Technologies et divertissement

Dans l’arrêt Société canadienne des auteurs, compositeurs et éditeurs de musique c. Entertainment Software Association1 (l’« Arrêt SOCAN »), la Cour suprême du Canada s’est prononcée quant à l’obligation de verser une redevance pour la mise à disposition du public d’une œuvre sur un serveur en vue de sa diffusion ou son téléchargement ultérieur. Par le fait même, elle clarifie la norme applicable en appel lorsque les cours de justice et les organismes administratifs ont des compétences concurrentes en première instance et elle revisite les objectifs de la Loi sur le droit d’auteur2 et son interprétation à la lumière du Traité de l’OMPI sur le droit d’auteur3. La Cour suprême en profite également pour réitérer l’importance du principe de neutralité technologique quant à l’application et l’interprétation de la LDA. Ce rappel est transposable à d’autres médiums artistiques et il est d’une très grande actualité dans un contexte où le marché des arts visuels numériques connaît un engouement particulièrement important, notamment avec la production et la vente de jetons non fongibles (« NFT »). En 2012, les autorités législatives canadiennes ont modifié la LDA en adoptant la Loi sur la modernisation du droit d’auteur4 afin d’intégrer au droit canadien les obligations du Canada en vertu du Traité et plus particulièrement, d’harmoniser le régime juridique canadien en matière de droit d’auteur avec les règles internationales relatives aux technologies nouvelles et émergentes. La LMDA a introduit trois articles relatifs à la « mise à la disposition » dont l’article 2.4 (1.1) LDA s’appliquant aux œuvres originales et clarifiant l’article 3(1)f) qui confère aux auteurs le droit exclusif de « communiquer au public, par télécommunication, une œuvre » : 2.4 (1.1) LDA. « Pour l’application de la présente loi, constitue notamment une communication au public par télécommunication le fait de mettre à la disposition du public par télécommunication une œuvre ou un autre objet du droit d’auteur de manière que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement. » Avant l’entrée en vigueur de la LMDA, la Cour suprême a également conclu que le téléchargement d’une œuvre musicale sur Internet n’était pas une communication par télécommunication au sens de l’article 3(1)f) LDA5 alors que les diffusions en continu étaient visées par cet article6. Suivant l’entrée en vigueur de la LDMA, la Commission du droit d’auteur du Canada (la « Commission ») a reçu des observations concernant l’application de l’article 2.4 (1.1) LDA. La Société canadienne des auteurs, compositeurs et éditeurs de musique (« SOCAN ») y soutenait notamment que l’article 2.42.4 (1.1) LDA obligeait les utilisateurs à payer des redevances lorsqu’une œuvre était publiée sur Internet, ne faisant aucune distinction entre le téléchargement de l’œuvre, sa diffusion en continu et le cas des œuvres publiées, mais jamais transmises. La position de la SOCAN avait pour conséquence qu’une redevance devait être versée chaque fois qu’une œuvre était mise à la disposition du public, qu’elle soit téléchargée ou diffusée en continu. Ainsi, pour chaque téléchargement, une redevance de reproduction devait être payée et pour chaque diffusion en continu, une redevance d’exécution devait être payée. Historique judiciaire Décision de la Commission7 La Commission retient l’interprétation de la SOCAN voulant que la mise à la disposition du public d’une œuvre est une « communication ». Selon cette interprétation, deux redevances sont ainsi dues lorsqu’une œuvre est publiée en ligne : dans un premier temps lorsqu’elle est mise à la disposition du public en ligne et dans un second temps, lorsqu’elle est diffusée en continu ou téléchargée. Cette décision de la Commission reposait en grande partie sur son interprétation de l’article 8 du Traité selon laquelle l’acte de « mise à la disposition d’une œuvre » nécessite une protection distincte des États membres, justifiant une rémunération. Arrêt de la Cour d’appel fédérale8 Entertainment Software Association, Apple inc. et leurs filiales canadiennes (les « Diffuseurs ») ont porté la Décision de la Commission devant la Cour d’appel fédérale (« CAF »). S’appuyant sur la norme de la décision raisonnable, la CAF infirme la décision de la Commission affirmant qu’une redevance est due seulement lorsque l’œuvre est mise à la disposition du public sur un serveur et qu’aucune redevance n’est due ensuite pour la diffusion en continu. La CAF souligne par ailleurs l’incertitude quant à la norme de contrôle applicable en appel suivant l’arrêt Vavilov9ths pour un cas où un organisme administratif a une compétence concurrente aux cours de justice en première instance. Arrêt SOCAN La Cour suprême rejette le pourvoi de la SOCAN qui lui demande de rétablir la Décision de la Commission. Norme de contrôle en appel La Cour suprême reconnaît être en présence de circonstances rares et exceptionnelles donnant lieu à la création d’une sixième catégorie de questions pour lesquelles la norme de la décision correcte trouve application, soit la compétence concurrente en première instance entre les organismes administratifs et les cours de justice. L’article 2.4 (1.1) LDA donne-t-il droit au versement d’une seconde redevance à chaque téléchargement ou diffusion continue après sa publication sur un serveur pour que l’œuvre soit accessible au public ? Les droits conférés par l’article 3(1) LDA La Cour suprême commence son analyse en considérant les trois droits conférés par la LDA, soit les droits prévus à l’article 3(1) LDA : de produire ou reproduire une œuvre sous une forme matérielle quelconque; d’exécuter l’œuvre ou de la représenter en public; ou de publier une œuvre non publiée. Ces trois droits sont des droits distincts et une activité ne peut être rattachée qu’à un seul de ces droits. Par exemple, l’exécution de l’œuvre est passagère et permet à l’auteur de conserver un plus grand contrôle sur leurs œuvres que les reproductions. Ainsi, « le droit de l’auteur à l’égard de l’exécution entre en jeu pendant la période limitée où l’utilisateur profite de l’œuvre lors de l’activité. Une reproduction, en revanche, donne à l’utilisateur une copie durable de l’œuvre. »10 La Cour suprême souligne par ailleurs qu’une activité qui ne fait pas intervenir l’un des trois droits de l’article 3(1) LDA ou les droits moraux de l’auteur n’est pas protégée par la LDA et pour cette raison, aucune redevance ne doit être versée en lien avec cette activité. La Cour rappelle ses enseignements antérieurs voulant que le téléchargement ou la diffusion en continu d’une œuvre correspond pour chaque cas de figure à une activité distincte protégée, soit la reproduction pour les téléchargements et l’exécution pour la diffusion en continu. Elle souligne également que le téléchargement n’est pas une communication visée à l’article 3 (1)f) LDA et que la mise à disposition d’une œuvre sur un serveur n’est pas une activité distincte des trois droits justifiant rémunération.11 Objet de la LDA et principe de la neutralité technologique La Cour suprême critique la Décision de la Commission en ce qu’elle viole le principe de neutralité technologique, notamment en exigeant que les utilisateurs paient des redevances additionnelles pour accéder aux œuvres en ligne. La LMDA avait pour objectif d’« éliminer la spécificité technologique des dispositions de la LDA »12 et de marquer, par le fait même, l’adhésion du Canada au principe de la neutralité technologique. Le principe de neutralité technologique est expliqué plus en détail par la Cour suprême : [63] Selon le principe de la neutralité technologique, en l’absence d’une intention contraire du Parlement, la Loi sur le droit d’auteur ne devrait pas être interprétée de manière à favoriser ou à défavoriser une forme de technologie en particulier : SRC, par. 66. La distribution d’œuvres équivalentes sur le plan fonctionnel par des moyens technologiques anciens ou nouveaux devrait mettre en jeu les mêmes droits : Société canadienne des auteurs, compositeurs et éditeurs de musique c. Bell Canada, 2012 CSC 36, [2012] 2 R.C.S. 326, par. 43; SRC, par. 72. Par exemple, l’achat d’un album en ligne devrait faire intervenir les mêmes droits, et donner lieu aux mêmes redevances, que l’acquisition d’un album effectuée dans un magasin physique, étant donné que ces façons d’acheter les œuvres protégées par le droit d’auteur sont équivalentes sur le plan fonctionnel. Ce qui compte, c’est ce que l’utilisateur reçoit, et non la manière dont il le reçoit : ESA, par. 5-6 et 9; Rogers, par. 29. Dans son sommaire de la LMDA, lequel précède le préambule, le Parlement a signalé son adhésion au principe de la neutralité technologique en déclarant que les modifications visaient à « éliminer la spécificité technologique des dispositions de la [Loi sur le droit d’auteur] ». La Cour suprême affirme que le principe de neutralité technologique doit être observé à l’aune des objectifs de la LDA qui n’existe pas uniquement pour la protection des droits des auteurs, mais afin d’établir un équilibre entre les droits des utilisateurs et les droits des auteurs, en facilitant la diffusion des œuvres artistiques et intellectuelles afin d’enrichir la société et d’offrir une inspiration aux autres créateurs. Par conséquent, « ce qui compte, c’est ce que reçoit l’utilisateur, et non la manière dont il le reçoit. »13 Ainsi, que la reproduction ou la diffusion de l’œuvre ait lieu en ligne ou hors ligne, les mêmes droits d’auteur s’appliquent et donnent lieu aux mêmes redevances. Quelle est la bonne interprétation de l’article 2.4 (1.1) LDA ? L’article 8 du Traité La Cour suprême rappelle que les traités de droit international sont pertinents à l’étape du contexte en matière d’interprétation législative et qu’ils peuvent être examinés sans qu’il y ait d’ambiguïté dans le texte d’une loi14. Par ailleurs, si le texte de la loi le permet, elle devra être interprétée conformément aux obligations du Canada découlant du traité selon la présomption de conformité selon laquelle un traité ne peut pas évincer l’intention claire du législateur15. Elle conclut que l’article 2.4 (1.1) LDA avait pour but de mettre en œuvre les obligations du Canada résultant de l’article 8 du Traité et que, par conséquent, le Traité doit être pris en compte dans l’interprétation de l’article 2.4 (1.1) LDA. Même si l’article 8 du Traité confère aux auteurs le droit de contrôler la mise à la disposition du public des œuvres, il ne crée pas un nouveau « droit de mise à la disposition » protégé et donc justifiant une rémunération. Ainsi, il n’en découle pas des « communications distinctes » ou autrement dit, des « exécutions distinctes » 16. L’article 8 du Traité ne crée que deux obligations qui sont : « protéger les transmissions sur demande; et conférer aux auteurs le droit de contrôler comment et quand leur œuvre est mise à la disposition du public pour téléchargement ou diffusion en continu. »17 Le Canada a la liberté de choisir la manière dont ces deux objectifs sont mis en œuvre dans la LDA en recourant soit au droit de distribution, au droit de communication au public, à une combinaison de ces deux droits ou à un nouveau droit18. La Cour suprême conclut que la LDA donne effet aux obligations découlant de l’article 8 du Traité au moyen d’une combinaison des droits en matière d’exécution et représentation, de reproduction et d’autorisation prévus à l’article 3 (1) LDA et respectant le principe de neutralité technologique19. Quelle est l’interprétation de l’article 2.4 (1.1) LDA qui doit être retenue ? L’objectif de l’article 2.4 (1.1) LDA est de préciser le droit de communication visé à l’article 3(1)f) LDA en soulignant qu’il s’applique aux diffusions en continu sur demande. Une unique diffusion en continu sur demande à un membre du public constitue ainsi une « communication au public » telle que l’entend l’article 3(1)f) LDA20. L’article 2.4(1.1) LDA précise qu’une œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion sur demande21. Par conséquent, la diffusion en continu n’est que le prolongement de l’exécution de l’œuvre qui débute avec sa mise à disposition et une seule redevance doit être perçue en lien avec ce droit : [100] Cette interprétation n’exige pas que l’acte de mise à la disposition de l’œuvre soit considéré comme une exécution distincte de la transmission subséquente de l’œuvre par la diffusion en continu. L’œuvre est exécutée dès qu’elle est mise à la disposition pour diffusion en continu. Une redevance d’exécution doit être payée à ce stade. Si l’utilisateur profite subséquemment de cette exécution en diffusant l’œuvre en continu, il bénéficie d’une exécution déjà en cours, et non d’une nouvelle exécution. Aucune redevance distincte ne doit être payée à ce stade. [traduction] « L’acte de “communication au public” sous la forme d’une “mise à la disposition” est entièrement accompli par la simple mise à la disposition d’une œuvre pour diffusion en continu sur demande. Si l’œuvre est alors effectivement transmise de cette façon, cela ne signifie pas que deux actes sont accomplis : la “mise à la disposition” et la “communication au public”. L’acte entier ainsi accompli sera considéré comme une communication au public » : Ficsor, p. 508. Autrement dit, la mise à la disposition d’une diffusion en continu et une diffusion en continu par un utilisateur sont toutes les deux protégées en tant qu’exécution unique — une communication unique au public. Pour résumer, la Cour suprême a affirmé et clarifié les éléments suivants dans l’Arrêt SOCAN : L’article 3(1)f) LDA ne vise pas le téléchargement d’une œuvre; La mise à disposition d’une œuvre sur un serveur et sa diffusion en continu subséquente constitue la mise en œuvre du seul et même droit à l’exécution de l’œuvre; Conséquemment, une seule redevance doit être versée pour une œuvre versée sur un serveur et qui est ensuite diffusée en continu; Cette interprétation de l’article 2.4(1.1) LDA respecte les obligations internationales du Canada en matière de protection du droit d’auteur; La question de la compétence concurrente en première instance entre les cours de justice et les organismes administratifs est celle de la décision correcte. Alors que les créations artistiques de l’intelligence artificielle se multiplient et qu’un nouveau marché de l’art visuel numérique émerge, propulsé par l’engouement pour les plateformes d’échanges NFT, l’importance du principe de neutralité technologique devient une pierre angulaire pour comprendre les droits d’auteur qui sont attachés à ces nouveaux objets numériques et aux transactions qui les concernent. Fort heureusement, les questions relatives à la musique numérique, à son partage et sa diffusion ont pavé la voie en permettant de repenser les droits d’auteur dans un contexte du numérique. Nous notons par ailleurs que dans des marchés numériques de NFT qui se veulent décentralisés et déréglementés, les droits associés à la propriété intellectuelle sont pour l’instant les seules balises qui sont réellement respectées par les plateformes d’échange et qui appellent à une certaine intervention des propriétaires de ces plateformes. 2022 CSC 30. L.R.C. (1985), c. C-42 (ci-après la « LDA »). R.T. Can. 2014 no 20 (ci-après le « Traité »). L.C. 2012, c. 20 (ci-après la « LMDA »). Entertainment Software Association c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 34. Rogers Communications Inc. c. Société canadienne des auteurs, compositeurs et éditeurs de musique, 2012 CSC 35. Commission du droit d’auteur du Canada, 2017 CanLII 1528886 (ci-après la « Décision de la Commission »). Cour d’appel fédérale, 2020 CAF 100 (ci-après l’« Arrêt de la CAF »). Canada (Ministre de la Citoyenneté et de l’Immigration) c. Vavilov, 2019 CSC 65. Arrêt SOCAN, par. 56. Idem, par. 59. LDMA, préambule. Arrêt SOCAN, par. 70, italique de la CSC. Idem, par. 44-45. Idem, par. 46-48. Idem, par. 74-75. Idem, par. 88. Idem, par. 90. Idem, par. 101 et 108. Idem, par. 91-94. Idem, par. 95 et 99-100.

Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

Emboîtant le pas à l’Australie qui a adopté une loi semblable l’an dernier, le ministre du Patrimoine canadien, Pablo Rodriguez, a récemment présenté au Parlement le projet de loi C-18, dont le titre abrégé est la Loi sur les nouvelles en ligne. Ce projet de loi vise essentiellement à assurer un partage plus équitable des revenus entre les plateformes numériques et les médias d’information canadiens. Si ce projet de loi est adopté, il obligera notamment les plateformes numériques comme Google et Facebook à conclure des accords commerciaux avec les organisations journalistiques pour les textes et reportages qui sont publiés sur ces plateformes. Le projet de loi C-18, déposé le 5 avril 2022, a une portée très large et vise toutes les organisations journalistiques canadiennes, quel que soit le type de média sur lequel elles diffusent leurs nouvelles, dans la mesure où elles répondent à certains critères d'admissibilité. En ce qui concerne les « intermédiaires de nouvelles numériques » sur lesquelles ces nouvelles sont partagées, le projet de loi C-18 vise les plateformes de communication en ligne, notamment un moteur de recherche ou un réseau social, au moyen desquelles les contenus de nouvelles sont rendus disponibles au Canada et qui, en raison de leur taille, sont en situation de déséquilibre quant au partage de revenus qu’elles tirent de l’information diffusée. Le projet de loi C-18 prévoit que ce déséquilibre de négociation sera déterminé par l’évaluation de certains critères comme la taille de la plateforme numérique en cause, le fait que le marché de la plateforme lui accorde ou non un avantage stratégique par rapport aux médias et le fait que la plateforme occupe ou non une position de premier plan au sein du marché. Il s’agit à l’évidence de critères très subjectifs qui rendent difficile la détermination précise de ces intermédiaires. La version actuelle du projet de loi prévoit par ailleurs que ce sont les intermédiaires eux-mêmes qui devront aviser le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») du fait que la loi leur est applicable. Le processus obligatoire de négociation constitue véritablement le cœur du projet de loi C-18. Si celui-ci est adopté dans sa forme actuelle, les exploitants de plateformes numériques seraient en effet tenues de négocier de bonne foi avec les médias canadiens afin de conclure des accords de partage de revenus. À défaut d’entente entre les parties à l’issue du processus de négociation et de médiation prévu par la loi, une formation de trois arbitres pourra être appelée à choisir l’offre finale de l’une ou l’autre des parties, qui sera alors réputée être un accord conclu entre les parties. Le projet de loi C-18 prévoit enfin que les exploitants de plateformes numériques peuvent demander au CRTC d’être exemptés de l’application de la loi si elles ont déjà conclu des accords qui, de l’avis du CRTC, satisfont aux critères suivants: Ils prévoient une indemnisation équitable des entreprises journalistiques pour le contenu de nouvelles rendu disponible par la plateforme numérique; Ils assurent qu’une partie convenable de l’indemnisation soit utilisée par les entreprises de nouvelles pour soutenir la production de contenu de nouvelles locales, régionales et nationales; Ils ne laissent pas l’influence des entreprises porter atteinte à la liberté d’expression et à l’indépendance journalistique dont jouit tout média d’information; Ils contribuent à la viabilité du marché canadien des nouvelles; Ils assurent qu’une partie importante des entreprises de nouvelles locales et indépendantes en bénéficie, ils contribuent à leur viabilité et ils encouragent les modèles d’entreprises novateurs dans le marché canadien des nouvelles; L’éventail des médias d’information qu’ils visent reflète la diversité du marché canadien des nouvelles, notamment en ce qui concerne les langues, les groupes racialisés, les collectivités autochtones, les nouvelles locales et les modèles d’entreprises. Un projet de loi d’une telle envergure fera certainement l’objet d’une étude approfondie par le Parlement canadien et il ne serait pas surprenant que des modifications importantes y soient apportées en cours de route. Certaines précisions seraient d’ailleurs les bienvenues, notamment en ce qui a trait à la détermination précise des entreprises devant être considérées comme des « intermédiaires d'informations numériques ».

Les rançongiciels ont fait tellement de ravages dans les dernières années que plusieurs en oublient les autres risques liés à la cybersécurité. Pour certains, le fait de ne pas détenir de renseignements personnels les immunise contre les pirates informatiques et les cyberincidents. Pour d'autres, tant que leurs ordinateurs continuent de fonctionner, c’est qu’il n’y a aucun logiciel malveillant qui y réside. Malheureusement, la réalité est toute autre. Une nouvelle tendance se dessine à l’horizon, où l’on voit des logiciels malveillants déployés pour détourner de l’information confidentielle, notamment des secrets commerciaux, pour les vendre par la suite à des tiers ou les divulguer au public1. Les médias ont abondamment discuté du logiciel Pegasus utilisé pour épier des journalistes et des opposants politiques à travers le monde, au point où les autorités des États-Unis ont décidé de l’inclure dans leur liste d’interdictions2. Mais l’utilisation de logiciels espions n’est pas limitée à la sphère politique. Récemment, un tribunal californien a condamné une société américaine, 24[7].ai, à payer 30 millions de dollars à une de ses concurrentes, Liveperson3. C'est qu’un logiciel de 24[7].ai était installé côte à côte avec le logiciel de Liveperson sur des systèmes de clients mutuels. Liveperson alléguait dans sa poursuite que 24[7].ai installait des logiciels espions capturant de l’information confidentielle de l’application Liveperson. De plus, les logiciels que 24[7].ai auraient installés faisaient disparaître certaines fonctionnalités de l’application de Liveperson, notamment le bouton activant la fonction de clavardage.  Ce faisant, 24[7].ai aurait interféré dans la relation entre Liveperson et ses clients. Cette saga judiciaire se poursuit d’ailleurs, puisqu’un autre procès devra avoir lieu relativement aux secrets commerciaux d’une cliente de Liveperson4. Ce litige illustre bien que la cybersécurité concerne non seulement les renseignements personnels, mais aussi les secrets commerciaux et même le bon fonctionnement des logiciels d’entreprise. Plusieurs précautions peuvent être prises pour diminuer les risques d’incidents de cybersécurité. Des politiques internes robustes à tous les niveaux dans l’entreprise aident à maintenir un cadre sécuritaire pour les opérations des entreprises. Combinées à une sensibilisation des employés aux enjeux juridiques et commerciaux de la cybersécurité, ces politiques peuvent être des ajouts importants aux meilleures pratiques en informatique. Par ailleurs, la sensibilisation des employés facilite l’adoption de meilleures pratiques, notamment des investigations systématiques des anomalies de fonctionnement et l'utilisation de méthodes de programmation protégeant les secrets commerciaux de l’entreprise. Qui plus est, il peut être opportun de s’assurer que les contrats avec des clients accordent aux fournisseurs informatiques des accès permettant les suivis nécessaires pour assurer la sécurité des deux parties. Finalement, il faut se rappeler que le conseil d’administration doit faire preuve de soin, de diligence et de compétence tout en veillant à l’intérêt supérieur de l’entreprise.  Les administrateurs pourraient être tenus personnellement responsables s’ils manquent à leurs obligations de veiller à ce que des mesures adéquates soient mises en place pour prévenir des cyberincidents, ou s’ils font fi des risques et font preuve d’aveuglement volontaire.  Ainsi, les membres du conseil d’administration doivent faire preuve de vigilance et être formés et sensibilisés en matière de cybersécurité afin de pouvoir intégrer celle-ci dans leur gestion des risques.    Dans une ère où la propriété intellectuelle est devenue l’actif le plus important d’une société, il va de soi qu’il est primordial de mettre en place les outils technologiques, mais aussi les procédures et les politiques requises pour bien la protéger! N’hésitez pas à faire appel aux services de Lavery pour vous conseiller sur les aspects juridiques de la cybersécurité. voir notamment  Carly Page, This new Android spyware mascarades as legitimate apps, Techcrunch, 10 novembre 2021, en ligne : https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps; Carly Page, FBI says ransomware groups are using private financial information to further extort victims, Techcrunch, 2 novembre 2021, en ligne : https://techcrunch.com/2021/11/02/fbi-ransomware-private-financial-extort. Frank Gardener, NSO Group: Israeli spyware company added to US trade blacklist, BBC News, 3 novembre 2021, en ligne: https://www.bbc.com/news/technology-59149651. Thomas Claburn, Spyware, trade-secret theft, and $30m in damages: How two online support partners spectacularly fell out, The Register, 18 juin 2021, en ligne:  https://www.theregister.com/2021/06/18/liveperson_wins_30m_trade_secret. Blake Brittain, LivePerson wins $30 million from [24]7.ai in trade-secret verdict,Reuters, 17 juin 2021, en ligne: https://www.reuters.com/legal/transactional/liveperson-wins-30-million-247ai-trade-secret-verdict-2021-06-17.