Publications

À l’heure même où certains exigent une suspension temporaire de la recherche en intelligence artificielle et du développement de systèmes avancés et que d’autres souhaitent remettre le génie dans la bouteille, on peut se demander quel sera l’effet des technologies conversationnelles (ChatGPT, Bard et autres) au sein des entreprises et en milieu de travail. Certaines entreprises en encouragent l’usage, d’autres les interdisent, mais beaucoup n’ont toujours pas pris position. Nous croyons qu’il est impératif que toute entreprise adopte une position claire et guide ses employés en ce qui a trait à l’usage de ces technologies. Avant de décider quelle position adopter, une entreprise doit être consciente des différents enjeux juridiques liés à l’usage de ces formes d’intelligence artificielle. Si l’entreprise décide d’en permettre l’usage, elle doit alors être en mesure de bien encadrer cet usage et surtout les résultats et les applications qui en découleront. Force est de constater que de tels outils technologiques présentent à la fois des avantages non négligeables susceptibles de soulever les passions, pensons notamment à la rapidité avec laquelle ces technologies conversationnelles réussissent à fournir une information à la fois surprenante et intéressante, et des risques indéniables quant aux avancées qui peuvent en résulter. Nous résumons dans le présent texte quelques risques qui, à très court terme, guettent les entreprises, ainsi que leurs clients, employés et partenaires, dans le cadre de leur utilisation de ces outils. Risques d’erreurs et responsabilité Les médias ont abondamment relaté les errances et les inexactitudes des robots conversationnels qui génèrent du texte. Dans certains cas, on parle même « d’hallucinations », où le robot conversationnel invente une réalité qui n’existe pas. Cela n’est pas surprenant. D’une part, ces technologies s’abreuvent à l’Internet, qui est truffé de désinformation et d’inexactitudes, et d’autre part, on s’attend à ce que ces robots conversationnels « créent » de nouveaux textes. Ils n’ont pas, pour le moment du moins, de balises suffisantes pour utiliser cette « créativité » uniquement à bon escient. On peut facilement imaginer des situations où un employé utiliserait une telle technologie pour produire du contenu destiné à être utilisé par son employeur à des fins commerciales. Surgit alors un danger évident pour l’entreprise si des mesures de contrôle appropriées ne sont pas mises en place. Le contenu ainsi généré pourrait s’avérer erroné, et ce d’une manière à tromper les clients de l’entreprise. Ce risque serait particulièrement important si le contenu ainsi généré fait l’objet d’une diffusion, par exemple en étant affiché sur le site web de l’entreprise ou utilisé dans une campagne de publicité. Dans un tel cas, l’entreprise pourrait vraisemblablement être responsable du préjudice ainsi causé par son employé, celui-ci s’étant fié à une technologie qu’on sait défaillante. Cet enjeu de fiabilité de ces outils, surtout lorsqu’ils sont utilisés de façon peu encadrée, demeure à ce jour l’un de plus préoccupant. Diffamation Imaginons qu’une telle information erronée concerne de surcroît une personne connue ou une entreprise concurrente. D’un point de vue juridique, une entreprise qui diffuse un tel contenu sans mettre en place des balises pour s’assurer que des vérifications adéquates ont été faites pourrait s’exposer à des poursuites en diffamation ou pour publicité trompeuse. Il semble donc impératif d’adopter des mesures faisant en sorte que tout contenu tiré de ces technologies soit minutieusement validé avant tout usage commercial. Plusieurs auteurs suggèrent que les résultats générés par un tel outil d’intelligence artificielle devraient davantage servir d’aide pour l’analyse et la prise de décision, que de produits ou résultats finaux. Cependant, la vitesse à laquelle les entreprises adopteront ces outils et en bénéficieront, notamment sur le plan concurrentiel, pourrait devancer la vitesse à laquelle les bonnes pratiques et la réglementation viendront les gouverner. Enjeux de propriété intellectuelle Les robots conversationnels qui émergent ont été développés en vue de constituer des extensions aux moteurs de recherche du web, tels Google et Bing. Il est possible que le contenu généré par les robots conversationnels s’inspire de contenus web déjà existants et assujettis à des droits d’auteur, et qu’il en reprenne même parfois des portions substantielles.  Cela pourrait entraîner une violation de droits d’auteur. Si l’utilisateur limite son usage à des fins de recherche interne, le risque est alors limité puisque la loi prévoit une exception pour un usage équitable dans un tel contexte. Par contre, si son intention est de diffuser le texte à des fins commerciales, il y a un risque de violation de droits d’auteur. Ce risque est particulièrement présent lorsqu’on demande à un robot conversationnel de générer du contenu sur un sujet ciblé pour lequel il existe peu de références sur le web. Une autre question pour laquelle les réponses ne sont pas encore claires est celle de savoir qui détiendra les droits sur les réponses et les résultats découlant d’un tel outil, notamment si ces réponses et ces résultats font l’objet de diverses adaptations ou modifications avant leur ultime utilisation. Enjeux de confidentialité et de protection des renseignements personnels À la lecture de leurs modalités et conditions d’utilisation, la plupart de ces technologies conversationnelles ne semblent pas prévoir un usage qui soit confidentiel. Il est donc impensable de leur révéler des secrets commerciaux ou des renseignements confidentiels. Qui plus est, ces technologies ne sont pas conçues pour recevoir ni pour protéger des renseignements personnels conformément aux lois et règlements applicables dans les juridictions où elles pourraient être utilisées. Leurs propriétaires se dégagent généralement de toute responsabilité à cet égard. Autres enjeux Quelques autres enjeux importants méritent d’être soulignés parmi ceux qu’il est possible d’anticiper à ce jour. Premièrement, les possibles biais discriminatoires que certains attribuent aux outils d’intelligence artificielle, lorsque combinés avec le peu de règlementation de ces outils, peuvent entrainer des conséquences significatives pour divers groupes de la population. Deuxièmement, on ne peut pas passer sous silence les nombreux enjeux éthiques associés aux applications d’intelligence artificielle qui seront développées dans divers secteurs (médecine, justice, politique, etc.).  Les enjeux seront d’autant plus grands lorsque ces mêmes applications seront utilisées dans des juridictions où les lois, les coutumes et la culture (économiques, politiques et sociales) sont différentes. Enfin, les risques de conflit ne peuvent pas être ignorés. Qu’il s’agisse de conflits entre groupes prônant différentes valeurs, entre organisations ayant des objectifs opposés, ou même entre nations, il est difficile de prédire si et comment les avancées en matière d’intelligence artificielle permettront de solutionner ou d’apaiser de tels conflits ou si au contraire elles les envenimeront. Conclusion Ces technologies conversationnelles présentent un grand potentiel, mais soulèvent aussi des enjeux juridiques sérieux. À court terme, il semble peu probable que ces outils puissent légitimement se substituer au jugement humain, lui-même imparfait. Mais tout comme l’a fait la révolution industrielle il y a deux siècles, l’arrivée de ces technologies entraînera des changements importants et rapides au sein des entreprises. Il est important de préparer dès maintenant des politiques visant à encadrer l’usage de ces technologies au sein de votre entreprise. De plus, si votre entreprise doit intégrer une telle technologie dans le cadre de ses activités, nous vous recommandons de procéder à une étude attentive de ses modalités et conditions d’utilisation afin de vous assurer qu’elles sont compatibles avec le projet et les objectifs que votre entreprise souhaite réaliser grâce à elle.

Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

Les rançongiciels ont fait tellement de ravages dans les dernières années que plusieurs en oublient les autres risques liés à la cybersécurité. Pour certains, le fait de ne pas détenir de renseignements personnels les immunise contre les pirates informatiques et les cyberincidents. Pour d'autres, tant que leurs ordinateurs continuent de fonctionner, c’est qu’il n’y a aucun logiciel malveillant qui y réside. Malheureusement, la réalité est toute autre. Une nouvelle tendance se dessine à l’horizon, où l’on voit des logiciels malveillants déployés pour détourner de l’information confidentielle, notamment des secrets commerciaux, pour les vendre par la suite à des tiers ou les divulguer au public1. Les médias ont abondamment discuté du logiciel Pegasus utilisé pour épier des journalistes et des opposants politiques à travers le monde, au point où les autorités des États-Unis ont décidé de l’inclure dans leur liste d’interdictions2. Mais l’utilisation de logiciels espions n’est pas limitée à la sphère politique. Récemment, un tribunal californien a condamné une société américaine, 24[7].ai, à payer 30 millions de dollars à une de ses concurrentes, Liveperson3. C'est qu’un logiciel de 24[7].ai était installé côte à côte avec le logiciel de Liveperson sur des systèmes de clients mutuels. Liveperson alléguait dans sa poursuite que 24[7].ai installait des logiciels espions capturant de l’information confidentielle de l’application Liveperson. De plus, les logiciels que 24[7].ai auraient installés faisaient disparaître certaines fonctionnalités de l’application de Liveperson, notamment le bouton activant la fonction de clavardage.  Ce faisant, 24[7].ai aurait interféré dans la relation entre Liveperson et ses clients. Cette saga judiciaire se poursuit d’ailleurs, puisqu’un autre procès devra avoir lieu relativement aux secrets commerciaux d’une cliente de Liveperson4. Ce litige illustre bien que la cybersécurité concerne non seulement les renseignements personnels, mais aussi les secrets commerciaux et même le bon fonctionnement des logiciels d’entreprise. Plusieurs précautions peuvent être prises pour diminuer les risques d’incidents de cybersécurité. Des politiques internes robustes à tous les niveaux dans l’entreprise aident à maintenir un cadre sécuritaire pour les opérations des entreprises. Combinées à une sensibilisation des employés aux enjeux juridiques et commerciaux de la cybersécurité, ces politiques peuvent être des ajouts importants aux meilleures pratiques en informatique. Par ailleurs, la sensibilisation des employés facilite l’adoption de meilleures pratiques, notamment des investigations systématiques des anomalies de fonctionnement et l'utilisation de méthodes de programmation protégeant les secrets commerciaux de l’entreprise. Qui plus est, il peut être opportun de s’assurer que les contrats avec des clients accordent aux fournisseurs informatiques des accès permettant les suivis nécessaires pour assurer la sécurité des deux parties. Finalement, il faut se rappeler que le conseil d’administration doit faire preuve de soin, de diligence et de compétence tout en veillant à l’intérêt supérieur de l’entreprise.  Les administrateurs pourraient être tenus personnellement responsables s’ils manquent à leurs obligations de veiller à ce que des mesures adéquates soient mises en place pour prévenir des cyberincidents, ou s’ils font fi des risques et font preuve d’aveuglement volontaire.  Ainsi, les membres du conseil d’administration doivent faire preuve de vigilance et être formés et sensibilisés en matière de cybersécurité afin de pouvoir intégrer celle-ci dans leur gestion des risques.    Dans une ère où la propriété intellectuelle est devenue l’actif le plus important d’une société, il va de soi qu’il est primordial de mettre en place les outils technologiques, mais aussi les procédures et les politiques requises pour bien la protéger! N’hésitez pas à faire appel aux services de Lavery pour vous conseiller sur les aspects juridiques de la cybersécurité. voir notamment  Carly Page, This new Android spyware mascarades as legitimate apps, Techcrunch, 10 novembre 2021, en ligne : https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps; Carly Page, FBI says ransomware groups are using private financial information to further extort victims, Techcrunch, 2 novembre 2021, en ligne : https://techcrunch.com/2021/11/02/fbi-ransomware-private-financial-extort. Frank Gardener, NSO Group: Israeli spyware company added to US trade blacklist, BBC News, 3 novembre 2021, en ligne: https://www.bbc.com/news/technology-59149651. Thomas Claburn, Spyware, trade-secret theft, and $30m in damages: How two online support partners spectacularly fell out, The Register, 18 juin 2021, en ligne:  https://www.theregister.com/2021/06/18/liveperson_wins_30m_trade_secret. Blake Brittain, LivePerson wins $30 million from [24]7.ai in trade-secret verdict,Reuters, 17 juin 2021, en ligne: https://www.reuters.com/legal/transactional/liveperson-wins-30-million-247ai-trade-secret-verdict-2021-06-17.

A-t-on le droit de copier le code source écrit et développé par quelqu’un d’autre? La réponse à cette question dépend du contexte, mais même en contexte d’innovation ouverte, les droits de propriété intellectuelle sont le point de départ de l’analyse requise pour y répondre. Dans le domaine du logiciel, les licences open source (parfois désignées « licences de logiciels ouverts ou libres » ou « licences à source ouverte » (Open Source) permettent de donner à tous accès au code source du logiciel, gratuitement et avec peu de restrictions. Le but est généralement de favoriser l’évolution de ce code en incitant le plus grand nombre de gens à l’utiliser. Linus Torval, le programmeur du noyau Linux (certainement l’un des plus importants projets open source) a récemment déclaré que sans l’approche open source, son projet n’aurait probablement pas survécu1. Cette approche a des conséquences juridiques : la société Vizio est depuis peu visée par une poursuite alléguant le non-respect d’une licence open source de type GPL lors de la conception du logiciel SmartCast OS intégré aux téléviseurs qu’elle fabrique. Elle est poursuivie par Software Freedom Conservacy (« SFC »), un organisme américain sans but lucratif faisant la promotion et la défense de licences open source. Dans le cadre de sa poursuite, SFC allègue notamment que Vizio devait distribuer le code source de SmartCast OS sous la même licence open source, ce que Vizio n’a pas fait, privant les consommateurs de leurs droits2. En droit canadien, l’article 3 de la Loi sur le droit d’auteur3 confère à l’auteur le droit exclusif de produire ou de reproduire la totalité ou une partie importante d’une œuvre originale. Ce principe est repris par tous les pays signataires de la Convention de Berne de 1886, soit la quasi-totalité des pays du monde. Le contrat de licence, qui permet de conférer à une autre personne le droit de reproduire l’œuvre, peut prendre différentes formes. Il permet aussi d’établir l’étendue des droits conférés et les modalités de l’utilisation permise. Mais toutes les licences de type open source ne sont pas équivalentes. Plusieurs permettent aux créateurs d’assortir le droit d’utiliser le code rendu ainsi disponible à diverses conditions. En vertu de ces licences, l’utilisation de l’œuvre ou du logiciel peut être faite par tous, mais est susceptible d’être assujettie aux contraintes suivantes, selon le type de licence en vigueur : Obligation d’affichage : Une licence open sourcepeut exiger la divulgation de certaines informations dans le logiciel ou dans le code source lui-même : Le nom de l’auteur, son pseudonyme ou même son anonymisation, selon le souhait de cet auteur et/ou citation du titre de l’œuvre ou logiciel; La licence d’utilisation de l’œuvre ou du logiciel Open source redistribué; La mention de modification pour chaque fichier modifié; La mention d’exclusion de garantie. Devoir contributif : Certaines licences exigent le partage de toute modification du code open source,à des conditions identiques. Dans certains cas, cette obligation va même jusqu’à inclure tout logiciel qui incorpore le code open source. En d’autres mots, le code dérivé du matériel open source devient aussi open source. Ce devoir contributif peut généralement être catégorisé selon l’un des niveaux suivants : Toute redistribution doit se faire sous la licence initiale, faisant en sorte que le résultat devienne lui aussi open source; Toute redistribution du code, modifié ou non, doit se faire sous la licence initiale, mais un autre code peut être associé ou ajouté sans être assujetti à la licence open source; Toute redistribution se fait sans contrainte de partage. Interdiction de commercialisation : Certaines licences interdisent toute utilisation à des fins commerciales. Apache v2 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui BSD Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui CC BY-NC 4.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseNon CC0 1.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué. Utilisation commerciale permiseOui GPLv3 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui, mais les sous-licences sont interdites. LGPLv3 Niveau de l’obligation du devoir contributif à la redistributionLa redistribution du logiciel, modifié ou non, doit se faire selon les termes de la licence initiale. De nouvelles composantes peuvent être ajoutées, mais non intégrées, sous d’autres licences non open Source. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui MIT Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui Il est important de sensibiliser les équipes de programmation aux problématiques pouvant survenir en cas d’utilisation de modules régis par des licences « contaminantes » (telle que la licence CC BY-NC 4.0) dans la conception de logiciels à vocation commerciale. Ces logiciels pourraient perdre une valeur importante en cas d’incorporation de tels modules, rendant ainsi difficile, voire impossible, toute commercialisation du logiciel. Dans un contexte d’innovation ouverte où il est souhaité par les développeurs de partager leur code informatique, notamment pour susciter les collaborations, il est important de bien comprendre la portée de ces diverses licences. Le choix de la licence appropriée doit se faire en tenant compte des objectifs du projet. Par ailleurs, il faut garder à l’esprit qu’il n’est pas toujours possible de changer la licence utilisée pour la distribution du code une fois que celui-ci a commencé à être distribué. Le choix de la licence peut donc avoir des conséquences à long terme sur un projet. David Cassel, Linus Torvalds on Community, Rust and Linux’s Longevity, The NewStack, 1 Oct 2021, en ligne : https://thenewstack.io. Voir le communiqué de presse de SFC : https://sfconservancy.org/copyleft-compliance/vizio.html LRC 1985, c. C-42.

Jusqu’à maintenant, aucune réglementation précise n’encadre l’utilisation de l’intelligence artificielle au Canada. Certes, les lois relatives à l’utilisation des renseignements personnels et prohibant la discrimination trouvent toujours application, peu importe qu’il s’agisse de technologies dites d’intelligence artificielle ou de technologies plus conventionnelles. L’application de ces lois à l’intelligence artificielle soulève toutefois plusieurs questions, particulièrement lorsque l’on traite de « réseaux de neurones artificiels » dont l’opacité des algorithmes qui les composent rend difficile la compréhension des mécanismes décisionnels par les personnes concernées. Ces « réseaux de neurones artificiels » ont la particularité de ne permettre que peu d’explications sur leur fonctionnement interne. Le 12 novembre 2020, le Commissariat à la protection de la vie privée du Canada a publié ses recommandations visant la réglementation de l’intelligence artificielle1. Soulignant que les utilisations de l’intelligence artificielle nécessitant des renseignements personnels peuvent avoir de graves conséquences sur la vie privée, le Commissariat y va de plusieurs  recommandations, notamment les suivantes : Obliger ceux qui mettent au point ces systèmes à s’assurer de la protection de la vie privée au moment de la conception des systèmes d’intelligence artificielle ; La création d’un droit des personnes concernées d’obtenir une explication, en termes compréhensibles, leur permettant de comprendre les décisions rendues à leur égard par un système d’intelligence artificielle, de même que s’assurer que ces explications soient fondées sur de l’information exacte et qu’elles ne soient pas discriminatoires ou biaisées ; La création d’un droit de contester les décisions découlant de la prise de décision automatisée ; Le droit de l’autorité de réglementation d’exiger des preuves de ce qui précède. Notons que ces recommandations comprennent la possibilité de l’imposition de sanctions financières aux entreprises qui ne respecteraient pas ce cadre règlementaire. De plus, contrairement à l’approche retenue par le Règlement général sur la protection des données et le projet de loi 64 du gouvernement du Québec, les droits à l’explication et à la contestation ne seraient pas limités aux décisions prises uniquement de manière automatisée, mais viserait aussi les cas où le système d’intelligence artificielle assiste un décideur humain. Il est probable que ces propositions encadrent un jour ou l’autre le fonctionnement de systèmes d’intelligence qui sont déjà en cours de mise au point. Il serait donc prudent pour les concepteurs de tenir compte de ces recommandations et de les intégrer dans leurs paramètres de mise au point des systèmes d’intelligence artificielle dès maintenant Si ces recommandations sont intégrées à la réglementation, il faudra en outre réfléchir aux moyens d’expliquer le fonctionnement des systèmes visés par les décisions prises par l’intelligence artificielle ou s’y appuyant. Comme le mentionnent ces recommandations : « Bien que les secrets commerciaux puissent exiger des organisations qu’elles fassent preuve de prudence dans les explications qu’elles fournissent, une certaine forme d’explication valable serait toujours possible sans compromettre la propriété intellectuelle. »2  C’est pourquoi il pourrait être crucial de faire appel à des avocats spécialisés dans ces questions dès la conception des solutions qui utilisent l’intelligence artificielle et les renseignements personnels. https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/consultations/consultations-terminees/consultation-ai/reg-fw_202011/ Ibid.

L'intelligence artificielle est l’une des familles de technologies où il y a présentement le plus de recherche et de développement au Canada. Afin de préserver le positionnement avantageux du Canada pour ces technologies, il est important de considérer toutes les formes de protection de la propriété intellectuelle qui peuvent s'appliquer. Bien qu'historiquement le droit d'auteur ait constitué la forme privilégiée de propriété intellectuelle en informatique, les brevets sont néanmoins fort utiles en matière d'intelligence artificielle. Le monopole qu'ils accordent peut être incitatif et important pour favoriser l'innovation, notamment dans les secteurs des sciences de la vie et de la gestion de l’énergie. C'est pourquoi l'Office de la propriété intellectuelle du Canada (OPIC) a senti le besoin de faire état de la situation sur l'intelligence artificielle et les brevets au Canada. Dans son rapport intitulé Traitement de l’intelligence artificielle : aperçu du paysage canadien des brevets publié en octobre 2020, l'OPIC présente des statistiques qui démontrent clairement la tendance à la hausse de l'activité des chercheurs canadiens en matière de brevets relatifs à l'intelligence artificielle. Cette augmentation demeure toutefois beaucoup moins marquée que celles observées aux États-Unis et en Chine, les champions dans le domaine. Néanmoins, le Canada s'est classé sixième au rang mondial pour le nombre d'inventions brevetées attribuées à des chercheurs et à des établissements canadiens. Activité internationale en matière de brevets dans le domaine de l'IA entre 1998 et 2017 Reproduit avec l'autorisation du ministre de l'Industrie, 2020   Activité mondiale en matière de brevets par pays d'origine du cessionnaire dans le domaine de l'IA entre 1998 et 2017 Reproduit avec l'autorisation du ministre de l'Industrie, 2020   On remarque que les chercheurs canadiens sont particulièrement spécialisés en traitement du langage naturel, ce qui n'est pas étonnant pour un pays bilingue. Mais leurs forces résident également dans la représentation et le raisonnement des connaissances, puis en vision informatique et en robotique. On voit par ailleurs que, de manière générale, les domaines d'application les plus actifs pour l'intelligence artificielle au Canada sont ceux des sciences de la vie et des sciences médicales, des réseaux informatiques, suivis notamment par la gestion de l'énergie. Ceci semble correspondre à des domaines naturels pour le Canada, pays bénéficiant de systèmes de santé élaborés et dont les infrastructures de télécommunications et énergétiques reflètent le vaste territoire. Seule ombre au tableau, le manque de représentativité des femmes dans les demandes de brevets en intelligence artificielle au Canada. Il s'agit là d'un enjeu important à long terme, puisque pour maintenir la compétitivité du pays, il faudra nécessairement s'assurer que tous les meilleurs talents participent au développement des technologies d'intelligence artificielle au Canada. Peu importe dans quel de ces domaines vous œuvrez, il peut être important de consulter un agent de brevets tôt dans le processus d'invention, notamment pour permettre la protection optimale de vos inventions et maximiser les retombées pour les institutions et les entreprises canadiennes.

De manière générale, la cybersécurité sera un enjeu important pour les entreprises dans les années à venir. Le télétravail, l’infonuagique et l’arrivée de l’intelligence artificielle font en sorte que d’immenses quantités de données sont susceptibles de devenir la proie de pirates informatiques, attirés par les renseignements personnels ou les secrets commerciaux hébergés qu’elles recèlent. D’un point de vue juridique, les entreprises ont l’obligation de prendre des mesures raisonnables pour protéger les renseignements personnels qu’elles détiennent1. Bien que le cadre juridique ne spécifie pas toujours quels sont ces moyens raisonnables d’un point de vue technologique, il faut néanmoins adopter des mesures qui sont appropriées eu égard à la nature des renseignements personnels. Ces mesures doivent aussi être évaluées en tenant compte de l’évolution des menaces qui pèsent sur les systèmes informatiques. Certaines juridictions vont plus loin, par exemple l’Europe où on demande que la conception même d’une solution informatique intègre des mesures de sécurité2. Aux États-Unis, pour les renseignements médicaux, de nombreuses balises guident les moyens techniques à adopter pour s’assurer de la sécurité des renseignements3. Outre les renseignements personnels qu’elle détient, une entreprise peut aussi vouloir protéger ses secrets commerciaux. Ceux-ci ont souvent une valeur inestimable et leur divulgation à des concurrents pourrait causer un préjudice irréparable à l’entreprise. Aucune technologie n’est à l’abri. Dans un bulletin récent4, la réputée firme Kaspersky nous met en garde contre les risques grandissants posés par certains groupes de pirates organisés qui pourraient vouloir exploiter les faiblesses des systèmes d’exploitation Linux, pourtant réputés très sécuritaires. Kaspersky énumère un certain nombre de failles connues, pouvant servir à mener des attaques visant à obtenir des rançons ou à accéder à de l’information privilégiée. Ce bulletin fait écho aux avertissements émis par le FBI aux États-Unis relativement à la découverte d’un nouveau logiciel malfaisant ciblant Linux5. Les mesures à prendre pour gérer le risque C’est pourquoi il est important de prendre des mesures appropriées pour diminuer ces risques. Pour les administrateurs et dirigeants d’entreprise, il est notamment recommandé : D’adopter des politiques d’entreprise empêchant l’installation de logiciels non sécuritaires par les usagers; D’adopter des politiques de révision et de mises à jour régulières des mesures de sécurité informatiques; De faire effectuer des tests d’intrusion et des audits pour vérifier la sécurité des systèmes; De s’assurer qu’au moins une personne en autorité est responsable de la sécurité informatique. En cas d’intrusion ou, de manière préventive, lorsqu’une entreprise collige et héberge des renseignements personnels sensibles, il est recommandé de consulter un avocat agissant en matière de renseignements personnels ou de secrets commerciaux afin de bien cerner les enjeux juridiques associés à ces questions.   Voir notamment : Loi sur la protection des renseignements personnels dans le secteur privé (Québec), art. 10, Loi sur la protection des renseignements personnels et les documents électroniques (Canada), art. 3. Règlement général sur la protection des données, art. 25. Security Rule, sous le Health Insurance Portability and Accountability Act, 45 CFR Part 160, 164. https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/ https://www.fbi.gov/news/pressrel/press-releases/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecurity-advisory

Nouveaux enjeux L’arrivée de la COVID-19 a bousculé le fonctionnement de plusieurs entreprises. Certaines se sont tournées vers le télétravail. D’autres ont été forcées de développer rapidement une offre de service en ligne. Cette évolution accélérée a propulsé la cybersécurité au premier plan, notamment quant aux renseignements personnels et aux secrets commerciaux qui peuvent ainsi faire l’objet de divulgations involontaires. Les risques de cybersécurité proviennent des pirates informatiques, mais aussi souvent d’erreurs de configuration des outils déployés par une entreprise et d’usagers négligents. Afin de gérer les risques de cybersécurité, une des meilleures stratégies est souvent de tenter de trouver les failles d’un système avant une attaque, par exemple en effectuant des tests d’intrusions. Ce genre de tests a évolué grandement au cours des dernières années, passant d’essais-erreurs ciblés à des approches plus larges et systématiques. Ce que l’apprentissage machine apporte à l'entreprise L’apprentissage machine, et l’intelligence artificielle au sens plus large, permet entre autres de mieux reproduire le comportement humain, et donc celui d’un hypothétique usager négligent ou d’un pirate informatique. Les tests d’intrusion peuvent donc être plus efficaces lorsqu’ils sont infusés d’intelligence artificielle. Arachni est un exemple d’apprentissage machine relativement simple. Il s’agit d’un logiciel libre (open source) visant à évaluer la sécurité d’applications Web, faisant notamment partie de la distribution Kali Linux très connue pour les tests d’intrusion en informatique. Arachni utilise une variété de techniques avancées, mais il est de plus possible d’entraîner ce logiciel afin qu’il découvre plus efficacement les vecteurs d’attaques auxquels les applications sont le plus exposées1. Plusieurs autres logiciels de cybersécurité comportent maintenant de telles capacités d’apprentissage. L’intelligence artificielle peut aller encore beaucoup plus loin. Les usages possibles de l’intelligence artificielle dans le cadre de la cybersécurité incluent notamment2 : la réduction du temps de réaction en cas d’attaques par des logiciels malveillants; la détection plus efficace des tentatives d’hameçonnage (phishing); une compréhension contextualisée des anomalies de comportement des usagers. IBM a récemment produit un document expliquant comment sa suite QRadar, qui incorpore de l’intelligence artificielle, peut réduire le fardeau des gestionnaires en matière de cybersécurité. À retenir : L’être humain demeure central dans les enjeux de cybersécurité. Non seulement les gestionnaires doivent comprendre les enjeux de cybersécurité, y compris ceux qui sont créés par l’intelligence artificielle, mais ils doivent aussi instaurer des directives claires pour les usagers et s’assurer du respect de celles-ci. À cet égard, il est important de sensibiliser ces gestionnaires informatiques aux enjeux juridiques liés aux mesures qui sont imposées aux usagers : Il faut se garder d’une surveillance trop intrusive ou constante des employés d’une entreprise. Il peut être opportun de consulter un avocat en droit du travail pour s’assurer que les mesures envisagées sont compatibles avec le droit applicable. Il faut comprendre les enjeux juridiques liés à une fuite de données ou à une brèche de sécurité. Certains renseignements personnels (par ex., les données médicales) sont plus sensibles et les conséquences d’une brèche de sécurité sont plus grandes. Il peut être utile d’établir un dialogue entre les responsables de la sécurité informatique et un avocat agissant en matière de renseignements personnels. Enfin, les secrets commerciaux d’une entreprise nécessitent parfois des mesures de protection plus strictes que d’autres renseignements d’entreprise. Il peut être important que la stratégie de propriété intellectuelle de l’entreprise intègre les mesures de sécurité informatique.   https://resources.infosecinstitute.com/web-application-testing-with-arachni/#gref https://www.zdnet.com/article/ai-is-changing-everything-about-cybersecurity-for-better-and-for-worse-heres-what-you-need-to-know/; https://towardsdatascience.com/cyber-security-ai-defined-explained-and-explored-79fd25c10bfa Beyond the Hype, AI in your SOC, publié par IBM; voir aussi : https://www.ibm.com/ca-en/marketplace/cognitive-security-analytics/resources

Alors que notre société commence à apprivoiser l’intelligence artificielle, les législateurs de plusieurs territoires sont confrontés aux inquiétudes de la population ainsi qu’à la volonté de tirer profit de ces technologies pour le bien public. La réflexion est bien entamée dans plusieurs pays, mais avec des résultats variables. Le Commissariat à la protection de la vie privée du Canada consulte présentement des experts afin de formuler des recommandations au Parlement. On vise par cette démarche à déterminer si des règles particulières relatives à la vie privée doivent s’appliquer lorsque l’intelligence artificielle est en cause. Notamment, le Canada devrait-il adopter un régime s’approchant du régime européen (RGPD)? De plus, on y soulève la possibilité d’adopter des mesures similaires à ce que propose le projet d’Algorithmic Accountability Act de 2019 présenté au Congrès américain, qui donnerait à la Federal Trade Commission des États-Unis le pouvoir de contraindre les entreprises à évaluer les risques liés à la discrimination et à la sécurité des données des systèmes d’intelligence artificielle. La Commissions d’accès à l’information du Québec procède actuellement à des consultations sur le même sujet. L’approche américaine semble aussi vouloir favoriser le positionnement commercial de ce pays dans le domaine de l’intelligence artificielle. Le National Institute of Standards and Technology (NIST) a publié le 9 août 2019 une ébauche de plan d’action gouvernemental, en réponse à un ordre exécutif du président américain. Cette ébauche, U.S. LEADERSHIP IN AI : A Plan for Federal Engagement in Developing Technical Standards and Related Tools1, préconise notamment la mise au point de nouvelles technologies robustes pour augmenter la fiabilité des solutions incorporant l’intelligence artificielle, ainsi que le développement de normes standardisées pour ces technologies. En parallèle, le service de recherche du Congrès a publié le 21 novembre 2019 une mise à jour de son mémoire intitulé Artificial Intelligence and National Security2. Ce document présente une réflexion sur les applications militaires de l’intelligence artificielle, notamment sur le fait que divers dispositifs de combat puissent mener des attaques létales de manière autonome. On y réfléchit aussi sur les moyens de contrer les « deep fake », notamment par la mise au point de technologies pour débusquer ce qui pourrait devenir un moyen de désinformation. On mise donc sur le progrès technologique pour déjouer la technologie utilisée à mauvais escient. En Europe, à la suite de consultations achevées en mai 2019, un groupe d’experts sur la responsabilité et les nouvelles technologies a produit un rapport à l’intention de la Commission Européenne, intitulé Liability for Artificial Intelligence3, qui présente une réflexion sur les régimes de responsabilité applicables à de telles technologies.  Le groupe souligne que sauf pour les questions de renseignements personnels (RGPD) et celles concernant les véhicules automobiles, les régimes de responsabilité des états membres ne sont pas harmonisés en Europe. Le groupe d’experts recommande notamment d’harmoniser les régimes de responsabilité. Selon eux, des risques comparables devraient être encadrés par des régimes de responsabilité similaires4. Plus tôt, en janvier 2019, le Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe, avait émis des Lignes directrices sur l’intelligence artificielle et la protection des données5, offrant notamment des  recommandations aux législateurs, mais aussi aux développeurs, fabricants et prestataires de services qui utilisent de telles technologies afin de se conformer aux conventions en matière de droits de l’homme. Mais à travers ces différences d’approche, une question fondamentale subsiste : si des règles particulières doivent être adoptées, à quelles technologies doit-on les appliquer? Il s’agit là d’une des questions fondamentales posée par le Commissariat à la protection de la vie privée au Canada. En d’autres termes, qu’est-ce que l’intelligence artificielle? L’expression n’est pas clairement définie d’un point de vue technologique. Elle représente un vaste ensemble de technologies ayant des caractéristiques et des modes de fonctionnement diversifiés. C’est donc la première question à laquelle devront s’attaquer les législateurs s’ils souhaitent mettre au point un cadre juridique spécifique aux technologies d’intelligence artificielle. Le document du groupe d’experts européen cité ci-dessus nous donne quelques pistes de réflexion qui nous semblent pertinentes. Selon eux, on doit prendre en considération les facteurs suivants pour la qualification de la technologie : sa complexité; son aspect opaque; son ouverture à l’interaction avec d’autres solutions technologiques; son degré d’autonomie; la prévisibilité des résultats; le fait qu’elle se fonde sur des quantités importantes de données, et sa vulnérabilité aux attaques et risques informatiques. Ces facteurs contribuent à cerner les risques inhérents aux différentes technologies, au cas par cas. De manière générale, il nous semble préférable de ne pas adopter un ensemble de critères rigides devant s’appliquer à toutes les technologies. Nous suggérons plutôt de cerner les objectifs législatifs en fonction de caractéristiques pouvant se retrouver dans plusieurs technologies. On peut par exemple penser qu’une technologie d’apprentissage profond peut parfois utiliser des renseignements personnels, et parfois ne requérir aucun tel renseignement ou très peu. Une telle technologie peut dans certains cas prendre des décisions de manière autonome, alors que parfois, elle ne sera qu’un soutien à la décision. Enfin, si certaines technologies permettent une certaine transparence, d’autres demeureront plus opaques, et ce parfois en raison des contraintes de nature technologiques ou commerciales. Pour les développeurs, il importe également de qualifier correctement la solution envisagée afin de mesurer les risques afférents à son exploitation commerciale. Plus précisément, il peut être important de réfléchir avec des juristes de différents horizons pour s’assurer que la solution proposée n’est pas complètement incompatible avec les lois présentement applicables dans les différents territoires où elles seront déployées, mais aussi avec les lois qui pourraient être adoptées à court terme dans ces territoires.   https://www.nist.gov/system/files/documents/2019/08/10/ai_standards_fedengagement_plan_9aug2019.pdf https://fas.org/sgp/crs/natsec/R45178.pdf https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=36608 Idem, p. 36. https://rm.coe.int/lignes-directrices-sur-l-intelligence-artificielle-et-la-protection-de/168091ff40

Loin des modèles classiques d’innovation fermée, l’intelligence artificielle progresse grâce aux collaborations et échanges, tant avec le monde universitaire qu’entre entreprises. Au Canada, aux États-Unis et en Europe, l’innovation a connu une évolution qui a changé la conception même des projets de recherche et développement. L’innovation fermée au sein d’une entreprise n’est généralement pas suffisante dans le domaine des technologies informatiques, particulièrement pour les technologies utilisant l'intelligence artificielle. Distinguer innovation collaborative, innovation ouverte et co-innovation Dans le domaine de l’informatique, une première forme d’innovation collaborative a donc succédé à l’innovation fermée. Sous ce modèle, une organisation collabore avec divers partenaires pour bâtir une chaîne de valorisation qu’elle tente d’organiser et de contrôler. On cite souvent l’exemple d’Apple à cet égard : celle-ci exerce un certain contrôle à la fois sur le matériel (généralement vendus sous sa marque) et le logiciel (ceux des tiers sont offerts à travers une boutique virtuelle qu’elle contrôle). Le changement le plus important des dernières années est l’arrivée de l’innovation ouverte, dans le contexte de laquelle plusieurs entreprises favorisent l’innovation tant à l’interne qu’à l’externe1. Les échanges entre les entreprises sont généralement ciblés de manière à combler les besoins de chaque entreprise. De grandes entreprises, notamment Samsung, concluent des partenariats avec des entreprises en démarrages qu’elles assistent dans leur développement. L’innovation collaborative constitue donc un mode d’innovation précurseur de l’innovation ouverte. En effet, l’innovation collaborative se concentre sur les moyens offerts par l’intermédiaire d’acteurs externes pour permettre à l’entreprise de créer un nouveau produit ou de mettre au point une nouvelle technologie. L’innovation ouverte, quant à elle, vise un but plus large et vise tous les moyens pouvant être utilisés par une entreprise pour avoir accès à de la technologie nouvelle2. La co-innovation3, ou innovation collective, est le modèle émergent au sein de la communauté de l’intelligence artificielle. Il vise à promouvoir un écosystème favorisant l’innovation à travers plusieurs entités. La co-innovation peut aller de pair avec la valorisation de la propriété intellectuelle. Elle est susceptible de4 : générer un flux continu d’idées; constituer une large réserve de connaissances, notamment au moyen du partage des données et de leur analyse; favoriser une culture d’innovation par le partage d’une vision et d’objectifs communs entre les partenaires; et créer des stratégies de convergence tacites entre les partenaires qui leurs sont uniques et sont difficiles à reproduire. Ce dernier point est particulièrement important pour ceux qui craignent de perdre les bénéfices de leurs efforts. En effet, dans ce contexte de co-innovation, les intervenants créent entre eux des relations complexes et chacun devient difficilement remplaçable. C’est ce qu’on observe actuellement en intelligence artificielle dans le cas de certains intervenants ayant mis au point des plateformes spécialisées qui s’intègrent dans les solutions d’autres entreprises. Par exemple, dans le cadre de l’intégration des robots conversationnels d’entreprise (chatbots), les développeurs de ces plateformes conversationnelles, les entreprises offrant les outils d’analyse des conversations, les firmes de marketing et les entreprises utilisatrices voient leurs rôles s’entrecroiser. La mise en place d’API (interface de programmation d’application) entre ces intervenants permet d’échanger de manière assez fluide l’information entre elles, chaque joueur ayant alors un rôle privilégié dans son domaine d’expertise. Protéger la propriété intellectuelle dans ce contexte L’innovation ouverte et la co-innovation ne sont pas incompatibles avec la notion de propriété intellectuelle. Des droits de propriété intellectuelles forts favorisent l’innovation ouverte selon les études les plus récentes5, car ils protègent les intervenants de la communauté d’innovation. Plus encore, la propriété intellectuelle peut être un agent de coordination des intervenants6 voire un élément déclencheur permettant à une entreprise d’innover de manière ouverte. Par exemple, dans les cas où les brevets sont possibles7, ceux-ci favorisent l’interaction entre les intervenants pendant l’innovation puisqu’ils protègent l’innovation et en assurent la divulgation. En effet, lorsque la demande de brevet est publiée, les autres intervenants obtiennent par le fait même une description assez complète de la technologie, tout en devenant en mesure d’établir l’identité de l’intervenant qui détient les droits à l’égard de celle-ci. La publication du brevet est donc une forme d’échange de connaissance qui favorise également les alliances entre intervenants. Qui plus est, une licence éventuelle permettrait à l’entreprise de tirer des revenus d’une technologie qu’elle a mise au point si elle choisit de ne pas l’exploiter elle-même. Un exemple de cette évolution de l’innovation provient du milieu universitaire. En effet, plutôt que de se contenter d’accorder des licences sur leurs technologies, les universités offrent maintenant fréquemment des services de transferts technologiques et des partenariats de recherche8. Certaines mesures peuvent être ainsi instaurées pour accélérer le développement des solutions d’intelligence artificielle: Adopter une approche design thinking, prenant en considération la nature fluide de l’innovation. Identifier un écosystème de partenaires, notamment en maintenant une veille sur les brevets et les demandes de brevets publiées. Établir un cadre contractuel souple pour partager des données et permettre leur utilisation entre partenaires. Faire des demandes de brevets, le cas échéant. Faciliter l’obtention de licences sur votre technologie pour vos partenaires. La mise en place de ces mesures passe notamment par des ententes avec divers partenaires. Il est important que vos avocats et agents de brevets soient parties prenantes de ce processus d’innovation pour votre entreprise. Ils doivent notamment faire en sorte que les contrats à intervenir et les mesures de protection de la propriété intellectuelle soient conformes avec l’approche souhaitée en innovation.   Chesbrough, Henry William. Open innovation: The new imperative for creating and profiting from technology. Harvard Business Press, 2003. Gallaud D. (2013) " Collaborative Innovation and Open Innovation. "  In: Carayannis E.G. (eds) Encyclopedia of Creativity, Invention, Innovation and Entrepreneurship. Springer, New York, NY Lee, Sang M., and Silvana Trimi. "Innovation for creating a smart future." Journal of Innovation & Knowledge 3.1 (2018): 1-8. ibid. Da Silva, Mário APM. "Open innovation and IPRs: Mutually incompatible or complementary institutions?." Journal of Innovation & Knowledge 4.4 (2019): 248-252. Bortolami, Giovanni. "Risolvendo il paradosso dell'innovazione: come la protezione della proprietà intellettuale promuove l'innovazione aperta." (2018). Les algorithmes seuls ne sont habituellement pas brevetables, mais plusieurs applications de l’intelligence artificielle peuvent l’être. Voir: https://www.lavery.ca/fr/publications/nos-publications/3167-intelligence-artificielle-propriete-intellectuelle-les-difficultes-pour-proteger-ses-renseignements-personnels-et-sa-vie-privee-au-dela-des-frontieres.html. Nambisan, Satish, Donald Siegel, and Martin Kenney. "On open innovation, platforms, and entrepreneurship." Strategic Entrepreneurship Journal 12.3 (2018): 354-368.

Bon nombre des techniques d’apprentissage automatique les plus avancées ont recours à des réseaux de neurones artificiels, lesquels permettent aux systèmes « d’apprendre » des tâches en assimilant des exemples, et ce, sans avoir été spécialement programmés pour exécuter de telles tâches. Bien que les réseaux neuronaux ne datent pas d’hier, l’avènement de l’apprentissage profond1 et de la capacité des ordinateurs à traiter rapidement de grandes quantités de données a mené à la mise au point d’un éventail de solutions d’apprentissage automatique touchant divers aspects de la vie. De la reconnaissance d’images au traitement de données financières, l’apprentissage automatique devient de plus en plus omniprésent. Selon une perspective mathématique, les réseaux neuronaux modernes utilisent presque toujours des « couches cachées ». Celles-ci traitent l’information de la couche d’entrée vers la couche de sortie du réseau neuronal. Aucune tâche et aucun poids n’est expressément attribué par un programmeur aux neurones des couches cachées. Or, en règle générale, il n’existe aucune façon directe de savoir comment l’information est traitée dans ces couches. En termes simples, la plupart des techniques d’apprentissage automatique actuelles ont recours à des méthodes dont le fonctionnement ne permet pas aux opérateurs humains de connaître l’intégralité des étapes du processus. Par conséquent, les systèmes qui usent de ces méthodes poseront de nouveaux défis juridiques aux avocats. Des chercheurs étudient cette question depuis plus d’une décennie2, mais ils ne sont toujours pas parvenus à donner des réponses définitives. Les questions de cette nature sont au cœur des débats juridiques actuels. Dans une décision de la Cour suprême des États-Unis portant sur une affaire très médiatisée de découpage électoral partisan3, des préoccupations quant à l’apprentissage automatique ont été soulevées par la juge dissidente. Cela n’a rien d’étonnant, compte tenu du fait que les parties ont présenté aux tribunaux inférieurs la preuve portant sur les méthodes de Monte-Carlo par chaînes de Markov4, lesquelles, tout comme les réseaux neuronaux, ne permettent pas à l’opérateur humain de savoir en détail comment chaque donnée entrée affecte les résultats. Dans certains pays, comme aux États-Unis, un utilisateur d’une technologie peut être en mesure de rejeter des demandes de divulgation d’algorithmes et de détails concernant le processus d’apprentissage automatique de ladite technologie en soutenant que ces renseignements sont protégés en tant que secrets commerciaux du fournisseur de la technologie visée5. Malgré tout, il pourrait être nécessaire de communiquer certaines informations, comme les résultats du processus d’apprentissage automatique dans différentes situations, pour démontrer sa fiabilité et son caractère adéquat. Un tel argument pourrait ne pas être valable dans d’autres pays. Par exemple, en France, le Conseil constitutionnel a récemment autorisé l’administration publique à avoir recours à un processus algorithmique dans le cadre de la prise de décision, mais seulement si elle est en mesure de communiquer, en détail et sous une forme intelligible, la façon dont ce processus algorithmique prend ses décisions6. D’un point de vue informatique, il est difficile de satisfaire à ces exigences lorsque l’on considère le concept des couches cachées. Plus important encore, une personne pourrait vouloir communiquer la façon dont une technologie d’apprentissage automatique l’a aidée à prendre une décision afin de prouver qu’elle a agi comme il se doit. Par exemple, pour éviter que leur responsabilité professionnelle soit engagée, certains professionnels de la santé peuvent être appelés à expliquer comment l’apprentissage automatique les a guidés dans leur prise de décision. Une décision récente de la Cour du banc de la Reine de l’Alberta7 relative à la responsabilité professionnelle des médecins démontre à quel point une telle preuve peut être complexe. Dans celle-ci, l’un des facteurs permettant de déterminer la responsabilité du médecin était le poids fœtal et les différentes formules qui auraient pu être utilisées pour l’établir. La Cour a déclaré ce qui suit : « […] l’expertise requise porterait sur le développement des algorithmes utilisés pour les calculs automatisés de l’indicateur composite du poids à la naissance en considérant les recherches empiriques concernant les poids réels à la naissance et les variables ou les facteurs utilisés pour calculer l’indicateur composite du poids à la naissance. Aucune personne ni aucun groupe de personnes ayant une telle expertise n’a témoigné. Je ne tire pas de conclusion en ce qui concerne les calculs du rapport d’échographie du mois de février se basant sur des formules et des estimations du poids différentes. » (Traduction non officielle). Pour les développeurs et les utilisateurs de technologies d’apprentissage automatique, il est donc important de consigner les informations utilisées pour former leur algorithme, la façon dont le système a été mis en place et le raisonnement derrière le choix des diverses méthodes technologiques utilisées pour l’apprentissage automatique. Les informaticiens qui ont développé des applications visant des domaines précis devraient travailler en étroite collaboration avec des experts dans ces domaines afin de veiller à ce que les données utilisées pour former l’algorithme soient adéquates et que l’algorithme en résultant soit fiable. Dans certains cas, il pourrait même être nécessaire de développer des technologies supplémentaires servant à assurer le suivi de l’information qui parcourt le réseau neuronal et à sonder les couches cachées8. Que retenir? Les risques liés à l’usage d’un système incorporant de l’apprentissage automatique doivent être évalués dès sa conception. Il est recommandé de consulter un avocat dès ce moment pour bien orienter le projet. Lorsque c’est possible, il faut orienter les choix technologiques vers des approches robustes dont les résultats seront aussi stables que possible. Il est important de documenter ces choix technologiques et l’information utilisée lors du développement d’algorithmes d’apprentissage automatique. Les contrats entre les concepteurs et les usagers des technologies doivent clairement attribuer les risques entre les parties.   Voir, en particulier : Rina Dechter (1986). Learning while searching in constraint-satisfaction problems. Université de Californie, Département de sciences informatiques, Cognitive Systems Laboratory, 1986.; LeCun, Yann; Bengio, Yoshua; Hinton, Geoffrey (2015). « Deep learning ». Nature. 521 (7553): 436–444. Par exemple : Matthias, Andreas. « The responsibility gap: Ascribing responsibility for the actions of learning automata. » Ethics and information technology 6.3 (2004): 175-183; Singh, Jatinder, et al. « Responsibility & machine learning: Part of a process. » Accessible au SSRN 2860048 (2016); Molnar, Petra et Lex Gill. « Bots at the Gate: A Human Rights Analysis of Automated Decision-Making in Canada’s Immigration and Refugee System. » (2018). Rucho v. Common Cause, No. 18-422, 588 U.S. ___ (2019). 279 F.Supp.3d 587 (2018). Houston Fed. of teachers v. Houston Independent, 251 F.Supp.3d 1168 (2017); Brennan Ctr. for Justice at New York Univ. Sch. of law v. New York City Police Dept. 2017 NY Slip Op 32716(U) (NY Supreme Court). Décision no 2018-765 DC datée du 12 juin 2018 (Loi relative à la protection des données personnelles). DD v. Wong Estate, 2019 ABQB 171. Par exemple : Graves, Alex, Greg Wayne et Ivo Danihelka. Neural Turing Machines. arXiv:1410.5401, [cs.NE], 2014.

Les transactions transfrontalières comportent toujours leur lot de défis; quand elles touchent les technologies d’intelligence artificielle (« IA »), cette complexité est décuplée par des différences importantes dans les droits octroyés par chaque pays. L’analyse de ces transactions nécessite d’examiner à la fois ces différences sous l’angle des risques qu’elles présentent, mais aussi des opportunités qui peuvent en découler. De nombreuses technologies d’IA s’articulent autour de réseaux de neurones, qui nécessitent des quantités colossales de données d’entraînement. La valeur de ces technologies dépend en grande partie de la capacité à protéger la propriété intellectuelle qui y est associée, et celle ci peut notamment prendre la forme d’une approche novatrice, des produits du travail accompli par le système ou des données mêmes qui servent à l’entraîner. Les brevets Lorsque des parties négocient une transaction et vue la rapidité des avancées en intelligence artificielle, le travail implique fréquemment des demandes de brevet, alors que le brevet en soi peut n’être octroyé que des années plus tard. Cette réalité fait aussi en sorte qu’à titre de conseillers, nous devons évaluer les chances de succès de ces demandes de brevets dans de multiples pays. Il est impossible de présumer qu’une demande de brevet en IA qui est acceptable dans un pays le sera dans un autre, ce qui est souvent le cas pour les technologies plus conventionnelles. Si nous regardons du côté des États-Unis, il est évident que le jugement Alice1 rendu il y a quelques années a eu une incidence majeure, et il est depuis difficile de breveter de nombreuses inventions en intelligence artificielle. Certains brevets de cette nature ont été invalidés à la suite de cette décision. Il semble évident des demandes de brevet publiées que de nombreuses grandes entreprises continuent de demander des brevets pour des technologies liées à l’IA, et certaines réussissent à les obtenir. Juste au nord de la frontière, au Canada, la situation est plus nuancée. Il y a quelques années, les tribunaux ont affirmé dans l’affaire Amazon2 que la mise en œuvre d’une fonction avec un ordinateur peut être un élément essentiel d’un brevet valide. Nous sommes toujours en attente d’une décision portant de façon précise sur les systèmes d’intelligence artificielle. En Europe, l’article 52 de la Convention sur le brevet européen stipule que les « programmes d’ordinateur » ne sont pas des inventions brevetables. Cependant, un brevet peut être octroyé si un « problème technique » est résolu par une méthode non évidente3. Ce cadre d’évaluation pourrait permettre à certaines technologies d’intelligence artificielle d’être brevetées. Selon les lignes directrices européennes pour l’examen des demandes de brevet relatives à l’IA et à l’apprentissage machine (en anglais), qui ont récemment été mises à jour, les termes comme « soutien à machine vectoriel », « moteur de raisonnement » et « réseau de neurones » sont reçus avec suspicion puisqu’ils renvoient normalement à des modèles abstraits exempts de tout aspect technique. Cependant, les applications concrètes de l’intelligence artificielle ou de l’apprentissage machine offrent des contributions techniques qui, elles, peuvent être brevetables, par exemple : l’utilisation d’un réseau de neurones dans la conception d’un appareil de surveillance cardiaque dans le but de détecter des battements cardiaques irréguliers; ou la classification de fichiers numériques (images, vidéos, fichiers audio ou signaux de parole) en fonction de caractéristiques de bas niveau comme le contour des images ou les attributs des pixels. Par opposition à ces exemples, le fait de classer des documents texte uniquement sur la base de leur contenu textuel est considéré comme un objectif linguistique plutôt que technique (T 1358/09). L’Office européen des brevets offre aussi comme exemple d’absence d’objectif technique la classification d’enregistrements abstraits de données ou même d’« enregistrements de données de réseaux de télécommunication » sans indication d’une utilisation technique du résultat de cette classification, même si l’algorithme qui sous-tend celle-ci peut présenter des caractéristiques mathématiques intéressantes comme la robustesse (T 1784/06). Au Japon, en vertu des lignes directrices d’examen, il est possible d’accorder un brevet pour les inventions du domaine logiciel qui « réalisent de façon concrète le traitement de l’information exécuté par le logiciel en utilisant le matériel informatique »4. Il pourrait être plus facile de faire breveter un système d’IA dans ce pays. Comme vous pouvez le constater, il est possible d’arriver à différents résultats pour une même invention, selon le pays. Plusieurs poids lourds de l’industrie, dont Google, Microsoft, IBM et Amazon, déposent des demandes de brevet pour des technologies d’intelligence artificielle ou des inventions apparentées. À ce stade, personne ne sait combien de ces demandes déboucheront sur un brevet et lesquelles seront confirmées par les tribunaux. Pour l’instant, la meilleure stratégie consiste possiblement à présenter des demandes pour des méthodes nouvelles et non évidentes avec un niveau de technicité suffisant et comprenant des exemples concrets d’applications, de façon à se protéger si la jurisprudence évolue dans les prochaines années de façon à reconnaître à terme les brevets pour l’IA dans certains pays. Les exceptions juridiques au régime des brevets demeurent5 : Les concepts mathématiques : les relations, formules, équations et calculs mathématiques; Certaines méthodes d’organisation des activités humaines : les pratiques ou principes économiques fondamentaux (notamment les opérations de couverture, l’assurance et l’atténuation du risque), les interactions commerciales ou juridiques (notamment les ententes qui revêtent une forme contractuelle, les obligations, la publicité, le marketing, la vente, les comportements, les relations d’affaires); la gestion du comportement des personnes ou de leurs relations ou interactions; et Les processus mentaux : les opérations du cerveau humain (notamment l’observation, l’évaluation, le jugement et l’opinion). Message à retenir : pour maximiser les chances de se voir octroyer un brevet solide, les demandes qui portent sur une technologie d’intelligence artificielle doivent cerner un problème technique, fournir une description technique détaillée des façons précises dont l’innovation a été concrètement mise à profit pour résoudre ou atténuer le problème technique défini, et donner des exemples des résultats possibles. Pour surmonter les écueils liés à la brevetabilité, il est utile de préciser dans quelle industrie ou dans quel contexte précis l’invention doit être utilisée et d’expliquer les avantages qu’elle offre lorsqu’on la compare aux méthodes ou systèmes connus. Le droit d’auteur Du côté du droit d’auteur, l’IA pose aussi certains problèmes, notamment lorsqu’elle est à l’origine d’une œuvre. Le droit d’auteur peut protéger un logiciel d’intelligence artificielle original qui constituerait une « œuvre littéraire » en vertu de la Loi sur le droit d’auteur, ce qui comprend un code source, les éléments d’une interface, un ensemble de méthodes de communication d’un système de base de données, un système Web, un système d’exploitation ou une bibliothèque de logiciels. Le droit d’auteur peut protéger le contenu d’une base de données si celui-ci correspond à la définition d’une compilation, ce qui étend la protection à la cueillette et l’assemblage de données ou d’autres éléments. Il existe deux difficultés principales quand vient le temps d’évaluer l’admissibilité d’une création d’une IA au régime de droit d’auteur. La première concerne les situations où la machine produit une œuvre sans l’intervention des compétences ou du jugement d’un humain. La seconde touche au concept même d’auteur dans la Loi sur le droit d’auteur, texte de loi qui, sans écarter explicitement les machines, le fait peut-être de façon indirecte par le truchement de son article 5, qui établit que le droit d’auteur existe au Canada dans le cas d’une œuvre originale dont l’auteur était, à la date de la création, citoyen ou résident habituel d’un pays signataire. Nous avons récemment assisté à la création d’œuvres d’art visuel et de musique par des systèmes d’intelligence artificielle. La valeur artistique de ces créations peut faire l’objet de débat. Leur valeur commerciale peut, en revanche, s’avérer considérable; nous n’avons qu’à imaginer une IA qui créerait la trame sonore d’un film. Des projets de recherche d’envergure sont en cours pour vérifier le potentiel des technologies d’intelligence artificielle en matière de programmation de code source pour certains usages précis, par exemple dans les jeux vidéo. Certains pays comme les États-Unis et le Canada ne fournissent aux œuvres créées par des machines aucune protection du droit d’auteur. Au Canada, une décision récente établit explicitement qu’une œuvre doit avoir un auteur humain pour être protégée par la Loi sur le droit d’auteur6. Du côté américain, certains se souviendront peut-être de Naruto, le singe à l’égoportrait. À l’issue du litige qui s’ensuivit, la justice a déterminé que cette photo n’était pas protégée par le droit d’auteur. Bien qu’il soit à l’heure actuelle impossible de deviner les incidences directes de cette affaire sur l’IA, il est tout de même difficile d’imaginer qu’on confère un tel droit à un système d’intelligence artificielle alors qu’on le refuse à un singe. Pendant ce temps, d’autres pays comme le Royaume-Uni, la Nouvelle-Zélande et l’Irlande ont adopté des modifications législatives qui font en sorte que le programmeur à l’origine du système d’IA est normalement le propriétaire de l’œuvre créée par l’ordinateur. Ces modifications ne visaient pas explicitement l’intelligence artificielle, mais il est probable que les formulations larges qui ont été retenues s’appliquent à ce domaine. Par exemple, le droit d’auteur du Royaume-Uni est accordé à « la personne qui pose les gestes nécessaires à la création de l’œuvre »7 [traduction]. L’œuvre générée par un système d’IA pourrait très bien ne pas être protégée par le droit d’auteur au Canada, aux États-Unis et dans de nombreux autres pays, mais l’être dans certaines parties du monde, à tout le moins jusqu’à ce que les deux pays susmentionnés décident de remédier à cette situation par des changements législatifs. Les secrets commerciaux Le droit accorde une protection à toute information secrète qui ne fait pas partie du domaine public. Une personne doit, pour préserver la confidentialité d’une information, adopter des mesures à cette fin, par exemple en requérant de tiers des engagements de non-divulgation. Il n’existe aucun délai de prescription pour cette protection juridique, et elle peut couvrir les informations générées par des machines. Confidentialité des données Certains juristes ont mentionné que le RGPD adopté en Europe s’accorde difficilement avec certaines technologies d’intelligence artificielle sur le plan de la confidentialité des données. Il ne suffit qu’à penser au droit à l’effacement des données et à l’exigence de légalité (absence de discrimination) du traitement de celles-ci, deux aspects qui pourraient s’avérer ardus à mettre en œuvre8. Les réseaux de neurones, par exemple, s’appuient généralement sur des ensembles de données colligés, ou sur un entraînement programmé, par des humains. Par conséquent, ils acquièrent souvent les mêmes biais que les personnes qui les entraînent, et parfois même les aggravent, puisque ces réseaux sont conçus pour déceler des tendances dans les données. Ils peuvent ainsi détecter une tendance et optimiser une situation du point de vue mathématique en parvenant à une solution comportant un préjugé raciste ou sexiste, puisque les machines ne sont pas dotées de valeurs humaines. De plus, les petits ensembles de données qui permettent l’inversion du processus d’apprentissage de la machine s’accompagnent de leurs difficultés propres, puisque le risque de fuites compromettant la confidentialité est présent et que cette situation appelle le droit de demander le retrait de certaines données de l’ensemble d’entraînement, ce dernier droit étant difficile à mettre en œuvre techniquement. Il est aussi nécessaire de tenir compte des lois et des règlements qui sont propres à certaines industries; par exemple, dans le contexte américain, la conformité avec la HIIPA, une loi qui comprend des règles de confidentialité et des protections de nature technique9. Les pratiques doivent ensuite être harmonisées avec les exigences réglementaires locales, comme celles d’organismes publics, qui doivent être respectées pour avoir accès aux données gouvernementales, par exemple, dans le cas du Québec, province de résidence des auteurs, pour les dossiers médicaux électroniques. Dans les cas similaires, le défi consiste à trouver des solutions qui se conforment à l’ensemble des lois applicables. Souvent, il sera nécessaire de créer des systèmes parallèles si les exigences techniques sont incompatibles d’un pays à l’autre.   Alice Corp. v. CLS Bank International, 573 U.S., 134 S. Ct. 2347 (2014). Canada (Procureur général) c. Amazon.com, inc., 2011 CAF 328. T 0469/03 (Clipboard formats VI/MICROSOFT) of 24.2.2006, Office européen des brevets, Chambres de recours, 24 février 2006 [en anglais]. Examination Guidelines for Invention for Specific Fields (Computer-Related Inventions), Office japonais des brevets, avril 2005 [en anglais]. Aux États-Unis, selon les orientations de l’USPTO : https://www.federalregister.gov/documents/2019/01/07/2018-28282/2019-revised-patent-subject-matter-eligibility-guidance . Geophysical Service Incorporated v. Corporation EnCana et al, 2016 ABQB 230 [en anglais]; 2017 ABCA 125 [en anglais]; 2017 CanLII 80435 (CSC). Copyright, Designs and Patents Act, 1988, c. 48, § 9(3) (R.-U.); voir aussi Copyright Act 1994, § 5 (N. Z.); Copyright and Related Rights Act, 2000, Part I, § 2 (Act. No. 28/2000) (Irl.). Règlement général sur la protection des données, (EU) 2016/679, art. 9 et 17. Health Insurance Portability and Accountability Act des États-Unis, 1996 [en anglais].

Le 16 avril dernier, la Cour d’appel fédérale a prononcé un arrêt dénouant une impasse dans laquelle se trouvait le milieu de l’art canadien depuis le 12 juin 2018. En effet, depuis juin 2018, la Commission canadienne d’examen des exportations de biens culturels (la « Commission ») devait tenir compte des conclusions de la Cour fédérale dans l’affaire Heffel Gallery Limited c. Procureur général du Canada1. À la suite de ce jugement, l’éligibilité des œuvres d’art d’origine étrangère a été facilitée en ce qui a trait à l’émission des licences d’exportation de biens culturels2 et compromise quant à l’octroi de certificats fiscaux3. Ainsi, il devenait plus facile d’obtenir une licence aux fins d’exportation d’œuvres d’art à l’étranger et plus difficile d’accéder aux déductions fiscales avantageuses pour les donateurs au profit des institutions muséales canadiennes. Contrairement aux pratiques de la Commission, ce jugement de première instance adoptait une interprétation très restrictive du critère de l’« importance nationale ». Dès lors, l’application des mécanismes de la Loi sur l’exportation et l’importation de biens culturels4 (la « Loi ») s’en trouvait limitée aux œuvres ayant un lien direct avec le Canada. Les œuvres exceptionnelles n’ayant pas été produites au Canada ou par un artiste canadien ne pouvaient plus bénéficier des protections de la Loi lors de l’exportation5 ou faire l’objet de certificats fiscaux Dans sa décision unanime, la Cour d’appel fédérale6 a renversé le jugement de première instance en concluant qu’une œuvre d’un artiste international peut démontrer le degré d’importance nationale requis par la Loi. De ce fait, la Cour d’appel fédérale affirme que le critère de l’« importance nationale » permet de déterminer l’effet qu’entraînerait l’exportation de l’objet pour le pays7. Il en découle qu’une œuvre ou son créateur n’ont pas à entretenir de lien direct avec le Canada pour être admissibles aux déductions fiscales et à l’application du mécanisme de contrôle à l’exportation. Le jugement de première instance Au cœur de ce litige se trouve l’œuvre Iris bleus, jardin du Petit Gennevilliers8 du peintre impressionniste Gustave Caillebotte. En novembre 2016, la Gallery Heffel a tenu une vente aux enchères à l’occasion de laquelle l’œuvre est acquise par une galerie commerciale londonienne. Pour être en mesure de livrer Iris bleus à son acquéreur, la Gallery Heffel a dû faire la demande d’une licence d’exportation à la Commission9 . Cette demande a été refusée par l’experte-vérificatrice au dossier et, par la suite, par le tribunal de révision de la Commission10. À la suite des refus dans ce dossier, la Cour fédérale a été saisie d’une demande de contrôle judiciaire pour laquelle elle devait se prononcer quant au sens à accorder au critère de l’« importance nationale », tel qu’il appert à la Nomenclature des biens culturels canadiens à exportation contrôlée11 (la « Nomenclature »). À l’issue de son analyse, la Cour a considéré que l’interprétation adoptée par la Commission du critère de l’« importance nationale » était trop large12. Même si elle a reconnu la pluralité de la culture canadienne, la Cour fédérale a conclu que les objets couverts par le critère de l’« importance nationale » doivent être directement liés au Canada13. En soutenant cette interprétation, la Cour a adopté une position favorisant expressément les droits de propriété relatifs aux biens culturels ainsi que le libéralisme économique du marché de l’art14. Le jugement de première instance a eu des conséquences malheureuses, notamment la suspension, voire l’annulation, de plusieurs dossiers d’acquisition pour de nombreux musées nationaux15 puisque de généreux donateurs ne pouvaient plus recevoir de certificats fiscaux16. L’arrêt de la Cour d’appel fédérale Dans les motifs de sa décision, la Cour d’appel fédérale rappelle d’abord les grandes lignes du régime juridique applicable ainsi que son objectif premier. En effet, c’est en 1977 que le législateur canadien édicte la Loi sur l’importation et l’exportation de biens culturels17 dans le but de protéger le patrimoine national. En adoptant cette loi, le législateur se conformait à ses engagements internationaux auprès de l’UNESCO pour la lutte contre le trafic des objets culturels18. Le système de nomenclature mis en place par le législateur canadien énonce un nombre de conditions devant être remplies pour que l’exportation d’un objet soit contrôlée en vertu de la Loi19. Si l’objet n’appartient pas à la Nomenclature, une licence d’exportation peut être émise. Dans le cas contraire, un expert-vérificateur détermine si l’objet « (a) présente un intérêt exceptionnel en raison soit de son rapport étroit avec l’histoire du Canada ou la société canadienne, soit de son esthétique, soit de son utilité pour l’étude des arts et des sciences; et (b) revêt une importance nationale telle que sa perte appauvrirait gravement le patrimoine national »20. Selon la Cour d’appel fédérale, la division de première instance a commis une erreur en refusant de traiter avec déférence la décision de la Commission. Autrement dit, lorsqu’elle doit interpréter sa propre loi constitutive, la Commission est la « mieux placée pour comprendre les considérations de politique générale et le contexte qu’il faut connaître pour résoudre toute ambiguïté dans le texte de loi.21 » Cette erreur est significative puisque le législateur a accordé un large pouvoir à la Commission lors de l’évaluation d’un objet selon le critère de l’« importance nationale ». Plus particulièrement, ce pouvoir reconnait l’expertise des membres nommés à la Commission selon leurs spécialisations dans les domaines des biens culturels, du patrimoine et des institutions muséales22. Conclusion Les institutions muséales ont accueilli ce dénouement jurisprudentiel avec soulagement. En reconnaissant qu’une œuvre puisse être d’une importance nationale sans être canadienne, cet arrêt vient cristalliser l’interprétation de la Loi soutenue par les experts ainsi que les pratiques et usages qui en découlaient dans le milieu culturel avant le jugement de première instance. Ainsi, les donateurs qui possèdent des œuvres exceptionnelles d’artistes étrangers peuvent à nouveau les offrir aux collections muséales canadiennes et profiter en retour des incitatifs fiscaux. La Cour d’appel fédérale conclut en réitérant l’objet des mesures législatives en place, soit la prévention contre « la ghettoïsation culturelle des établissements canadiens en leur permettant d’acheter des œuvres d’art en vue de préserver le patrimoine culturel au profit des générations à venir »23.   2018 CF 605. Loi sur l’exportation et l’importation de biens culturels, L.R.C. 1985, c. C-51, art. 7-16. Id., art. 32 et 33. Le certificat fiscal est le mécanisme de la Loi sur l’exportation et l’importation de biens culturels (la « Loi ») permettant aux donateurs offrant des œuvres aux institutions muséales canadiennes de profiter des déductions fiscales prévues à la Loi de l’impôt sur le revenu. Préc., note 2. Selon ce qui est prévu à la Loi sur l’exportation et l’importation de biens culturels, les musées peuvent se prévaloir d’un droit d’achat prioritaire gelant pour 6 mois l’exportation de toute œuvre considérée comme exceptionnelle et d'importance nationale. Procureur général du Canada c. Heffel Gallery Limited, 2019 CAF 82. Id., par. 37. 1982, huile sur toile, 21 ¾ x 18 ¼ pouces. Loi sur l’exportation et l’importation de biens culturels, préc., note 2, art. 8(3) et 40. Heffel Gallery Limited c. Procureur général du Canada, préc., note 1, par. 8. C.R.C., c. 448. Heffel Gallery Limited c. Procureur général du Canada, préc., note 1, par. 12. Id., par. 20-21. Id., par. 26-27. Voir à ce sujet Catherine LALONDE, « Des dons qui échappent aux musées », Le Devoir, 19 décembre 2018. Loi sur l’exportation et l’importation de biens culturels, préc., note 2, art. 32 et 33. Préc., note 2. Pour se conformer à leur engagement conformément à la Convention concernant les mesures à prendre pour interdire et empêcher l’importation, l’exportation et le transfert de propriétés illicites des biens culturels, 14 novembre 1970, 823 R.T.N.U. 231 (entrée en vigueur le 24 avril 1972), les pays signataires devaient adopter des disposition législatives assurant un contrôle transfrontalier des biens culturels. L’objet doit appartenir à l’une des catégories bien définies de la Nomenclature, avoir au moins cinquante ans et s’il s’agit du produit d’une personne physique, son auteur doit être décédé. De plus, lorsque l’objet n’est pas d’origine canadienne, il doit être situé au Canada depuis au moins 35 ans. Loi sur l’exportation et l’importation de biens culturels, préc., note 2, art. 11(1), nos soulignements. Canada (Commission canadienne des droits de la personne) c. Canada (Procureur général), 2018 CSC 31, cité dans Procureur général du Canada c. Heffel Gallery Limited, préc. note 16, par. 52. Procureur général du Canada c. Heffel Gallery Limited, préc., note 6, par. 33. Id., par. 57.