L'Atelier Légal 2021

Delphine Robert : Nous vous invitons à ouvrir vos caméras et micros, bien sûr. Pour celles et ceux qui ne souhaitent pas participer à un atelier pendant la deuxième partie, sachez que ceux-ci seront d'une durée d'environ 20 minutes. Alors, nous vous inviterons à revenir avec nous vers 10 h 40 pour la présentation de Michel Généreux. Une prestation de participation à cette activité vous sera également envoyée par courriel si vous avez demandé. Finalement, si vous éprouvez des difficultés techniques, je vous invite à communiquer directement avec Julie, de Travel-Ice, qui est notre régisseuse aujourd'hui et dont l'adresse apparaît à l'écran.

Alors, comme je le mentionnais précédemment, cet événement vous est présenté en partenariat avec ACC Québec. Nous avons eu beaucoup de plaisir à travailler ensemble pour sa préparation et j'aimerais maintenant céder la parole à Karine Garceau, présidente du conseil d'administration de l'ACC Québec. Merci, Karine.

Karine Garceau : Merci, Delphine. Bonjour à tous. Mon nom est Karine Garceau; j'occupe depuis le début de l'année 2021 le poste de présidente du CA – du conseil d'administration – de l'ACC Québec. Je tenais à prendre quelques minutes avant le début de la conférence afin de remercier chaleureusement notre commanditaire Gowling ainsi que le panel d'aujourd'hui d'avoir accepté de s'associer à ACC Québec afin d'organiser, comme Delphine le mentionnait, une deuxième édition de L'Atelier Légal.

Comme certains d'entre vous le savent, l'Association des conseillers juridiques d'entreprises vise à promouvoir les intérêts professionnels et d'affaires des conseillers juridiques en entreprise par le biais de programmes de formation et des opportunités de réseautage. Nous espérons que cet atelier vous permettra d'améliorer certains aspects de votre pratique au quotidien et que, malgré la distance, vous aurez été en mesure de tisser des liens au sein de la communauté juridique du Québec.

Pour terminer, je vous invite à visiter notre page LinkedIn ACC Québec, si vous ne la suivez pas déjà – pardon – pour obtenir plus de renseignements sur nos prochains événements ou en ce qui a trait aux avantages d'être membre de l'ACC. Encore une fois, merci pour votre participation et je vous souhaite une très bonne conférence.

Delphine Robert : Merci beaucoup, Karine. Alors, nous sommes maintenant prêts à débuter les présentations, la première partie de notre événement. Pour ouvrir le bal, j'ai le plaisir de vous présenter Me Marc Tremblay, qui va aborder la question essentielle des différences entre les contrats de licences services, ou les contrats, SaaS et les contrats traditionnels de licences de logiciels. Rapidement, pour vous parler de Marc. Marc a la particularité d'être ingénieur et avocat. Il est associé dans le Groupe de droit des affaires de Gowling WLG à Montréal, œuvrant activement dans le secteur des technologies, notamment les technologies de l'information et les fintechs. Reconnu dans ce domaine, il est par ailleurs recommandé dans des guides juridiques tels que Lexpert et Best Lawyers. Sans plus attendre, Marc, je te cède la parole; c'est à toi.

Marc Tremblay : Merci, Delphine. Alors, ce que je me propose de faire dans ma courte présentation ce matin, c'est de partager avec vous certains constats que j'ai été amené à adresser au cours des récentes années sur la négociation des contrats SaaS versus les contrats de licences traditionnelles – donc, SaaS, Software as a service, en anglais – et des erreurs au niveau de l'analyse et de la gestion de risque qui en découlent tant au niveau des de l'identification du risque, tant au niveau de la contextualisation du risque, également au niveau des erreurs au niveau de l'allocation de risque et de façon aussi importante, finalement, au niveau de la communication tant à l'interne dans une organisation que pour nous, conseillers externes, de communiquer ce risque-là. Donc, des erreurs à ces quatre niveaux-là qui sont fréquentes, qui ne sont pas toujours là mais qui sont fréquentes, qu'on va adresser aujourd'hui et qui proviennent, à mon sens, dans un grand nombre de cas de l'utilisation d'une grille d'analyse qui a été développée dans le cadre de l'analyse des contrats de licences traditionnelles et qui est appliquée ou calquée dans le cadre d'analyse de construction de logiciels en mode SaaS, alors que les risques ou la méthode ou le contrôle de ces risques est souvent un peu différents. Alors, c'est ce qu'on va aborder.

Mais avant d'entrer dans le vif du sujet, je veux juste souligner, Delphine y a fait référence, Michel Généreux, de Google, participe aujourd'hui comme elle l'a indiqué, à notre atelier. Dans le cadre de la préparation il y a quelque temps, Michel – il va être présenté plus tard, mais pour ceux qui ne le connaissent pas – est un expert reconnu, un des grands experts en TI au Canada depuis de nombreuses années. En fait, je n'avais pas de cheveux blancs et il était reconnu comme expert à l'époque. Je ne veux pas te vieillir, Michel, mais disons que ça fait longtemps que tu es un expert dans le domaine. Alors, je lui ai demandé de mettre son petit grain de sel dans ma présentation ce matin, question de donner une autre perspective, surtout maintenant que chez Google, avec une perspective de petite PME comme Google, ça peut être intéressant.

Alors, sans plus tarder, petit ordre du jour. Je vais rapidement passer au niveau de c'est quoi les caractéristiques au niveau opérationnel et les différences entre distribution SaaS vs traditionnelles pour ensuite plonger dans le vif du débat, qui sont les quatre erreurs, entre guillemets, ou disons des questions qui sont sous-estimées parfois au niveau de la gestion de risque. Au niveau de l'externalisation et de l'infrastructure : dans un contrat SaaS et les problèmes de décalage entre les attentes de l'équipe opérationnelle et d'affaires et souvent la réalité juridique. L'entiercement des codes sources : la fausse sécurité que souvent ça apporte, donc un décalage aussi. Le troisième point va être le contrôle de l'évolution des logiciels en mode SaaS, qui est sous-estimé comme enjeu souvent dans les organisations, dans de grandes organisations surtout. Et, finalement, les problèmes liés à l'intégration et à la transition liées à l'implantation des logiciels en mode SaaS, qui est souvent sous-estimé.

Alors, ça m'amène au premier point sans plus tarder. Pas l'externalisation, mais un petit rappel des différences. Ce qui est important de comprendre, évidemment, comme la plupart d'entre vous le savent, en mode traditionnel, c'est qu'on accorde un droit d'utilisation souvent du code objet de la solution. Mais ce qui est très important dans un contexte d'analyse comparative avec le mode SaaS, c'est qu'en mode traditionnel, il y a une livraison du code objet à l'utilisateur-client – ou licensee en anglais – qui fait en sorte qu'il y a une possession par le client qui amène, qui va pouvoir, lui l'utiliser dans une infrastructure qu'il va contrôler directement ou indirectement.

Par opposition, dans l'autre bout du spectre, on a les contrats SaaS extrêmes, entre guillemets, parce qu'évidemment il y a toutes sortes de modulations de ça, mais où on accorde simplement un droit d'accéder en mode service à une solution, on n'a pas d'accès au code objet et on ne contrôle généralement pas l'infrastructure sur laquelle cette solution roule. L'exemple le plus évident est, finalement, l'application Google. Quand vous allez sur Internet faire des recherches sur Google, vous ne payez pas, mais c'est une utilisation où vous n'avez pas accès au code objet, c'est une fenêtre, vous avez simplement l'interface et, dans le fond, vous n'avez aucune idée si ce logiciel-là est 10 giga-octets, deux lignes de code ou des milliards de lignes de code. C'est peut-être Michel Généreux qui répond à vos demandes et qui, en quelques millièmes de seconde répond avec son encyclopédie dans son sous-sol. Mais l'idée, c'est que c'est complètement opaque. Michel, c'est pour ça que tu es occupé le week-end? Alors, c'est le contexte très, très… au niveau des différences au niveau opérationnel entre les deux et ça m'amène au premier point qui est l'externalisation de l'infrastructure.

Le fait qu'on ne contrôle pas qu'un objet soit sur nos serveurs, à nous, de l'organisation, mais qu'il soit plutôt externalisé chez le fournisseur d'un logiciel amène qu'il y a certains risques qui sont sous un contrôle physique ou opérationnel – des gens, par exemple, du service de TI de votre organisation – est maintenant externalisé. Donc, ce n'est pas eux qui peuvent décider demain matin d'ajouter un pare-feu, d'ajouter une mesure de contrôle. C'est externalisé. Tout ça est par voie contractuelle, notamment. Donc, on parle ici des quatre principaux, mais il y en a d'autres : au niveau des pertes de données, d'accès non autorisé, déploiement des règles de sécurité et de façon souvent sous-estimée, les interruptions de service. Toutes des choses qui étaient dans un mode logiciel traditionnel, les risques étaient contrôlés à l'interne.

Au niveau contractuel, on a toutes sortes de mesures qu'on peut mettre en place, auxquelles on fait référence ici. Prochaine diapositive, s'il vous plaît. Mais la réalité, c'est que souvent il va y avoir une grosse partie de la négociation qui va être là avec les équipes internes et des TI pour s'assurer que le contrat SaaS va couvrir, par exemple, des normes de sécurité, etc. Mais à la fin de la journée, ce qui est souvent sous-estimé dans l'analyse de risque, c'est toutes les limites de responsabilité, les soul remedies, les exclusions, les recours limités en garantie et autres qui vont donner souvent des fausses sécurités si ce n'est pas bien communiqué, ce risque et cette allocation de risque, aux gens d'affaires et aux gens de TI, en pensant que, bien, on est couvert dans le contrat, donc s'il arrive un problème, ces limites de responsabilité, ces pénalités au niveau des SLA ou autres sont souvent tellement limitées par rapport au risque, par exemple, de divulgation de données ou d'accès non autorisé qu'il faut bien que les gens comprennent que ce risque est externalisé en opérationnel, mais qu'au niveau des risques financiers il demeure un risque qui est inhérent, qui est assumé et qui donc doit être géré d'une façon différente, soit par des audits que des vérifications diligentes initiales. Mais il y a un contrôle continu du risque et également aussi par les voies d'assurance.

Donc, le contrat en soi, même s'il couvre tous les points, va avoir des limites inhérentes à ça. Là-dessus, quand Michel et moi, on en discutait, Michel, il y a plusieurs éléments que tu as soulignés que je pense qu'il serait intéressant que tu partages. Toi, quand tu arrives dans un dossier à cet égard-là, comment tu approches ça.

Michel Généreux  : Oui, OK. Absolument, avec plaisir. D'abord, merci, Marc. Avant de donner deux ou trois commentaires, juste rappeler que je suis à titre personnel. Donc, il n'y a rien de ce que je dis qui est autorisé par Google, qui représente l'avis de Google. L'analyse de Marc est bonne. Je me rappelle, quand j'étais en pratique privée aussi, puis quand le SaaS commençait et tout ça, puis depuis que je suis chez un grand fournisseur d'infonuagique, ç'a comme un peu changé ma perspective à cause que mon contexte professionnel a changé. Mais en particulier, nous autres, quand on négocie un deal de cloud avec un client, que ce soit un telco, une banque, une compagnie en retail ou peu importe, la première chose qu'on explique, c'est qu'il faut que le client atteigne un niveau de confiance que la sécurité qu'on offre au client sur la portion d'une infrastructure dont on s'occupe est meilleure que celle que le client est capable de faire chez lui ou elle. On dit souvent au client que si vous n'êtes pas convaincu de ça, vous ne devriez pas venir mettre vos données puis votre infrastructure dans nos systèmes.

À partir de ce moment-là, ça change complètement la dynamique au niveau des questions de code source, de responsabilité, etc., parce que si le client vient chez nous, il se dit : je réduis mon risque en allant chez un grand fournisseur d'infonuagique. Donc, ce faisant, je ne suis pas aussi préoccupé des questions de redondance, de disponibilité, puis même de responsabilité, parce qu'en réduisant le risque, les risques d'incident sont moindres. Donc, le fait qu'il élimine les responsabilités de base, ce n'est pas la fin du monde, parce que pour l'excédent tu peux prendre de l'assurance de cyber responsabilité, etc. Ce qu'on remarque souvent, depuis que je suis chez Google, ça fait un peu plus de trois ans, je n'ai pas eu connaissance d'un incident de data qui était la faute du fournisseur de cloud. Tous les cas que j'ai vus, c'est des cas de clients qui configurent mal leur système, leurs accès. Juste à penser au cas de Desjardins il y a deux ans. C'est un employé qui avait des accès qui n'avaient pas de bon sens.

C'est un peu ça. La différence, je vous dirais, c'est que quand vous traitez avec de grandes compagnies vraiment établies, qui fournissent des certifications longues comme le bras, c'est la façon de gérer le risque. Allez-y seulement si vous avez un niveau de confiance élevé que cette sécurité est aussi bonne ou meilleure que la vôtre. Ça change la dynamique plus.

Marc Tremblay : Exact. Puis je pense que sur ton point, ce qu'on voit fréquemment, justement, c'est s'assurer que les équipes en amont et non pas dans le cadre de la négo, mais souvent même en amont, de s'assurer que la sécurité, notamment, parce qu'on parle de sécurité beaucoup, mais c'est aussi leur time et toutes les questions de continuité des affaires, que ces gros enjeux-là qui sont un différentiel entre le mode traditionnel de licence et de la SaaS soient adressés et que ces gens-là puissent aller au fond des choses, puis qu'après ça, une fois qu'on a une vision sur le risque réel, on puisse l'adresser au niveau légal. Mais quand on commence avec le légal, puis que les enjeux de sécurité viennent parce que c'est les avocats qui les ont soulevés et autres, bien, souvent ça amène des problèmes. Et, deux, si on n'est pas très, comment dirais-je, prudent au niveau de la communication du risque qui fait qu'elle est résiduelle à la fin dans l'équipe interne, ça peut engendrer des problèmes en aval lorsqu'il y a un problème qui survient et que les gens, encore une fois, ont une fausse sécurité à relier au contrat. Et non pas que m'assumer un risque en sachant, regarde, je sais qu'il y a des limites au contrat, mais le risque est tellement minime et que… Avant, on avait nos serveurs dans un garde-robe chez nous, puis là il est rendu chez Google, c'est peut-être mieux. Ou chez AWS, ou… Je ne veux pas faire de publicité pour Google non plus trop, aujourd'hui <rire>, mais bon. C'est ça, OK. Alors, merci, Michel. Là-dessus, je pense que c'est un point au niveau de la négo qui est important. Prochaine diapo, s'il vous plaît.

Deuxième élément d'erreur qu'on voit fréquemment au niveau des contrats SaaS. On revient avec l'entiercement du code source, qui est une mesure, comme la plupart d'entre vous le savent, dans un mode de licence traditionnelle qui est utilisé pour non pas maintenir au niveau opérationnel à court terme le code source permet d'aller modifier le code. C'était là pour dire, bien, dans les applications critiques, dans les grandes applications généralement c'était utile, parce que c'était pour dire, bien, moi, si jamais le fournisseur fait faillite ou il arrête de supporter la solution, bien, moi, je peux prendre le code source puis engager des gens, puis faire supporter cette solution dans le futur.

Mais ici, en mode SaaS, souvent le risque additionnel n'est pas lié au maintien de la solution à long terme. Elle est liée à si le fournisseur cesse ses activités demain, si cette solution est critique pour vos opérations, bien, vos opérations cessent, à moins que vous ayez un plan B, des sites miroirs ou quelque chose qui est prévu. Donc, pour reprendre mon exemple de Google : demain matin, si Google arrête, vous allez sur le site, il n'y a rien, vous ne pouvez pas faire de recherche, vous n'avez rien sur votre desktop, vous n'avez rien sur vos serveurs, donc ce risque doit être géré. Le fait que vous soussignez un contrat SaaS, c'est que vous avez le code objet – le code source, pardon – en rien ne va diminuer votre risque le plus important, qui est un risque relié à l'interruption du service. C'était la deuxième erreur qu'on voit souvent. Ça m'amène à l'évolution des logiciels.

L'évolution des logiciels, comme le titre l'indique, pour les gens de TI, les VPI ou les chefs des technologies, souvent le contrôle des évolutions c'est comme pour eux comme pour nous, des fois l'enfer c'est les autres. Donc, le déploiement des updates/upgrades en anglais d'une solution techno, solution logicielle, c'est souvent critique. Par exemple, les grandes institutions financières qui font du retail vont avoir des périodes de veille d'implantation de nouvelles solutions ou d'évolution. Ou de mises à jour, je devrais dire. Ils vont avoir des périodes de gel pour s'assurer que… parce que par… dès qu'on dit « mise à jour », « évolution », on le voit avec nos produits Apple, notamment, ou d'autres, quand il y a des mises à jour automatiques, bien, souvent ça crée des problèmes. Évidemment, les grands systèmes ne sont pas exempts de ça non plus. Donc, dans un mode traditionnel, le risque est internalisé et on le gère à travers nos services TI. Maintenant, prochaine slide, s'il vous plaît.

En mode SaaS, c'est là qu'un enjeu devient souvent un enjeu contractuel qui est sous-estimé, il faut bien s'assurer que l'évolution des logiciels et les mises à jour, comment ça va s'opérer, est-ce que c'est des instances distinctes qui sont faites pour nos clients et qu'on va être appelé à gérer complètement, à quel moment c'est fait, etc., qui va nous ramener plus proche d'un environnement qui est similaire à une licence traditionnelle internalisée? Ou encore on est dans un mode où c'est complètement un logiciel en mode SaaS pur, entre guillemets, qui fait en sorte que vous n'avez plus de contrôle? Qui peut amener un ensemble de problèmes, parce que, au risque de me répéter, en mode SaaS, il y a une quinzaine d'années, quand un logiciel partait en mode SaaS, c'est qu'il est complètement indépendant. Il n'y a pas de problèmes que les évolutions et les mises à jour se fassent automatiques, il est indépendant. Mais si vous avez votre système ARP en mode SaaS, le système ARP souvent va être interconnecté avec plusieurs de vos systèmes internes. Alors, si, lui, les interfaces changent, la façon dont les variables sont définies, par exemple, sur le champ particulier sont modifiées dans la mise à jour, bien, il y a des chances que ça ait eu des impacts en aval et en amont dans votre système et qui peut mettre toute l'organisation en péril potentiellement. Donc, ça, c'est un enjeu de négo qui est souvent sous-estimé et qu'il faut absolument que vos équipes TI… que ce risque-là soit bien communiqué et que l'allocation de risque, après, au contrat soit bien prévue. Ce qui m'amène au dernier point, au niveau de l'intégration/transition.

Souvent un point, encore une fois, qui est une erreur commise au niveau de l'analyse de la gestion de risque qui, encore une fois, est relié au modèle traditionnel il y a une quinzaine d'années. Des modèles SaaS où c'était – excusez-moi l'anglicisme encore – stand alone qui était indépendant de toute votre organisation. Mais dans des organisations complexes et la multiplication des contrats SaaS a fait en sorte que maintenant ces logiciels, qu'ils soient en SaaS ou pas, s'intègrent à un environnement et qu'il y a beaucoup d'interconnexions et d'interfaces et que, par conséquent, ça requiert beaucoup d'intégration et de configuration. Par conséquent, ce qui était vu au départ comme étant un des avantages du SaaS, pas le seul mais un de ceux-là, est de moins en moins… En fait, il ne devrait pas être vu comme ça, parce que c'est à peu près la même, souvent, ou même pire des fois, au niveau de l'intégration à vos systèmes actuels. Donc, ne pas sous-estimer ce risque-là en mode SaaS. Il est à peu près équivalent. En tout cas, en général. Ça dépend évidemment de chaque situation.

En conclusion, je pense qu'on peut résumer qu'au niveau de l'allocation de risques, comme on parlait avec Michel, il faut éviter le décalage entre les attentes pour les affaires et la réalité juridique. Bien s'assurer que la différence entre ce que le contrat est capable de faire et le risque est bien comprise par les gens et qui gérée soit au niveau d'avec d'autres modèles, dont les assurances. Ensuite, évidemment, bien s'assurer de communiquer le risque au niveau des plans de contingence au niveau, par exemple, de la continuité des affaires au niveau des codes d'entiercement et de ne pas se construire de fausses sécurités, par exemple avec des codes… d'entiercement du code source qui dans des cas va être utile, mais dans beaucoup de cas ne l'est pas pour les solutions à court terme. Finalement, au niveau des risques au niveau de l'évolution, bien se souvenir que le contrôle par les autres c'est l'enfer dans bien des cas et que, donc, il faut s'assurer que les équipes internes, si on ne le modifie pas, que nos gens soient bien conscients de l'impact en aval d'une telle décision. Finalement, comme je viens de le mentionner il y a quelques minutes, au niveau de l'intégration, ne pas sous-estimer l'importance de l'intégration, même en mode SaaS. Alors, ça fait pas mal le tour de ce que j'avais à vous dire. Je pense que je suis à l'intérieur des temps. Merci encore, Michel, pour ton intervention.

Michel Généreux : Grand plaisir.

Delphine Robert : Merci beaucoup à vous deux. Et oui, Marc, effectivement, le timing est parfait. Je rappelle à tous ceux qui se seraient joints un petit peu plus tard en cours de présentation que vous aurez l'occasion d'échanger avec Marc et Michel aussi si vous avez des questions à leur adresser, à partir de 10 h 10 environ, quand nous passerons dans la deuxième partie de l'événement. Marc sera dans une salle de sous-commission virtuelle où vous pourrez aller le voir. On vous indiquera toute la marche à suivre, mais vous pourrez aller échanger avec lui si vous avez des questions.

Nous allons continuer maintenant avec Benoit Yelle, pour aborder l'angle de la propriété intellectuelle. Benoit va nous parler aujourd'hui de la pertinence de protéger les interfaces de vos applications par le biais du dessin industriel. Benoit Yelle est associé et agent de brevets au sein de notre groupe de propriété intellectuelle à Montréal. Il est également cochef du groupe Technologie du bureau de Montréal. Sa pratique se concentre sur la rédaction et la poursuite de demandes de brevets et de demandes de dessins industriels. Son expertise technique, développée au fil des années, s'étend des inventions mécaniques aux technologies quantiques, en passant par les outils manuels, les appareils médicaux, les protocoles réseaux, les télécommunications, les applications mobiles et l'informatique quantique. Je l'ai peut-être déjà dit. En tout cas, c'est un parcours assez impressionnant. Alors, nous avons un expert avec nous et je te cède tout de suite la parole, Benoit.

Benoit Yelle : Merci, Delphine. On va parler principalement de dessins industriels aujourd'hui, puisque c'est souvent un angle qui est négligé, je dirais, par beaucoup d'entreprises, puis on va expliquer pourquoi ça pourrait être pertinent que vous l'intégriez dans votre analyse en termes de propriété intellectuelle. La structure de la présentation va être quand même assez simple. Je vais vous parler rapidement des différentes formes de protection de la propriété intellectuelle pour qu'on puisse avoir en quelque sorte un langage commun pour la suite des choses. Davantage, je vais vous parler de protection par dessin industriel : finalement, qu'est-ce qu'on peut protéger et est-ce que ça vaut la peine ou pas de la protéger? C'est la question la plus pertinente d'un point de vue d'affaires pour vous. Quel genre d'expertise juridique vous pourriez avoir besoin pour maximiser la valeur de vos efforts de propriété intellectuelle et les erreurs courantes. L'expertise juridique, on en parlera si jamais on a le temps de le faire dans la présentation.

Les différentes formes de protection de la propriété intellectuelle. Je pense que tout le monde en a déjà entendu parler. Je ne m'étendrai pas là-dessus. C'est tout simplement pour qu'on ait un langage commun, encore une fois. Le droit d'auteur . On va y revenir souvent, parce qu'il y a quand même une bonne interaction entre le droit de la propriété intellectuelle en droit d'auteur et en dessin industriel. Le droit d'auteur vise à l'origine et dans les faits la protection d'une œuvre originale d'une prestation, un enregistrement sonore ou un signal de communication. Dans ce cas-ci, on va parler d'une œuvre originale quand on va interagir avec le dessin industriel. On y reviendra. La question intéressante à se poser dans ce cas-ci va être, tout d'abord, par rapport au code des logiciels propriétaires. Attendez, j'essaie d'activer mon petit pointeur. Donc, ça va être par rapport au code des logiciels propriétaires : de quelle façon le droit d'auteur agit; et aussi sur les interfaces graphiques : de quelle façon est-ce que le droit d'auteur protège ou non les interfaces graphiques. On parle aussi de marques de commerce en protection de propriété intellectuelle, mais pas nécessairement parce que c'est ultra pertinent en interaction avec le dessin industriel, mais parce qu'il faut toujours en parler. C'est votre interface avec les consommateurs, puis il ne faut jamais oublier que quand vous faites du retail, quand vous faites du grand public, c'est essentiel pour que le client s'y retrouve. Le secret commercial . Le secret commercial n'a aucune interaction avec le dessin industriel. Le dessin industriel, comme on va le voir, c'est tout ce qui est attrayant pour l'œil, tout ce qui est visible. Le secret commercial est évidemment non visible. Par contre, c'est un angle mort souvent qu'on voit dans les entreprises, où les secrets commerciaux sont soit négligés ou mal documentés. Quand la documentation est inappropriée, bien, à ce moment-là on ne peut pas déterminer quelle perte on pourrait avoir en cas de bris de  contrat ou autre s'il y a un problème avec les secrets commerciaux d'entreprise. Le brevet . Lui va être souvent en interface ou en contradiction, en complément avec le dessin industriel. Le brevet va viser les fonctionnalités d'une invention. Donc, on parle vraiment de fonction, d'aspect utilitaire. On parle de brevet utilitaire – utility pattern, en anglais. C'est vraiment là qu'on va cibler le brevet. Et, finalement, le dessin industriel . Donc, qu'est-ce que le dessin industriel? Ça permet de protéger l'apparence visuelle du produit fini. L'apparence visuelle d'un produit fini, maintenant, souvent, dans le cas d'un dessin industriel, ça ne sera pas l'ensemble d'un produit fini qu'on va vouloir protéger par dessin industriel. Ça va être certains éléments qui vont vraiment être des, ce que j'appelle en anglais, key market differentiators. Ce qu'on veut protéger, c'est ce qui nous distingue dans le marché, ce qui fait que notre solution finalement va être plus attrayante, plus fonctionnelle, meilleure pour nos ventes. Dans le cas du dessin industriel, on peut aussi parler, quand on parle de logiciel, d'interface graphique ou d'éléments visuels vers l'interne. Marc parlait de SaaS tantôt, Software as a Service. S'il y a une pertinence pour vous d'aller protéger un look and feel, une façon que votre entreprise parle de faire des interfaces soit à l'interne vers ses employés ou à l'externe vers ses fournisseurs ou vers ses clients, à ce moment-là le dessin industriel devient quand même très intéressant. On va le voir tantôt, comment ça interagit avec les autres formes de protection.

Donc, dessin industriel ou brevet? En premier lieu, quel est l'intérêt pour un dessin industriel? On l'a dit tantôt, c'est pour un avantage concurrentiel, qui est un nouvel attribut apparent du produit. L'attribut apparent dans le cas d'une interface graphique, c'est la façon que l'interface est préparée. On va y revenir. Dans le cas d'un produit fini, c'est encore plus évident, c'est la forme elle-même du produit. Dans le cas d'un brevet, l'intérêt va être sur la fonctionnalité innovante. Donc, qu'est-ce que ma solution fournit comme fonction par rapport à une solution concurrente, une solution antérieure. Dans le cas du dessin industriel, une affaire qu'on voit souvent, c'est qu'en cours de route les gens veulent protéger l'imagination de leur créateur puis comment ils pensent mettre en marché. On arrive souvent avec un design en cours de route qui va changer quand on va arriver aux dernières étapes de préparation. Parce qu'au moment de l'intégration des solutions fonctionnelles dans l'interface graphique, on va s'apercevoir de certaines mutations, soit quand c'est un produit réel fini, soit parce que quand on va arriver vers la même facture, on va se rendre compte que ce qu'on voulait faire d'une certaine façon est trop coûteux ou n'est pas vraiment aussi accessible qu'on pensait puis on va changer le design.

C'est pour ça que le moment où on va considérer le design, le dépôt d'un dessin industriel, c'est vraiment quand le design est complété, complètement, au complet. Pour vous donner une idée, le dessin industriel qui a couvert le premier iPhone a été déposé la veille du lancement du produit, pas quelques années avant. Par contre, il y a énormément de brevets qui avaient été déposés quelques mois, quelques années même avant le lancement du iPhone. Parce qu'au moment où on veut breveter une solution, il faut que la science, elle, soit déterminée. Donc, les détails de développement finaux sur comment est-ce qu'on va faire, dans quel genre de processeur on va faire, quel genre d'écran on va avoir, par exemple, quand on parle du iPhone ou d'un téléphone intelligent, ce n'est pas vraiment ça qui est critique. C'est que la science sur comment les différents modules vont interagir entre eux, quel genre d'information ils vont échanger, quelle est la structure d'architecture qu'on va choisir. Si, ça, c'est déterminé, à ce moment-là on peut déjà parler de code.

Dans les deux cas, autant pour le dessin que pour le brevet, il faut éviter la divulgation publique avant le dépôt. Comme je vous disais, dans le cas d'Apple, ça s'est fait la veille, la divulgation publique, de façon à ce que la protection puisse être étendue partout à travers le monde, puisqu'il y a beaucoup de juridictions qui ne permettent pas la protection par brevet ou par dessin industriel lorsqu'une solution a été divulguée. Dans les deux cas, on commence par déposer un premier enregistrement. On parle d'enregistrer dans un premier pays et, par la suite, six mois plus tard dans le cas du dessin industriel ou 12 mois plus tard dans le cas du brevet on a la question à se poser : où est-ce que je veux que cette solution ou cette innovation soit protégée dans le monde? Et essentiellement il y a… en commençant par un pays qui est membre de l'OMC, pas nécessairement un pays mais en tout cas une organisation reconnue par l'OMC. Par la suite, on peut aller protéger dans tous les pays qui sont aussi membres de l'OMC. Ça fait que ce n'est pas un enjeu à partir du moment où on a un pays qui est couvert.

L'autre enjeu intéressant, c'est le dessin par rapport au droit d'auteur. Le dessin, on l'a vu, ça ne change pas. Mais dans le cas du droit d'auteur, on va protéger une œuvre, une prestation, un enregistrement sonore ou un signal de communication. Dans le cas d'une interface graphique, on va parler de la protection d'une œuvre, puisque c'est présenté sur un support 2D, un écran. Ça entre dans la définition d'œuvre du point de vue du droit d'auteur. Le droit d'auteur va s'enregistrer, va se créer automatiquement puis l'enregistrement, on va souvent le voir en cas de litige, ou… Ce n'est pas nécessairement critique d'avoir un enregistrement au départ, si on est capable de bien démontrer à quel moment et de quelle façon le droit d'auteur a été créé en cours de développement.

La date limite, j'ai laissé « divulgation publique ». C'est une erreur, honnêtement, parce que le droit d'auteur, honnêtement, n'a pas de date limite en tant que telle. Ce n'est pas un enjeu pour le droit d'auteur. Ce qui est un enjeu, vraiment, c'est de déterminer si on est protégé par le droit d'auteur comme on le pense parce que, on va le voir plus loin, ce n'est pas si évident que ça que les interfaces graphiques ou autres rendus 2D, finalement, entrent automatiquement dans la définition du droit d'auteur. L'autre chose, c'est que le dessin ici va être déposé et enregistré activement auprès d'un bureau des brevets ou un bureau des dessins industriels. Aux États-Unis, on parle de design pattern et de utility pattern; donc, c'est sous la même loi. Au Canada, on a la Loi sur les brevets et la Loi sur les dessins industriels et, bien honnêtement, on couvre essentiellement la même chose, que ce soit au Canada ou aux États-Unis ou ailleurs dans le monde. Donc, on a un examen qui est fait de l'enregistrement, dessin industriel, et avant qu'il soit vraiment enregistré, on a un examinateur qui va avoir revu les formalités, revu le dessin, il va juger de son expérience et de son expertise que le dessin est enregistrable, tandis que le droit d'auteur n'a pas de vue proactive comme ça. C'est quelque chose qui n'est pas analysé, à moins qu'on se rende en litige ou en négociation avec d'autres entreprises, où là il y aura une notion de qu'est-ce qui est vraiment couvert.

Encore une fois, les questions, je sais que ça va venir à la fin, mais je pense qu'on peut utiliser le chat si jamais il y a des choses turlupines et que vous vouliez adresser pendant la présentation. Première chose dont je veux parler, c'est les aspects mécaniques, puisque c'est la protection qui a été envisagée au moment où ce genre de loi sur les dessins industriels ou sur le design ont été mises de l'avant. Pour ne pas trop faire de publicité à Google quand même, j'ai choisi des produits Apple. Je choisis les produits de n'importe quel concurrent maintenant, mais c'est juste que c'est des produits que tout le monde connaît dans ce cas-ci. À droite, on a le Apple original, puis le iPod qui l'a précédé. Dans ce cas-ci, c'est clair que le dessin industriel s'applique et que le droit d'auteur ne pourra pas s'appliquer puisqu'il s'agit d'un produit fini. Dès qu'on dépasse l'exception de 50 exemplaires, dès qu'on dépasse 50 exemplaires, le droit d'auteur sur la forme et l'arrangement d'un produit fini ne pourra pas s'appliquer. C'est la façon la plus simple de voir le dessin industriel. C'est ce qu'on voit couramment. Généralement, les lignes pointillées sont des options et les lignes pleines représentent vraiment ce qui est protégé par le dessin industriel. Toutes les entreprises américaines autant que canadiennes, toutes les multinationales qui ont des produits vraiment grand marché vont procéder à des enregistrements dessin industriel.

Dans le cas des produits Apple, il y a énormément d'enregistrements, que ce soit brevet et dessin industriel, et un qui a vraiment fait les manchettes, ç'a été sur la tablette. Je ne sais pas si vous vous souvenez. La saga se passe entre 2011 et 2018. Ça s'est réglé en sept ans. C'est pratiquement la durée de protection d'un dessin industriel. Pas vraiment; c'est 10 ans, mais quand même, c'est très long. Ce qui est arrivé, c'est que Apple a poursuivi Samsung pour contrefaçon, basé sur plusieurs brevets et plusieurs dessins industriels, dont le dessin industriel original pour le iPad, qu'on voit ici dans sa version, je pense, une des premières versions. Samsung, pendant ce litige-là, a tenté de faire valoir que le dessin industriel de Apple était invalide, puisqu'il n'était pas nouveau, qui est le critère juridique principal. Ce qu'ils ont trouvé comme argument, c'est que dans le film 2001, l'Odyssée de l'espace, les astronautes regardent ici à côté, il y a un autre restaurant qui fait la même chose, regardent ce qui ressemble à un iPad, c'est-à-dire une forme plus ou moins rectangulaire avec une face plate en avant, une face plate en arrière, puis une image qui est générée sur une des deux faces. Donc, la question est : est-ce que Stanley Kubrick a inventé la tablette? Ça, c'est l'image générique que Samsung a présentée en disant, bien, les similitudes sont grandes entre le iPad et la tablette de Stanley Kubrick.

Le litige n'a pas tourné autour de cet enregistrement. Je trouve juste ça intéressant comme anecdote. Mais en bout de ligne, la saga Samsung contre Apple s'est déroulée dans plusieurs juridictions et avec le dessin industriel autant qu'avec les brevets. En bout de ligne, à la fin de 2018, Apple avait reçu 539 millions de dollars US de la part de Samsung dans cette saga-là. Il y en a eu d'autres avant puis il y en aura sûrement d'autres.

En ce qui concerne les interfaces et les icônes, on arrive vraiment dans le vif du sujet quant à moi. Dans le cas des icônes, bien honnêtement, aux États-Unis on a une tendance à les enregistrer comme dessins industriels, mais le droit d'auteur est plus évident dans le cas des icônes, le point étant qu'il y a, selon la loi américaine, on parle de dissections de l'élément visuel, puis on va regarder s'il y a eu des efforts qui ont été fournis puis si vraiment c'est quelque chose qui est nouveau et qui présente un caractère original. Dans ce cas-ci c'est plus facile à faire valoir et on n'ira pas vraiment disséquer le dessin industriel de façon à le rendre plus ou moins impertinent. Par contre, quand on va regarder un dessin industriel qui va être sur une interface comme celle-là, ici à gauche, qui est encore une fois le iPhone original, la façon qu'un tribunal américain va avoir de regarder ça du point de vue de droit d'auteur, c'est de regarder chaque élément individuellement, à savoir si chaque élément individuellement présente une caractéristique originale du point de vue du prototype. Un carré, ce n'est pas vraiment original. Un rectangle, non plus. Ça fait qu'il y a des risques qui sont quand même plus grands aux États-Unis, mais qui existent aussi au Canada que la protection par droit d'auteur soit faible sur une interface de ce type-là, particulièrement par rapport à une icône ou une œuvre qui est plus traditionnelle, si on veut, en protection par droit d'auteur.

Là où on s'éloigne vraiment du droit d'auteur, c'est quand on va parler de séquences d'images, ce qui est possible de protéger par dessin industriel. Donc, encore là, « Que puis-je faire pour vous? » La fameuse ligne qui nous est servie chaque fois qu'on ne dit pas le bon mot à notre téléphone. Donc, la variation d'une image à l'autre d'une interface graphique peut être protégée par dessin industriel tant au Canada qu'aux États-Unis ou ailleurs dans le monde dans la plupart des juridictions. Et c'est vraiment quelque chose que le droit d'auteur va avoir de la difficulté à couvrir, puisqu'une ligne courbe comme ça, il n'y a pas vraiment de trait d'originalité, si on veut, en tant que tel. Donc, ça, c'est quelque chose d'intéressant, une séquence d'éléments.

Donc, si on revient à votre solution logiciel maison pour lequel vous avez une interface graphique externe ou interne, vers vos clients ou vos employés, si votre interface est générique dans les boutons qu'elle utilise par exemple, mais est originale dans la façon de les disposer ou dans la façon de faire en sorte que le visuel finalement est cohérent, à ce moment-là ça risque d'être plus difficile de vous protéger par le droit d'auteur ou vous risquez de ne pas être reconnu en termes de protection par le droit d'auteur, tandis qu'au niveau du dessin industriel ça va être plus facile.

L'autre élément, comme je le disais tantôt, c'est quand il y a une protection active du dessin industriel, vous avez quelque chose entre les mains, tandis que pour le droit d'auteur, c'est quelque chose que vous allez devoir tester plus tard dans la vie de la protection de la propriété intellectuelle.

Maintenant, est-ce que c'est justifié d'investir dans un dessin industriel? Le dessin industriel va procurer un droit exclusif sur le design ou sur l'invention; ça, ça va. Autant le brevet sur l'invention que sur le design. L'objectif, c'est de permettre d'exclure les concurrents du marché. Ultimement, c'est ce qu'on veut faire. Moi, ce que je dis la plupart du temps par expérience, c'est qu'il faut avoir un portefeuille de protection qui couvre les enjeux ou l'enjeu primordial de votre produit ou de votre service. Qu'est-ce qui vous différencie dans le marché, puis qu'est-ce qui fait que vos consommateurs ou même vos fournisseurs reconnaissent vos interfaces, reconnaissent vos solutions dans le cas d'un logiciel, quand on parle de virage numérique? Bon, si vous avez de la contrefaçon à l'extérieur de votre marché cible habituel, bien, il faut aussi se demander : est-ce qu'on ne peut pas profiter de la mise en marché de nos concurrents? Ça, c'est la façon joyeuse et un peu joviale de regarder la contrefaçon. Mais dépendant de quelle juridiction ils sont impliqués, c'est vrai qu'on va pouvoir négocier avec la plupart des entreprises, mais c'est aussi vrai qu'aux États-Unis on risque de finir devant les tribunaux. Mais bon, ça, c'est toujours la vie.

Est-ce que c'est justifié d'investir dans un enregistrement proactif de propriété intellectuelle? Pas toujours. L'important, c'est de se poser la question. Est-ce possible d'enregistrer? Est-ce qu'on a un raisonnement du point de vue d'affaires d'aller enregistrer? Est-ce qu'on va aller chercher un avantage marketing, un avantage de reconnaissance à l'interne? Est-ce qu'on est dans un marché où on va jouer à « ma pile est plus haute que la tienne »? « Moi, j'ai huit enregistrements, j'ai 14 brevets; toi, t'en as trois, donc on n'a pas besoin d'aller devant les tribunaux, ma pile est plus haute que la tienne ». C'est quelque chose qui arrive dans certaines industries. Est-ce qu'on a besoin d'un levier financier, auquel cas un enregistrement proactif de propriété intellectuelle peut être vraiment intéressant? Il y a un aspect offensif. Dans certains cas, il y a certaines entreprises où on ne vit que sur l'aspect offensif de la propriété intellectuelle, en développement de la propriété intellectuelle, en fait d'en avoir. Évidemment, la plupart du temps, c'est un ensemble de facteurs. Moi, ce que je dis, c'est : discutez de la stratégie avec votre agent de brevet. Donnez-lui une chance de vous fournir un produit qui correspond à vos attentes d'affaires. C'est l'enjeu critique. Souvent, on n'est pas suffisamment au courant d'où la technologie ou d'où l'innovation s'en va dans l'entreprise par la suite, après que notre intervention a été faite.

Le financement. Rapidement, juste pour dire que pour les compagnies québécoises, il y a le programme Innovatilon Québec qui permet de récupérer jusqu'à 33 %25 des coûts, et 50 %25 des coûts si on implique un traceur technologique d'une université ou d'un organisme de diffusion du savoir. Mais c'est intéressant. Donc, parlez-en encore une fois si vous avez un intérêt à protéger. Il y a le programme Innovation, qui est accessible à toutes les entreprises du Québec, qui veulent faire valoir leur propriété intellectuelle.

Un aspect intéressant quand vient le temps de parler de dessin industriel par rapport au droit d'auteur, encore une fois, c'est qu'au moment où on va vouloir poursuivre une entreprise ou un concurrent pour contrefaçon de dessin industriel, ça va être possible de le faire par procédure sommaire écrite plutôt que de devoir se présenter devant le tribunal. Le dessin industriel est une loi fédérale. C'est une exception qui s'applique. Donc, en cour fédérale, on va pouvoir présenter notre dossier au juge et la partie adverse va pouvoir faire la même chose sans qu'il y ait nécessairement de représentation pendant un procès, ce qui simplifie et ce qui réduit beaucoup les coûts aussi. Il faut dire, les enjeux en dessin industriel sont relativement simples par rapport à, par exemple, en brevets. Je vais passer par-dessus les expertises juridiques; on y reviendra.

Je veux vous parler des erreurs courantes. En fait, je vais vous parler de la chose à faire, avant de terminer. C'est vraiment de déterminer les innovations, qui est la clé pour les entreprises. Ce que j'aime souvent dire, c'est que : culture eats strategy for breakfast. Quand on n'a pas une culture qui est propre à la protection des innovations, quand même qu'on aurait toutes les belles stratégies, ça ne fonctionnera pas. Quand bien même qu'on aurait toutes les belles stratégies, ça ne fonctionnera pas. Donc, la meilleure chose que, moi, je vois dans la pratique, c'est un processus systématique de gestion de l'innovation; une formation continue des intervenants, qui touche les différentes innovations pour être capable d'identifier correctement quelle forme de protection et si c'est pertinent de le faire; il faut que le message soit cohérent à tous les niveaux hiérarchiques; une fois qu'on reconnaît et qu'on valorise les individus pour leur contribution, bien, ça devient un cercle qui se nourrit lui-même. Donc, voilà. C'était l'essentiel de la présentation que j'avais pour vous, aujourd'hui. On va pouvoir répondre aux questions dans les salles, si j'ai bien compris.

Delphine Robert : Merci beaucoup, Benoit. Je souligne aussi le timing, qui est impeccable. Comme je l'avais dit précédemment, si vous souhaitez poser des questions à Benoit pour fournir certains points, vous aurez l'occasion de le faire après la présentation qui arrive, la dernière présentation de notre série de conférences expresses. Suite à cela, vers 10 h 10-10 h 15, vous pourrez aller rencontrer soit Marc, soit Benoit, soit Tina qui va nous parler maintenant, soit les trois pour leur poser des questions. Alors, merci encore, Benoit. Nous allons maintenant poursuivre notre volet de conférence expresse avec Me Tina Aswad, qui va nous parler de la confidentialité et des meilleures pratiques du point de vue de l'employeur, dans un contexte de transformation numérique. Tina est associée et exerce dans notre groupe de droit de l'emploi et du travail, à Montréal. La pratique touche tous les aspects de relations de travail individuelles et collectives, notamment la prestation de services-conseils ainsi que la rédaction des documents liée à la relation d'emploi. Tina se concentre également en matière de litige, en droit du travail et de l'emploi, incluant les litiges liés à des congédiements et à l'application de clauses de non-concurrence et de non-sollicitation et, par ailleurs, Tina est membre de notre groupe de Technologie, à Montréal. Alors, Tina, je te cède tout de suite la parole. Merci.

Benoit Yelle : Si je peux me permettre, avant que tu commences. On voit le mode présentateur de notre côté. Probablement que l'écran que tu partages est l'écran de ma présentation plutôt que l'écran de ta présentation.

Tina Aswad : Merci beaucoup, Benoit.

Benoit Yelle : Peut-être que ça vaut la peine de changer ça avant de continuer.

Tina Aswad : Voilà. Est-ce que vous voyez bien l'écran?

Delphine Robert : C'est parfait.

Tina Aswad : Excellent. Merci, Benoit. Alors, merci, Delphine, de la présentation. Merci à tous d'être là, ce matin. Alors, j'ai un peu de temps puis, en fait, l'objectif, de toute façon de ma présentation était surtout de susciter une réflexion chez vous puis de faire en sorte que vous posiez peut-être les bonnes questions aujourd'hui, parce que je pense que c'est un momentum pour les employeurs pour revoir ce qui se passe au sein de l'entreprise et voir si réellement vous êtes bien protégés. Souvent, on a beaucoup de mécanismes en place qui sont installés au sein des entreprises, mais lorsqu'on gratte, lorsqu'un litige survient, on se rend compte que finalement ce n'était peut-être pas aussi efficace qu'on le souhaitait.

Alors, je vais d'abord présenter rapidement le contexte, vous parler un peu du cadre obligationnel, puis ensuite vous parler des outils. Le cadre obligationnel, dans le fond, va nous donner des indices où on peut aller travailler pour améliorer votre protection. Alors, pourquoi c'est nécessaire de se poser des questions aujourd'hui? Je pense qu'il y a une transformation des outils de travail avec la pandémie. Il y a eu un virement massif vers le télétravail, on a équipé nos employés pour qu'ils travaillent de la maison. Donc, c'est un moment actuellement où on peut se poser les questions : avec quels outils de travail nos employés travaillent? Quels sont leurs accès? Qu'est-ce qui est possible de faire avec nos informations? Puis est-ce que nos informations sont réellement protégées?

Il y a toujours deux axes d'analyse et souvent ce que je constate lorsque je travaille avec des entreprises, c'est qu'il y en a un ou l'autre qui est un peu mis à l'écart, puis je pense que les deux composantes sont vraiment importantes pour s'assurer qu'on est bien protégé puis qu'on évite, dans la mesure du possible, des litiges sous les deux axes principaux.

D'abord, il y a protection de vos informations stratégiques, ce que Benoit référait aux secrets commerciaux, donc ce qui va vous donner un avantage concurrentiel, puis ce en quoi vous investissez en ressources humaines, en temps, en ressources financières, la recherche et le développement. Donc, tout ce qui fait en sorte que vous créez de l'information qui a une valeur du savoir-faire chez vos employés. Alors, c'est ce que vous allez vouloir protéger.

Puis il y a aussi toutes les données des tiers. Donc, là on a toujours… M. Généreux a parlé de l'incident de Desjardins; c'est un classique. Alors, comment faire en sorte pour que votre entreprise ne soit pas le futur Desjardins. Comme vous le savez, les attaques, les menaces à la sécurité externe sont de plus en plus fréquentes. On entend dans les médias de plus en plus d'attaques avec rançon, etc. Donc, il faut vraiment se poser la question : est-ce que ce qu'on a en place, les mesures qu'on peut changer sont implantées?

Pourquoi? Parce qu'on veut maintenir son avantage concurrentiel. Vous savez, moi, j'ai une pratique que j'ai longtemps pratiquée en recours extraordinaire, où j'appliquais des clauses de confidentialité, des clauses de non-concurrence, des clauses de non-sollicitation et le critère pour obtenir ces injonctions qu'on veut appliquer en nature, donc on veut appliquer la clause, dire aux tribunaux « dites à l'employé d'exercer son obligation », bien, c'est le préjudice irréparable. Alors, on peut obtenir ces ordonnances qu'on démontre au tribunal que, bien, dans le fond, si on n'a pas l'ordonnance, il y aura un préjudice irréparable. Et pourquoi? Parce qu'une fois que l'information confidentielle est partie, où on n'a plus la trace d'où est notre information confidentielle, bien, il n'y a plus moyen de la reprendre. Alors, une fois que l'employé s'est transféré sur son Gmail un document confidentiel, c'est trop tard parce qu'il peut l'avoir retransféré à plusieurs reprises. Il peut l'avoir copiée sur des clés USB et là vous avez tout simplement perdu trace de votre information confidentielle et il n'y a plus moyen de la protéger, même si on va chercher une ordonnance. Le passé est passé et il sera trop tard.

Maintenant, moins de litiges parce que, vous allez voir avec les outils, on va se poser la question : est-ce que vous êtes vraiment bien protégés? Puis l'idée de revoir tous nos outils, c'est de faire en sorte que, bien, peut-être que ça va être une dissuasion pour les employés de violer leur clause, ou du moins on pourra tenter de réduire les litiges ou de les faciliter lorsqu'ils surviennent. Je vais utiliser un peu mon expérience pratique pour vous donner des exemples d'où on a des difficultés lorsque les mesures ne sont pas bien mises en place.

D'abord, peut-être revoyons très rapidement l'obligation de l'employeur, les obligations de l'employé. Je n'ai pas beaucoup de temps ce matin mais, vous savez, juste ça pourrait être l'objet d'une présentation en soi. Donc, comme employeur, vous avez l'obligation des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, si vous êtes de juridiction provinciale. Vous savez que ça vise les informations des tiers, mais aussi les informations de vos employés. Il y a un nouveau projet de loi, évidemment, le projet de loi 64 dont vous avez sûrement entendu parler dans les médias. Ce projet de loi, aux dernières nouvelles, quand je suis allée voir ce matin, en fait, a été en étude en commission; il y a eu des amendements qui ont été suggérés; ç'a été adopté le 21 septembre; le 22 septembre, sanctionné. Alors, on devrait avoir le texte final vraiment très rapidement, parce que tout a été adopté et sanctionné. Mais sur le site de la Santé nationale, le texte final de la Loi n'était pas encore publié. Mais somme toute, comme vous le savez, puis je vous invite à aller consulter notre blogue sur le sujet. Il y a deux associés du cabinet spécialisés en privacy, puis ils sont rédigés un très intéressant blogue qui explique un peu les différentes dispositions de la nouvelle Loi, mais essentiellement on a donné des dents à la Loi, on a imposé de nouvelles pénalités beaucoup plus salées aux entreprises qui ne respecteraient pas. Puis on a un peu mis sur papier, balisé des règles qu'on appliquait déjà au Québec, par exemple, pour la transmission d'informations à l'extérieur du Québec. Alors, on conseillait déjà aux clients, en vertu de l'art. 17 de la Loi actuelle, de faire une analyse de la juridiction dans laquelle les informations allaient être transférées, pour s'assurer qu'il y avait des protections adéquates et de prendre les mesures nécessaires et prendre des mesures contractuelles pour tenter de protéger l'information avec les caveats dont Marc Tremblay a d'ailleurs un peu discuté plus tôt. Donc, c'était un peu ce qu'on recommandait aux employeurs. Maintenant, avec la nouvelle loi, il y a un processus d'analyse très détaillé qui est fourni et qui explique vraiment qu'est-ce qu'on doit vérifier pour s'assurer qu'on peut transférer des données personnelles à l'extérieur du Québec. Donc, voilà.

Aussi, à mentionner que normalement le ministre devrait nous fournir une liste de juridictions qui ne fourniraient pas les protections adéquates. Jusqu'à présent, on avait un gros débat parmi les juristes à savoir, par exemple : aux États-Unis, est-ce que les informations étaient adéquatement protégées lorsqu'elles étaient transférées dans cette juridiction, considérant le Patriot Act? J'imagine qu'on aura bientôt, sous peu, toutes les informations pertinentes.

Je saute maintenant au Code civil du Québec. Vous le savez, il y a des dispositions sur la protection des renseignements personnels de la vie privée des employés aussi. Finalement, il y a des obligations contractuelles de l'employeur. Je fais référence aux obligations contractuelles que vous pourriez avoir avec des tiers. Est-ce que votre entreprise détient des données sur des tiers?

Les obligations de l'employé, qui sont aussi les paramètres à garder en tête. Leur devoir légal de loyauté, qui s'applique pendant l'emploi, mais aussi pendant une durée raisonnable suivant l'emploi. Cette durée va varier selon le poste occupé. Il y a les clauses restrictives, qu'on va vouloir imposer pour certains postes. Puis les politiques de l'employeur.

Maintenant, quels sont les outils qui sont disponibles pour vous? Je voulais d'abord vous parler des protections qui sont directes. Qui a accès à quoi, comment, quels sont les risques? Parce que souvent c'est des façons de faire très faciles pour les entreprises. Il suffit de prendre le temps avec vos gens de IT ou de retenir les services d'une firme externe pour mettre en place des protections des documents adéquates. C'est arrivé très souvent d'avoir des clients qui veulent prendre des recours. On va prendre des injonctions ou dans la défense dans des injonctions, où on plaidait que l'information est hautement confidentielle et stratégique, qu'elle ne peut pas être communiquée à des compagnies tierces à défaut de quoi on perdrait notre avantage concurrentiel et on demande au tribunal d'émettre des ordonnances d'injonction.

Par contre, lorsqu'on gratte un peu, on se rend compte que, d'abord, les documents ultra stratégiques avec les milestones de l'entreprise, où en était la recherche et développement, les clients, etc. étaient des documents qui pouvaient être imprimés partout par les employés, ils pouvaient être téléchargés, ils pouvaient être enregistrés sur des disques durs externes. Il n'y avait aucun mode de protection des informations. Il n'y avait pas non plus de mise en alerte, par exemple, lorsqu'il y avait des téléchargements massifs de données. Ce sont des outils qui sont facilement implantables au sein de votre entreprise et qui vont grandement protéger votre entreprise.

Je vous donne un exemple, juste pour les impressions. J'ai déjà vu un dossier où l'information confidentielle en jeu se retrouvait sur un document écrit et l'employé disait : bien, moi, j'ai respecté votre politique employeur. Lorsque j'ai eu terminé, j'ai mis ça dans le shredder et puis il est disparu, alors que l'employeur disait : bien, non, nous, on sait que tu as le document encore et que tu l'utilises pour un concurrent. Alors, comment faire la preuve que l'employé a toujours le document imprimé et qu'il ne l'a pas mis dans la déchiqueteuse? C'est une pente à remonter qui est difficile à faire, alors que si on avait mis en place de saines mesures, comme on accède aux documents confidentiels via le réseau, ces documents-là ne peuvent pas être imprimés, ne peuvent pas être téléchargés, peuvent être consultés à l'écran dans le réseau de l'employeur, ça aurait certainement évité beaucoup de débats et ça aurait été beaucoup plus facile.

L'autre élément, puis peut-être juste pour les paramètres de protection, des politiques claires par rapport à comment on doit gérer les documents, comment on peut y accéder, etc. Pour ce qui est des protocoles en cas de bris de sécurité, il vaut mieux y penser avant que lorsque la crise arrive. Vous vous imaginez, par exemple, le cas de Desjardins. Une fois qu'on a su que l'employé avait volé les données, ce n'est pas le temps de commencer à la stratégie et qu'est-ce qu'on va faire, étape 1, 2, 3. Ce que je vous suggère, c'est encore une fois établir un comité, prévoir des protocoles : Qui seront vos spécialistes IT qui vont intervenir? Qui seront vos spécialistes au niveau des relations publiques? Parce que parfois ça peut être d'une ampleur telle qu'on a besoin d'intervention au niveau des relations publiques. Qui seront vos avocats spécialisés dans le domaine? Parce que vous allez avoir besoin probablement comme avocats internes d'une spécialité d'un avocat qui s'y connaît, qui a de l'expérience dans le domaine. Alors, prévoir ça à l'avance pour faire en sorte que lorsqu'il y a un bris de sécurité, vous pouvez intervenir rapidement, avec des réponses adéquates et proportionnelles. Pourquoi aussi? Pour éviter de compromettre la preuve.

Vous savez, lorsqu'on est dans un dossier ou par exemple on nous contacte, un employé a volé de l'information ou il est parti avec son ordinateur, qu'est-ce qu'on doit faire? On doit d'abord, si on récupère l'information ou l'ordinateur, faire une copie miroir du disque dur pour ensuite aller faire des recherches. Si vous envoyez vos managers ou vos gens des IT fouiller dans l'ordinateur, vous venez de compromettre la preuve. On va vouloir voir exactement ce que l'employé a fait de A à Z et on ne peut pas avoir un tiers qui vient jouer dans l'ordinateur. C'est un exemple parmi d'autres, mais c'est important que les gens qui seront appelés à intervenir en cas de situation de crise, qu'ils soient bien informés de ce qui peut être fait et ce qui ne peut pas être fait.

Au niveau des protections indirectes, très rapidement, prévoir des clauses restrictives qui sont réfléchies puis adaptées aux besoins de l'entreprise. Trop souvent, on n'arrive en injonction, on a des clauses restrictives qui sont souvent trop déraisonnables, mais ce n'est pas juste ça. Des clauses restrictives, lorsqu'on les applique à la lettre, on se rend compte que, finalement, l'entreprise n'est pas si protégée que ça, puis ce n'est pas exactement ça qu'on aurait dû prévoir pour protéger adéquatement. Pourquoi je dis ça, puis ça se pose encore plus dans un contexte de télétravail, c'est que la territorialité, vous savez, les clauses restrictives, notamment les clauses de non-concurrence, doivent être délimitées par rapport au temps, au territoire et aux activités. Mais souvent, la question de la territorialité devient un peu désuète de nos jours, parce que, que l'employé soit assis en Afrique ou soit assis au Québec, ça ne change pas grand-chose, il peut faire son travail, il peut vous livrer la concurrence déloyale. Alors, vous allez vouloir avoir une clause qui va être plus adaptée à vos besoins. Il y a différentes options.

La clause standard de non-concurrence n'est pas nécessairement celle qui est la meilleure pour vous. Par exemple, vous pourriez vouloir plutôt une clause qui empêche de faire affaire avec les clients, ce qu'on appelle une clause hybride. Ce type de clause n'empêche pas les employés de travailler chez le compétiteur. C'est des clauses où on peut aller beaucoup plus loin en termes de durée, par exemple, de la clause et on va vraiment s'assurer que l'employé ne fait pas affaire avec vos clients. Alors, c'est là que vous allez protéger votre avantage concurrentiel.

Maintenant, la définition d'information confidentielle aussi, ça va être important de la réfléchir. Je révise trop souvent des engagements de confidentialité où la définition d'information confidentielle ne signifie absolument rien. Finalement, toute information est une information confidentielle et vous pouvez être certain que le juge ne sera pas très sensible lorsqu'on va vouloir implanter ou mettre en application cette clause. Alors, c'est important d'avoir des clauses qui sont réalistes, qui protègent réellement des informations qu'on doit protéger.

Des politiques sur la technologie de l'information. Si ce n'est pas déjà fait au sein de votre entreprise, c'est le moment ou jamais de les revoir, considérant le télétravail et les enjeux que cela peut amener, notamment est-ce qu'on peut imprimer? Comme je vous mentionne, je suis une fervente contre l'impression des documents, contre la possibilité de les copier sur des clés USB. Alors, vous allez vouloir le prévoir. Je vous donne un exemple pourquoi vous ne voulez pas que vos employés puissent copier des documents sur des clés USB, même si c'est crypté, parce que ce n'est pas juste qu'est-ce qu'on fait avec le support externe, est-ce qu'il est perdu, est-ce qu'il y a des risques. C'est le fait que lorsqu'un employé partie sa sortie puis qu'il est en droit de copier les documents sur une clé USB, ça va être très difficile par la suite de savoir qu'est-ce qu'il a copié exactement. Parce que, lorsqu'on fait affaire avec des experts en IT, ce que vous allez voir, c'est qu'on ne pourra pas savoir exactement ce qui a été copié sur la clé USB, mais on va pouvoir faire des recoupements entre ce qui a été téléchargé et ensuite le poids des documents qui étaient sur la clé USB. Mais ça amène des difficultés au niveau de la preuve encore une fois. Alors, simplement, ce n'est pas utile lorsqu'on a un accès au réseau d'avoir une clé USB. Alors, simplement, simplifiez-vous la vie, mettez des règles claires, puis que les employés par la suite, s'ils les violent, on pourra clairement tirer des conclusions de leurs actions.

Ça m'amène au point de la tolérance zéro. On ne peut pas commencer à accepter certains bris ou certaines déviations aux politiques si vous voulez par la suite pouvoir plaider au tribunal que, la confidentialité, c'est crucial pour votre entreprise, que c'est névralgique.

La prévention et la formation. Je pense que ça, c'est un élément qui doit aller aussi de pair avec tous les autres outils, parce qu'il n'y a rien de mieux que de former les employés et de leur faire comprendre quels sont les risques pour l'entreprise et quels sont aussi les risques pour eux, s'ils sont tentés de vouloir faire des écarts de conduite.

Finalement, on en a parlé un peu plus tôt, les contrats avec les tiers lorsque vous avez de l'information confidentielle. Alors, bien prévoir contractuellement avec les tiers comment les informations seront gérées chez vous. Alors, voilà, ça terminait pour moi. Je suis désolée, j'ai un petit peu dépassé le temps alloué, Delphine.

Delphine Robert : Mais non, pas du tout. C'était vraiment intéressant. Merci beaucoup, Tina. Merci à Marc, Michel et Benoit pour cette première partie de l'événement qui se conclut. Cette présentation était vraiment très pertinente, intéressante. J'espère qu'elles vous ont éclairés sur des points importants reliés au virage numérique.