Publications

Riches en information pertinente, nos publications vous permettent d’être à l’affût de l’actualité juridique qui vous touche, quel que soit votre secteur d’activité. Nos professionnels s’engagent à vous tenir au fait des dernières nouvelles juridiques, à travers l’analyse des derniers jugements, modifications et entrées en vigueur législatives et réglementaires.

Recherche avancée
  • Projet de loi C-18 : le Canada cherche à forcer les géants du web à indemniser les médias canadiens

    Emboîtant le pas à l’Australie qui a adopté une loi semblable l’an dernier, le ministre du Patrimoine canadien, Pablo Rodriguez, a récemment présenté au Parlement le projet de loi C-18, dont le titre abrégé est la Loi sur les nouvelles en ligne. Ce projet de loi vise essentiellement à assurer un partage plus équitable des revenus entre les plateformes numériques et les médias d’information canadiens. Si ce projet de loi est adopté, il obligera notamment les plateformes numériques comme Google et Facebook à conclure des accords commerciaux avec les organisations journalistiques pour les textes et reportages qui sont publiés sur ces plateformes. Le projet de loi C-18, déposé le 5 avril 2022, a une portée très large et vise toutes les organisations journalistiques canadiennes, quel que soit le type de média sur lequel elles diffusent leurs nouvelles, dans la mesure où elles répondent à certains critères d'admissibilité. En ce qui concerne les « intermédiaires de nouvelles numériques » sur lesquelles ces nouvelles sont partagées, le projet de loi C-18 vise les plateformes de communication en ligne, notamment un moteur de recherche ou un réseau social, au moyen desquelles les contenus de nouvelles sont rendus disponibles au Canada et qui, en raison de leur taille, sont en situation de déséquilibre quant au partage de revenus qu’elles tirent de l’information diffusée. Le projet de loi C-18 prévoit que ce déséquilibre de négociation sera déterminé par l’évaluation de certains critères comme la taille de la plateforme numérique en cause, le fait que le marché de la plateforme lui accorde ou non un avantage stratégique par rapport aux médias et le fait que la plateforme occupe ou non une position de premier plan au sein du marché. Il s’agit à l’évidence de critères très subjectifs qui rendent difficile la détermination précise de ces intermédiaires. La version actuelle du projet de loi prévoit par ailleurs que ce sont les intermédiaires eux-mêmes qui devront aviser le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») du fait que la loi leur est applicable. Le processus obligatoire de négociation constitue véritablement le cœur du projet de loi C-18. Si celui-ci est adopté dans sa forme actuelle, les exploitants de plateformes numériques seraient en effet tenues de négocier de bonne foi avec les médias canadiens afin de conclure des accords de partage de revenus. À défaut d’entente entre les parties à l’issue du processus de négociation et de médiation prévu par la loi, une formation de trois arbitres pourra être appelée à choisir l’offre finale de l’une ou l’autre des parties, qui sera alors réputée être un accord conclu entre les parties. Le projet de loi C-18 prévoit enfin que les exploitants de plateformes numériques peuvent demander au CRTC d’être exemptés de l’application de la loi si elles ont déjà conclu des accords qui, de l’avis du CRTC, satisfont aux critères suivants: Ils prévoient une indemnisation équitable des entreprises journalistiques pour le contenu de nouvelles rendu disponible par la plateforme numérique; Ils assurent qu’une partie convenable de l’indemnisation soit utilisée par les entreprises de nouvelles pour soutenir la production de contenu de nouvelles locales, régionales et nationales; Ils ne laissent pas l’influence des entreprises porter atteinte à la liberté d’expression et à l’indépendance journalistique dont jouit tout média d’information; Ils contribuent à la viabilité du marché canadien des nouvelles; Ils assurent qu’une partie importante des entreprises de nouvelles locales et indépendantes en bénéficie, ils contribuent à leur viabilité et ils encouragent les modèles d’entreprises novateurs dans le marché canadien des nouvelles; L’éventail des médias d’information qu’ils visent reflète la diversité du marché canadien des nouvelles, notamment en ce qui concerne les langues, les groupes racialisés, les collectivités autochtones, les nouvelles locales et les modèles d’entreprises. Un projet de loi d’une telle envergure fera certainement l’objet d’une étude approfondie par le Parlement canadien et il ne serait pas surprenant que des modifications importantes y soient apportées en cours de route. Certaines précisions seraient d’ailleurs les bienvenues, notamment en ce qui a trait à la détermination précise des entreprises devant être considérées comme des « intermédiaires d'informations numériques ».

    Lire la suite
  • Connaissez-vous vos licences open source?

    A-t-on le droit de copier le code source écrit et développé par quelqu’un d’autre? La réponse à cette question dépend du contexte, mais même en contexte d’innovation ouverte, les droits de propriété intellectuelle sont le point de départ de l’analyse requise pour y répondre. Dans le domaine du logiciel, les licences open source (parfois désignées « licences de logiciels ouverts ou libres » ou « licences à source ouverte » (Open Source) permettent de donner à tous accès au code source du logiciel, gratuitement et avec peu de restrictions. Le but est généralement de favoriser l’évolution de ce code en incitant le plus grand nombre de gens à l’utiliser. Linus Torval, le programmeur du noyau Linux (certainement l’un des plus importants projets open source) a récemment déclaré que sans l’approche open source, son projet n’aurait probablement pas survécu1. Cette approche a des conséquences juridiques : la société Vizio est depuis peu visée par une poursuite alléguant le non-respect d’une licence open source de type GPL lors de la conception du logiciel SmartCast OS intégré aux téléviseurs qu’elle fabrique. Elle est poursuivie par Software Freedom Conservacy (« SFC »), un organisme américain sans but lucratif faisant la promotion et la défense de licences open source. Dans le cadre de sa poursuite, SFC allègue notamment que Vizio devait distribuer le code source de SmartCast OS sous la même licence open source, ce que Vizio n’a pas fait, privant les consommateurs de leurs droits2. En droit canadien, l’article 3 de la Loi sur le droit d’auteur3 confère à l’auteur le droit exclusif de produire ou de reproduire la totalité ou une partie importante d’une œuvre originale. Ce principe est repris par tous les pays signataires de la Convention de Berne de 1886, soit la quasi-totalité des pays du monde. Le contrat de licence, qui permet de conférer à une autre personne le droit de reproduire l’œuvre, peut prendre différentes formes. Il permet aussi d’établir l’étendue des droits conférés et les modalités de l’utilisation permise. Mais toutes les licences de type open source ne sont pas équivalentes. Plusieurs permettent aux créateurs d’assortir le droit d’utiliser le code rendu ainsi disponible à diverses conditions. En vertu de ces licences, l’utilisation de l’œuvre ou du logiciel peut être faite par tous, mais est susceptible d’être assujettie aux contraintes suivantes, selon le type de licence en vigueur : Obligation d’affichage : Une licence open sourcepeut exiger la divulgation de certaines informations dans le logiciel ou dans le code source lui-même : Le nom de l’auteur, son pseudonyme ou même son anonymisation, selon le souhait de cet auteur et/ou citation du titre de l’œuvre ou logiciel; La licence d’utilisation de l’œuvre ou du logiciel Open source redistribué; La mention de modification pour chaque fichier modifié; La mention d’exclusion de garantie. Devoir contributif : Certaines licences exigent le partage de toute modification du code open source,à des conditions identiques. Dans certains cas, cette obligation va même jusqu’à inclure tout logiciel qui incorpore le code open source. En d’autres mots, le code dérivé du matériel open source devient aussi open source. Ce devoir contributif peut généralement être catégorisé selon l’un des niveaux suivants : Toute redistribution doit se faire sous la licence initiale, faisant en sorte que le résultat devienne lui aussi open source; Toute redistribution du code, modifié ou non, doit se faire sous la licence initiale, mais un autre code peut être associé ou ajouté sans être assujetti à la licence open source; Toute redistribution se fait sans contrainte de partage. Interdiction de commercialisation : Certaines licences interdisent toute utilisation à des fins commerciales. Apache v2 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui BSD Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui CC BY-NC 4.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseNon CC0 1.0 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué. Utilisation commerciale permiseOui GPLv3 Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel, modifié ou non, ou comportant des composantes ajoutées, doit se faire selon les termes de la licence initiale. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui, mais les sous-licences sont interdites. LGPLv3 Niveau de l’obligation du devoir contributif à la redistributionLa redistribution du logiciel, modifié ou non, doit se faire selon les termes de la licence initiale. De nouvelles composantes peuvent être ajoutées, mais non intégrées, sous d’autres licences non open Source. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Identification de tout changement apporté au code; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui MIT Niveau de l’obligation du devoir contributif à la redistributionToute redistribution du logiciel peut se faire sans obligation de partage. Éléments d’affichage obligatoires Licence du logiciel Open Source redistribué; Mention du droit d’auteur; Exclusion de garantie. Utilisation commerciale permiseOui Il est important de sensibiliser les équipes de programmation aux problématiques pouvant survenir en cas d’utilisation de modules régis par des licences « contaminantes » (telle que la licence CC BY-NC 4.0) dans la conception de logiciels à vocation commerciale. Ces logiciels pourraient perdre une valeur importante en cas d’incorporation de tels modules, rendant ainsi difficile, voire impossible, toute commercialisation du logiciel. Dans un contexte d’innovation ouverte où il est souhaité par les développeurs de partager leur code informatique, notamment pour susciter les collaborations, il est important de bien comprendre la portée de ces diverses licences. Le choix de la licence appropriée doit se faire en tenant compte des objectifs du projet. Par ailleurs, il faut garder à l’esprit qu’il n’est pas toujours possible de changer la licence utilisée pour la distribution du code une fois que celui-ci a commencé à être distribué. Le choix de la licence peut donc avoir des conséquences à long terme sur un projet. David Cassel, Linus Torvalds on Community, Rust and Linux’s Longevity, The NewStack, 1 Oct 2021, en ligne : https://thenewstack.io. Voir le communiqué de presse de SFC : https://sfconservancy.org/copyleft-compliance/vizio.html LRC 1985, c. C-42.

    Lire la suite
  • Adoption du projet de loi 64 : quel impact pour les organismes publics?

    Le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à effectuer un survol des nouvelles exigences pour les organismes publics visés par la Loi sur l’accès. Nous avons préparé une version amendée de la Loi sur l’accès afin de refléter les changements apportés par le projet de loi n 64. 1. Renforcer les mécanismes d’obtention du consentement et accroître le contrôle des individus à l’égard de leurs renseignements personnels Le Projet de loi n° 64 apporte des changements importants à la notion de consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement requis par la Loi sur l’accès aux fins de communication des renseignements personnels devra être demandé distinctement de toute autre information communiquée à la personne concernée (art. 53.1). De plus, tout consentement à la collecte de renseignements personnels sensibles (par exemple des renseignements touchant la santé ou ceux de nature financière qui suscitent un haut degré d’attente raisonnable en matière de vie privée) devra être obtenu de manière expresse (art. 59). Il est maintenant prévu que le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels doit être donné par le titulaire de l’autorité parentale ou le tuteur, alors que celui du mineur de plus de 14 ans pourra être donné par ce dernier, le titulaire de l’autorité parentale ou le tuteur (art. 53.1). Les personnes auront dorénavant le droit d’accéder aux renseignements les concernant recueillis par les organismes publics dans un format technologique structuré et couramment utilisé (le droit à la portabilité) et d’en exiger la communication à un tiers (art. 84). Si une décision fondée exclusivement sur un traitement automatisé de renseignements personnels est prise par un organisme public, la personne concernée doit en être informée. Si la décision produit des effets juridiques ou le touche autrement, l’organisme public devra divulguer à cette personne (i) les renseignements personnels utilisés dans la prise de décision (ii) les raisons et principaux facteurs ayant mené à la décision et (iii) l’existence d’un droit à la rectification des renseignements personnels utilisés dans la prise de décision (art. 65.1).  Les organismes publics qui ont recours à des moyens technologiques permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne doivent maintenant les informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 65.0.1). 2. Protéger les renseignements personnels en amont Les organismes publics devront dorénavant réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services mettant en cause la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 63.5). Cette obligation forcera ainsi les organismes publics à se questionner dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. Dès le début d’un tel projet, les organismes publics devront consulter leur comité d’accès à l’information, dont la création est dorénavant enchâssée dans la Loi sur l’accès. 3. Favoriser la responsabilisation des organismes publics et la transparence des pratiques Les changements apportés par le Projet de loi n° 64 visent également à accroître la transparence des processus employés par les organismes publics dans la collecte et l'utilisation des renseignements personnels, ainsi qu'à mettre l'accent sur la responsabilité. Lorsque la nouvelle loi sera en vigueur, les organismes publics devront publier sur leurs sites Internet les règles encadrant la gouvernance à l’égard des renseignements personnels (art. 63.3). Ces règles pourront prendre la forme d’une politique, d’une directive ou d’un guide et devront prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. Les programmes de formation et de sensibilisation offerts au personnel à cet égard devront également être décrits. Tout organisme public qui recueille des renseignements personnels par un moyen technologique devra diffuser une politique de protection des renseignements personnels en termes simples et clairs (art. 63.4). Un règlement, à être adopté, pourra préciser les renseignements que devra couvrir la politique de protection des renseignements personnels. La communication de renseignements personnels à l’extérieur du Québec devra être divulguée aux personnes concernées (art. 65) et est également assujettie à la réalisation d’une évaluation des facteurs d’impacts sur la vie privée, incluant une analyse du régime juridique applicable dans le lieu où seraient communiqués les renseignements personnels (art. 70.1). La communication à l’extérieur du Québec devra faire l’objet d’une entente écrite (art. 70.1). Un organisme public qui souhaite confier à une personne ou un organisme situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels pour son compte devra entreprendre un exercice similaire. 4. Gérer les incidents de sécurité Lorsque l’organisme public aura des motifs de croire qu’un incident de confidentialité (étant défini comme l’accès, l’utilisation, la communication ou la perte de renseignements personnels) est survenu, il devra prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives. De plus, lorsque l’incident présente un risque de préjudice sérieux pour les personnes concernées, celles-ci et la Commission d’accès à l’information (« CAI ») devront être avisées (sauf si cela est susceptible d’entraver une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions aux lois) (art. 63.7). Un registre des incidents de confidentialité devra être tenu (art. 63.10), dont la teneur pourra être précisée par règlement. 5. Augmentation des pouvoirs de la CAI et des sanctions pécuniaires pouvant être imposées Le CAI, dans l’éventualité d’un incident de confidentialité, pourra ordonner à tout organisme public de prendre des mesures visant à protéger les droits des personnes concernées pour le temps et aux conditions qu’elle détermine, après lui avoir permis de présenter des observations (art. 127.2). La CAI dispose désormais du pouvoir d’imposer des sanctions administratives pécuniaires importantes, qui pourront, pour les organismes publics, atteindre 150 000$ (art. 159). En cas de récidive, ces amendes seront portées au double (art. 164.1). Entrée en vigueur Les modifications apportées par le Projet de loi n°64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions introduites à la Loi sur l’accès aux documents des organismes publics entreront en vigueur deux ans suivant la date de la sanction de la loi, soit le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : Les obligations relatives aux mesures à prendre lors d’incidents de sécurité (art. 63.7) et les pouvoirs de la CAI lors de la divulgation d’un incident de sécurité (art. 127.2); et L’exception quant à la communication sans le consentement à des fins de recherche (art. 67.2.1);  Conclusion Le délai accordé aux organismes publics pour se conformer aux nouvelles dispositions a commencé à courir le 22 septembre 2021, lors de l’adoption du Projet de loi no 64. Nous vous recommandons de nous consulter pour mettre en place les mesures requises pour vous conformer aux nouvelles exigences législatives. L’équipe Lavery se fera un plaisir de répondre à toutes vos questions concernant les modifications annoncées et les incidences possibles pour votre organisation. Les renseignements et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

    Lire la suite
  • Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir

    Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à faire un survol des nouvelles exigences pour les entreprises privées visées par la Loi sur le secteur privé.  Nous avons préparé une version amendée de la Loi sur le secteur privé afin de refléter les changements apportés par le projet de loi n 64. Essentiellement, la loi modifiée tend à donner un meilleur contrôle aux individus sur leurs renseignements personnels, à favoriser la protection des renseignements personnels, à responsabiliser davantage les entreprises et à introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels. Voici une synthèse des principales modifications adoptées par le législateur ainsi que les nouvelles exigences imposées aux entreprises dans ce domaine. Il importe de mentionner que ce nouveau régime de protection des renseignements personnels entrera en vigueur, en grande partie, dans deux ans. 1. Accroître le contrôle des individus sur leurs renseignements personnels et la transparence La nouvelle loi instaure le droit des individus d’accéder aux renseignements les concernant recueillis par les entreprises dans un format technologique structuré et couramment utilisé et d’en exiger la communication à un tiers, à l’exception des renseignements qui sont créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (art. 27). Ce droit est usuellement appelé « droit à la portabilité ». Les entreprises ont maintenant une obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies. Les entreprises ont également la possibilité d’anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues pour les utiliser à des fins sérieuses et légitimes (art. 23). Toutefois, il importe que l’identité des individus concernés ne puisse être restaurée. De plus, les entreprises privées doivent désindexer tout hyperlien permettant d’accéder aux renseignements personnels d’un individu (souvent appelé le droit au « déréférencement ») lorsque sa diffusion contrevient à la loi ou à une ordonnance judiciaire (art. 28.1). Si une organisation prend une décision qui est fondée exclusivement sur le traitement automatisé de renseignements personnels, l’individu concerné doit en être informé, et à sa demande, si la décision produit des effets juridiques ou l’affecte autrement, il doit être informé des renseignements personnels qui ont été utilisés dans la prise de décision, ainsi que des raisons et des principaux facteurs ayant mené à celle-ci. La personne doit également être informée de son droit à la rectification (art. 12.1).  Les organisations qui ont recours à des moyens technologiques permettant d’identifier un individu, de le localiser ou d’effectuer son profilage doivent l’informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 8.1). La communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée. Les entreprises doivent maintenant publier sur leur site Internet en termes simples et clairs leurs règles de gouvernance à l’égard des renseignements personnels (art. 3.2). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. De plus, les entreprises qui recueillent des renseignements personnels par un moyen technologique devront également adopter et publier sur leur site Internet une politique de confidentialité en termes simples et clairs (art. 8.2). La nouvelle loi prévoit également que les entreprises qui refusent une demande d’accès à l’information doivent dorénavant, en plus de motiver leur refus et d’indiquer la disposition de la Loi sur le secteur privé sur laquelle le refus s’appuie, prêter assistance au requérant qui le demande pour l’aider à comprendre ce refus (art. 34). 2. Favoriser la protection des renseignements personnels et la responsabilisation des entreprises Le projet de loi n° 64 vise à accorder une plus grande part de responsabilité aux entreprises en matière de protection des renseignements personnels. C’est ainsi que les entreprises se voient imposer l’obligation de nommer un responsable de la protection des renseignements personnels, qui par défaut sera la personne ayant la plus haute autorité au sein de leur organisation (art. 3.1). En outre, les entreprises devront réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Cette obligation force ainsi les entreprises à s’interroger dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. L’EFVP devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support (art. 3.3). Les entreprises devront également procéder à une EFVP lorsqu’elles auront l’intention de communiquer des renseignements personnels à l’extérieur du Québec, afin de déterminer si les renseignements bénéficieront d’une protection adéquate eu regard notamment aux principes de protection des renseignements personnels généralement reconnus (art. 17). La communication devra aussi faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés (art. 17 (2)). La communication par les entreprises des renseignements personnels à des fins d’études, de recherche ou de production de statistiques est aussi assujettie à la réalisation d’une EFVP (art. 21). De plus, ce régime est substantiellement modifié puisque le tiers qui souhaite utiliser les renseignements personnels à ces fins doit présenter une demande écrite à la Commission d’accès à l’information (« CAI »), joindre une présentation détaillée de ses activités de recherche et divulguer la liste de toutes les personnes et de tous les organismes auprès desquels il a fait une demande de communication similaire (art. 21.01.1 et 21.01.02). Les entreprises peuvent aussi communiquer un renseignement personnel à un tiers, sans le consentement de l’individu concerné, dans le cadre de l’exécution d’un contrat de service ou d’entreprise. Le mandat devra faire l’objet d’un contrat écrit, qui devra notamment prévoir les mesures de protection des renseignements personnels à respecter par le mandataire ou le prestataire de service (art. 18.3). La communication de renseignements personnels, sans le consentement des individus visés, dans le cadre d’une transaction commerciale entre entreprises privées fait l’objet d’un encadrement supplémentaire (art. 18.4). La notion de transaction commerciale s’entend de « l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations » (art. 18.4). Les entreprises doivent détruire ou rendre anonymes les renseignements personnels recueillis lorsque les fins de la collecte ont été accomplies, sous réserve des délais de conservation prévus par une loi (art. 23). Il s’agit d’un changement important pour les entreprises privées qui peuvent présentement conserver des renseignements personnels caducs s’ils ne les utilisent pas. La nouvelle loi impose aussi l’intégration du principe de la protection de la vie privée par défaut (privacy by default), ce qui implique que les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de divers paramètres de confidentialité doivent s’assurer que ces paramètres assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 9.1). Cela ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion (aussi appelés cookies). Lorsqu’une entreprise a des motifs de croire qu’un incident de confidentialité est survenu, elle doit prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives (art. 3.5). La notion d’incident de confidentialité est définie comme étant l’accès à un renseignement personnel ou l’utilisation, la communication ou la perte de renseignements personnels (art. 3.6). De plus, les entreprises ont l’obligation d’aviser les personnes concernées, ainsi que la Commission d’accès à l’information de chaque incident qui présente un risque sérieux de préjudice, qui s’évalue à la lumière de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables (art. art. 3.7). Les entreprises devront également tenir un registre des incidents de confidentialité qui devra être communiqué à la CAI sur demande (art. 3.8). 3. Renforcer le régime d’obtention du consentement La nouvelle loi modifie la Loi sur le secteur privé de façon à ce que le l’obtention de tout consentement qui y est prévu soit manifeste, libre et éclairé et qu’il soit donné à des fins spécifiques. Ce consentement doit de plus être demandé pour chacune des fins de la collecte, en termes simples et clairs et de manière distincte, de façon à éviter qu’il ne soit obtenu par le biais de conditions d’utilisation complexes et difficilement compréhensibles pour les personnes concernées (art. 14).   Le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels par les entreprises doit être donné par le titulaire de l’autorité parentale, alors que celui du mineur de 14 ans et plus pourra être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur (art. 14). Au sein d’une entreprise, le consentement à la communication d’un renseignement personnel sensible (par exemple des renseignements de santé ou par ailleurs intimes) doit être manifesté de façon expresse (art. 12). 4. Assurer une meilleure conformité aux exigences prévues à la Loi sur le secteur privé La Loi sur le secteur privé est aussi modifiée par l’ajout de nouveaux mécanismes visant à faire en sorte que les entreprises assujetties respectent les exigences qui y sont prévues. D’une part, la CAI se voit accorder le pouvoir d’imposer des sanctions administratives pécuniaires dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise (art. 90.12). En cas de récidive, ces amendes seront portées au double (art. 92.1). De plus, lorsqu’un incident de confidentialité survient au sein d’une entreprise, la CAI peut lui ordonner de prendre des mesures visant à protéger les droits des individus concernés, après lui avoir permis de présenter des observations (art. 81.3). Ensuite, de nouvelles infractions pénales sont créées, pouvant elles aussi mener à l’imposition d’amendes sévères. Pour les entreprises contrevenantes, ces amendes peuvent s’élever jusqu’à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial (art. 91). Finalement, la nouvelle loi crée également un nouveau droit d’action privé. Essentiellement, celui-ci prévoit que lorsqu’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, les tribunaux peuvent accorder des dommages-intérêts punitifs d’une valeur minimale de 1000 $ (art. 93.1). 5. Entrée en vigueur Les modifications apportées par le projet de loi n° 64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions de la Loi sur le secteur privé entreront en vigueur deux ans suivant la date de la sanction de la loi, qui était le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : L’obligation pour les entreprises de désigner un responsable de la protection des renseignements personnels (art. 3.1) L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8) L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4) et L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2). D’autre part, la disposition consacrant le droit à la portabilité des renseignements personnels (art. 27) entrera en vigueur trois ans suivant la sanction de la loi. Les membres de l’équipe Lavery sont disponibles pour répondre à vos questions et pour vous aider à vous conformer aux nouvelles exigences en matière de protection des renseignements personnels introduites dans la Loi sur le secteur privé. Les informations et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

    Lire la suite
  • Perte de renseignements personnels : la Cour supérieure rejette une action collective

    Dans une décision rendue le 26 mars 2021, la Cour supérieure a rejeté une action collective entreprise à l’encontre de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM ») liée à la perte des renseignements personnels de milliers d’investisseurs canadiens1. L’absence d’une preuve de préjudice indemnisable ainsi que la diligence de l’OCRCVM constituent les principaux motifs du rejet de l’action collective. Les faits Le 22 février 2013, un inspecteur de l’OCRCVM a oublié son ordinateur portable dans un lieu public. L’ordinateur, qui contenait des renseignements personnels d’environ 50 000 Canadiens n’a jamais été retrouvé. Ces renseignements avaient initialement été recueillis par différents courtiers en valeurs mobilières sous la surveillance de l’OCRCVM. Monsieur Lamoureux, dont les renseignements étaient contenus dans l’ordinateur, a intenté une action collective au nom de toutes les personnes ayant vu leurs renseignements personnels perdus dans le cadre de cet incident. Il réclamait des dommages compensatoires pour le stress, l’anxiété et l’inquiétude liés à la perte des renseignements personnels ainsi qu’une compensation pour le préjudice lié à l’usurpation ou aux tentatives d’usurpation de l’identité des membres. Il réclamait également des dommages punitifs pour atteinte illicite et intentionnelle au droit au respect de la vie privée protégé par la Charte québécoise des droits et libertés. Sur ce point, les membres prétendaient que l’OCRCVM aurait été insouciante et qu’elle aurait tardé à aviser les personnes concernées, les courtiers et les autorités compétentes. Décision L’action collective est rejetée en totalité. Les dommages compensatoires La Cour supérieure a d’abord pris acte de l’admission de l’OCRCVM qui ne contestait pas avoir commis une faute en raison de la perte de l’ordinateur et du fait que ce dernier n’était pas crypté conformément à ses politiques internes et aux standards de l’industrie. En ce qui a trait aux dommages compensatoires, la Cour a réitéré le principe selon lequel l’existence d’une faute ne présuppose pas celle d’un préjudice; chaque cas doit s’analyser en fonction de la preuve administrée2. En l’espèce, le préjudice allégué par les membres se résumait à : l’inquiétude, la colère, le stress et l’anxiété ressentis face à l’incident; l’obligation de surveiller leurs comptes financiers, notamment les cartes de crédit et comptes bancaires; les inconvénients et la perte de temps pour faire les démarches auprès des agences de renseignements de crédit et veiller à la protection de leurs renseignements personnels; la honte ressentie et les délais occasionnés par la vérification d’identité dans le cadre de leurs demandes de crédit en raison des alertes à leurs dossiers. Dans son analyse, la Cour a retenu que hormis le fait que les membres ont été troublés de façon générale par la perte de leurs renseignements personnels, aucune preuve n’a été faite de difficultés particulières et significatives liées à leur état psychologique. S’appuyant sur l’arrêt Mustapha c. Culligan du Canada Ltée3, la Cour a réitéré que « le droit ne reconnaît pas les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques qui restent en deçà d’un préjudice ». Si le préjudice n’est pas grave et de longue durée et qu’il se limite à des désagréments et craintes ordinaires tributaires de la vie en société, il ne constitue pas un dommage indemnisable. En l’espèce, la Cour a conclu que les sentiments négatifs ressentis à la suite de la perte de renseignements personnels ne permettaient pas de dépasser le seuil des désagréments, angoisses et craintes ordinaires que les personnes vivant en société doivent accepter. Le fait d’avoir à exercer une surveillance plus accrue de ses comptes personnels ne peut se qualifier de préjudice indemnisable puisque les tribunaux assimilent cette pratique à celle « d’une personne raisonnable qui doit protéger ses actifs »4. La Cour a aussi tenu compte du fait que l’OCRCVM a offert gratuitement aux membres l’abonnement à des services de surveillance de crédit et de protection. Par conséquent, elle a conclu qu’aucun dommage ne pouvait être compensé à ce titre. Enfin, les experts ayant été mandatés pour analyser les circonstances et les utilisations illicites des renseignements personnels des investisseurs ont conclu que rien n’indiquait clairement que ces renseignements étaient tombés entre les mains d’un individu ou d’un groupe d’individus à des fins malveillantes bien que la preuve de l’utilisation illicite des renseignements personnels ne soit pas essentielle pour faire valoir une réclamation. Les dommages punitifs Le demandeur, au nom de l’ensemble des membres du groupe, réclamait en outre des dommages punitifs en alléguant que l’OCRCVM aurait fait preuve d’insouciance dans sa gestion de l’incident. Afin d’analyser la diligence de l’OCRCVM, la Cour a retenu les faits suivants.  Dans la semaine suivant la perte de l’ordinateur le 22 février 2013, l’OCRCVM a déclenché une enquête interne. Le 4 mars 2013, l’enquête a révélé que l’ordinateur contenait vraisemblablement les renseignements personnels de milliers de Canadiens. L’OCRCVM a porté plainte à la police. Le 6 mars 2013, elle a mandaté Deloitte pour recenser les renseignements personnels des individus visés, les firmes de courtage et les individus affectés ainsi que pour l’assister dans la gestion des risques et obligations liés à la perte des renseignements personnels. Le 22 mars 2013, Deloitte a informé l’OCRCVM que l’ordinateur contenait des informations « hautement sensibles » et « de sensibilité accrue » de milliers d’investisseurs canadiens. Le 27 mars 2013, l’OCRCVM a avisé la Commission d’accès à l’information (la « CAI ») et le Commissariat à la protection de la vie privée du Canada. Entre le 8 et le 9 avril 2013, l’OCRCVM a rencontré les représentants des firmes de courtage affectés. En parallèle, l’OCRCVM a mandaté des agences de renseignements de crédit pour mettre en place des mesures de protection pour les investisseurs et les firmes de courtage. Elle a également mis en place un centre d’appels bilingue, publié un communiqué relatant la perte de l’ordinateur et transmis une lettre aux investisseurs concernés. La Cour a aussi retenu la preuve d’expert selon laquelle la réponse de l’OCRCVM correspondait aux meilleures pratiques de l’industrie et que les mesures mises en place étaient appropriées dans les circonstances et conformes à d’autres réponses à des incidents de même nature. À la lumière de ces éléments, la Cour a conclu que la perte de l’ordinateur non crypté et la violation du droit à la vie privée qui en découle étaient isolées et non intentionnelles et a en conséquence rejeté la réclamation pour dommages punitifs. Il en ressort que l’OCRCVM n’a pas fait preuve d’insouciance, mais a plutôt agi en temps opportun. Commentaires Cette décision pave la voie dans l’analyse de la conduite diligente d’une entreprise qui verrait les renseignements personnels qu’elle détient potentiellement compromis et confirme qu’une réponse rapide et diligente à un incident de sécurité peut permettre de faire obstacle à une poursuite civile. Cette affaire confirme également que la seule perte des renseignements personnels, aussi sensibles soient-ils, n’est pas suffisante en soi pour justifier une compensation financière, encore faut-il la démonstration probante d’un dommage. Or, les contrariétés et les inconvénients passagers de nature ordinaire ne constituent pas un préjudice indemnisable. La surveillance de ses comptes financiers ne constitue pas une démarche exceptionnelle, mais est plutôt considérée comme la norme à laquelle on s’attend d’une personne raisonnable qui protège ses actifs. Au moment d’écrire ce bulletin, le délai d’appel n’était pas écoulé et le demandeur n’avait pas annoncé ses intentions quant à la possibilité d’appeler du jugement. Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093. Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061, par. 21 et 22. Mustapha c. Culligan du Canada Ltée, 2008 CSC 27, [2008] 2 R.C.S. 114 Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières, 2021 QCCS 1093, par. 73.

    Lire la suite
  • L’intelligence artificielle, bientôt réglementée au Canada?

    Jusqu’à maintenant, aucune réglementation précise n’encadre l’utilisation de l’intelligence artificielle au Canada. Certes, les lois relatives à l’utilisation des renseignements personnels et prohibant la discrimination trouvent toujours application, peu importe qu’il s’agisse de technologies dites d’intelligence artificielle ou de technologies plus conventionnelles. L’application de ces lois à l’intelligence artificielle soulève toutefois plusieurs questions, particulièrement lorsque l’on traite de « réseaux de neurones artificiels » dont l’opacité des algorithmes qui les composent rend difficile la compréhension des mécanismes décisionnels par les personnes concernées. Ces « réseaux de neurones artificiels » ont la particularité de ne permettre que peu d’explications sur leur fonctionnement interne. Le 12 novembre 2020, le Commissariat à la protection de la vie privée du Canada a publié ses recommandations visant la réglementation de l’intelligence artificielle1. Soulignant que les utilisations de l’intelligence artificielle nécessitant des renseignements personnels peuvent avoir de graves conséquences sur la vie privée, le Commissariat y va de plusieurs  recommandations, notamment les suivantes : Obliger ceux qui mettent au point ces systèmes à s’assurer de la protection de la vie privée au moment de la conception des systèmes d’intelligence artificielle ; La création d’un droit des personnes concernées d’obtenir une explication, en termes compréhensibles, leur permettant de comprendre les décisions rendues à leur égard par un système d’intelligence artificielle, de même que s’assurer que ces explications soient fondées sur de l’information exacte et qu’elles ne soient pas discriminatoires ou biaisées ; La création d’un droit de contester les décisions découlant de la prise de décision automatisée ; Le droit de l’autorité de réglementation d’exiger des preuves de ce qui précède. Notons que ces recommandations comprennent la possibilité de l’imposition de sanctions financières aux entreprises qui ne respecteraient pas ce cadre règlementaire. De plus, contrairement à l’approche retenue par le Règlement général sur la protection des données et le projet de loi 64 du gouvernement du Québec, les droits à l’explication et à la contestation ne seraient pas limités aux décisions prises uniquement de manière automatisée, mais viserait aussi les cas où le système d’intelligence artificielle assiste un décideur humain. Il est probable que ces propositions encadrent un jour ou l’autre le fonctionnement de systèmes d’intelligence qui sont déjà en cours de mise au point. Il serait donc prudent pour les concepteurs de tenir compte de ces recommandations et de les intégrer dans leurs paramètres de mise au point des systèmes d’intelligence artificielle dès maintenant Si ces recommandations sont intégrées à la réglementation, il faudra en outre réfléchir aux moyens d’expliquer le fonctionnement des systèmes visés par les décisions prises par l’intelligence artificielle ou s’y appuyant. Comme le mentionnent ces recommandations : « Bien que les secrets commerciaux puissent exiger des organisations qu’elles fassent preuve de prudence dans les explications qu’elles fournissent, une certaine forme d’explication valable serait toujours possible sans compromettre la propriété intellectuelle. »2  C’est pourquoi il pourrait être crucial de faire appel à des avocats spécialisés dans ces questions dès la conception des solutions qui utilisent l’intelligence artificielle et les renseignements personnels. https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/consultations/consultations-terminees/consultation-ai/reg-fw_202011/ Ibid.

    Lire la suite
  • Intelligence artificielle et télétravail : des mesures de sécurité à prendre

    De manière générale, la cybersécurité sera un enjeu important pour les entreprises dans les années à venir. Le télétravail, l’infonuagique et l’arrivée de l’intelligence artificielle font en sorte que d’immenses quantités de données sont susceptibles de devenir la proie de pirates informatiques, attirés par les renseignements personnels ou les secrets commerciaux hébergés qu’elles recèlent. D’un point de vue juridique, les entreprises ont l’obligation de prendre des mesures raisonnables pour protéger les renseignements personnels qu’elles détiennent1. Bien que le cadre juridique ne spécifie pas toujours quels sont ces moyens raisonnables d’un point de vue technologique, il faut néanmoins adopter des mesures qui sont appropriées eu égard à la nature des renseignements personnels. Ces mesures doivent aussi être évaluées en tenant compte de l’évolution des menaces qui pèsent sur les systèmes informatiques. Certaines juridictions vont plus loin, par exemple l’Europe où on demande que la conception même d’une solution informatique intègre des mesures de sécurité2. Aux États-Unis, pour les renseignements médicaux, de nombreuses balises guident les moyens techniques à adopter pour s’assurer de la sécurité des renseignements3. Outre les renseignements personnels qu’elle détient, une entreprise peut aussi vouloir protéger ses secrets commerciaux. Ceux-ci ont souvent une valeur inestimable et leur divulgation à des concurrents pourrait causer un préjudice irréparable à l’entreprise. Aucune technologie n’est à l’abri. Dans un bulletin récent4, la réputée firme Kaspersky nous met en garde contre les risques grandissants posés par certains groupes de pirates organisés qui pourraient vouloir exploiter les faiblesses des systèmes d’exploitation Linux, pourtant réputés très sécuritaires. Kaspersky énumère un certain nombre de failles connues, pouvant servir à mener des attaques visant à obtenir des rançons ou à accéder à de l’information privilégiée. Ce bulletin fait écho aux avertissements émis par le FBI aux États-Unis relativement à la découverte d’un nouveau logiciel malfaisant ciblant Linux5. Les mesures à prendre pour gérer le risque C’est pourquoi il est important de prendre des mesures appropriées pour diminuer ces risques. Pour les administrateurs et dirigeants d’entreprise, il est notamment recommandé : D’adopter des politiques d’entreprise empêchant l’installation de logiciels non sécuritaires par les usagers; D’adopter des politiques de révision et de mises à jour régulières des mesures de sécurité informatiques; De faire effectuer des tests d’intrusion et des audits pour vérifier la sécurité des systèmes; De s’assurer qu’au moins une personne en autorité est responsable de la sécurité informatique. En cas d’intrusion ou, de manière préventive, lorsqu’une entreprise collige et héberge des renseignements personnels sensibles, il est recommandé de consulter un avocat agissant en matière de renseignements personnels ou de secrets commerciaux afin de bien cerner les enjeux juridiques associés à ces questions.   Voir notamment : Loi sur la protection des renseignements personnels dans le secteur privé (Québec), art. 10, Loi sur la protection des renseignements personnels et les documents électroniques (Canada), art. 3. Règlement général sur la protection des données, art. 25. Security Rule, sous le Health Insurance Portability and Accountability Act, 45 CFR Part 160, 164. https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/ https://www.fbi.gov/news/pressrel/press-releases/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecurity-advisory

    Lire la suite
  • Surveillance constante : que change la décision récente pour les CPE, garderies privées et services de garde en milieu familial?

    La Cour du Québec a rendu, le 15 janvier 2020, une importante décision susceptible d’avoir rapidement un impact sur l’ensemble du réseau des services de garde1. Dans son jugement portant sur un manquement à l’obligation de surveillance constante des enfants, la Cour se questionne sur le concept de l’« auto-pause », également connu sous les noms de « pauses jumelées » ou de « pauses autogérées ». Cette pratique répandue consiste à faire surveiller temporairement par un seul membre du personnel de garde, généralement une éducatrice2, deux groupes d’enfants qui font la sieste, afin de permettre à un autre membre du personnel de garde de prendre sa pause. La Cour saisit l’occasion pour circonscrire l’obligation de « surveillance constante » prévue à l’article 100 du Règlement sur les services de garde éducatifs à l’enfance3 (le « Règlement »), applicable sans distinction à tous les prestataires de services de garde : centres de la petite enfance (CPE), garderies et responsables d’un service de garde en milieu familial. La Cour émet enfin des remarques intéressantes quant au calcul des ratios, bien qu’il ne s’agisse pas d’une question centrale au litige. Les motifs et commentaires de la Cour amèneront probablement les prestataires de services de garde à se questionner sur leur organisation, leurs pratiques, leurs directives et même leurs ententes individuelles ou collectives de travail. La décision Les faits En avril 2018, une inspectrice du ministère de la Famille se présente dans un CPE afin de procéder à une inspection complète pour le renouvellement de son permis, ainsi que pour le traitement d’une plainte quant à la surveillance des enfants lors des siestes. En après-midi, l’inspectrice se rend dans un local et constate que sept enfants y sont couchés sur des petits matelas dispersés sur le plancher. Certains d’entre eux ne dorment pas et aucune éducatrice n’est présente. En revanche, dans un local adjacent, une éducatrice est assise le long du mur du fond. Ce second local compte dix autres enfants, également couchés pour la sieste. La preuve démontre qu’une fenêtre d’observation sépare les deux locaux, qui sont également reliés par une salle de bains commune. La Cour souligne qu’au moment des faits, il est impossible pour l’éducatrice d’avoir une vue d’ensemble du local voisin, en raison notamment des meubles qui y sont répartis et qui obstruent partiellement la vue. Un constat d’infraction pour manquement à la constante surveillance est émis au CPE, bien que le fait de placer deux groupes sous la surveillance d’une seule éducatrice à l’heure de la sieste, dans le but de permettre à une collègue de prendre une pause, soit une pratique bien connue. La notion de surveillance constante À ce jour, il n’existe que très peu de décisions portant sur la notion de surveillance constante dans un contexte de garde d’enfants. La Cour saisit donc l’occasion d’approfondir cette notion : « [23] Le CPE (…) doit s’assurer que les enfants à qui il fournit des services de garde sont sous constante surveillance, pour leur sécurité; [24] L’adjectif « constante » est défini ainsi dans le dictionnaire Larousse : « Qui ne s’interrompt pas, qui est continuel; durable. » [25] Dans le Petit Druide des synonymes, sous l’adjectif « constante » l’on peut lire les synonymes : continuel, continu, de tous les instants, incessant, ininterrompu, perpétuel, sans fin. Les antonymes sont : discontinu, intermittent, irrégulier. [26] Le dictionnaire Larousse définit le mot « surveiller » comme étant l’action d’observer attentivement. La juge Rivest précise dans la décision Directrice des poursuites criminelles et pénales c. Centre de la petite enfance (CPE) Le petit sentierqu’il s’agit de l’action de veiller sur quelqu’un dont on a la garde et/ou la responsabilité, en prendre soin, être attentif. [27] Peu de décisions répertoriées traitent de cette question. De ces décisions déposées en plaidoiries, le Tribunal retient que la suffisance de la surveillance dépend des faits propres à chaque affaire. [28] Puisqu’il s’agit de jeunes enfants, le Tribunal considère que cette surveillance doit être visuelle et auditive pour être efficace. » (Références omises) En appliquant ce raisonnement aux faits de l’espèce, la Cour conclut – hors de tout doute raisonnable – que les enfants du groupe où il n’y avait momentanément pas d’éducatrice ne bénéficiaient pas d’une surveillance constante, mais plutôt d’une « surveillance intermittente ». La diligence raisonnable et l’« auto-pause » Au procès, le CPE a présenté une défense dite de « diligence raisonnable » en soutenant avoir pris toutes les précautions raisonnables pour éviter la commission de l’infraction. Il évoque notamment la transmission d’un mémo interne à tous ses employés quant à la façon de procéder lors des « auto-pauses ». Il y est prévu que les éducatrices doivent s’installer près de la fenêtre d’observation et se promener régulièrement entre les deux locaux, afin de s’assurer de l’état des enfants. Dans l’éventualité où un enfant se réveille, la consigne est alors de répondre à son besoin promptement et de lui offrir un jeu calme afin de respecter le moment de sieste des autres enfants. Le CPE démontre que cette directive a été transmise à l’ensemble du personnel et qu’elle est régulièrement abordée lors des réunions. Par ailleurs, une conseillère pédagogique s’assure du respect de celle-ci. Le non-respect de cette obligation est également susceptible de sanctions disciplinaires pouvant mener jusqu’au congédiement. Malgré ce qui précède, la Cour ne retient pas la défense de diligence raisonnable du CPE. Elle indique que dans le cadre de l’« auto-pause », la directive ne permet pas au CPE de respecter la Loi sur les services de garde éducatifs à l’enfance4 (la « Loi »). Il est en effet inévitable, selon elle, que l’éducatrice ait à intervenir auprès d’un enfant à un moment où à un autre et qu’elle ne soit plus en mesure de voir ce qui se passe dans l’autre local. La Cour conclut en ajoutant qu’une personne raisonnable placée dans les mêmes circonstances devrait prévoir du personnel en quantité suffisante pour remplacer les éducatrices pendant leur pause. Sur ce point, elle indique que « [l]a sécurité des enfants doit primer sur les intérêts économiques des prestataires de services [de garde] »5. Plus encore, elle souligne que malgré les efforts du CPE pour veiller au respect de ses directives, c’est le concept même de l’« auto-pause » qui pose problème et qui serait, aux dires de la Cour, « absolument inapproprié »6. Le CPE est ainsi reconnu coupable de manquement à l’obligation de surveillance constante des enfants et condamné au paiement d’une amende. Quelles conséquences pour l’organisation du travail en services de garde? La décision de la Cour entraînera vraisemblablement une remise en question de l’organisation du travail pour de nombreux prestataires de services de garde, en particulier les titulaires de permis qui appliquent le concept de l’« auto-pause ». Les implications pourraient cependant être beaucoup plus larges. Le niveau de surveillance Nous pouvons aisément présumer qu’au quotidien la question de la suffisance de la surveillance pourrait présenter de nombreux défis. La Cour indique qu’elle doit être auditive et visuelle, mais également qu’elle peut varier selon les circonstances. Pourraient donc influencer l’analyse d’une situation des éléments tels que les lieux (résidence privée, installation, parc, etc.), leur aménagement (présence de meubles, taille des ouvertures, etc.), le positionnement des travailleuses et des enfants pendant la prestation de services ou la nature des activités en cours. Étant donné l’exigence posée par la Cour selon laquelle la surveillance doit être à la fois visuelle et auditive, l’évaluation de la suffisance de celle-ci nous apparaît d’autant plus susceptible de soulever des questionnements pour les responsables d’un service de garde en milieu familial et les agentes de conformité des bureaux coordonnateurs qui effectuent les visites de surveillance dans ces milieux. Le calcul des ratios Rappelons que l’infraction reprochée au CPE dans l’affaire présentée ne concerne pas le respect des ratios requis en vertu de la Loi quant au nombre d’enfants et de membres du personnel de garde présents sur les lieux pendant la prestation de services. La question soumise au tribunal visait strictement à déterminer si, au moment de l’inspection, le CPE assurait une surveillance constante des deux groupes d’enfants. Or, bien que la Cour indique qu’elle réserve ses commentaires à ce sujet, elle ajoute néanmoins clairement qu’elle ne partage pas l’interprétation du CPE quant au nombre de membres du personnel de garde présents pour assurer la garde des enfants qu’il reçoit dans son installation. Ainsi, malgré le fait que les éducatrices ne peuvent quitter l’installation pendant leur pause, le tribunal note qu’en ordonnant aux éducatrices de partager leur temps entre deux locaux, le CPE fait fi des ratios prévus à la Loi. On comprend ainsi que le tribunal est d’avis que les ratios prévus à l’article 21 de la Loi seraient applicables à chaque groupe d’enfants et qu’ils ne sauraient être calculés globalement, à l’échelle de l’installation. Le concept de l’« auto-pause » Au regard des faits spécifiques mis en preuve, le tribunal conclut que le concept même de l’« auto-pause » serait inapproprié. Bien que certains puissent dès lors être tentés de conclure que toutes les « auto-pauses » devraient être abolies ou qu’elles sont nécessairement illégales, rappelons que chaque situation devrait être analysée distinctement, selon ses circonstances propres. Ainsi, il n’est pas exclu qu’un titulaire de permis soit en mesure de démontrer qu’il respecte son obligation de constante surveillance, par exemple avec une combinaison de lieux, de ressources, de directives de travail et de protocoles adéquats. Ceci dit, la remise en question par le tribunal du concept même de l’« auto-pause » amènera nécessairement les titulaires de permis à se questionner sur leur organisation du travail. Dans un contexte où le tribunal s’appuie notamment sur son propre calcul des ratios à l’échelle du groupe d’enfants, il pourrait être d’autant plus complexe pour les titulaires de permis de déterminer la portée de leurs obligations. Il en est de même de la façon dont ils pourront y répondre en tenant compte de leur mission, de leur budget, de leurs ressources humaines et matérielles, de leurs ententes individuelles ou collectives de travail et des besoins particuliers des enfants qu’ils reçoivent. Conclusion La décision rendue par la Cour du Québec le 15 janvier 2020 apporte un éclairage sur la notion de constante surveillance dans un contexte de services de garde. Ainsi, pour s’assurer du respect de leurs obligations et éviter l’imposition de sanctions pénales ou administratives, il pourrait être opportun pour les prestataires de services de garde de se questionner sur leur organisation du travail. Un avis d’appel de cette décision a été déposé le 14 février 2020 par le CPE concerné. Nous vous tiendrons informés des développements. Vous aimeriez avoir des précisions à ce sujet ou souhaitez discuter de pistes de solution adaptées à votre situation? N’hésitez pas à contacter notre équipe de professionnels.   Directeur des poursuites criminelles et pénales c. Centre de la petite enfance Soulanges (CPE Soulanges), C.Q. Beauharnois, 760-61-124110-199, 15 janvier 2020 (ci-après DPCP c. CPE Soulanges). Le féminin est utilisé à titre épicène, dans le but d’alléger le texte. RLRQ, c. S-4.1.1, r. 2. RLRQ, c. S-4.1.1. DPCP c. CPE Soulanges, par. 42 Id., par. 45.

    Lire la suite
  • Impact de la technologie sur la pratique du droit

    La technologie fait maintenant partie de notre quotidien, et nous avons appris à l’utiliser. Mais qu’en est-il de nos instances judiciaires? Quel impact la technologie a-t-elle sur l’administration de la preuve et la pratique du droit? La Cour d’appel nous apporte quelques pistes de solution (et de discussion!) dans son récent arrêt Benisty c. Kloda1. Charles Benisty (ci-après, « l’appelant ») entreprend un recours en juin 2009 à l’encontre de Samuel Kloda (ci-après, « l’intimé ») ainsi que contre CIBC Wood Gundy (ci-après, « CIBC »). L’appelant prétend que l’intimé aurait commis des fautes dans l’exécution du mandat qu’il lui avait confié relativement à des transactions financières exécutées entre novembre 2004 et septembre 2008. L’intimé était conseiller financier et premier vice-président de la succursale montréalaise de CIBC. Préalablement à l’institution des procédures, dans le cadre des discussions qui interviennent entre l’intimé et lui, l’appelant enregistre certaines de leurs conversations téléphoniques, à son insu. Il affirme avoir agi ainsi parce qu’il était persuadé que l’intimé lui mentait et procédait à des transactions non autorisées dans ses comptes. Au total, 60 conversations ont été enregistrées entre avril et octobre 2008. En première instance, le juge Benoît Emery rejette le recours de l’appelant. Il accueille l’objection de l’intimé à l’introduction en preuve des enregistrements audio des conversations téléphoniques entre l’intimé et l’appelant. Le juge Emery considère qu’il ne s’agit pas d’un document technologique, mais plutôt d’un élément matériel devant faire l’objet d’une preuve distincte pour en établir l’authenticité et la force probante2. En effet, le juge Emery constate : « il ressort clairement de cette écoute que les enregistrements sont truffés d’interruptions, de coupures, voire d’effacements volontaires ou non »3, et donc qu’ils sont non authentiques. Il explique : « […] ces extraits incomplets et parfois incohérents qui donnent tantôt raison au demandeur tantôt au défendeur, semblent dire tout et son contraire d’où l’obligation d’une preuve autonome de leur fiabilité et de leur authenticité »4. L’appelant se pourvoit en appel du jugement de la Cour supérieure. Il soutient notamment que le juge a erré en déclarant que les enregistrements audio étaient inadmissibles en preuve. Il réitère l’argument voulant que les cassettes, sur lesquelles on retrouve les enregistrements audio des conversations téléphoniques qu’il a eues avec l’intimé, constituent des documents technologiques au sens de la Loi concernant le cadre juridique des technologies de l’information5 (ci-après « L.c.c.j.t.i. »). Il soutient donc que ces cassettes bénéficient de la présomption d’authenticité prévue à l’article 2855 C.c.Q., et que, par conséquent, il incombe à l’intimé d’établir que ce support technologique n’assure pas l’intégrité du document et son authenticité. L’intimé, de son côté, est plutôt d’avis que les enregistrements audio sur support magnétique ne sont pas visés par la L.c.c.j.t.i. Il considère donc qu’il appartient à l’appelant d’en établir l’authenticité. La Cour d’appel constate que l’application et l’interprétation de la L.c.c.j.t.i., entrée en vigueur en 2001, n’a jamais véritablement fait l’objet de décisions des tribunaux et, partant, elle croit utile d’analyser la question qui lui est soumise par les parties. La Cour d’appel était dans cette affaire placée devant une situation particulière : en effet, en première instance, l’appelant avait déposé six (6) cassettes audio sur lesquelles étaient enregistrées ses conversations avec l’intimé, pour une durée d’environ six (6) heures d’enregistrement. Or, en appel, l’appelant avait sélectionné 50 extraits de ces conversations qu’il avait transposés sur un CD d’une durée d’environ une (1) heure. Autrement dit, l’appelant a choisi de substituer un CD aux cassettes produites en Cour supérieure, sous la même cote (P-60). Dans un premier temps, le juge Lévesque, qui rédige les motifs auxquels souscrivent les juges Dufresne et Healy, qualifie les enregistrements audio dans cette affaire d’« éléments matériels de preuve ». Il explique que lorsqu’« une personne est enregistrée à son insu durant une conversation téléphonique ou un entretien, on considérera qu’il s’agit d’un élément matériel de preuve, alors qu’une personne qui s’enregistre elle-même et dicte un récit tend plutôt à établir un témoignage »6. Par conséquent, le juge Lévesque rappelle que pour que l’enregistrement soit admis en preuve, on doit faire la démonstration de son authenticité7. Par la suite, la Cour d’appel se pose la question à savoir si l’enregistrement audio est un « document technologique » au sens de la L.c.c.j.t.i. À cet égard, le juge Lévesque souligne l’existence d’une controverse doctrinale qui qualifie différemment un enregistrement audio sur ruban magnétique, plus communément appelé « une cassette », et un enregistrement sur une clé USB ou un CD. Selon l’auteur Mark Phillips, sur lequel s’appuie l’intimé, une cassette ne serait pas un « document technologique » puisque la technologie relative à la cassette est « analogique », alors que les technologies plus récentes sont numériques (telles que le disque dur magnétique, la clé USB, le CD, etc.). Selon cet auteur, la définition que donne la L.c.c.j.t.i. d’un « document technologique » exclurait donc les documents analogiques. La Cour d’appel ne retient pas la thèse de l’auteur Mark Phillips. Elle privilégie l’interprétation selon laquelle un enregistrement sur ruban magnétique est un document technologique. Malgré les différences constatées dans le texte de l’article 2874 C.c.Q. en comparaison avec celui des articles de la L.c.c.j.t.i., le juge Lévesque considère qu’il est nécessaire de retenir l’interprétation qui est la plus conforme au but de la Loi et à l’intention du législateur. Il constate que la L.c.c.j.t.i. a été adoptée en 2001, alors que le Code civil du Québec l’a été dix (10) ans plus tôt. Ainsi, d’une part, cette loi particulière doit avoir préséance sur les dispositions du Code civil qui ont une portée générale. Au surplus, le juge Lévesque réfère à deux (2) maximes jurisprudentielles qui permettent de déduire l’intention du législateur : [77]  Deux maximes jurisprudentielles permettent de déduire l’intention du législateur. En vertu de la première, « il faut donner préséance à la législation la plus récente, à la norme législative qui est postérieure à l’autre norme en conflit ». En effet, au moment d’adopter une nouvelle loi, le législateur est réputé avoir connaissance de celles qui existent déjà. On peut ainsi présumer qu’il a souhaité abroger tacitement les normes incompatibles avec les nouvelles. Le second principe dicte qu’il faut donner préséance à la loi particulière par rapport à la loi d’application générale. La Cour d’appel en vient donc à la conclusion qu’un enregistrement sur bande magnétique, telle qu’une cassette, est un document technologique. Plus globalement, elle retient qu’un « document technologique » doit être vu comme un document dont le support utilise les technologies de l’information, que ce support soit analogique ou numérique8. Par la suite, la Cour d’appel examine les articles 2855 et 2874 du Code civil, en parallèle avec les articles 5, 6 et 7 de la L.c.c.j.t.i., afin d’en dégager les principes applicables au niveau de la valeur juridique à attribuer au document technologique. Quand y a-t-il présomption d’authenticité? Quand y a-t-il présomption d’intégrité? Quand y a-t-il dispense de preuve pour une partie au moment de l’introduction en preuve d’un document technologique? Après avoir analysé différentes théories soutenues par différents auteurs, la Cour d’appel retient ce qui suit quant à la marche à suivre pour l’introduction en preuve d’un document technologique : [99]  […] les articles 2855 et 2874 C.c.Q. exigent la démonstration d’une preuve indépendante ou distincte d’authenticité du document mis en preuve. Or, un document technologique comprend généralement une documentation inhérente, comme des métadonnées, permettant d’identifier un auteur, la date de confection, ou encore la présence de modifications dans le document. Puisque ces métadonnées constituent une preuve inhérente du document technologique – et non pas une preuve indépendante ou distincte, tel que le requiert la première partie des articles 2855 et 2874 C.c.Q. –, et qu’elles remplissent le même rôle qu’une preuve d’authenticité traditionnelle, le législateur dispense la partie de faire en plus telle preuve distincte. [100]     Ainsi, l’article 7 L.c.c.j.t.i. ne crée pas de présomption d’intégrité du document, mais seulement une présomption que la technologie utilisée par son support permet d’assurer son intégrité, ce que j’ai appelé la fiabilité technologique. La nuance vient du fait qu’une atteinte à l’intégrité du document peut provenir de différentes sources; on peut penser, à titre d’illustration, que l’information peut être altérée ou manipulée par une personne sans que la technologie soit en cause. [101]     Les articles 2855 et 2874 C.c.Q. indiquent qu’une preuve d’authenticité distincte est requise dans le cas visé au troisième alinéa de l’article 5 L.c.c.j.t.i., c’est-à-dire dans le cas où le support ou la technologie ne permet ni d’affirmer ni de dénier que l’intégrité du document est assurée. [102]     Or, l’idée qu’un support technologique est présumé fiable (article 7 L.c.c.j.t.i.) diffère de l’idée qu’un tel support puisse effectivement assurer l’intégrité du document (article 5 al. 3 L.c.c.j.t.i.). La nuance est subtile. Une technologie peut donc être fiable (7 L.c.c.j.t.i.) sans pour autant permettre d’affirmer que l’on puisse en conclure que l’intégrité du document est assurée : cette assurance supplémentaire est offerte par les documents technologiques qui comprennent une documentation inhérente, ou métadonnées, qui font la preuve de l’intégrité du document. [103]     Autrement dit, la dispense de prouver l’authenticité du document s’applique lorsque le support ou la technologie employé permet de constater que l’intégrité du document est assurée. Il ne s’agit pas ici de fiabilité technologique présumée en vertu de l’article 7 L.c.c.j.t.i., mais du cas particulier des documents technologiques qui comprennent des métadonnées et qui, par conséquent, font la preuve de leur propre intégrité. [104]     Par contre, en l’absence de documentation intrinsèque permettant d’assurer l’intégrité du document, soit le cas prévu par l’article 5, al. 3 L.c.c.j.t.i., la partie qui veut produire tel document devra faire cette preuve distincte traditionnelle de son authenticité : […] [105]     Ainsi, lorsqu’un enregistrement audio est accompagné de métadonnées et que cette documentation satisfait, selon le tribunal, à l’exigence d’authenticité du document, la partie qui produit cet enregistrement sera dispensée de faire une preuve d’authenticité. […] En résumé, la partie qui désire mettre en preuve l’enregistrement audio devra prouver son authenticité9, mais n’aura pas à faire la preuve de la fiabilité du support technologique utilisé en raison de la présomption établie par l’article 7 L.c.c.j.t.i. Cet article établit une « présomption de fiabilité » du support technologique selon laquelle la technologie employée permet d’assurer l’intégrité du document. Cette intégrité elle-même n’est pas présumée10. Appliquant ces principes au cas à l’étude, la Cour d’appel en vient à la conclusion que le juge de première instance a erré en décidant que les cassettes ne constituaient pas un document technologique. Elle retient toutefois que le premier juge a eu raison d’affirmer que l’authenticité des enregistrements audio devait être démontrée pour qu’ils soient acceptés en preuve. Donc, en appel, l’appelant n’a pas fourni le même support technologique que lors de la première instance. Six (6) cassettes ont été déposées en Cour supérieure, alors qu’un CD représentant une synthèse de ces enregistrements a plutôt été déposé en Cour d’appel. Or, il ne suffisait pas à la Cour d’appel de comparer la technologie et les supports différents de la preuve présentée, puisqu’il était impossible de distinguer le contenu des cassettes et du CD, afin de déterminer s’ils présentaient la même information. En vertu des règles de preuve, la reproduction d’un original peut être faite par une copie ou un transfert11. La copie sera faite sur un même support, alors que le transfert sera fait sur un support technologique différent de l’original. Puisque la Cour n’avait aucune façon de déterminer avec certitude que le contenu du CD était le même que celui des cassettes, elle a conclu qu’il n’avait tout simplement pas la même valeur juridique. Finalement, la Cour a conclu que l’appelant ne s’était pas déchargé de son fardeau de démontrer une erreur du juge de première instance qui aurait pu justifier son intervention. Ce moyen fut donc rejeté12. Dans l’ensemble, la Cour d’appel rejette de toute façon toutes les autres prétentions de l’appelant, constatant que ce dernier se heurte à un problème de taille : il n’a pas été cru. Nous retenons de cet arrêt que l’administration d’une preuve sur support technologique n’est pas chose simple, et qu’elle ne doit pas être prise à la légère. Il n’est pas facile de naviguer à travers les différentes dispositions à la fois du Code civil et de la Loi concernant le cadre juridique des technologies de l’information, pour en dégager les principes applicables en matière de preuve. La Cour d’appel retient que la présomption d’intégrité de l’article 7 L.c.c.j.t.i. s’applique uniquement au support technologique et non à son contenu. Elle souligne qu’il ne faut pas confondre intégrité d’un document et capacité d’une technologie à l’assurer. Aussi, elle suggère d’appeler la présomption de l’article 7 L.c.c.j.t.i. « présomption de fiabilité technologique » plutôt que « présomption d’intégrité du support ». Enfin, elle précise que l’établissement de l’authenticité d’un enregistrement audio comporte deux (2) volets, à savoir : 1)    les qualités liées aux modalités de confection; et 2)    les qualités liées à l’information elle-même contenue sur le support technologique. Une partie qui désire contester la fiabilité du support technologique doit, en vertu de l’article 89 C.p.c., produire une Déclaration sous serment « énonçant de façon précise les faits et les motifs qui rendent probable l’atteinte à l’intégrité du document ». On retrouve un exemple de l’administration d’une telle preuve technologique dans l’affaire Forest c. Industrielle Alliance13. Dans cette affaire, des photographies extraites du compte Facebook de la demanderesse ont été déposées comme élément matériel de preuve. On y a joint un Affidavit de la stagiaire ayant procédé à la capture d’écran,attestant de l’authenticité du document. Quant à l’identité des locuteurs, le conjoint de la demanderesse a confirmé, lors de l’audition, que c’était bien lui qui avait pris les photographies en question. La partie adverse ne s’étant pas opposée, l’authenticité avait été établie. Bien que le Code civil du Québec et les lois l’entourant tentent de prévoir toutes les situations pouvant survenir dans le cadre de la présentation d’une preuve sur support technologique, il est incontestable que la technologie avance plus rapidement que le législateur. Ceci étant, il appartient également aux juristes de collaborer et d’innover dans l’administration de leur preuve afin de ne pas se retrouver devant un débat sans fin pour déterminer l’authenticité d’une preuve qu’ils tentent de présenter.   2018 QCCA 608 Jugement dont appel, 2015 QCCS 3391, paragr. 91. Jugement dont appel, paragr. 93. Jugement dont appel, paragr. 97. RLRQ, c. C-1.1. Paragraphe 60 Art. 2855 C.c.Q. Paragr. 119 de la décision. C.c.Q., art. 2855 et 2874. Paragr. 120 de la décision. L.c.c.j.t.i., art. 12, 15, 17 et 18 et C.c.Q., art. 2841. Notons que les autres moyens d’appel présentés par l’appelant ont tous été rejetés également, et que la Cour, sous la plume de Jacques J. Lévesque, j.c.a., a rejeté l’appel avec les frais de justice. 2016 QCCS 497.

    Lire la suite
  • Budget 2017 du Canada et intelligence artificielle : votre entreprise est-elle prête?

    Le Budget du 22 mars 2017 du Gouvernement du Canada, dans son « Plan pour l’innovation et les compétences » (http://www.budget.gc.ca/2017/docs/plan/budget-2017-fr.pdf) mentionne que le leadership démontré par le milieu universitaire et celui de la recherche au Canada dans le domaine de l’intelligence artificielle se traduira par une économie plus innovatrice et une croissance économique accrue. Le budget 2017 propose donc de fournir un financement renouvelé et accru de 35 millions de dollars sur cinq ans, à compter de 2017-2018, pour l’Institut canadien de recherches avancées (ICRA), qui jumelle les chercheurs canadiens à des réseaux de recherche en collaboration dirigés par d’éminents chercheurs canadiens et internationaux pour effectuer des travaux sur des sujets qui touchent notamment l’intelligence artificielle et l’apprentissage profond (deep learning). Ces mesures s’ajoutent à plusieurs mesures fiscales fédérales et provinciales intéressantes qui appuient déjà le secteur de l’intelligence artificielle. Au Canada et au Québec, le programme de recherche scientifique et développement expérimental (RS&DE) procure des avantages à deux volets : les dépenses de RS&DE sont déductibles du revenu aux fins de l’impôt et un crédit d’impôt à l’investissement (CII) pour la RS&DE est offert pour réduire l’impôt. Le solde du CII est remboursable dans certains cas. Au Québec, un crédit d’impôt remboursable est également disponible pour le développement des affaires électroniques lorsqu’une société exerce principalement ses activités dans les domaines de la conception de systèmes informatiques ou de l’édition de logiciels et qu’elles sont effectuées dans un établissement situé au Québec. Ce Budget 2017 vise donc à rehausser l’avantage concurrentiel et stratégique du Canada en matière d’intelligence artificielle, et par le fait même celui de Montréal, une ville qui jouit déjà d’une réputation internationale dans ce domaine. Il reconnaît d’entrée de jeu que l’intelligence artificielle, au-delà de toutes les questions d’éthique qui passionnent actuellement la communauté internationale, pourrait permettre de générer une croissance économique solide en améliorant la façon de produire des biens, d’offrir des services et de surmonter divers défis de société. Le Budget ajoute également que l’intelligence artificielle « offre des possibilités dans de nombreux secteurs, de l’agriculture aux services financiers, créant des occasions pour les entreprises de toutes tailles, que ce soit des entreprises technologiques en démarrage ou les plus importantes institutions financières du Canada. » Ce rayonnement du Canada sur la scène internationale passe invariablement par un appui gouvernemental aux programmes de recherche et à l’expertise de nos universités. Ce Budget est donc un pas dans la bonne direction pour faire en sorte que toutes les activités reliées à l’intelligence artificielle, de la R&D à la mise en marché en passant par la création et la distribution des produits et services, demeurent ici au Canada. Le budget 2017 attribue ainsi 125 millions de dollars au lancement d’une stratégie pancanadienne en matière d’intelligence artificielle pour la recherche et le talent afin de favoriser la collaboration entre les principaux centres canadiens d’expertise et renforcer le positionnement du Canada en tant que destination de calibre mondial pour les entreprises désirant investir dans l’intelligence artificielle et l’innovation. Laboratoire juridique Lavery sur l’intelligence artificielle (L3IA) Nous anticipons que d’ici quelques années, toutes les sociétés, entreprises et organisations, dans toutes les sphères d’activités et tous les secteurs, feront appel à certaines formes d’intelligence artificielle dans leurs activités courantes, qu’il s’agisse d’améliorer la productivité ou l’efficacité, d’assurer un meilleur contrôle de la qualité, de conquérir de nouveaux marchés et clients, de mettre en place de nouvelles stratégies marketing, d’améliorer les processus, l’automatisation et la commercialisation ou encore la rentabilité de l’exploitation. Pour cette raison, Lavery a mis sur pied le Laboratoire juridique Lavery sur l’intelligence artificielle (L3IA) qui analyse et suit les développements récents et anticipés dans le domaine de l’intelligence artificielle d’un point de vue juridique. Notre Laboratoire s’intéresse à tous les projets relatifs à l’intelligence artificielle (IA) et à leurs particularités juridiques, notamment quant aux diverses branches et applications de l’intelligence artificielle qui feront rapidement leur apparition dans les entreprises et les industries. Les développements de l’intelligence artificielle, à travers un large éventail de fonctionnalités et d’applications, auront également un impact certain sur plusieurs secteurs et pratiques du droit, de la propriété intellectuelle à la protection des renseignements personnels, en passant par la régie d’entreprise et tous les volets du droit des affaires. Dans nos prochaines publications, l’équipe de notre Laboratoire juridique Lavery sur l’intelligence artificielle (L3IA) analysera de façon plus spécifique certaines applications de l’intelligence artificielle dans différents secteurs.

    Lire la suite
  • La Cour suprême du Canada renforce la protection du privilège relatif au litige en l’élevant au rang de privilège générique

    Dix ans après Blank c. Canada (Ministre de la Justice)1, l’arrêt de référence en matière de privilège relatif au litige, la Cour suprême du Canada a saisi l’occasion qui lui était présentée de réaffirmer et d’approfondir les enseignements dégagés dans cette importante décision. En effet, dans son tout récent arrêt Lizotte c. Aviva, Compagnie d’Assurance du Canada2, rendu le 25 novembre 2016, la plus haute cour du pays a clarifié les contours et renforcé la portée du privilège relatif au litige. Elle s’est aussi intéressée de plus près à la manière dont les législateurs doivent s’y prendre afin de déroger à l’application de ce privilège de common law qui trouve également application en droit civil québécois. Le contexte Cette affaire s’inscrit dans le cadre d’une enquête de la syndique adjointe de la Chambre de l’assurance de dommages à l’endroit d’un expert en sinistre soumis à ses pouvoirs d’enquête en matière déontologique. S’appuyant sur l’article 337 de la Loi sur la distribution de produits et services financiers (la « LDPSF ») qui prévoit l’obligation pour un assureur de fournir « tout document ou tout renseignement » sur les activités d’un représentant sous enquête, la syndique adjointe s’est adressée à la compagnie d’assurance Aviva afin d’obtenir une copie complète d’un dossier de réclamation dont l’expert en sinistre concerné avait la gestion. Aviva s’est opposée à cette demande au motif que certains documents étaient protégés par le privilège relatif au litige. Bien que le litige soit ultérieurement devenu sans objet à la suite de la conclusion d’un règlement hors cour du litige impliquant Aviva et son assurée, la syndique a néanmoins décidé de soumettre à la Cour, par voie de requête en jugement déclaratoire, la question de savoir si le libellé général de l’article 337 de la LDPSF suffit à écarter l’application du privilège relatif au litige. Les caractéristiques du privilège relatif au litige Tel qu’exprimé dans l’arrêt Blank, rendu par la Cour suprême en 2006, le but du privilège relatif au litige est d’assurer l’efficacité du processus de débat contradictoire, en donnant aux parties « la possibilité de préparer leurs arguments en privé, sans ingérence de la partie adverse et sans crainte d’une communication prématurée »3. Le privilège relatif au litige crée donc une immunité de divulgation à l’égard des documents et communications dont l’« objet principal » est la préparation d’un litige. En raison de ses origines, ce privilège a souvent été confondu avec le secret professionnel de l’avocat. L’arrêt Blank est cependant venu marquer une distinction conceptuelle très nette entre ces deux notions. Dans cette affaire, la Cour suprême a ainsi fait remarquer que « [c]es privilèges coexistent souvent et [qu’]on utilise parfois à tort le nom de l’un pour désigner l’autre, mais [que] leur portée, leur durée et leur signification ne coïncident pas »4. La Cour précise également que le privilège relatif au litige, « contrairement au secret professionnel de l’avocat, n’est ni absolu quant à sa portée, ni illimité quant à sa durée ».5 Les distinctions identifiées dans l’arrêt Blank entre ces deux notions sont ainsi réitérées dans l’arrêt Lizotte : le secret professionnel de l’avocat vise à préserver une relation alors que le privilège relatif au litige vise à assurer l’efficacité du processus contradictoire; le secret professionnel est permanent, alors que le privilège relatif au litige est temporaire et s’éteint avec le litige; le privilège relatif au litige s’applique à des parties non représentées, alors même qu’il n’y a aucun besoin de protéger l’accès à des services juridiques; le privilège relatif au litige couvre des documents non confidentiels. En effet, contrairement au secret professionnel, la confidentialité n’est pas une condition essentielle du privilège relatif au litige; le privilège relatif au litige n’a pas pour cible les communications entre un avocat et son client en tant que telles. Malgré les distinctions claires entre ces deux privilèges, l’arrêt Lizotte ne manque pas d’insister sur les traits communs qui les unissent, notamment le fait qu’ils servent une cause commune : l’administration sûre et efficace de la justice6. La Cour est ensuite amenée à se prononcer sur la question de l’opposabilité du privilège relatif au litige à l’égard des tiers, notamment les enquêteurs. Selon la Cour, il n’est pas souhaitable d’exclure les tiers de son application ou de l’exposer aux aléas de procédures disciplinaires et judiciaires qui pourraient mener à la divulgation de documents qui seraient autrement protégés et ce, même en tenant pour acquis qu’il n’existe aucun risque que l’enquête d’un syndic mène à une divulgation de documents privilégiés. En effet, la seule possibilité que le travail d’une partie soit utilisé par le syndic pendant la préparation du litige pourrait, selon la Cour, décourager la mise par écrit des efforts de cette partie7. Ainsi, à moins qu’un tiers puisse satisfaire à une exception reconnue au privilège relatif au litige, celui-ci peut lui être opposé. Enfin, il est intéressant de noter que dans l’arrêt Blank, la Cour a reconnu que si le secret professionnel de l’avocat a bénéficié, au fil des ans, d’une interprétation libérale à la mesure de son importance, il en est tout autrement du privilège relatif au litige dont la portée a dû être adaptée à la tendance favorable dans la législation et la jurisprudence modernes à la divulgation mutuelle et réciproque qui caractérise le processus judiciaire8. La consécration d’un nouveau privilège générique Cette dernière remarque, que l’on pourrait qualifier d’obiter dictum, n’a cependant pas empêché la Cour suprême de pousser plus loin la protection reconnue au privilège relatif au litige à l’occasion de l’arrêt Lizotte en élevant celui-ci au rang de « privilège générique », c’est-àdire un privilège qui comporte une présomption de non-divulgation à chaque fois que ses conditions d’application sont établies; par opposition à un privilège reconnu au cas par cas dont l’application dépend, comme son nom l’indique, d’une analyse particularisée en fonction d’un test à quatre volets comportant une mise en balance des intérêts en cause. La Cour indique : « [36] Ainsi, bien que le privilège relatif au litige se distingue du secret professionnel de l’avocat puisqu’il vise à faciliter un processus, celui du procès contradictoire (Blank, par. 28, citant Sharpe, p. 164-165), et non à protéger une relation, il constitue néanmoins un privilège générique. Il est reconnu par la common law et il fait naître une présomption d’inadmissibilité pour une catégorie de communications, soit celles dont l’objet principal est la préparation d’un litige (Blank, par. 60). [37] C’est donc dire que, à moins que l’on soit dans un cas visé par une des exceptions au privilège relatif au litige, tout document satisfaisant aux conditions de son application sera couvert par une immunité de divulgation. Cela étant, il ne revient pas à une partie revendiquant le privilège relatif au litige d’établir au cas par cas que celui-ci devrait s’appliquer compte tenu des faits de l’espèce et des « intérêts publics » en cause (National Post, par. 58). » Pour saisir toute l’importance de l’arrêt Lizotte, il faut savoir que le droit reconnaît très peu de ces privilèges dits « génériques ». Hormis le secret professionnel de l’avocat qui est « l’exemple de privilège générique le plus remarquable »9, les seuls autres privilèges génériques que nous avons recensés en jurisprudence sont le privilège relatif aux indicateurs de police10, le privilège des communications entre époux11 et le privilège relatif au règlement d’un litige12. La Cour suprême avait même refusé, dans l’arrêt R. c. National Post, la reconnaissance du privilège du secret des sources des journalistes au rang de privilège générique, en soulignant qu’« [i]l est probable qu’à l’avenir, tout nouveau privilège « générique » sera créé, le cas échéant, par une intervention législative ». Les exceptions au privilège relatif au litige À l’instar des autres privilèges génériques, le privilège relatif au litige est sujet à des exceptions clairement définies, plutôt qu’à une mise en balance des intérêts au cas par cas. La Cour a ainsi statué que les exceptions reconnues au secret professionnel de l’avocat sont également applicables au privilège relatif au litige13, à savoir les exceptions relatives à la sécurité publique, à l’innocence d’un accusé et aux communications de nature criminelle. S’y ajoute également l’exception au privilège relatif au litige déjà reconnue dans l’arrêt Blank relativement à la « divulgation d’éléments de preuve démontrant un abus de procédure ou une conduite répréhensible similaire de la part de la partie qui le revendique ». La mise à l’écart législative du privilège relatif au litige Bien qu’il demeure indéniable que le privilège relatif au litige n’a pas le même statut que le secret professionnel de l’avocat – un principe de justice fondamentale et « un droit civil de la plus haute importance dans le système de justice canadien »14 - il n’en demeure pas moins qu’il a été qualifié d’« essentiel au bon fonctionnement du système de justice »15 en ce qu’il se situe au coeur du système accusatoire et contradictoire, et parce qu’il favorise la recherche de la vérité en permettant aux parties de se préparer adéquatement dans le cadre de leur litige. Pour cette raison, la Cour rappelle l’exigence voulant que la modification ou l’abrogation de certaines règles de common law qui ont une importance fondamentale nécessitent l’utilisation par le législateur de termes clairs et explicites. Il en découle qu’une partie ne peut être privée du droit de revendiquer le privilège relatif au litige sans qu’un texte législatif clair et explicite ne le prévoit. Sous ce rapport, l’article 337 de la LDPSF sur lequel s’appuyait la syndique adjointe de la Chambre de l’assurance de dommages n’a pas été jugé suffisant pour écarter l’application de ce privilège. Le législateur québécois, de même que celui des autres provinces et du fédéral, devront donc prendre acte de cet important arrêt et seront vraisemblablement appelés à modifier le libellé des dispositions générales relatives à la production de documents qui ne précisent pas clairement qu’elles s’appliquent aux documents à l’égard desquels le privilège relatif au litige, ou tout autre privilège de même nature, pourrait être invoqué. [2006] 2 R.C.S. 319 (« Blank »). 2016 CSC 52 (« Lizotte »). Blank, par. 27. Id., par. 1. Id., par. 37. Lizotte, par. 24. Id., par. 52. Blank, par. 60, 61. R. c. McClure, [2001] 1 R.C.S. 445, par. 28. R. c. Basi, [2009] 3 R.C.S. 389, par. 22. Loi sur la preuve au Canada, L.R.C. 1985, c. C-5, art. 4(3); R. c. McClure, précité, par. 28. Sable Offshore Energy Inc. c. Ameron International Corp., [2013] 2 R.C.S. 623, par. 12. Smith c. Jones, [1999] 1 R.C.S. 455, par 44. Canada (Procureur général) c. Chambre des notaires du Québec, 2016 CSC 20, par. 5. Canada (Commissaire à la protection de la vie privée) c. Blood Tribe Department of Health, [2008] 2 R.C.S. 574.

    Lire la suite
  • Du « Safe Harbor » au « Privacy Shield » : les premiers jalons d’une nouvelle entente permettant le transfert transatlantique de données avec les États-Unis

    Les États-Unis et l’Union européenne ont récemment conclu une nouvelle entente de principe pour permettre aux entreprises américaines de continuer à recueillir, utiliser et communiquer des renseignements personnels de citoyens européens dans le respect de leurs droits fondamentaux. Pour bien comprendre l’importance de cette nouvelle entente, il faut savoir que dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne avait déclaré invalide l’ancien régime de partage des données – surnommé « Safe Harbor » – qui encadrait notamment la conservation par de nombreuses entreprises américaines, dont les géants du Web comme Facebook et Google, de renseignements personnels concernant des européens. Cet accord transnational prévoyait un mécanisme d’auto-certification des entreprises américaines par lequel ces dernières s’engageaient à respecter un certain nombre de principes directeurs applicables dans l’Espace économique européen (EEE), moyennant quoi elles pouvaient obtenir l’autorisation de recueillir et conserver des renseignements personnels en provenance de l’Union européenne. Rappelons qu’un accord de cette nature est nécessaire pour permettre aux entreprises américaines de détenir des renseignements personnels de citoyens européens puisque le cadre législatif applicable aux États-Unis n’offre pas « le niveau de protection adéquat » des renseignements personnels exigé par les autorités européennes. Or, dans la foulée des révélations d’Edward Snowden relatives à la surveillance de masse exercée par les autorités américaines à partir des données informatiques de plusieurs grandes entreprises, Maximillian Schrems, un citoyen autrichien, a obtenu l’invalidation par la Cour de justice de l’Union européenne de l’accord Safe Harbor1. La Cour y concluait qu’« une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental à la vie privée ». Bien que cette décision était en principe d’application immédiate, le Groupe de travail sur la protection des données (surnommé le « G29 ») — un organe consultatif européen indépendant sur la protection des données et de la vie privée — a sommé les institutions européennes et le gouvernement américain d’agir avant le 31 janvier 2016 pour mettre en place une solution de remplacement. C’est dans ce contexte que le 2 février 2016, la Commission européenne a fait l’annonce très attendue d’un nouvel accord de principe avec les États-Unis, baptisé « Privacy Shield ». Les détails de cet accord n’ont pas encore été dévoilés, mais nous savons d’ores et déjà que le nouveau dispositif imposera des obligations plus strictes et un contrôle plus rigoureux aux entreprises américaines qui traitent des renseignements à caractère personnel en provenance de l’Union européenne. Il est en outre à prévoir que l’accès à ces renseignements par les autorités américaines sera plus étroitement encadré et transparent. Bien qu’en principe cette entente n’affecte pas directement les entreprises canadiennes qui recueillent, utilisent ou communiquent des renseignements personnels de citoyens européens, les entreprises d’ici qui détiennent une filiale américaine ou ont une place d’affaires aux États-Unis et recueillent des renseignements personnels en provenance d’Europe, de même que les entreprises qui confient à un tiers situé aux États-Unis des tâches qui nécessitent la transmission de renseignements personnels sur les ressortissants européens, par exemple à des fins d’hébergement, seraient bien avisées de s’assurer de respecter les conditions de cette nouvelle entente lorsqu’elle entrera en vigueur. Plus de nouvelles à suivre.   Schrems c. Data Protection Commissioner, 2000/520/CE, Cour de justice de l’Union européenne, 6 octobre 2015.

    Lire la suite
  • Loi canadienne anti-pourriel : Entrée en vigueur de la phase 2 et première sanction pécuniaire

    Alors que les entreprises canadiennes se remettent à peine de la première phase de la Loi canadienne anti-pourriel (LCAP), qui vise principalement à encadrer l’envoi de messages électroniques commerciaux non sollicités, une nouvelle série d’exigences applicables à l’installation non autorisée de programmes d’ordinateur est entrée en vigueur le 15 janvier 2015. Tout comme le régime applicable aux messages électroniques commerciaux, le deuxième volet de la Loi canadienne anti-pourriel repose sur un mécanisme d’adhésion plutôt que sur un mécanisme d’autoexclusion. En d’autres mots, lorsque quelqu’un désire installer un logiciel ou un programme informatique sur l’appareil de quelqu’un d’autre, il doit désormais obtenir le consentement du propriétaire ou de l’utilisateur autorisé de l’appareil. Le législateur n’a pas restreint le champ d’application de la loi à des appareils en particulier. Ainsi, l’installation d’un logiciel ou d’un programme informatique sur un ordinateur, un téléphone intelligent, une tablette ou une console de jeu est susceptible d’être visée par le nouveau régime. Il en va de même de l’installation d’un logiciel ou d’un programme informatique sur tout autre dispositif qui a une composante informatique, incluant les voitures, les articles de maison connectés, les montres intelligentes, etc. Puisque l’installation personnelle d’un logiciel ou d’un programme informatique n’est pas visée par la loi, il faut garder à l’esprit que le nouveau régime s’applique uniquement lorsqu’une entreprise installe ou est la source de l’installation d’un logiciel sur l’appareil d’une autre personne dans le cadre d’activités commerciales. À titre d’exemple, le nouveau régime ne s’applique pas lorsque la personne télécharge une application sur son propre appareil. La loi ne s’applique pas non plus à l’employeur qui installe un logiciel ou un programme informatique sur les appareils de l’entreprise. À l’inverse, si l’employeur veut installer un logiciel ou un programme informatique sur un appareil appartenant à l’employé, il doit d’abord obtenir son consentement. En outre, plusieurs cas sont prévus par la loi où la personne est réputée consentir à l’installation du logiciel ou du programme informatique. Notons, par exemple, l’installation de témoins de connexion, de code HTML, de JavaScript ou d’un système d’exploitation tel que Windows, OS/IOS, Linux, Android, Unix et BlackBerry OS. Pour l’instant, si un logiciel ou un programme informatique a été installé sur l’ordinateur d’une autre personne avant le 15 janvier 2015, la personne est également réputée avoir consenti tacitement à l’installation des mises à jour jusqu’au 15 janvier 2018. LE CONSENTEMENT DU PROPRIÉTAIRE OU DE L’UTILISATEUR AUTORISÉ Le consentement exprès doit être recueilli auprès du propriétaire de l’appareil ou d’un utilisateur autorisé. La loi ne définit pas la notion d’ « utilisateur autorisé ». Selon le CRTC, l’utilisateur autorisé s’entend de quiconque a la permission d’utiliser l’appareil. Par exemple, l’employé qui utilise l’appareil fourni par l’entreprise, le conjoint ou les enfants qui utilisent l’appareil familial, le locataire d’un appareil et la personne qui effectue une réparation sur l’appareil, mais uniquement dans la mesure où cette personne effectue les réparations convenues sont des autorisations conformes. Lorsqu’une personne doit obtenir un consentement, elle doit préalablement communiquer au propriétaire ou à l’utilisateur autorisé en termes simples et clairs les renseignements suivants : le motif pour lequel le consentement est sollicité l’identité de la personne qui sollicite le consentement si le consentement est sollicité au nom de quelqu’un d’autre, une déclaration indiquant le nom de la personne qui demande le consentement et le nom de la personne pour qui le consentement est sollicité l’adresse postale et un autre type de coordonnées de cette personne une déclaration indiquant que la personne dont le consentement est demandé peut retirer son consentement une description en termes généraux des fonctions et du but du programme d’ordinateur à être installé En outre, si le logiciel ou le programme informatique recueille des renseignements personnels, interfère avec le contrôle de l’appareil, modifie les réglages de l’appareil ou les données sauvegardées, provoque la communication avec un autre appareil ou permet à un tiers de se connecter à distance à l’insu du propriétaire ou de l’utilisateur autorisé, le consentement doit également prévoir les renseignements suivants : une description de ces fonctions et leur raison d’être une description des effets que ces fonctions auront sur le fonctionnement de l’appareil Toutes les exigences relatives au consentement doivent être remplies avant que le logiciel ou le programme d’ordinateur soit installé. Quant au consentement lui-même, il ne se présume pas et le fardeau de la preuve repose toujours sur la personne qui installe ou cause l’installation d’un logiciel ou d’un programme d’ordinateur. UNE SANCTION DE 1,1 MILLION DE DOLLARS POUR AVOIR ENFREINT LA LOI CANADIENNE ANTI-POURRIEL Le CRTC a récemment réprimandé une entreprise québécoise pour avoir envoyé des messages électroniques commerciaux sans le consentement des destinataires et pour avoir transmis des messages contenant des mécanismes de désabonnement qui ne fonctionnaient pas correctement. La sanction pécuniaire s’élève à 1 100 000 $ pour quatre violations à la loi. L’entreprise dispose d’un délai de 30 jours pour présenter par écrit des observations au CRTC ou payer la sanction. Elle peut également se prévaloir de l’option de demander un engagement auprès du CRTC pour traiter cette question. Rappelons que la Loi canadienne anti-pourriel prévoit des pénalités sévères pour les personnes qui ne se conformeront pas à ses dispositions, incluant celles relatives à l’installation non autorisée de programmes d’ordinateur. En effet, une personne qui y contrevient s’expose à des sanctions administratives pécuniaires qui peuvent atteindre 1 000 000 $ dans le cas d’une personne physique et 10 000 000 $ dans le cas de toute autre personne. À compter du 1er juillet 2017, la loi permettra également à toute personne qui subit une perte ou un dommage en raison du non-respect des dispositions de la loi de demander au tribunal compétent de rendre une ordonnance condamnant la personne responsable à lui payer le montant de ces dommages, majoré de dommages liquidés qui peuvent atteindre 1 000 000 $. CONCLUSION Bien que cette deuxième phase de la Loi canadienne anti-pourriel vise principalement à protéger les consommateurs et les entreprises canadiennes contre l’installation de logiciels malveillants ou espions qui sont souvent particulièrement dommageables pour l’usager, il ne faut pas perdre de vue que les nouvelles exigences sont susceptibles de s’appliquer à plusieurs autres situations. Il est donc important que les entreprises revoient leurs pratiques à cet égard pour s’assurer qu’elles sont conformes aux dispositions de la loi.

    Lire la suite
1 2 3