique applicable dans le lieu où seraient communiqués les renseignements personnels (art. 70.1). La communication à l’extérieur du Québec devra faire l’objet d’une entente écrite (art. 70.1). Un organisme public qui souhaite confier à une personne ou un organisme situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels pour son compte devra entreprendre un exercice similaire. 4. Gérer les incidents de sécurité Lorsque l’organisme public aura des motifs de croire qu’un incident de confidentialité (étant défini comme l’accès, l’utilisation, la communication ou la perte de renseignements personnels) est survenu, il devra prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives. De plus, lorsque l’incident présente un risque de préjudice sérieux pour les personnes concernées, celles-ci et la Commission d’accès à l’information (« CAI ») devront être avisées (sauf si cela est susceptible d’entraver une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions aux lois) (art. 63.7). Un registre des incidents de confidentialité devra être tenu (art. 63.10), dont la teneur pourra être précisée par règlement. 5. Augmentation des pouvoirs de la CAI et des sanctions pécuniaires pouvant être imposées Le CAI, dans l’éventualité d’un incident de confidentialité, pourra ordonner à tout organisme public de prendre des mesures visant à protéger les droits des personnes concernées pour le temps et aux conditions qu’elle détermine, après lui avoir permis de présenter des observations (art. 127.2). La CAI dispose désormais du pouvoir d’imposer des sanctions administratives pécuniaires importantes, qui pourront, pour les organismes publics, atteindre 150 000$ (art. 159). En cas de récidive, ces amendes seront portées au double (art. 164.1). Entrée en vigueur Les modifications apportées par le Projet de loi n°64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions introduites à la Loi sur l’accès aux documents des organismes publics entreront en vigueur deux ans suivant la date de la sanction de la loi, soit le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : Les obligations relatives aux mesures à prendre lors d’incidents de sécurité (art. 63.7) et les pouvoirs de la CAI lors de la divulgation d’un incident de sécurité (art. 127.2); et L’exception quant à la communication sans le consentement à des fins de recherche (art. 67.2.1);  Conclusion Le délai accordé aux organismes publics pour se conformer aux nouvelles dispositions a commencé à courir le 22 septembre 2021, lors de l’adoption du Projet de loi no 64. Nous vous recommandons de nous consulter pour mettre en place les mesures requises pour vous conformer aux nouvelles exigences législatives. L’équipe Lavery se fera un plaisir de répondre à toutes vos questions concernant les modifications annoncées et les incidences possibles pour votre organisation. Les renseignements et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à faire un survol des nouvelles exigences pour les entreprises privées visées par la Loi sur le secteur privé.  Nous avons préparé une version amendée de la Loi sur le secteur privé afin de refléter les changements apportés par le projet de loi n 64. Essentiellement, la loi modifiée tend à donner un meilleur contrôle aux individus sur leurs renseignements personnels, à favoriser la protection des renseignements personnels, à responsabiliser davantage les entreprises et à introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels. Voici une synthèse des principales modifications adoptées par le législateur ainsi que les nouvelles exigences imposées aux entreprises dans ce domaine. Il importe de mentionner que ce nouveau régime de protection des renseignements personnels entrera en vigueur, en grande partie, dans deux ans. 1. Accroître le contrôle des individus sur leurs renseignements personnels et la transparence La nouvelle loi instaure le droit des individus d’accéder aux renseignements les concernant recueillis par les entreprises dans un format technologique structuré et couramment utilisé et d’en exiger la communication à un tiers, à l’exception des renseignements qui sont créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (art. 27). Ce droit est usuellement appelé « droit à la portabilité ». Les entreprises ont maintenant une obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies. Les entreprises ont également la possibilité d’anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues pour les utiliser à des fins sérieuses et légitimes (art. 23). Toutefois, il importe que l’identité des individus concernés ne puisse être restaurée. De plus, les entreprises privées doivent désindexer tout hyperlien permettant d’accéder aux renseignements personnels d’un individu (souvent appelé le droit au « déréférencement ») lorsque sa diffusion contrevient à la loi ou à une ordonnance judiciaire (art. 28.1). Si une organisation prend une décision qui est fondée exclusivement sur le traitement automatisé de renseignements personnels, l’individu concerné doit en être informé, et à sa demande, si la décision produit des effets juridiques ou l’affecte autrement, il doit être informé des renseignements personnels qui ont été utilisés dans la prise de décision, ainsi que des raisons et des principaux facteurs ayant mené à celle-ci. La personne doit également être informée de son droit à la rectification (art. 12.1).  Les organisations qui ont recours à des moyens technologiques permettant d’identifier un individu, de le localiser ou d’effectuer son profilage doivent l’informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 8.1). La communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée. Les entreprises doivent maintenant publier sur leur site Internet en termes simples et clairs leurs règles de gouvernance à l’égard des renseignements personnels (art. 3.2). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. De plus, les entreprises qui recueillent des renseignements personnels par un moyen technologique devront également adopter et publier sur leur site Internet une politique de confidentialité en termes simples et clairs (art. 8.2). La nouvelle loi prévoit également que les entreprises qui refusent une demande d’accès à l’information doivent dorénavant, en plus de motiver leur refus et d’indiquer la disposition de la Loi sur le secteur privé sur laquelle le refus s’appuie, prêter assistance au requérant qui le demande pour l’aider à comprendre ce refus (art. 34). 2. Favoriser la protection des renseignements personnels et la responsabilisation des entreprises Le projet de loi n° 64 vise à accorder une plus grande part de responsabilité aux entreprises en matière de protection des renseignements personnels. C’est ainsi que les entreprises se voient imposer l’obligation de nommer un responsable de la protection des renseignements personnels, qui par défaut sera la personne ayant la plus haute autorité au sein de leur organisation (art. 3.1). En outre, les entreprises devront réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Cette obligation force ainsi les entreprises à s’interroger dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. L’EFVP devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support (art. 3.3). Les entreprises devront également procéder à une EFVP lorsqu’elles auront l’intention de communiquer des renseignements personnels à l’extérieur du Québec, afin de déterminer si les renseignements bénéficieront d’une protection adéquate eu regard notamment aux principes de protection des renseignements personnels généralement reconnus (art. 17). La communication devra aussi faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés (art. 17 (2)). La communication par les entreprises des renseignements personnels à des fins d’études, de recherche ou de production de statistiques est aussi assujettie à la réalisation d’une EFVP (art. 21). De plus, ce régime est substantiellement modifié puisque le tiers qui souhaite utiliser les renseignements personnels à ces fins doit présenter une demande écrite à la Commission d’accès à l’information (« CAI »), joindre une présentation détaillée de ses activités de recherche et divulguer la liste de toutes les personnes et de tous les organismes auprès desquels il a fait une demande de communication similaire (art. 21.01.1 et 21.01.02). Les entreprises peuvent aussi communiquer un renseignement personnel à un tiers, sans le consentement de l’individu concerné, dans le cadre de l’exécution d’un contrat de service ou d’entreprise. Le mandat devra faire l’objet d’un contrat écrit, qui devra notamment prévoir les mesures de protection des renseignements personnels à respecter par le mandataire ou le prestataire de service (art. 18.3). La communication de renseignements personnels, sans le consentement des individus visés, dans le cadre d’une transaction commerciale entre entreprises privées fait l’objet d’un encadrement supplémentaire (art. 18.4). La notion de transaction commerciale s’entend de « l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations » (art. 18.4). Les entreprises doivent détruire ou rendre anonymes les renseignements personnels recueillis lorsque les fins de la collecte ont été accomplies, sous réserve des délais de conservation prévus par une loi (art. 23). Il s’agit d’un changement important pour les entreprises privées qui peuvent présentement conserver des renseignements personnels caducs s’ils ne les utilisent pas. La nouvelle loi impose aussi l’intégration du principe de la protection de la vie privée par défaut (privacy by default), ce qui implique que les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de divers paramètres de confidentialité doivent s’assurer que ces paramètres assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 9.1). Cela ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion (aussi appelés cookies). Lorsqu’une entreprise a des motifs de croire qu’un incident de confidentialité est survenu, elle doit prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives (art. 3.5). La notion d’incident de confidentialité est définie comme étant l’accès à un renseignement personnel ou l’utilisation, la communication ou la perte de renseignements personnels (art. 3.6). De plus, les entreprises ont l’obligation d’aviser les personnes concernées, ainsi que la Commission d’accès à l’information de chaque incident qui présente un risque sérieux de préjudice, qui s’évalue à la lumière de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables (art. art. 3.7). Les entreprises devront également tenir un registre des incidents de confidentialité qui devra être communiqué à la CAI sur demande (art. 3.8). 3. Renforcer le régime d’obtention du consentement La nouvelle loi modifie la Loi sur le secteur privé de façon à ce que le l’obtention de tout consentement qui y est prévu soit manifeste, libre et éclairé et qu’il soit donné à des fins spécifiques. Ce consentement doit de plus être demandé pour chacune des fins de la collecte, en termes simples et clairs et de manière distincte, de façon à éviter qu’il ne soit obtenu par le biais de conditions d’utilisation complexes et difficilement compréhensibles pour les personnes concernées (art. 14).   Le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels par les entreprises doit être donné par le titulaire de l’autorité parentale, alors que celui du mineur de 14 ans et plus pourra être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur (art. 14). Au sein d’une entreprise, le consentement à la communication d’un renseignement personnel sensible (par exemple des renseignements de santé ou par ailleurs intimes) doit être manifesté de façon expresse (art. 12). 4. Assurer une meilleure conformité aux exigences prévues à la Loi sur le secteur privé La Loi sur le secteur privé est aussi modifiée par l’ajout de nouveaux mécanismes visant à faire en sorte que les entreprises assujetties respectent les exigences qui y sont prévues. D’une part, la CAI se voit accorder le pouvoir d’imposer des sanctions administratives pécuniaires dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise (art. 90.12). En cas de récidive, ces amendes seront portées au double (art. 92.1). De plus, lorsqu’un incident de confidentialité survient au sein d’une entreprise, la CAI peut lui ordonner de prendre des mesures visant à protéger les droits des individus concernés, après lui avoir permis de présenter des observations (art. 81.3). Ensuite, de nouvelles infractions pénales sont créées, pouvant elles aussi mener à l’imposition d’amendes sévères. Pour les entreprises contrevenantes, ces amendes peuvent s’élever jusqu’à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial (art. 91). Finalement, la nouvelle loi crée également un nouveau droit d’action privé. Essentiellement, celui-ci prévoit que lorsqu’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, les tribunaux peuvent accorder des dommages-intérêts punitifs d’une valeur minimale de 1000 $ (art. 93.1). 5. Entrée en vigueur Les modifications apportées par le projet de loi n° 64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions de la Loi sur le secteur privé entreront en vigueur deux ans suivant la date de la sanction de la loi, qui était le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : L’obligation pour les entreprises de désigner un responsable de la protection des renseignements personnels (art. 3.1) L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8) L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4) et L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2). D’autre part, la disposition consacrant le droit à la portabilité des renseignements personnels (art. 27) entrera en vigueur trois ans suivant la sanction de la loi. Les membres de l’équipe Lavery sont disponibles pour répondre à vos questions et pour vous aider à vous conformer aux nouvelles exigences en matière de protection des renseignements personnels introduites dans la Loi sur le secteur privé. Les informations et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Une entreprise œuvrant dans l’industrie du jeu vidéo qui désire réaliser une valorisation maximale des jeux qu’elle commercialise doit se poser les questions suivantes quant à la protection de ses actifs de propriété intellectuelle (« PI ») : Est-ce que l’entreprise détient tous les droits de PI sur le jeu ? Quelle protection de PI s’applique et où protéger la PI? La détention des droits de PI par une entreprise de jeux vidéo est abordée dans l’article Studios et concepteurs, êtes-vous sûr de détenir la propriété intellectuelle sur vos jeux vidéo? Examinons les protections applicables en matière de jeux vidéo : les marques de commerce, les droits d’auteur, et parfois les brevets. Marques de commerce Tout jeu vidéo est identifié par une marque de commerce. Les marques ont le pouvoir d’évoquer une expérience de jeu unique et captivante. Il suffit de penser aux célèbres Call of Duty, Fortnite, Minecraft, Assassin’s Creed ou aux classiques Super Mario, Pokemon et Pacman, pour les plus nostalgiques. Il va sans dire que la marque associée à un jeu est un actif important qui devrait sans équivoque être protégé, tant à l’égard du jeu qu’à celui des produits dérivés qui peuvent en naitre. Une approche proactive en matière de protection internationale est de mise dans ce marché sans frontière, où un jeu peut connaître un succès commercial mondial dès son lancement, pour éviter que des contrefacteurs prennent une longueur d’avance. Toutefois, avant de lancer un jeu sur le marché, il est primordial d’effectuer des recherches pour s’assurer que la marque ne crée pas de conflit avec d’autres marques existantes et qu’elle peut librement être exploitée. Cet exercice devrait être effectué le plus tôt possible dans le cadre du processus créatif puisque la marque joue un rôle dominant dans le contexte du positionnement et de la promotion du produit. Il est à noter que d’autres éléments liés au jeu peuvent être protégés par des marques de commerce. On peut penser à un son ou une séquence de sons qui seraient associés au démarrage d’une console ou d’un jeu. Les noms et représentations graphiques de personnages du jeu pourraient également faire l’objet d’une protection, notamment en vue de la commercialisation des produits dérivés.   Bref, la marque de commerce est un élément de valorisation important pour toute entreprise œuvrant dans le domaine des jeux vidéo. Une stratégie de protection bien orchestrée permet de minimiser les risques de conflits et de bâtir une marque forte pour défendre ses parts de marché. Droits d’auteur Un jeu vidéo est un amalgame d’œuvres littéraires, artistiques et musicales protégé par droits d’auteur, incluant le code informatique sous-jacent à l’architecture du jeu. La protection offerte par la Loi sur le droit d’auteur (« LDA ») nait dès que l’œuvre est créée, sans obligation d’obtenir un enregistrement. Cette protection s’étend aux 176 pays membres de la Convention de Berne. Bien que la protection d’une œuvre par le droit d’auteur soit automatique, il est possible pour le titulaire du droit d’auteur d’enregistrer à tout moment son droit auprès de l’Office de la propriété intellectuelle du Canada (« OPIC »). L’enregistrement facilite notamment la preuve de titularité du droit en cas de litige puisqu’elle crée une présomption selon laquelle la personne inscrite au registre est la propriétaire du droit d’auteur. La protection accordée au titulaire d’un jeu vidéo par le droit d’auteur s’applique à l’intégralité du jeu, de même qu’à ses diverses composantes. Toute violation de ces droits par un tiers peut donner lieu à une poursuite pour violation de droit d’auteur, si l’œuvre (ou une partie substantielle de celle-ci) est copiée, à moins de pouvoir invoquer un moyen de défense telle que l’utilisation équitable. À ce chapitre, notons l’utilisation pour fins de recherche, d’étude privée, d’éducation, de parodie ou encore l’utilisation pour des fins de critique, de communication de nouvelles ou de compte-rendu sur le jeu. La diffusion de jeu en ligne : contrefaçon de droit d’auteur? Depuis quelques années, le phénomène du jeu en ligne, dans le cadre duquel les joueurs de jeux vidéo se filment ou enregistrent leur écran d’ordinateur à des fins de diffusion sur des plateformes comme YouTube et Twitch («live streaming ») afin de montrer leurs personnages, stratégies, et tactiques pour réussir certains niveaux d’un jeu, prend énormément d’ampleur. Certains joueurs de jeux vidéo en ligne, qui en font leur principal gagne-pain, ont atteint un statut de célébrité et sont suivis par des milliers d’internautes. Cette diffusion du jeu, sans autorisation, contrevient-elle au droit d’auteur? Les tribunaux canadiens n’ont pas, à ce jour, eu l’occasion de se pencher sur cette question précise et il sera intéressant de voir si une telle activité est considérée comme une violation du droit d’auteur en raison des termes de l’article 3(1)(f) de la loi qui protège la communication d’une œuvre au public par télécommunication. Confrontés à ce phénomène, certains éditeurs acceptent la situation car le vote de confiance d’un tel joueur peut propulser les ventes du jeu. D’autres contestent le fait que ces joueurs réalisent des profits par l’intermédiaire du jeu vidéo sans que le titulaire de droit d’auteur ne reçoive aucune compensation. Les entreprises œuvrant dans le domaine du jeu vidéo semblent plus préoccupées par les téléchargements illégaux et la contrefaçon de leur jeu que le « live streaming » ce qui explique sans doute le fait que les tribunaux n’aient pas eu l’occasion de se pencher sur cette question à ce jour. Brevets Les brevets protègent les aspects fonctionnels d’une invention. L’obtention d’un brevet, régie par l’OPIC, permet à son propriétaire d’empêcher toute autre personne de fabriquer, de commercialiser ou utiliser l’innovation brevetée à compter de l’obtention du brevet. Trois aspects sont considérés par l’OPIC pour la délivrance d’un brevet1 : La nouveauté : l’invention doit être différente, ou présenter un aspect nouveau par rapport à tout ce qui a été fait auparavant, partout dans le monde; L’utilité : l’invention doit être fonctionnelle. Elle doit avoir une application pratique et générer un résultat économique; L’inventivité : l’existence de l’invention ne doit pas avoir été évidente aux yeux d’une personne initiée au domaine d’expertise de l’inventeur; Au Canada, il n’est pas permis de breveter une idée abstraite, mais il serait possible de breveter la matérialisation de cette idée, lorsque celle-ci respecte les critères de nouveauté, d’utilité et d’inventivité. Les brevets canadiens dans le secteur du jeu vidéo Les brevets obtenus dans le secteur du jeu vidéo touchent principalement des consoles, manettes, casques et autres accessoires physiques de jeu. Le désir d’innover des acteurs de l’industrie du jeu vidéo peut mener à la mise au point d’inventions tant ludiques qu’utilitaires. En 2012, la société Nike a breveté une invention permettant d’encourager l’activité physique des joueurs de jeu vidéo2. Ce brevet décrit un dispositif placé dans la chaussure du joueur lorsqu’il fait de l’activité physique, le dispositif étant ensuite relié au jeu vidéo. L’énergie dépensée par le joueur équivaut à l’énergie dont bénéficie le personnage virtuel. Une fois l’énergie du personnage épuisée, le joueur doit de nouveau faire de l’activité physique. La mécanique de jeu : matière brevetable? Certains aspects d’un jeu vidéo sont moins aisément brevetables, notamment la mécanique de jeu, qui est un élément distinctif aux yeux des joueurs lorsque vient le temps de choisir un jeu vidéo. La mécanique de jeu consiste en l’expérience virtuelle d’un jeu vidéo : le déplacement des personnages, l’interaction du jeu avec le joueur, la manière par laquelle le joueur franchit les étapes du jeu, etc. Une mécanique de jeu unique et bien au point peut constituer un grand atout pour un développeur qui désire mettre en marché de nouvelles versions d’un jeu. Les joueurs reviendront pour se replonger dans un jeu présentant une expérience unique. Ainsi, il serait intéressant pour un éditeur de breveter cette expérience. La mécanique de jeu étant mise au point au moyen d’un code informatique, on pourrait penser que même en respectant les critères de nouveauté, d’utilité et d’inventivité, ce type d’invention ne serait pas matérialisée, et, partant, non susceptible de faire l’objet d’un brevet. En effet, pour être brevetable, au-delà du code informatique, la mécanique de jeu doit comporter une composante physique. Pensons à un brevet décrivant un jeu vidéo où l’onde cardiaque d’un joueur est intégrée au jeu3, ce qui constitue une bonne illustration de matérialisation puisqu’une telle transposition des signes vitaux d’un joueur se fait matériellement par l’intermédiaire d’un moniteur cardiaque porté par le joueur et relié au jeu. Tous ces aspects étant décrits dans l’invention, ce type de mécanique de jeu inventive a été considérée brevetable. Aux États-Unis, les critères de brevetabilité sont semblables à ceux applicables au Canada, de sorte que la mécanique de jeu en tant que conception abstraite devrait être liée à un aspect « matériel » pour pouvoir être brevetée.   Conclusion Une stratégie de protection de la PI en amont du lancement d’un jeu vidéo permet de prévenir les conflits, d’augmenter la valeur des actifs et de se positionner en force sur le marché pour en tirer le maximum de profits. « Le guide des brevets », Office de la propriété intellectuelle du Canada, Gouvernement du Canada, 2020-02-24, [En ligne]. Brevet no 2,596,041, délivré le 9 février 2006. Brevet no 2,208,932, délivré le 26 juin 1997.

Jusqu’à maintenant, aucune réglementation précise n’encadre l’utilisation de l’intelligence artificielle au Canada. Certes, les lois relatives à l’utilisation des renseignements personnels et prohibant la discrimination trouvent toujours application, peu importe qu’il s’agisse de technologies dites d’intelligence artificielle ou de technologies plus conventionnelles. L’application de ces lois à l’intelligence artificielle soulève toutefois plusieurs questions, particulièrement lorsque l’on traite de « réseaux de neurones artificiels » dont l’opacité des algorithmes qui les composent rend difficile la compréhension des mécanismes décisionnels par les personnes concernées. Ces « réseaux de neurones artificiels » ont la particularité de ne permettre que peu d’explications sur leur fonctionnement interne. Le 12 novembre 2020, le Commissariat à la protection de la vie privée du Canada a publié ses recommandations visant la réglementation de l’intelligence artificielle1. Soulignant que les utilisations de l’intelligence artificielle nécessitant des renseignements personnels peuvent avoir de graves conséquences sur la vie privée, le Commissariat y va de plusieurs  recommandations, notamment les suivantes : Obliger ceux qui mettent au point ces systèmes à s’assurer de la protection de la vie privée au moment de la conception des systèmes d’intelligence artificielle ; La création d’un droit des personnes concernées d’obtenir une explication, en termes compréhensibles, leur permettant de comprendre les décisions rendues à leur égard par un système d’intelligence artificielle, de même que s’assurer que ces explications soient fondées sur de l’information exacte et qu’elles ne soient pas discriminatoires ou biaisées ; La création d’un droit de contester les décisions découlant de la prise de décision automatisée ; Le droit de l’autorité de réglementation d’exiger des preuves de ce qui précède. Notons que ces recommandations comprennent la possibilité de l’imposition de sanctions financières aux entreprises qui ne respecteraient pas ce cadre règlementaire. De plus, contrairement à l’approche retenue par le Règlement général sur la protection des données et le projet de loi 64 du gouvernement du Québec, les droits à l’explication et à la contestation ne seraient pas limités aux décisions prises uniquement de manière automatisée, mais viserait aussi les cas où le système d’intelligence artificielle assiste un décideur humain. Il est probable que ces propositions encadrent un jour ou l’autre le fonctionnement de systèmes d’intelligence qui sont déjà en cours de mise au point. Il serait donc prudent pour les concepteurs de tenir compte de ces recommandations et de les intégrer dans leurs paramètres de mise au point des systèmes d’intelligence artificielle dès maintenant Si ces recommandations sont intégrées à la réglementation, il faudra en outre réfléchir aux moyens d’expliquer le fonctionnement des systèmes visés par les décisions prises par l’intelligence artificielle ou s’y appuyant. Comme le mentionnent ces recommandations : « Bien que les secrets commerciaux puissent exiger des organisations qu’elles fassent preuve de prudence dans les explications qu’elles fournissent, une certaine forme d’explication valable serait toujours possible sans compromettre la propriété intellectuelle. »2  C’est pourquoi il pourrait être crucial de faire appel à des avocats spécialisés dans ces questions dès la conception des solutions qui utilisent l’intelligence artificielle et les renseignements personnels. https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/consultations/consultations-terminees/consultation-ai/reg-fw_202011/ Ibid.

L’année 2020 aura été difficile pour la grande majorité des secteurs d’activité économique, notamment pour le secteur des arts, spectacles et loisirs. Toutefois, l’industrie des jeux vidéo affiche une croissance fulgurante. À titre d’exemple, les studios Nintendo et PlayStation ont chacun battu des records de ventes pour leurs jeux parus en 2020, notamment « Animal Crossing : New Horizons » et « The Last of Us : Part II ». Au cours des dernières décennies, le nombre de joueurs de jeux vidéo n’a cessé d’augmenter.  L’année 2020 ne fera sûrement pas exception, en raison notamment de la pandémie de la COVID-19.  Jouer à un jeu vidéo est non seulement une manière de se divertir, mais aussi une façon de demeurer en relation avec une communauté qui partage les mêmes intérêts. L’univers des jeux vidéo est à ce point populaire que le gouvernement du Canada a utilisé cette plateforme pour communiquer des messages de mobilisation et de sensibilisation aux mesures de santé publique avec la campagne #ÉcrasonslaCOVID, lancée en collaboration avec l’Association canadienne du logiciel de divertissement (« ALD »). L’importance économique du secteur du jeu vidéo au Canada est non-négligeable. Selon le dernier rapport de l’ALD, ce secteur a contribué à hauteur d’environ 4,5 milliards de dollars au PIB du Canada en 2019, soit une hausse de 20% depuis 20171 et ces chiffres continueront vraisemblablement d’augmenter. Cette effervescence du jeu vidéo a une incidence certaine sur la valeur des entreprises qui innovent dans ce domaine. Plusieurs transactions récentes le démontrent. À titre d’exemple, le géant Microsoft a acquis en septembre dernier la société Bethesda Softworks, l’un des plus importants éditeurs de jeux vidéo, pour la somme de 7.5 milliards de dollars américains. La compagnie suédoise Mojang Studios, qui a conçu le célèbre jeu Minecraft, a été rachetée par Microsoft pour 2.5 milliards de dollars en 2014. Plus près de nous à Montréal, en 2019, le studio Beat Games a été racheté par Facebook à la suite du lancement de leur jeu de réalité virtuelle Beat Saber, alors que Typhoon Studios a été racheté par Google. Au-delà des profits découlant de la vente de jeux vidéo, il faut ajouter le potentiel de commercialisation de produits dérivés traditionnels tels que les vêtements et accessoires, jeux et figurines, de même que les séries télévisées inspirées des jeux, avec des géants comme Netflix, Amazon Prime, HBO et Hulu, tous en quête de séries télé à succès. Pour maximiser la valorisation des jeux vidéo, il est important de protéger ses actifs de propriété intellectuelle (« PI »), soit les marques de commerce, droits d’auteur et brevets d’invention, selon le cas. Cette question est d’autant plus importante dans le contexte où la commercialisation des jeux vidéo ne connaît pas de frontière et qu’un jeu peut ainsi, du jour au lendemain, devenir un succès commercial international. Bref, toute entreprise devrait se poser les questions suivantes avant de lancer son jeu vidéo, pour bien se positionner face aux éventuels investisseurs, titulaires de licence ou partenaires, de même que face aux concurrents et contrefacteurs: Est-ce que l’entreprise détient tous les droits de PI sur le jeu ? Quelle protection de PI s’applique et où protéger la PI? Examinons ici la première de ces questions. Est-ce que l’entreprise détient tous les droits de PI sur le jeu ? La conception d’un jeu vidéo met généralement en présence une équipe de créateurs, notamment des idéateurs, programmeurs, scripteurs et designers d’effets visuels et sonores. Tous ces acteurs contribuent à la création de l’œuvre qu’est le jeu vidéo et donc à la PI qui y est associée. À titre d’exemple, Ubisoft a travaillé avec des muralistes et designers graphiques pour son récent jeu « Watch Dogs Legion ». Ces derniers ont conçu près de 300 œuvres pour créer l’atmosphère d’un Londres urbain post-Brexit. Cette initiative lui a d’ailleurs valu des éloges avant même la parution du jeu en octobre dernier2. Selon leur niveau de contribution à la conception du jeu, ces créateurs peuvent se qualifier d’auteur, et à ce titre, ils peuvent être considérés comme copropriétaires des droits d’auteur sur le jeu, selon leur statut d’employé ou de consultant. De façon générale, il faut retenir que les droits d’auteurs développés par des employés – dans le cadre de leur emploi – appartiennent à l’employeur3 alors que ceux conçus par un consultant lui appartiennent – à moins d’une entente écrite au contraire. Ainsi, pour l’entreprise qui désire commercialiser un jeu vidéo, il est essentiel de prévoir des contrats clairs avec tout consultant externe, prévoyant la cession des droits de PI pour s’assurer de conserver l’entière propriété des droits d’auteur sur le jeu vidéo.   Mais que se passe-t-il si un consultant n’a pas cédé ses droits d’auteur à l’entreprise? Peut-il prétendre être cotitulaire des droits d’auteur sur le jeu dans son intégralité ou ses droits sont-ils plutôt limités à la portion de sa création (ex : des dessins précis, une musique pour une scène particulière) ? Cette question revêt une grande importance, notamment pour la question du partage des profits provenant de la vente du jeu. Dans la décision Seggie c. Roofdog Games Inc.4, la Cour supérieure indique qu’une personne (non-employée) dont la contribution à un jeu est minime ne peut être considérée comme coauteur du jeu vidéo en tant que tel, dans la mesure où : cette contribution se limite à quelques images; ces images peuvent être distinguées du reste de l’œuvre; et il n’y a pas d’intention commune des parties de créer une œuvre en collaboration. Seggie s’est donc vu refuser la compensation réclamée de 25% des ventes sur le jeu vidéo. La cour a cependant reconnu que Seggie détenait un droit d’auteur sur les œuvres créées et incorporées au jeu et lui a accordé une compensation de 10,000$. L’octroi de cette compensation nous apparait discutable puisque Seggie avait accepté de travailler pro bono pour son ami fondateur. Cette décision rappelle l’importance de faire signer une cession des droits d’auteur à toute personne qui contribue à la conception, peu importe son niveau de participation. Renonciation au droit moral En outre de la cession des droits d’auteur, l’entreprise propriétaire d’un jeu vidéo devrait également s’assurer que tous les auteurs du jeu ont renoncé à leur droit moral pour ne pas limiter l’exploitation commerciale du jeu. Le droit moral appartient à tout auteur d’une œuvre et lui permet de s’opposer à l’utilisation de son œuvre en lien avec un autre produit, une cause, un service ou une institution, d’une manière préjudiciable à son honneur ou sa réputation. On peut ici penser à l’utilisation de la musique du jeu vidéo ou d’un personnage pour faire la promotion d’une cause ou d’un produit, ou encore une série télévisée dérivée du jeu dont le scénario pourrait donner ouverture à une atteinte à la réputation de l’auteur. Pour s’assurer de détenir toute la latitude d’exploitation commerciale du jeu et des produits dérivés, une renonciation aux droits moraux devrait être signée par tout employé et consultant qui participe à la création du jeu vidéo. Conclusion Le lancement d’un jeu vidéo nécessite des investissements énormes en ressources, en temps et en créativité. Il est donc important de s’assurer d’être propriétaire de tous les droits pour ensuite cibler les protections de PI pertinentes afin de développer une stratégie de protection efficace. Le prochain article de la présente série abordera l’importance et l’application de ces droits de PI, soit les marques de commerce, les droits d’auteur et les brevets, au secteur du jeu vidéo. « Le secteur canadien du jeu vidéo – 2019 » Association canadienne du logiciel de divertissement, novembre 2019, [En ligne]. CLÉMENT, Éric, « Le talent montréalais en vedette dans un nouveau jeu d’Ubisoft », paru dans La Presse+, édition du 21 octobre 2020. LDA, article 13(3). Seggie c. Roofdog Games Inc., 2015 QCCS 6462.

La situation liée à la COVID-19 engendre des bouleversements importants sur le plan humanitaire à travers le monde, mais également sur le plan du développement des affaires et de l’économie. Malgré tout, plusieurs développements et nouveaux projets concernant les voitures autonomes (« VA ») ont vu le jour depuis mars dernier.  En voici un survol. Distanciation simplifiée grâce à la livraison sans contact Dès la mi-avril 2020, dans la baie de San Francisco, des VA Cruise de General Motors Co. ont été mis sur la route afin d’assister dans la livraison de près de 4 000 repas en huit jours pour deux banques alimentaires. Les livraisons se sont effectuées avec deux chauffeurs volontaires afin de superviser l’opération des VA de niveau 3. Le vice-président des affaires gouvernementales de Cruise, Rob Grant, a commenté sur l’utilité des voitures autonomes : « What I do see is this pandemic really showing where self-driving vehicles can be of use in the future.  That includes in contactless delivery like we’re doing here »1. Toujours en Californie en avril, des VA de l’entreprise en démarrage Nuro inc. ont été mis à la disposition d’un hôpital à Sacramento afin de transporter des équipements médicaux dans le comté de San Mateo.  Les voitures autonomes Pony de Toyota ont quant à eux servi à livrer des repas pour des refuges locaux de la ville de Fremont dans la région d’Irvine, en Californie.  Innovation : les premiers essais des véhicules autonomes de niveau 4 En juillet 2020, Navya Group a réussi avec succès ses premiers essais d’une voiture autonome de niveau 4 dans un site clos.  Cette opération a eu lieu en partenariat avec Groupe Keolis sur le site du Centre national de sports de tir et permet aux visiteurs et athlètes de se déplacer du stationnement à la réception du Centre.  Il s’agit d’une avancée importante puisqu’il s’agit du premier véhicule de niveau 4 à être mis sur la route, donc ayant une automatisation totale ne nécessitant pas qu’un conducteur humain soit présent dans le véhicule afin d’assurer la maîtrise de celui-ci en cas de situation critique. Des autobus autonomes et des voies réservées dans les prochaines années En août 2020, l’État de Michigan a annoncé qu’il mettrait de l’avant des démarches actives afin que des voies soient dédiées exclusivement à l’utilisation de VA sur une portion de 65 km de l’autoroute entre Detroit et Ann Arbour.  Cette initiative débutera avec une étude qui s’effectuera au cours des trois prochaines années.  Ce projet ambitieux vise entre autres à permettre aux autobus autonomes de circuler dans ce corridor afin de connecter l’université du Michigan à l’aéroport métropolitain de Détroit, au centre-ville. En septembre 2020, le premier circuit de VA au Japon a été inauguré à l’aéroport Haneda de Tokyo.  Le trajet régulier s’étend sur une distance de 700 mètres dans l’aéroport.  Un drame qui rappelle que la prudence doit être la priorité Le 18 mars 2018 à Tempe, en Arizona, une piétonne a été tuée par suite d’une collision avec un véhicule de marque Volvo dont la conduite était assurée par un programme d’essai d’un logiciel de conduite automatisée de Uber Technologies, inc. Le véhicule impliqué dans cet accident en était au stade de mise-au-point et il correspondait à un VA de niveau 3, nécessitant qu’un conducteur humain demeure attentif en tout temps afin de reprendre le contrôle du véhicule en situation critique, selon la norme J3016 de la SAE International. L’enquête menée par le National Transportation Safety Board a déterminé que le système de conduite automatisée du véhicule avait détecté la piétonne, mais n’avait pas été en mesure de la qualifier et de prédire son trajet.  De plus, les vidéos de la conductrice à l’intérieur du VA démontraient qu’elle n’était pas attentive à la route au moment de l’accident, mais regardait plutôt son téléphone cellulaire déposé sur la console du véhicule. Or, en septembre 2020, la conductrice du véhicule a été inculpée par les autorités et accusée d’homicide par négligence.  La conductrice a plaidé non coupable et la conférence préparatoire se tiendra à la fin du mois d’octobre 2020.  Nous vous garderons informés des développements dans ce dossier.   Dans toutes les sphères de l’économie, dont l’industrie du transport et plus particulièrement des VA, des projets ont été mis sur la glace en raison de la situation actuelle liée à la COVID-19. Malgré tout, plusieurs projets ont vu le jour, comme les projets de livraison sans contact, qui sont maintenant plus pertinents que jamais avec la COVID-19. Mis à part le projet de Navya Group qui concerne des véhicules de niveau 4, les initiatives mentionnées impliquent des véhicules de niveau 3. La conduite de ces véhicules, dont la présence sur les routes au Québec est permise, doit être assurée par un conducteur humain. Les accusations récemment portées contre la conductrice inattentive en Arizona doivent servir de rappel à tous les conducteurs de voitures autonomes de niveau 3 : peu importe le contexte relié un accident, leur responsabilité peut être engagée.  La mise en œuvre du projet de voitures autonomes dans le monde se fait lentement, mais sûrement. De nombreux projets verrons prochainement le jour, dont au Québec. Par la multiplication de ces initiatives, l’acceptabilité sociale des VA en bénéficiera et la normalisation de ces véhicules sur nos routes est à nos portes.   Financial Post, 29 avril 2020, Self-driving vehicules get in on the delivery scene amid COVID-19.

Le site Internet constitue un outil puissant pour faire commerce, étant un canal de distribution avec un rayonnement mondial. En ces temps de pandémie, son rôle devient même névralgique. Un site Internet est un ensemble de pages accessibles à partir d’une adresse hébergée sur un serveur par le biais du réseau mondial Internet ou d’un intranet. Un site Internet est un amalgame de divers éléments protégés en droit de propriété intellectuelle. Nous nous attardons aux suivants : Le droit d'auteur Il protège toute création originale (c.-à-d., la création intellectuelle propre à son auteur) dans la mesure où elle comporte l’exercice du talent et du jugement. Il s’agit d’un droit exclusif qui permet à son détenteur de produire ou de reproduire la création sous une forme matérielle quelconque, de l’exécuter, de la représenter, de la publier et d’exercer d’autres droits exclusifs. Relativement à un site Internet, on pense aux créations suivantes : page-écran, aspect graphique, animation, textes, images fixes et animées, sons, bases de données (recueil d’œuvres, de données ou d’autres éléments indépendants), logiciels relatifs, par exemple, à la création, au fonctionnement, à la diffusion du site, programme d’ordinateur, photographies, dessins animés, vidéos. Qui détient le droit d’auteur? Le droit d’auteur est la propriété de l’auteur, à moins que celui-ci (i) n’ait cédé son droit ou (ii) ne soit l’employé d’une entreprise et que l’œuvre ait été créée dans le cadre de son emploi, auquel cas le droit appartient à l’employeur. Il convient d’identifier les différents détenteurs des droits d’auteur relativement aux œuvres apparaissant sur le site Internet. Si une entreprise demande à une firme externe de créer un site Internet, l’entreprise ne sera pas d'emblée titulaire des droits d’auteur sur le site Internet. Lorsqu’une firme externe conçoit le site, elle prendra généralement la précaution de prévoir au contrat qu’elle retient les droits d’auteur. Il est souvent prévu que la cession des droits de propriété intellectuelle au bénéfice de la cliente qui a mandaté la réalisation du site interviendra après parfait paiement du prix. Ceci pose une difficulté lorsque le fournisseur du site Internet n’en termine pas la création ou qu’un différend survient en cours de mandat. Les banques de photos Généralement les sites qui offrent des photographies ne cèdent pas les droits d’auteur dans les photographies. Ils accordent une licence d’emploi (un droit d’usage) et ce, pour une durée limitée et à une fin particulière. Il faut donc bien lire les conditions des licences. Cession des droits Une cession doit obligatoirement être écrite pour transférer les droits d’auteur à l’entreprise qui a commandé la réalisation du site Internet. Droits moraux Les droits moraux permettent à l’auteur ou à l’artiste interprète (même s’il n’est pas titulaire du droit d’auteur) : de revendiquer la création de l’œuvre; de revendiquer le respect de l’intégrité de l’œuvre (de prémunir l’œuvre contre la déformation, la mutilation ou la modification, ou d’une manière préjudiciable à l’honneur ou à la réputation de l’auteur ou de l’artiste interprète ou d’associer l’œuvre à un produit ou à un service sans son accord). Protection dans quel territoire? Comme le Canada est signataire de la convention de Berne, le droit d'auteur détenu par un ressortissant canadien (société constituée au Canada, citoyen canadien…) est reconnu dans d’autres pays du monde, sans qu’il y ait nécessité d’enregistrer son droit d’auteur dans ces autres pays. Au Canada, l’enregistrement de droit d’auteur n’est pas obligatoire, mais procure des présomptions de droit qu’il est judicieux d’obtenir minimalement pour les œuvres d’importance pour l’entreprise, afin de lutter plus efficacement contre la contrefaçon. La contrefaçon est la reproduction totale ou d’une partie importante d’une œuvre protégée sans autorisation. Autant le contenu d’un exploitant ne peut être copié sans autorisation, autant l’exploitant de site Internet devra s’assurer qu’il n’importe pas et ne publie pas sur son site des œuvres protégées par droit d’auteur sans en avoir au préalable obtenu la permission. Le nom de domaine Certains noms de domaine sont protégés par le droit des marques, certains ne le sont pas. Cela dépend de la nature du nom de domaine et de l’exploitation qui en est faite. Le simple enregistrement d’un nom de domaine ne crée pas un droit susceptible d’interdire l’emploi d’un nom de domaine conflictuel ou d’une marque conflictuelle. L’utilisation d’un nom de domaine distinctif pourrait conférer à son titulaire le droit de s’opposer à l’utilisation ultérieure par des tiers d’un nom de domaine, d’une marque de commerce, d’un nom commercial, qui prête à confusion. Un mécanisme d’arbitrage de nom de domaine efficace existe à l’échelle internationale dans le cas des .com et à l’échelle canadienne dans le cas des .ca s’il y a appropriation de mauvaise foi d’un nom de domaine conflictuel. La marque de commerce Il est fortement recommandé à tout exploitant d’un site Internet qui emploie sur son site une marque de commerce pour identifier ses produits ou ses services de la protéger par enregistrement. Sans faire la nomenclature des avantages à enregistrer sa marque, il suffit de souligner qu’il est excessivement moins coûteux d’enregistrer ses droits que de tenter de les récupérer une fois appropriés par un tiers. Le titulaire d’une marque peut s’opposer à tout emploi de marque, de nom commercial ou de nom de domaine prêtant à confusion (le test prend en compte divers facteurs) si ses droits sont antérieurs aux autres détenteurs concernés. Dans le cas d’appropriation sans autorisation du logo ou de la marque figurative d’un tiers, le détenteur pourra, dans plusieurs cas, non seulement invoquer une contrefaçon de marque, mais aussi de droit d’auteur. Le droit à l'image et à la vie privée Le Code civil du Québec stipule que toute personne est titulaire de droits de la personnalité, tels que le droit à la vie, à l’inviolabilité et à l’intégrité de sa personne, au respect de son nom, de sa réputation et de sa vie privée. Des dispositions semblables existent dans d’autres lois, telle la Charte des droits et libertés de la personne du Québec et la Charte canadienne des droits. Le droit est semblable dans les autres provinces canadiennes et des législations à effet similaire existent dans divers autres pays du monde. Il en découle, comme règle générale, que l’exploitant d’un site Internet : (i) ne peut diffuser ou publier, par exemple, une photographie ou une image d’une personne sans son consentement. Cette règle doit être pondérée par celle relative à l’intérêt du public au droit à la liberté d’expression et au droit à l’information; (ii) ne peut porter atteinte à la réputation d’une personne; (iii) ne peut faire dire ou laisser croire à l’endossement d’un produit ou d’un service par une personne sans son consentement. Le Code civil du Québec prévoit de plus que l’utilisation de la correspondance, des manuscrits ou des autres documents d’une personne, sans son consentement, forme une atteinte à sa vie privée. Le secret de commerce Diverses composantes du site Internet peuvent être protégées par secret commercial si le détenteur a pris la peine de faire signer un engagement de confidentialité et que l’information demeure secrète. Il pourrait en être ainsi du codage du site Internet.   Beaucoup d’idées préconçues circulent sur la propriété intellectuelle dans le monde du commerce en ligne. Plusieurs croient à tort qu’ayant commandé la réalisation de leur site Internet, ils en détiennent les droits de propriété intellectuelle ou alors qu’ils peuvent publier sans autorisation sur leur site la photo d’un produit d’un autre site puisqu’ils vendent ce produit. Malgré son accès aisé, rapide et gratuit, un site Internet est régi en propriété intellectuelle par un cadre juridique auquel l’exploitant doit se conformer. Nous ne pouvions traiter dans ces quelques lignes de toute la panoplie de droits qui entrent en jeu dans un site Internet. Notons par exemple que pour certains sites, des considérations relatives aux brevets d’invention et aux dessins industriels devront aussi être prises en compte. Toutes ces questions juridiques ne vont pas de soi. Il y a plusieurs règles à suivre pour éviter les pratiques illégales, pour s’épargner la mauvaise surprise de constater qu’on ne détient pas les droits de propriété intellectuelle sur certains éléments ou sur l’ensemble du site ou pour éviter d’être menacé de poursuite en violation des droits de tiers. De plus, il est possible que tout le travail qu’une entreprise aura investi pour réaliser et faire fonctionner son site Internet ne lui procure aucune valeur additionnelle si elle a négligé de protéger ses droits, alors que la propriété intellectuelle devrait, au contraire, constituer l’un de ses actifs importants. Il est donc important de bien se familiariser avec ces règles, de protéger ses droits et de prévenir les embûches juridiques, et ce, idéalement, avant le lancement d’un site. Si la question des droits de propriété intellectuelle est traitée après le lancement, il pourrait ne pas être trop tard pour protéger vos droits ou pour tenter de corriger les problèmes juridiques. Que votre site soit déjà en ligne ou sur le point d’être lancé, vous devriez faire réaliser un audit des droits. Ceci vous permettra d’identifier les situations problématiques et, le cas échéant, de protéger vos droits, de signer les contrats et de résoudre les problèmes. Vous pourrez ainsi remédier aux situations illégales ou aux situations qui placent votre entreprise dans une position désavantageuse.

Avant de vendre vos produits et services en ligne, vous devrez déterminer la forme que prendra votre contrat ainsi que son contenu et vous assurer de respecter les dispositions de la Loi sur la protection du consommateur (la « LPC »). La LPC s’applique à tout contrat conclu au Québec entre un consommateur et un commerçant, notamment les contrats de vente en ligne, à titre de « contrat conclu à distance ». Règles applicables aux contrats conclus sur Internet Forme Le contrat conclu sur Internet doit être sous forme écrite, doit contenir le nom et l’adresse du commerçant ainsi que la date de transaction. De plus, certaines informations doivent obligatoirement être données aux consommateurs avant la conclusion du contrat, notamment : les renseignements sur l’identification de votre entreprise; une description détaillée des biens ou des services que vous vendez, y compris leurs caractéristiques et leurs spécifications techniques; le prix de chaque bien ou les modalités de paiement; la date de livraison ou la date à laquelle le service sera fourni; et d’autres précisions quant à la livraison, les politiques d’annulation et toute autre restriction ou condition applicable. Ces renseignements obligatoires doivent être présentés de manière évidente, compréhensible et être expressément portés à la connaissance du consommateur. Cela pourrait être fait par le biais d’une page Web contenant ces renseignements qui apparaissent obligatoirement à l’écran avant que le consommateur ne paye pour les articles dans le panier. Acceptation Avant la conclusion du contrat, le commerçant doit donner expressément au consommateur la possibilité d’accepter ou de refuser l’offre et d’en corriger les erreurs le cas échéant. Exemplaire Un exemplaire du contrat doit être remis au consommateur dans les 15 jours de la conclusion du contrat. L’exemplaire remis doit pouvoir être aisément conservé ou imprimé sur support papier. Livraison Un consommateur peut mettre fin au contrat s’il n’a pas reçu son bien (ou si le service n’a pas été exécuté) dans les 30 jours de la date convenue au contrat ou suivant la date de la conclusion du contrat si aucune date n’est indiquée au contrat. À noter qu’un bien qu’on a tenté de livrer à la date convenue sera considéré comme livré. Annulation La LPC permet aux consommateurs d’annuler le contrat dans plusieurs cas, notamment lorsque le commerçant ne respecte pas les dispositions énoncées ci-dessus. Chaque commerçant est libre de prévoir une politique d’annulation et d’en fixer les conditions. Le consommateur doit être informé de cette politique avant la conclusion du contrat et elle doit être inscrite dans le contrat. Garanties Garantie légale La Loi sur la protection du consommateur prévoit une garantie légale qui s’applique automatiquement à l’achat d’un bien, que ce soit en magasin ou à distance. En vertu de cette garantie légale, un bien doit pouvoir servir à l’usage auquel il est normalement destiné et à un usage normal pendant une durée raisonnable eu égard à son prix, aux dispositions du contrat et aux conditions d’utilisation du bien. Un consommateur a également un recours contre le commerçant en cas de vice caché du bien. Garantie supplémentaire Il est également possible pour un commerçant d’offrir une garantie supplémentaire en ligne aux consommateurs, à condition de respecter les dispositions prévues à cet effet de la LPC. Application et exceptions Veuillez noter que les règles énoncées ci-dessus s’appliquent généralement, mais peuvent ne pas s’appliquer dans le cadre de certains contrats, dont les contrats de vente de biens susceptibles de dépérir rapidement, tels que la nourriture. La Loi sur la protection du consommateur contient des exceptions ou des dispositions particulières à certains secteurs de consommation. Différentes lois et différents règlements pourraient également s’appliquer à certains types de biens et services que vous vendez. Les enjeux du droit de la concurrence La LPC contient des obligations relatives à la concurrence qui sont spécifiques au Québec. Tout commerçant au Québec devra également respecter les dispositions de la Loi sur la concurrence du Canada. Cette loi a pour objectif i) de préserver et de favoriser la saine concurrence entre les entreprises au Canada; ii) d’assurer aux consommateurs des prix compétitifs; et iii) d’offrir aux consommateurs un choix dans les produits et de les protéger contre les pratiques frauduleuses ou interdites. Pratiques commerciales interdites Affichage trompeur des prix En vertu de la LPC, lorsque vous annoncez le prix d’un produit ou d’un service, vous avez l’obligation d’annoncer un prix « tout inclus », qui comprend toutes les sommes que le consommateur devra payer pour le produit ou le service. Le prix tout inclus doit être mis davantage en évidence que les sommes qui le composent. Les taxes (TPS/TVQ) entre autres choses peuvent être exclues du prix annoncé, mais devront être ajoutées au moment du paiement. L’indication et l’affichage des prix sont également assujettis à des règles précises en vertu de la Loi sur la concurrence. Renseignements faux ou trompeurs Un message publicitaire contenant des renseignements faux, trompeurs ou passant sous silence un fait important est prohibé en vertu de la LPC. La Loi sur la concurrence quant à elle,interdit de fournir au public une indication fausse ou trompeuse sur un point important. Les dispositions de la Loi sur la concurrence portant sur les indications fausses et trompeuses s’appliquent à plusieurs sujets, dont ceux qui suivent : Indications de rendement non fondées : il est interdit de fournir au public des indications sur le rendement, l’efficacité ou la durée de vie utile d’un produit si ces indications ne s’appuient pas sur une épreuve suffisante et appropriée. Épreuves ou attestations fausses ou non autorisées : il est interdit d’utiliser des attestations ou des épreuves de rendement de produits (ex. tests scientifiques, témoignages de consommateurs, etc.) sans autorisation. Celles-ci ne peuvent bien évidemment pas être déformées. Garanties trompeuses : il est interdit d’offrir à un consommateur une garantie contenant des indications trompeuses sur un point important susceptible d’influencer sa décision d’achat. L’impression générale projetée par une indication ainsi que le sens littéral de celle-ci servent à déterminer si la garantie est trompeuse. Concours publicitaires trompeurs : certains renseignements reliés à la tenue des concours publicitaires doivent obligatoirement être communiqués au public. De plus, l’envoi de toute documentation qui laisserait croire à tort au destinataire qu’il a gagné un prix ou tout autre avantage est interdit. À noter qu’au Québec, il existe des règles spécifiques liées aux concours publicitaires. Autres pratiques interdites La Loi sur la concurrence vise à prévenir les abus de position dominante et prévoit donc des normes plus sévères qui s’appliquent aux entreprises qui occupent une position dominante d’un marché. Les dispositions relatives au complot visent à empêcher une entreprise de réduire indûment la concurrence, ou encore à augmenter déraisonnablement le prix d’un produit. Cette loi prohibe également le refus de vendre un produit, dans la mesure où une entreprise n’a pas le droit de nuire à une cliente en refusant de l’approvisionner de façon suffisante aux conditions normales du marché. Finalement, les restrictions verticales, soit des pratiques telles que l’exclusivité, les ventes liées et la limitation du marché sont prohibées dans la mesure où elles imposent de façon générale des conditions qui restreignent la liberté des consommateurs. Sanctions Tant la Loi sur la protection du consommateur que la Loi sur la concurrence prévoient des sanctions en cas de pratique interdite. En vertu de la Loi sur la concurrence, certains actes sont considérés comme étant criminels si une personne les faits sciemment ou sans se soucier des conséquences qu’ils peuvent avoir sur le public.