Naïm Alexandre Antaki
Premièrement, merci beaucoup d'être ici en personne. On a un grand groupe en personne et je trouve que la salle qu'on a aujourd'hui est vraiment en lien avec la présentation qui est d'ouvrir nos horizons, n'est-ce pas? On respire dans cette salle. J'ai beaucoup de chance de travailler avec des collègues fantastiques dont vous allez entendre parler aujourd'hui. Notre groupe de technologie, en général, chez Gowling à l'international, on est plus de 300 personnes. Le but est d'être un groupe qui est disciplinaire, mais multidisciplinaire, je devrais dire. On a des gens qui sont évidemment en propriété intellectuelle, en droit des affaires, mais aussi – et c'est très important – en litige, en droit du travail et beaucoup d'autres sujets. Nous avons plusieurs sujets intéressants et on va peut-être commencer avec le premier ici aujourd'hui. On a aussi, je crois, des gens qui sont en ligne. N'est-ce pas, Alirio? Parfait. Donc, tout va bien pour la technologie. Ça commence bien une conférence en technologie.
Peut-être avant de commencer la présentation, rapidement, comme on l'avait indiqué, les présentations vont être principalement en français. Par contre, on travaille tous dans les deux langues. Soyez bien à l'aise si vous avez des questions en anglais. Nous allons aussi avoir le matériel qui va être disponible en français et en anglais, au cas où vous voulez le regarder dans une langue ou dans l'autre.
On commence par la curiosité. Qu'est-ce que la curiosité? C'est d'apprendre les nouvelles technologies. Je parlais avec plusieurs d'entre vous dans la salle déjà ce matin et je sais qu'on a plusieurs personnes qui s'y connaissent énormément dans des domaines très pointus de la technologie. On en a choisi quelques-uns qui, on pensait, pourraient être d'intérêt pour vous plus généralement. On va avoir l'informatique quantique, on va avoir l'intelligence artificielle et on va aussi avoir les jumeaux numériques. Dans le cadre de la conférence ici, on va parler des jumeaux numériques dans un domaine de la santé. Gardez votre esprit ouvert, parce que les jumeaux numériques vont avoir un impact dans plusieurs domaines des affaires.
Alors, on a la chance d'avoir avec nous Yasmina, Philippe et Mathieu. Yasmina, qui est une scientifique avec une spécialité en intelligence artificielle et informatique quantique, notamment. Philippe, avec une spécialité en neurosciences, notamment. Les deux sont du groupe de Propriété intellectuelle. Et Mathieu, qui fait partie de notre groupe de Droit des affaires et qui est une personne très curieuse et qui va au fond des choses, qui aiment se poser des questions. Il y a une nouvelle technologie, à quoi il faut penser, quels sont les drapeaux qu'il faut lever à l'interne? Sans plus attendre, je vous laisse la parole.
Mathieu Santos-Bouffard
Je vais juste prendre la manette. Bonjour à tous. Merci d'être présents ce matin avec nous. Bienvenue à ceux qui sont en ligne aussi. L'objectif de la présentation ce matin est de débuter avec une explication technique brève des différents sujets que Naïm a mentionnés. Nous allons débuter avec l'intelligence artificielle, avec Yasmina. Par la suite, les jumeaux numériques, avec Philippe, et nous allons terminer avec l'informatique quantique, toujours avec Yasmina. Donc, après une brève explication technique de la technologie, on va poursuivre avec les risques légaux généraux relativement à chacune des technologies et un aspect un peu plus particulier que j'ai choisi en raison des risques particuliers de cet aspect et de l'intérêt que j'y apportais. Je cède tout de suite la parole à Yasmina.
Yasmina Boulahia
Bonjour et bienvenue, tout le monde. Dans cette première présentation sur l'intelligence artificielle, on vous le présente un peu comme une nouvelle technologie. Évidemment, c'est une technologie qui est déjà là. On voit déjà des aspects, on voit déjà des applications. On est tous en contact avec l'intelligence artificielle, tous les jours, qu'on le veuille ou pas. Mais il reste que c'est une technologie. Les experts disent qu'on est encore aux balbutiements de cette technologie. On a trouvé ça intéressant de quand même se rappeler au moins la base, parce qu'on va beaucoup en entendre parler.
Donc, comme je disais, on est tous en contact, tous les jours, avec l'intelligence artificielle. Quand on parle à Siri ou à Alexa, c'est de l'intelligence artificielle qui a derrière, c'est la reconnaissance vocale, c'est la reconnaissance d'intention. Donc, on est vraiment là-dedans. Google l'utilise pour filtrer les spams, pour aussi filtrer les tentatives malveillantes sur votre boîte de courriels. Les cartes de crédit, on sait que les banques l'utilisent aussi pour filtrer un peu les transactions suspectes. Donc, c'est vraiment là. On l'utilise aussi en médecine pour établir un diagnostic, maintenant. C'est vraiment là, mais ça va encore continuer à affecter notre vie de tous les jours.
Quand on parle d'intelligence artificielle, on parle de tous ces algorithmes, ces méthodes qui visent à développer une intelligence qui ressemble un peu à l'intelligence humaine. À l'intérieur de l'intelligence artificielle, on a l'apprentissage automatique. Le machine-learning. Ce sont des algorithmes qui vont apprendre juste par interaction avec les données. On ne va pas vraiment les programmer de manière exclusive, mais on va les laisser apprendre avec les données. Donc, il va y avoir beaucoup de statistiques en arrière, mais c'est comme ça qu'ils apprennent puis qu'ils performent par la suite pour la tâche pour laquelle on les a entraînés.
À l'intérieur de l'apprentissage automatique, il y a une niche qui est l'apprentissage profond. Ce sont des algorithmes qui vont vraiment se baser un peu sur l'intelligence humaine. Donc, sur des structures similaires, on parle de réseaux de neurones pour l'apprentissage profond. Ce sont les structures qu'on va entraîner pour arriver à une intelligence artificielle qui ressemble à l'intelligence humaine.
L'intelligence artificielle, pour le développer, on va avoir plusieurs phases. Une des phases les plus importantes, c'est la phase d'entraînement, où on va entraîner notre modèle sur des données dont on aura fait la collecte auparavant. On a nos données, on en a fait la collecte, on les a annotées auparavant. Ensuite, on va entraîner notre modèle d'intelligence artificielle là-dessus. Donc, il va voir tous les exemples, toutes les données, puis il va apprendre là-dessus dans le but d'apprendre à faire une tâche. On va passer par la suite, une fois qu'on aura vu un bon 80 % de ces données – quand on parle de ces données, on parle de centaines de milliers d'exemples – à la phase de généralisation, où on va tester cette intelligence artificielle sur des nouvelles données qu'elle n'aura jamais vues pour voir comment elle se généralise à ces données. Est-ce qu'elle performe sur des nouveaux exemples qu'elle n'a jamais vus? Par la suite, si on est satisfait avec cette généralisation, ce test, on va pouvoir passer en phase de production ou de déploiement.
Ce qu'il faut comprendre, c'est qu'il y a beaucoup de va-et-vient entre la phase d'entraînement et la phase de généralisation, en général, parce qu'on entraîne, après ça on essaie de généraliser, on réalise que ça performe moins bien. Donc, on va revenir, on va ajouter des nouveaux exemples ou des nouvelles données pour entraîner là-dessus. Donc, on fait des va-et-vient comme ça pour ensuite pouvoir produire. Ce qui est très, très important, comme je dis, c'est la phase d'entraînement. Pas parce que c'est une phase d'entraînement, mais à cause des données sur lesquelles on va entraîner, parce que ce sont ces données qui vont faire en sorte que l'intelligence artificielle va performer bien ou moins bien.
Un des exemples où les données peuvent poser problème, c'est vers 2014-2015, une des compagnies – je ne veux pas la nommer, mais c'est une des compagnies qui étaient connues pour être en avance technologique – a développé une intelligence artificielle dans le but de faire la sélection, une présélection de CV pour certains postes qui étaient assez hiérarchiques dans la compagnie. Au bout de quelques mois, ils ont réalisé que c'est l'intelligence artificielle qui choisissait rarement des CV de femmes. C'était quand même souvent des CV d'hommes. Ils se posaient la question : est-ce qu'on a entraîné quelque chose de sexiste? Par la suite, ils ont remarqué, quand ils ont fait plus de recherche, que c'est parce que, historiquement, durant les 10 dernières années, ces postes ont été occupés par des hommes, ce qui fait que l'intelligence artificielle, quand elle apprenait sur les données, elle comprenait que si tu étais un homme blanc d'un certain âge, bien, tu avais encore plus de chance d'avoir ce poste. Évidemment, quand elle arrivait pour sélectionner, elle sélectionnait les meilleurs candidats selon son apprentissage, qui sont des hommes blancs. Ma réponse à « Est-ce que l'intelligence artificielle était sexiste dans ce cas-là? » serait que non. L'intelligence artificielle, c'est plus une image des données sur laquelle elle a été entraînée. C'est pour ça que c'est très, très important de faire attention à nos données. Sur ceci, je cède la parole à Mathieu.
Mathieu Santos-Bouffard
Merci. On se croise la manette comme au hockey avec la rondelle. Donc, voici les différents sujets, différents risques légaux généraux. Comme Yasmina l'a mentionné, on va aller un peu plus en détail concernant un des sujets – soit la qualité des données – qui sont des sujets légaux et des risques importants relativement à l'intelligence artificielle. Un des sujets que je voulais aborder, c'est celui relativement à la responsabilité civile et celui du fait des produits. Il y a eu deux procédures qui ont été déposées récemment aux États-Unis. L'une concernant l'utilisation d'un GPS pour lequel il y avait un algorithme qui utilisait l'intelligence artificielle. Dans cet algorithme, la personne qui l'utilisait a percuté un pont et a causé des dommages au pont et à son véhicule. Dans l'autre cas, qui impliquait un véhicule autonome de GM, le véhicule a percuté un individu. On peut voir, dans ces procédures, les interactions, les arguments qui sont faits relativement à une l'utilisation d'un outil d'intelligence artificielle pour déterminer la responsabilité réelle. Ce sont des procédures en common law, mais ce sont des procédures qui, malheureusement, ont été réglées à l'amiable. Donc, on n'a pas de décisions, mais on peut tout de suite comprendre et voir les arguments qui ont été identifiés et s'imaginer que fort prochainement on va pouvoir lire une décision qui va impliquer un outil d'intelligence artificielle.
Comme Yasmina mentionnait, relativement à la qualité des données, ce que les outils d'intelligence artificielle ont permis de constater, c'est qu'il pouvait y avoir certaines violations de certaines chartes, dont les chartes et droits de la personne, ici, au Québec, lorsqu'il y a discrimination. Il va y avoir discrimination lorsque la qualité des données n'est pas suffisante. Récemment, il y a eu deux projets de loi qui ont été déposés. L'un, en Europe et, l'autre, plus proche de nous, le projet de loi C-27. En Europe, le règlement du Parlement européen concernant les règles sur l'intelligence artificielle a visé spécifiquement les outils d'intelligence artificielle et les a classifiés en quatre catégories. Une catégorie inacceptable, pour lesquelles les outils d'intelligence artificielle ne peuvent tout simplement pas être utilisés. Une catégorie à risque élevé, pour lesquelles les outils d'intelligence artificielle doivent rencontrer une série de critères. Un de ces critères, c'est notamment s'assurer que les données utilisées soient d'une certaine qualité, donc que les données soient représentatives du bassin. Il va aussi avoir une obligation ex ante d'avoir une approbation d'un organisme réglementaire, une supervision humaine de l'outil d'intelligence artificielle et d'autres critères qui sont établis dans le règlement européen. À noter que ces règlements sont toujours à l'étude, n'ont pas encore été adoptés encore. Donc, il y a possibilité d'évolution, mais ça permet un peu d'avoir une idée de ce qui se discute en ce moment. Finalement, il y a ceux pour lesquelles il y a un risque faible ou minimal. Pour ce qui est du risque faible ou minimal, il va y avoir un code de conduite ou une autorisation, un consentement à obtenir.
Finalement, un peu plus proche de chez nous, il y a le projet de loi no 64, qui a été déposé et adopté concernant les renseignements personnels et la vie privée. Il y a une disposition spécifique qui concerne le traitement automatisé pour lequel on doit identifier et expliquer la décision qui est rendue par un outil utilisant le traitement automatisé. Mon collègue, Naïm, va donner un peu plus de détails concernant le projet de loi no 64.
Pour terminer, le projet de loi C-27, qui a été déposé au fédéral. Pour ce projet de loi, le projet de loi C-27, c'est tout récent, au moins de juin dernier, le gouvernement fédéral au Canada a déposé un projet de loi visant les outils d'intelligence artificielle pour indiquer que ceux qui représentent un risque élevé – on n'a pas encore de définition, ça va être défini dans un règlement à suivre – vont être assujettis à une série de critères dont, notamment, une explication sur le site Internet de comment fonctionne l'outil. Et si on détermine, en fait, si la personne qui bâtit l'outil détermine qu'il y a un préjudice important qui pourrait résulter de l'outil, il va falloir aviser le ministère de l'Innovation et ce dernier va pouvoir conduire un audit et proposer certaines mesures pour réduire les risques. Il y a des pénalités aussi qui sont rattachées à ce projet de loi. Donc, je vous invite à suivre les développements concernant ce projet de loi. Voilà pour l'intelligence artificielle. Philippe va continuer avec les jumeaux numériques.
Philippe M. Duquette
Merci, Mathieu. Le micron est « ON ». Bienvenue. Merci de venir à notre conférence. Tel qu'annoncé, je vais vous parler des jumeaux numériques humains. Juste par curiosité, qui a déjà entendu parler des jumeaux numériques, ici? OK, excellent. Il y a plus de mains qui ne se sont pas levées que de mains qui se sont levées. La technologie des jumeaux numériques repose essentiellement sur la numérisation de l'humain, en incorporant différents paramètres afin de créer une copie numérique, soit le jumeau numérique, qui va peut-être pouvoir être utilisé par professionnels de la santé afin de livrer des soins personnalisés ou du moins plus personnalisés qu'ils le sont en ce moment.
Allons-y avec une définition. Comme Naïm a dit, ça englobe plusieurs industries. Dépendant de l'industrie, il peut y avoir des petites variations dans la définition, mais en voici une que j'ai trouvée, qui est relativement récente et qui englobe pas mal toutes les industries. On parle ici d'un modèle numérique qui simule, imite, reflète ou, entre parenthèses, jumelle – en anglais, c'est devenu un verbe, twinning – la vie d'une entité physique. Donc, qui peut être un objet, un processus ou même, dans notre cas ici, un corps humain. Le mot clé, ici, c'est vraiment la vie de l'entité physique. Donc, contrairement à une simulation qui incorpore des paramètres d'un objet physique à un certain moment donné, le jumeau numérique, lui, incorpore ces paramètres mais tout au long du cycle de vie de l'objet physique. Dans notre cas ici, c'est un humain, mais ça peut être un produit commercial, peu importe.
Pour ce faire, il y a trois composantes de base. Il y a, bien évidemment, l'espace réel, qu'on a l'objet physique à jumeler. L'espace virtuel, dans lequel le jumeau numérique sera créé et développé. Et également il y a le flux d'information bidirectionnel entre le jumeau numérique et le jumeau physique, qui permet une certaine synchronisation des deux jumeaux, au fil du temps. Pourquoi je vous parle de jumeaux numériques humains, aujourd'hui? Comme vous le savez tous, les coûts en santé continuent de grimper. C'est un enjeu quand même assez important. C'est indépendamment de la situation et les coûts imposés par la pandémie. On peut s'attendre à ce que la tendance se maintienne avec le vieillissement de la population. Aussi, c'est 14 % des coûts en santé qui sont consacrés aux médicaments, lesquels sont efficaces seulement chez une certaine proportion de la population, ce qui fait en sorte que beaucoup de médicaments sont prescrits à des gens pour lesquels le médicament n'est pas efficace. Et, inversement, beaucoup de médicaments qui auraient pu être efficaces chez une certaine minorité ne vont jamais recevoir l'approbation réglementaire, parce que les essais cliniques semblent seulement le patient moyen. Donc, les jumeaux numériques vont venir un peu essayer de remédier à ces angles morts afin de livrer une médecine personnalisée, des soins de santé qui sont un peu plus personnalisés.
Donc, la technologie des jumeaux numériques repose sur différentes technologies de pointe; par exemple, la technologie des senseurs et des capteurs. Plusieurs compagnies se concentrent, justement, dans l'élaboration de senseurs de plus en plus sophistiqués, de plus en plus sensibles et fiables. On connaît tous les Fitbit de ce monde, parce qu'on parle de senseurs portables, qui peut enregistrer différents paramètres, mais il y a aussi les senseurs ou les capteurs implantables, lesquels vont pouvoir générer de l'information brute, qui va pouvoir être acheminée à une structure centrale munie d'intelligence artificielle, qui va pouvoir analyser et décortiquer l'information pour en faire ressortir de l'information, qui va pouvoir être utilisée par des professionnels de la santé afin de livrer des soins de santé personnalisés. Bien sûr, avec toute cette information sensible, la technologie des jumeaux numériques va dépendre aussi d'une cybersécurité de pointe afin de protéger tous ces renseignements.
Donc, ici, je veux juste vous mettre une petite mise en situation de ce que le futur pourrait nous réserver. Vous pouvez vous imaginer une personne avec un certain malaise qui se présente à l'hôpital. Le médecin lui fait faire une série de tests, par exemple une prise de sang, afin de déterminer son profil génétique, biochimique, etc. pour créer son jumeau numérique ou faire une mise à jour de son jumeau numérique préexistant, lequel va pouvoir être comparé à une banque de données de jumeaux numériques afin de cibler et de tester une série de traitements possibles et sélectionner le traitement optimal pour cette personne, compte tenu de son profil. En passant, ce n'est pas de la science-fiction. L'Europe veut créer un jumeau numérique pour chacun de ses citoyens. Donc, une fois que les tests virtuels ont été faits, le traitement sélectionné est prescrit au patient et le patient est suivi et, à son tour, il va pouvoir contribuer à la banque de données pour améliorer continuellement les traitements à faire et mieux cibler les traitements. Donc, la banque de données va continuellement s'améliorer.
Ce n'est pas que de la science-fiction. Je vous ai dit qu'en Europe ils veulent créer un jumeau numérique pour chacun de ses citoyens, mais il y a des compagnies même ici au Canada, au Québec, qui recrutent des patients, par exemple, atteints de cancer, particulièrement les quatre cancers que vous voyez à l'écran – cancer colorectal, poumons, pancréas et ovaires – pour créer une banque de données de jumeaux numériques de patients atteints de cancer. Mon temps est écoulé, mais si vous voulez en parler par après, venez me voir, ça va me faire plaisir. Je vais laisser la parole à Mathieu, qui va parler un peu des enjeux légaux entourant les jumeaux numériques.
Mathieu Santos-Bouffard
Merci, Philippe, pour les explications. Concernant les jumeaux numériques, voici les risques légaux généraux qu'on a identifiés dans les différentes recherches. Donc, les risques récents et les risques principaux rattachés à l'utilisation des jumeaux numériques. Comme Philippe mentionnait, un des risques principaux concerne l'utilisation des données. Il va y avoir souvent différents capteurs. Ça va être important d'avoir les bons consentements, d'avoir aussi un consentement de la part des entreprises qui les utilisent. Donc, s'assurer que les droits de propriété intellectuelle de ces différentes entreprises sont bien intégrés et bien respectés dans le cadre des ententes et, notamment, aussi aux vues des différentes lois applicables, dont les lois sur les renseignements personnels.
Un des autres aspects importants relativement aux jumeaux numériques concerne la cybersécurité. Comme Philippe le mentionnait dans sa diapositive, un exemple récent constitue le virus Stuxnet qui a été utilisé par les États-Unis et Israël pour attaquer une centrale nucléaire en Iran. Les États-Unis et Israël ont créé un jumeau numérique qui des centrales d'opération de la centrale nucléaire pour lesquelles les opérateurs n'avaient pas conscience que les États-Unis et Israël manipulaient la centrale pour créer des dommages. Donc, on peut voir qu'on peut prendre contrôle d'un jumeau numérique et que la cybersécurité est un aspect super important pour s'assurer que les données qui soient utilisées et l'utilisation soient bel et bien protégées pour ne pas qu'il y ait des tiers malveillants qui en prennent possession.
Concernant la législation récente concernant les jumeaux numériques, le projet de loi 19, qui a été présenté en décembre 2021, vise un régime spécifique pour les données dans le secteur de la santé. Le projet de loi est mort au feuilleton au lancement des élections très récemment, mais le ministre Dubé a indiqué qu'il comptait redéposer le projet de loi si la CAQ est élu aux prochaines élections, bon c'est encore à voir. Ce nouveau régime va reproduire le régime qui est utilisé dans la Loi sur les renseignements personnels dans le secteur privé, mais spécifiquement pour les données dans le secteur de la santé. Le souhait non avoué de la CAQ, c'est de pouvoir en faire une utilisation tant pour la recherche que pour d'autres fins en agrégeant et en anonymisant les données. Les principes de base vont rester les mêmes, soit ceux identifiés dans le Code civil sur le respect de la vie privée, le respect de la dignité et ceux identifiés dans la Charte sur les droits de la personne. Actuellement, c'est la Loi sur les renseignements personnels dans le secteur privé qui va s'appliquer pour régir les données dans le secteur de la santé. Pour terminer, Yasmina va présenter l'informatique quantique.
Yasmina Boulahia
Rebonjour. J'espèce que ce deuxième café commence à faire effet. Donc, pour l'informatique quantique, c'est sûr que c'est une technologie qui est encore en train de se faire développer. Il n'y a pas encore vraiment d'applications sur le terrain, mais on voit que depuis les 20 dernières années il y a eu un grand engouement aux investissements dans l'informatique quantique. On voit qu'en 2021, c'était le maximum. En 2022, ç'a commencé à descendre, mais c'est parce qu'on n'a pas encore toutes les données pour l'année. Du point de vue propriété intellectuelle, on voit également qu'il y a un grand engouement. Les deux dernières années, il ne faut pas les compter, parce qu'on n'a pas encore toute l'information. Mais on voit que ça continue à intéresser beaucoup de monde, puis certainement on n'a pas fini.
Pour avoir une petite idée de ce que c'est l'informatique quantique, imaginez-vous cette souris prise dans ce labyrinthe et qui veut sortir pour récupérer son fromage. Si on faisait ça avec un ordinateur classique, ce que la souris va essayer de faire, c'est prendre chacun des chemins du labyrinthe l'un à la suite de l'autre, jusqu'à ce qu'elle réussisse à trouver le chemin de la sortie. Donc, on va les faire de manière séquentielle, l'un à la suite de l'autre. Par contre, une souris quantique a la capacité de prendre tous les chemins du labyrinthe en même temps, simultanément, jusqu'à la fin décider, bien, je vais prendre ce chemin-là parce que c'est le bon chemin. Donc, imaginez combien de temps de calcul ça nous sauve, l'informatique quantique, parce qu'on fait les choses de manière parallèle plutôt que séquentielle. D'où l'importance de l'informatique quantique pour ce qui s'en vient.
Un des gros problèmes avec les ordinateurs quantiques, c'est qu'ils sont quantiques, donc les lois de la physique quantique les forcent pour pouvoir profiter de ces propriétés quantiques, les forcent à être à froid. Quand je dis "à froid", je ne dis pas -30 degrés, je dis 5 kelvins. C'est l'équivalent de -268 oC. C'est très, très froid. Ce qui fait que pour qu'un ordinateur quantique puisse fonctionner, il va falloir qu'on lui donne beaucoup d'énergie, beaucoup de refroidissement pour qu'il puisse opérer. D'où le fait que ce n'est pas demain qu'un ordinateur quantique va prendre la place des ordinateurs classiques. En fait, on pense que ça ne prendra pas la place d'un ordinateur classique, surtout pour les applications de tous les jours avec lesquelles on est habitué. Par contre, il y a des applications pour lesquelles l'ordinateur quantique est vraiment performant qu'à ce moment-là ça vaut la peine d'investir dans un ordinateur quantique. Par exemple, pour la recherche dans des bases de données géantes. Surtout quand les données ne sont pas structurées, c'est vraiment plus difficile pour un ordinateur classique d'accéder à ces données. Donc, avec un ordinateur quantique, le fait qu'il peut faire les calculs en parallèle, ça va être beaucoup plus rapide.
L'ordinateur quantique va aussi être utilisé pour la simulation de repliement de protéines. Dans le fond, c'est pour la modélisation moléculaire, ce qui va nous aider à découvrir de nouveaux médicaments. On va également l'utiliser pour l'intelligence artificielle, parce qu'au lieu d'entraîner un par un, sur les données une par une, on va pouvoir faire probablement un entraînement un peu plus en parallèle, puis les structures sont faites pour fonctionner bien ensemble. Donc, c'est le prochain grand géant. Si vous êtes dans le domaine de cryptographie ou si vos opérations nécessitent de la cryptographie, c'est sûr que vous allez entendre beaucoup de l'informatique quantique, parce que ça va probablement changer ou au moins influencer votre façon de faire. Je te passe.
Mathieu Santos-Bouffard
Merci, Yasmina. Concernant l'informatique quantique et pour terminer avec les risques légaux, le risque principal est celui qui concerne la cryptographie. La cryptographie, c'est la façon actuelle qui est utilisée pour protéger certaines communications, certains algorithmes d'encryptage qui sont utilisés. Les différents usages de la cryptographie sont identifiés à l'écran pour vous donner une idée de l'importance que cette technologie représente. On peut penser aux cryptomonnaies, à certaines communications privilégiées, à certaines transactions bancaires. L'informatique quantique vient mettre à risque cette technologie d'encryptage en raison de la capacité de décrypter rapidement la clé. Je n'ai pas la prétention de vous dire qu'il y a déjà certains standards légaux relativement à l'informatique quantique. On en est vraiment à un stade très précoce, très fondamental et en certains usages commerciaux qui sont discutés, mais on n'en est pas encore à un usage réel attaché à l'informatique quantique. Ce dont les experts parlent, c'est principalement de Quantum-as-a-Service. Donc, on va vendre un potentiel de calcul, un peu comme un SaaS Agreement. Ce dont il va falloir tenir compte, c'est du taux d'erreur plus élevé rattaché à l'informatique quantique, parce que l'informatique quantique n'est pas encore stable; il y a encore des difficultés rattachées à la constance. Il va falloir en tenir compte dans les niveaux de service. Le régime de propriété intellectuelle aussi va être fort développé afin de combiner différents brevets ensemble pour en arriver à un usage commercial un peu plus avancé.
Pour terminer, comme je mentionnais relativement à la cybersécurité, le problème principal avec l'informatique quantique, c'est qu'il va être capable de déchiffrer les algorithmes identifiés dans la diapositive. Donc principalement les algorithmes RSA utilisés en cryptographie. Ce que le National Institute of Standards and Technology aux États-Unis a bien constaté, c'est qu'ils ont déjà débuté un processus pour identifier certains algorithmes de remplacement qui vont pouvoir être utilisés une fois que l'informatique quantique va être en place. L'utilisation réelle, en fait, la solution actuelle concernant l'informatique quantique est de vérifier les données qui sont actuellement stockées pour minimiser les données stockées, parce que ce que certains hackers peuvent faire est de colliger des données, les garder et attendre d'avoir accès à des outils d'informatique quantique pour briser la clé qui est utilisée pour encrypter ces données.
Pour terminer, l'entité européenne de standards en télécommunications, le ETSI, a aussi publié un livre blanc sur l'utilisation de l'informatique quantique, puis il a développé certaines méthodes et certaines façons que les entreprises devraient mettre en place afin de se préparer pour l'arrivée de l'informatique quantique. On parle notamment d'identifier les outils actuels qui peuvent être à risque et d'identifier dans le cadre des processus d'approvisionnement les technologies qui vont pouvoir être à risque de l'utilisation en matière d'informatique quantique. Voilà pour la présentation. Merci à tous pour l'écoute. Si vous avez des questions, n'hésitez pas. Je pense qu'il y a deux micros; c'est ce qu'on m'a dit. Je ne les vois pas, mais il y en a deux. Il y en a un là. Je sais que c'est le matin, donc…
Yasmina Boulahia
N'hésitez pas après, si par la suite vous voulez nous poser des questions one-to-one, parce que là on a fait vraiment un gros survol de 3 000 pieds. Si vous avez des questions plus précises, venez nous voir. Ça nous ferait plaisir de parler d'intelligence artificielle et d'informatique quantique avec vous.
Philippe M. Duquette
Et de jumeaux numériques. Après votre troisième café.
PÉRIODE DE QUESTIONS
Question
Oui, bonjour. J'ai une question. Dans combien de temps serons-nous à risque que les ordinateurs quantiques puissent décrypter l'information qui aurait été emmagasinée?
Mathieu Santos-Bouffard
De ce qu'on peut lire, ce n'est pas dans un avenir proche. Donc, il n'y a pas de quoi paniquer en ce moment. Il y a de quoi y réfléchir, il y a de quoi à y penser. On peut penser encore, mais la technologie avance des fois à une vitesse qu'on n'a pas conscience. Donc, il n'y a pas de risque actuel; il y a un risque futur. Je ne suis pas expert en informatique quantique. Je ne sais pas à quelle rapidité ils vont être capables d'en arriver à un usage commercial avancé qui va briser les clés de cryptographie, mais ce n'est pas pour demain.
Naïm Alexandre Antaki
Si je peux peut-être ajouter quelque chose par rapport à ça, Mathieu.
Mathieu Santos-Bouffard
Oui.
Naïm Alexandre Antaki
Sur la base de discussions qu'on avait eues avec des clients, des contacts, notamment en services financiers, les gens évaluent – ce n'est pas moi qui le fais – que peut-être dans cinq à huit ans ça va être un problème qui va être très important. Ceci dit, le problème très grave est que si dans votre entreprise vous avez des données qui sont importantes et qui vont demeurer importantes et sensibles à long terme, ce que certaines personnes malveillantes font, c'est qu'elles vont les chercher tout de suite puis elles vont attendre quelques années, une fois qu'il y aura peut-être ces avancées en informatique quantique, pour ensuite les décrypter. Donc, il faut faire très attention par rapport à ça. La dernière chose, que ce soit Laurent dans la salle ou d'autres personnes qui suivent Vitalik et les autres en blockchain, Vitalik, hier, parlait du fait que l'informatique quantique is not going to break all of crypto, only certain types of crypto. Donc, c'est important peut-être de revenir à votre groupe de TI et de vérifier quel type d'encryption vous avez et comment avancer par rapport à ça. On a aussi deux, trois podcasts sur la cybersécurité dans le domaine de l'informatique quantique. N'hésitez, si vous êtes intéressé par ce sujet, d'aller les voir aussi.
Yasmina Boulahia
Une autre question?
Question
Merci. Je me demandais, par rapport au twin, le jumeau numérique qui est très, très intéressant notamment dans le domaine de la santé et plus : dans la santé, particulièrement, quand on pense à la décentralisation, est-ce que le Québec commence à réfléchir, ou le Canada, au niveau de qui va détenir la donnée, parce qu'en ce moment ce n'est pas l'usager qui détient la donnée. Ça s'en va vers ça, comment ça pourrait évoluer, parce que je me dis qu'il va y avoir des enjeux légaux. Alors, je me demande où est-ce qu'elle est la réflexion est en ce moment.
Mathieu Santos-Bouffard
Bien, en fait, c'est ça. Pour ce qui est du contrôle de la donnée, c'est sûr qu'il va y avoir le projet de loi 19 qui va en traiter un peu en ce moment. C'est la Loi sur les renseignements privés. La donnée qui concerne un individu particulier va toujours appartenir à cet individu, mais il peut y avoir certains consentements pour la cession de ces données et pour un usage particulier. Ce projet de loi va être encore appelé à évoluer, puis il va peut-être être sujet à certaines commissions parlementaires. Peut-être, Naïm, sur le sujet, je ne sais pas si on a certains… À part la Loi sur les renseignements personnels dans le secteur privé qui actuellement régit les données utilisées pour les jumeaux numériques, si… Il y a encore beaucoup de flou, beaucoup d'incertitude, mais je pense qu'avec le projet de loi 19 on va arriver à quelque chose d'un peu plus clair, relativement.
Philippe M. Duquette
Oui, excellente question.
Naïm Alexandre Antaki
Mathieu, je suis d'accord avec toi. Je pense que pour toutes ces questions il faut y aller avec les principes de base. Les principes de base, c'est que les renseignements personnels appartiennent à l'individu. C'est très important. L'autre chose est comment est-ce qu'on va faire pour transformer les données? Est-ce que le jumeau numérique va avoir tous mes attributs qui permettent de me réidentifier ou est-ce que c'est possible d'avoir une version du jumeau numérique qui a peut-être mes attributs mais qui n'est pas capable de m'identifier, moi, spécifiquement. C'est un concept de sensibilité du renseignement qui existe déjà dans les différentes lois, dont notamment Melissa et Olivier vont parler lors de la prochaine présentation.
Question
« Question inaudible ».
Naïm Alexandre Antaki
Oui, puis pour les renseignements personnels, je m'excuse, mais en deux minutes, Dominique et d'autres personnes dans la salle pourraient en parler aussi, mais à la base il faut faire attention, il faut être capable de suivre les données et puis les lois vont s'appliquer partout où la donnée, pas uniquement au niveau de la collecte, mais aussi au niveau de l'utilisation, quand vous avez des sous-traitants dans d'autres pays, etc. Donc, c'est effectivement une question qui est importante. On ne peut pas régler ça pays par pays. Puis je pense que c'est très intéressant quand vous parliez plus tôt du fait que, bon, l'Europe en général, n'est-ce-pas, Mathieu, tu disais que l'Europe en général est en train de penser à ça. Il faut avoir un point de vue qui est très global, je pense, par rapport à tout ça, parce que these are things that can go bad very quickly and, once they start, it's going to be very difficult to stop it, right, donc, effectivement.
Alors, j'ai moi-même plusieurs autres questions pour le groupe, mais on aura une pause pour continuer ces questions. Merci encore énormément, Yasmina, Philippe et Mathieu. Peut-être en terminant, si vous êtes un peu moins scientifiques ou si vous êtes scientifiques mais que vous voulez vous changer les idées, j'ai eu la chance pendant mes vacances de lire un livre très intéressant sur l'informatique, sur l'intelligence artificielle, qui n'est rien à faire avec la science mais plus sur l'éthique, qui s'appelle Klara and the Sun. On cherche souvent ce qu'on va lire comme prochain livre, mais sur l'éthique normalement. Vous voulez vous changer les idées sur la plage ou près des pentes de ski, c'est peut-être une suggestion pour vous, dans un autre ordre d'idées.
2E PRÉSENTATION
Naïm Alexandre Antaki
Alors, pour la deuxième présentation, après l'aspect curiosité, il y a certaines choses qu'on est obligé de faire, qu'on soit curieux ou pas. Votre rôle en tant qu'avocates ou avocats à l'interne ou encore personnes en stratégie ou autrement, c'est de rassembler les gens pour essayer d'avoir une vue d'ensemble sur un changement important. Un des changements importants dont vous avez tous entendu parler mais dont on va parler un peu plus spécifiquement aujourd'hui, c'est principalement le projet de loi 64, donc les changements à la loi québécoise par rapport à la vie privée, spécifiquement dans le domaine privé. Je vais demander à Melissa et Oliver de se joindre à moi pour cette deuxième présentation.
En attendant, si vous me permettez, je vais présenter Oliver et Melissa. Oliver, un autre collègue fantastique, qui est dans notre groupe de Droit de l'emploi. Très souvent, quand on parle de vie privée, les gens pensent, Okay, it's a compliance issue, j'ai besoin de la personne réglementaire, la personne réglementaire a énormément de choses à faire, mais a besoin d'aide. Les gens pensent souvent aux données en vie privée par rapport au client. Les gens disent : bien, moi, I don't have a retail business, donc je n'ai pas vraiment besoin de penser à ça, mais on a tous des employés, nos employés sont très importants et on a des renseignements personnels sur ces employés. Donc, Olivier a eu à se pencher sur cette question très, très régulièrement. Nous avons dans ce cadre cette approche multidisciplinaire à la loi. Aussi, Melissa Tehrani, est notre chef en groupe de Droit du marketing et de la publicité au national. On travaille régulièrement en vie privée ensemble aussi. Merci à vous deux d'être ici. Je vais me joindre à eux pour cette prochaine présentation. Melissa.
Melissa Tehrani
Merci, Naïm. Bienvenue à tous et à toutes. Sans plus tarder, parlons de la protection des renseignements personnels. Comme vous le savez sûrement, l'an dernier, le gouvernement du Québec a adopté le projet de loi 64, la loi 25, qui viendra moderniser les règles en matière de protection de la vie privée, et ce, afin d'adresser les défis potentiels que ces avancées technologiques d'aujourd'hui peuvent présenter. Pour ce faire, la loi accordera plus de droits et d'obligations ou de contrôle surtout sur vos renseignements personnels, ce qui est toujours très positif, qui a été très bien reçu. Par conséquent, la loi amplifiera également les obligations des entreprises qui en détiennent.
Notre objectif aujourd'hui est de vous donner un aperçu des changements en vertu de la loi 25, le projet de loi 64, qui aura le plus d'impact sur vos opérations au Québec ainsi que les questions à se poser pour se préparer et les étapes à prendre pour mettre en place en plan de conformité, surtout en ce qui concerne les obligations qui entreront en vigueur d'ici deux semaines. On sait qu'il y a beaucoup à dépaqueter, mais il y a quand même certaines questions clés qu'on peut se poser pour, justement, faciliter la préparation. Même si la plupart des obligations entreront en vigueur en deux ans, il faut s'y pencher tout de suite. Pourquoi? Parce que la mise en conformité touchera nécessairement plusieurs domaines de votre entreprise, que ce soit le département des ressources humaines, la TI, marketing, service à la clientèle, affaires, etc., ce qui nécessitera donc une certaine coordination entre divers groupes et intervenants, qui n'est pas toujours évident.
Pourquoi doit-on y consacrer autant de temps et de ressources? Eh bien, c'est parce que les conséquences les plus sévères au Canada sont prévues en cas de non-respect. Ce sujet est donc beaucoup plus important que ça ne l'a été par le passé. Afin d'assurer la conformité à la loi, la loi prévoit trois types de sanctions. On a des sanctions pénales plus élevées, beaucoup plus élevées. On parle d'amendes allant jusqu'à 25 millions de dollars ou, si plus élevées, 4 % du chiffre d'affaires mondial de l'entreprise pour l'année financière précédente. On introduit également des sanctions administratives allant jusqu'à 10 millions. Le fait de ne pas prendre des mesures de sécurité appropriées constituera également une infraction. Il y a un droit privé d'action qui sera prévu avec des dommages punitifs allant – excuse-moi – d'au moins 1 000 $ par personne, ce qui, d'un point de vue recours collectif, action collective, pose des risques financiers importants. Au-delà de ça, il y a tout le volet atteinte à la réputation et d'autres risques financiers.
On le sait, les cybercrimes peuvent être très coûteux. Il y a une corrélation entre les pratiques d'une entreprise et les coûts moyens de l'acte de cybercrime. Autrement dit, les entreprises qui investissent suffisamment de ressources, qui ont des personnes qualifiées et certifiées, qui nomment un responsable à la vie privée de haut niveau ont en général des coûts associés à un cybercrime qui sont beaucoup inférieurs à ceux des entreprises qui ne mettent pas en vigueur ces types de pratique. Donc, c'est très, très important.
Même si la plupart des amendements entrent en vigueur en deux ans, il y a quand même certaines dispositions importantes qui entrent en vigueur ce mois-ci, le 22 septembre. Qu'est-ce qu'il faut faire d'ici deux semaines? La première chose, si ce n'est pas déjà fait, c'est qu'il est maintenant temps d'identifier un ou une responsable de la protection de la vie privée. Si telle désignation n'est pas faite d'ici le 22 septembre, ce sera par défaut la personne ayant la plus haute autorité au sein de l'entreprise, généralement le chef de la direction.
Initialement, la loi avait précisé qu'on ne pouvait déléguer ce rôle qu'à une autre personne de l'entreprise, mais la version finale de la loi est beaucoup plus permissive, de sorte qu'on peut déléguer ce rôle à n'importe quelle personne, que ce soit quelqu'un à l'intérieur de l'entreprise ou on peut même sous-traiter ce rôle.
Évidemment, la personne qu'on désigne doit être apte à exercer ce rôle, mais la loi québécoise ne précise pas exclusivement que la personne doit être située au Québec, de sorte qu'une entreprise pourrait envisager de déléguer ce rôle à une personne qui exerce un rôle similaire dans une autre province ou dans un autre État, par exemple. Et ça, j'imagine, Olivier, que c'est une question qui se posent très souvent, qui est d'actualité : comment je fais pour déléguer ce rôle, à qui, comment, y-a-t-il des formalités prescrites par la loi ou sinon suggérées d'un point de vue légal?
Olivier Lamoureux
Absolument. C'est des questions qui reviennent incessamment depuis plusieurs semaines. D'une manière générale, la loi ne prévoit aucune formalité particulière, disons, pour assurer la délégation de ce rôle. Évidemment, c'est l'avocat qui parle. Moi, je vous suggère fortement de laisser une trace écrite, d'une part, et formaliser le tout. Si vous déléguez à l'interne, évidemment, dans une résolution du conseil d'administration, par exemple. Si vous déléguez à l'externe, que vous ayez un contrat de service qui détaille de façon très précise l'opération. Ceci dit, le mot général, c'est la flexibilité. Comme Melissa le dit, vous pouvez déléguer autant à l'interne qu'à l'externe. Par rapport à la délégation externe, c'est important de souligner, de deux choses l'une. Premièrement, la Commission de l'accès à l'information nous a confirmé que la personne qui est responsable de la protection des renseignements personnels n'expose pas sa responsabilité personnelle à ce titre. C'est très important, parce que ça faisait peur à tout le monde un peu. On se demandait à quoi s'exposait cette personne si jamais il y a une brèche ou si jamais il y a une violation de la loi. C'est l'entreprise qui détient les données qui est exposée, qui est redevable aux yeux du législateur.
Par rapport à la délégation externe, encore une fois soyez prudent si vous optez pour cette voie, parce que bien qu'il n'y ait pas de responsabilité personnelle pour la personne qui sera désignée, ça ne libère pas l'entreprise de sa responsabilité envers la loi, en fait. S'il y a une violation, même si vous avez sous-traité à une firme qui se spécialise dans la gestion des données et qui est à l'externe dans un autre pays même, bien, too bad, c'est quand même l'entreprise au Québec qui va être visée par les amendes, avec des sanctions potentielles que Melissa a mentionnées.
Autre question qui revient souvent aussi : c'est bien beau de dire que c'est la personne avec le plus haut niveau d'autorité dans l'organisation qui, de facto à partir du 22 septembre, est responsable des renseignements personnels. Encore faut-il savoir qui est cette personne. Effectivement, Melissa a mentionné : souvent le PDG, chef de la direction. Mais quand vous avez une structure corporative différente, et je vous donne un exemple très précis, dans le cas d'une entreprise, disons, qui a une société mère basée aux États-Unis ou en Europe et qui a une filiale au Canada, normalement la personne qui de facto va devenir responsable de la protection des renseignements va être la personne la plus haut placée au Canada et pas nécessairement le PDG ou le CEO qui est à la société mère en Europe. C'est important de se souvenir de ça. Effectivement, si vous n'avez pas encore entrepris les démarches pour officialiser cette délégation, je vous invite à le faire rapidement. Le 22 septembre, c'est dans deux semaines. Voilà.
Naïm Alexandre Antaki
Merci. C'est intéressant, parce que je pense que l'approche qui a été prise par le législateur dans ça, c'est qu'il faut nommer quelqu'un. Si vous ne nommez pas quelqu'un qui est responsable, il n'y a personne qui va vraiment s'en occuper. Il y a toute une philosophie par rapport à cette loi. Une des choses qui va être très importante pour ce responsable de protection des renseignements personnels, ça va être le rôle névralgique qu'elle ou il va avoir dans le cadre d'un incident de confidentialité. L'incident de confidentialité est un autre sujet qui est important pour dans deux semaines, parce que vous allez devoir, à partir du 22 septembre, divulguer à la Commission d'accès à l'information tout incident de confidentialité qui dépasse un certain seuil. Le seuil dont on parle dans la loi, c'est un risque qu'il y ait un préjudice sérieux qui soit causé. Pour ceux d'entre vous qui suivez la loi fédérale, qui êtes déjà en conformité avec la loi fédérale, c'est un peu familier pour vous, parce que le Québec essaie de se rattraper par rapport à tout ça. Par contre, certaines choses qui sont importantes, un peu comme au fédéral où on avait dû attendre pour voir qu'est-ce que ça veut dire un risque de préjudice sérieux, au Québec, on parle de trois facteurs qu'il faut absolument considérer, mais il pourrait y en avoir d'autres aussi. C'est un peu du gros bon sens. Est-ce la sensibilité du renseignement? Il y a aussi la probabilité que ça soit utilisé à des fins préjudiciables et puis – excusez-moi – les conséquences appréhendées de son utilisation. D'un point de vue de gouvernance, d'un point de vue d'affaires, c'est important de vous assurer de passer à travers ces différentes choses et vous allez être obligé, de par la loi, de consulter ce fameux responsable. Donc, chaque fois qu'il y a un incident de confidentialité, le responsable doit être impliqué. Dans votre méthodologie d'incident response, il faut adapter vos situations par rapport à ça.
Il y a deux autres, disons, obligations corollaires dont je vais parler très rapidement. Mitiger le préjudice et les risques. Encore là, je dirais que c'est du gros bon sens, d'un point de vue droit des affaires. Par contre, la loi précise que ce n'est pas seulement de mitiger le préjudice par rapport à l'incident qui vient de se passer, mais il y a aussi une obligation d'essayer d'éviter que de nouveaux incidents de même nature se passent. Donc, il faut que ça fasse partie de votre méthodologie. Et tenir un registre, normalement vous le faites, pour tous les incidents de confidentialité indépendamment du degré de sévérité. La Commission va pouvoir en demander une copie. Il va falloir penser : si la Commission demande copie, est-ce que j'ai quelque chose qui parle uniquement des incidents qui ont trait au Québec ou bien est-ce que je vais devoir divulguer tout ce qu'il y a dans le monde? Donc, il y a des choses à l'interne qui sont importantes par rapport à ça.
Troisième chose qui est importante, peut-être pas pour tout le monde, mais pour plusieurs d'entre vous. C'est les caractéristiques et les mesures biométriques. Pour 2022, ici, on n'est pas dans une situation où le Québec se rattrape. En fait, on est dans une situation où le Québec a toujours été à l'avant-garde puis continue d'être à l'avant-garde. L'idée à la base, c'est que, que ça soit le jumeau numérique ou d'autres méthodes de biométrie, avant d'utiliser ces informations, vous devez le divulguer à la Commission d'accès à l'information. C'est quelque chose de nouveau. La deuxième chose, c'est que si vous avez une banque, parce que certaines personnes vont avoir des banques de caractéristiques ou de mesures biométriques, il y avait déjà une obligation d'aviser la Commission d'accès à l'information. Par contre, maintenant, ça devient 60 jours avant la mise en service. Donc, plusieurs choses auxquelles penser pour 2022. N'hésitez pas si vous avez d'autres questions par rapport à ça, mais il faut se préparer aussi pour 2023.
Olivier Lamoureux
Effectivement, Naïm. Juste avant d'embarquer là-dedans, si vous ouvrez La Presse, pas plus tard qu'aujourd'hui, en fait, vous avez un exemple parfait de tempête parfaite en termes d'incident de confidentialité. Malheureusement, un collège qui a subi une fuite d'information. Lisez ça attentivement. C'est vraiment le cas classique. Je vous laisserai en prendre connaissance.
Pour ce qui est des changements qui vont entrer en vigueur progressivement en 2023-2024, la première chose que vous devez vous faire est de vraiment dresser un portrait de la situation en matière de renseignements personnels au sein de votre entreprise. Ça va passer par certaines questions que vous allez devoir vous poser par rapport à l'utilisation que vous faites des informations que vous récoltez, la façon dont vous les collectez, comment vous les communiquez également et à qui.
Melissa Tehrani
Tout à fait. Il y a quand même plusieurs questions clés qu'une entreprise peut se poser pour, justement, prendre une longueur d'avance. Nous allons passer à travers chacune de ces questions qui vous permettront d'identifier les angles noirs et les endroits où il faudra consacrer plus de ressources, parce qu'on le sait, cela a un impact direct sur les moyens de cybercrimes.
La première question à se poser : Quels types de RP sont détenus dans mon entreprise? Il faudra maintenant se poser la question à avoir est-ce que mon entreprise recueille, collecte, communique, etc. des renseignements sensibles, c'est-à-dire des renseignements qui de par leur nature ou en raison du contexte de leur utilisation suscitent un haut degré d'attente raisonnable en matière de vie privée? On pense notamment à des renseignements médicaux, à des renseignements biométriques, qui sont de plus en plus fréquents ces temps-ci, ou à tout autre renseignement autrement intime.
La règle est très simple. Plus les renseignements manipulés sont sensibles, plus les mesures de sécurité devront être robustes. Ce qu'il faut faire, ce qu'on vous avise de faire, c'est, dans un premier temps, dresser une liste des types de renseignements personnels qui sont collectés, communiqués, etc. pour identifier lesquels sont potentiellement sensibles et également les autres types de renseignements personnels identifiés qui peuvent être exclus du champ d'application de la loi, comme par exemple les coordonnées d'affaires – on y reviendra – pour, par la suite, effectuer un inventaire de tout document ou formulaire utilisé pour obtenir ce consentement, ce qui nous amène à la deuxième question.
Comment ces renseignements personnels sont obtenus?
Olivier Lamoureux
Effectivement. Sur la question de la collecte… Bon, j'espère sincèrement que je ne vous apprendrai rien en vous disant que ces questions sont fondamentales. C'était déjà des choses qui étaient contenues dans l'ancienne loi mais qui ont été renforcées dans le cadre de la nouvelle loi. Par rapport à la collecte des données au-delà du consentement, il faut vous demander : pourquoi vous collectez les données? Quelles sont les fins qui sont visées? Comment vous les collectez? Quels sont les moyens, incluant les moyens technologiques, qui sont utilisés pour la collecte? Pour qui les renseignements sont collectés, si c'est pour un tiers, par exemple? Un cas assez classique, on voit quand même ça souvent des fois : l'employeur va collecter l'information pour, par exemple, une compagnie d'assurance. Donc, c'est important que la personne qui donne son information le sache, en fait. Il faut également préciser qui aura accès aux informations et, ça, c'est fondamental au sein de l'entreprise. On pense généralement ressources humaines, département des finances, management, la direction. Généralement, c'est les grands exemples, mais si vous avez une situation particulière où vous savez que l'information va être accessible à des gens qui sont à l'extérieur de la compagnie, parce que vous leur avez délégué le rôle de responsable de la protection des renseignements, c'est quelque chose que les gens vont devoir savoir dès le moment de la collecte.
Évidemment, vous devez être clair sur aussi les droits d'accès et de rectification. Les personnes doivent être au courant qu'elles ont le droit de rectifier une information qui est erronée ou inexacte ou incomplète. Ils doivent également être informés qu'ils peuvent retirer leur consentement. Il n'y a rien de nouveau là-dessus. Très important, il va falloir indiquer d'une manière explicite si les renseignements vont être transférés à l'extérieur du Québec. La raison est simple et on y reviendra tantôt, il y a une série d'obligations qui viennent avec ça et il faudra indiquer aussi où seront conservées ces données. Donc, si vous avez, je ne sais pas, vous êtes basé à Montréal mais vous avez un serveur en Arizona, c'est important de dire que les données vont être stockées en Arizona. Ça doit être écrit en toutes lettres.
Source demande. Ça, c'est une nouveauté dans la nouvelle loi, la loi 64. Si quelqu'un a fait la demande, vous devez lui confirmer combien de temps vous allez garder les informations. Évidemment, selon le type de renseignements, il y a des paramètres qui existent où vous devez conserver l'information un certain nombre d'années. Vous devrez être en mesure de fournir ce renseignement sur demande. De manière générale, dans ma pratique, tout ce que je viens de vous dire, je suis en droit du travail, donc, forcément dans les contrats de travail il va y avoir une clause qui va prévoir tout ça. À l'époque, ça pouvait faire trois lignes. Aujourd'hui, c'est un ou deux paragraphes. Ça montre vraiment l'importance de la divulgation de tout ce qui est crucial dès le moment de la collecte.
Naïm Alexandre Antaki
Parfait. Merci beaucoup, Olivier. Olivier, tu parlais de tout type de renseignements qui peut être recueilli. Il y a certaines choses qui vont s'appliquer en plus de ce dont tu viens de parler, quand on parle de moyens technologiques plus spécifiquement. Il y a trois différents alliés par rapport à ça.
La première chose est si vous faites de la collecte par un moyen technologique au sens large du terme, à ce moment-là vous devez publier sur le site Internet de l'entreprise une politique de confidentialité qui est rédigée en termes simples et clairs. Encore là, avec un peu de chances c'est quelque chose que vous faites déjà, mais dans la mesure où ce n'était pas encore sur votre radar, c'est important de regarder ça, surtout quand vous allez peut-être avoir de nouveaux moyens technologiques que vous allez utiliser. Plus tard dans les présentations, on va parler de valorisation, on va parler d'innovation. La technologie change toujours. Il faut donc penser comment mettre à jour notre politique de confidentialité par rapport à ce ci.
La deuxième, c'est particulièrement par rapport aux technologies d'identification, de localisation et aussi de profilage. Dans ce cadre, il faut informer la personne que vous allez avoir recours à ces technologies. Toujours, quand on parle d'informer de tout ça, ç'a l'air facile quand on en parle, mais combien ça doit être complexe à l'interne de penser, OK, qu'est-ce qu'on va dire, comment on va le dire, est-ce que toutes les personnes qui doivent le dire vont le dire, etc. C'est un travail de fond qui doit être fait pour 2023 et c'est pour ça qu'il faut commencer à y penser tout de suite.
La question de profilage. Moi, au début, quand j'avais lu profilage, je me disais, bon, profilage, je ne suis pas dans Law and Order, donc peut-être je n'ai pas besoin d'y penser. Mais, en fait, la définition est assez large et c'est pour ça qu'on a voulu la mettre à l'écran, ici. Quand Olivier parle à des gens en ressources humaines, ça peut être important pour eux, parce que vous verrez que c'est l'évaluation de certaines caractéristiques, notamment pour le rendement au travail, puis d'autres caractéristiques. Une technologie de profilage a un sens très large. Il va falloir informer de ce recours à cette technologie.
La deuxième chose, peut-être pour Melissa quand il y a des ventes ou du marketing et tout et tout, c'est important souvent de savoir, bon, quelle est la situation économique peut-être de nos clients, où ils sont, etc. et puis le comportement. Donc, si vous utilisez un moyen technologique par rapport à ça, encore là il va falloir informer les individus dont vous recueillez les renseignements personnels.
Le troisième. Je reviens un peu à la discussion dans la conférence précédente qui était par rapport à l'intelligence artificielle, Mathieu, le traitement automatisé. Effectivement, dans la nouvelle loi québécoise, s'il y a un traitement qui est fait de manière exclusivement automatisée, à ce moment-là il faut en informer la personne. Je ne pense que vous n'allez pas être surpris jusqu'ici de savoir ça. Mais il y a deux choses qui sont très importantes. La première, c'est que vous allez devoir être capable d'expliquer comment cette décision automatisée a eu lieu, donc quels ont été les raisons puis les principaux paramètres. En théorie, ça devrait être facile. Mais si vous utilisez des techniques très avancées en intelligence artificielle, the whole concept of AI explainability, n'est-ce pas, ce n'est pas nécessairement tout qui est capable d'être bien expliqué. Vous savez comment les données rentrent. Vous savez que les résultats sont des bons résultats parce que vous faites des vérifications autour de ça. Mais est-ce que vous êtes capable d'expliquer comment les renseignements personnels d'Olivier spécifiquement, ont eu, disons, comme résultat cette décision spécifique. Il va falloir penser à cette question, parce que c'est une nécessité, selon la loi.
L'autre chose, humans are still involved, ce qui est une bonne chose. Quelqu'un, disons Oliver, si tu n'es pas d'accord de la décision automatisée que j'ai utilisée ou dont tu es la victime, on va le dire comme ça, tu as le droit de venir voir un membre du personnel de mon entreprise puis de porter des observations. La personne que tu vas aller voir doit avoir la possibilité de réviser cette décision automatique. Donc, encore là, il faut penser à tous ces aspects-là. Voilà.
Pour le transfert hors Québec.
Olivier Lamoureux
Oui. Le transfert hors Québec, c'est un sujet qui est particulièrement d'actualité, parce que, bon, les données circulent. C'est assez rare que je voie des entreprises qui collectent des données et que ça reste uniquement à l'intérieur des frontières du Québec. La nouvelle loi prévoit certaines obligations spécifiques du moment où une donnée quelconque franchit les frontières du Québec. Ce que vous devez faire, ça s'appelle une Évaluation des facteurs relatifs à la vie privée (EFVP). C'est quelque chose qui va devoir être fait à chaque fois qu'un renseignement va être communiqué soit de manière systématique ou ponctuelle, à l'extérieur du Québec. Qu'est-ce que c'est, cette évaluation, essentiellement? Il faut se poser certaines questions. Premièrement, quand on transfère l'information, il faut se dire est-ce que c'est une information qui est sensible, selon la définition que Melissa a donnée tantôt. Encore une fois, à quelles fins ça va être utilisé, dans le sens où vous allez devoir indiquer ça dans un rapport. L'évaluation doit être fait, mais elle doit être consignée dans un rapport aussi. Et vous devez vous poser la question, à savoir est-ce qu'il y a déjà des mesures de protection qui sont existantes, que ce soit par exemple de manière contractuelle entre le donneur et le receveur des données? Il y a peut-être déjà un contrat qui existe ou il y a des protections qui sont consignées. Il faut le prendre en considération. L'élément le plus important, et ça rejoint d'ailleurs la question que monsieur avait posée tantôt, quel est le régime juridique applicable dans la juridiction hôtesse. Donc, vers où on envoie les données et c'est quoi la situation par rapport à la protection des renseignements personnels là-bas. Je n'ai rien contre l'Arizona, je reprends l'exemple parce que je parlais à quelqu'un l'autre jour qui venait de là-bas. Il me disait : bien, en termes de privacy, c'est le Far West, il n'y a aucune protection. Donc, forcément, les mesures à prendre vont être très différentes selon que vous choisissez ce type de juridiction versus, par exemple, l'Europe, plus particulièrement l'Europe de l'Ouest, l'Union européenne, où les mesures sont à peu près similaires à ce qu'on a en vertu de la nouvelle loi au Québec.
Ceci étant dit, le critère que vous devez retenir ultimement, c'est que les données doivent recevoir une protection adéquate. Quand on dit « adéquate », on veut dire la même protection qu'au Québec. Donc, il n'y a pas de demi-mesure ici. Une fois que vous serez à cette conclusion, vous devez mettre par écrit une entente entre le donneur et le receveur d'information. Entente qui va détailler de manière très précise quelles seront les modalités et les mesures qui vont être mises en place, justement, pour palier aux risques que vous avez identifiés dans le courant de l'évaluation. C'est assez lourd comme démarche, surtout que ça doit être fait d'une manière répétitive, mai c'est quelque chose qui… En fait, je vous invite à faire tout de suite l'exercice en prévision de 2023, parce que, comme on l'a dit au début de la présentation, les conséquences pour un non-respect, bien, ces obligations sont vraiment majeures; on parle de millions de dollars, potentiellement. Voilà.
Melissa Tehrani
Je sais qu'à date nous avons parlé principalement des obligations accrues pour les entreprises, mais la loi viendra également alléger ou assouplir certaines règles existantes, notamment en matière de consentement.
La première exception dont je voulais mentionner brièvement concerne les coordonnées d'affaires. Ça va de soi, mais juste un commentaire là-dessus. Même si cette exception se rapproche maintenant des règles existantes au niveau fédéral et dans certaines provinces, il faut se rappeler qu'il y a toujours la Loi canadienne anti-pourriel qui s'applique, de sorte que si vous prévoyez envoyer des messages électroniques commerciaux à l'adresse électronique de travail d'une personne, il faut s'assurer de se conformer à la Loi canadienne anti-pourriel.
Deuxième exception. Conscientisation à des fins compatibles, c'est-à-dire à des fins secondaires mais qui ont un lien direct et pertinent avec les fins primaires pour lequel on avait recueilli le consentement, à condition, par contre, que ces fins secondaires ne soient pas à des fins prospectives, de prospection, marketing ou philanthropiques. Ce qui diffère de l'exception pour les fins d'affaires légitimes dont Olivier vous parlera.
Olivier Lamoureux
Fins d'affaires légitimes, ça peut paraître très vaste, mais dans les faits c'est assez limité comme exception. Juste pour vous rappeler, on parle des exceptions au consentement, quand vous faites une utilisation de renseignements personnels qui est différente de la fin pour laquelle le renseignement a été collecté. Donc, n'oubliez pas, c'est le contexte dans lequel on se trouve. Donc, fins d'affaires légitimes, effectivement on parle, par exemple, de livraison d'un produit ou de la prestation d'un service demandé par la personne qui est concernée par le renseignement. Évidemment, on veut pouvoir accommoder la personne. Donc, ça, c'est correct. Évidemment, il y a également le cas de l'utilisation du renseignement personnel, quand c'est nécessaire pour prévenir ou détecter une fraude à l'intérieur d'une entreprise ou aux fins d'amélioration ou d'évaluation des mesures de protection et de sécurité. Donc, quand on veut s'assurer, justement, de respecter la loi. Bon, ça serait évidemment une fin d'affaires légitimes pour sûrement protéger les renseignements de nos employés, consommateurs, clients, etc. Il y a également d'autres exceptions
Naïm Alexandre Antaki
Oui, effectivement. Vous utilisez des renseignements personnels à l'interne, mais souvent vous allez devoir travailler avec des sous-traitants. On va en parler en termes de valorisation ou d'innovation. Il pourrait y avoir des situations où vous voulez, justement, communiquer les renseignements personnels puis, honnêtement, aller chercher le consentement de tous les individus n'est pas nécessairement facile. Dans ce cadre, Marc va être heureux, Stefan aussi, Mathieu aussi, moi aussi d'ailleurs en termes de Droit des affaires. Il y a un moyen de, justement, communiquer ces renseignements personnels sans le consentement de l'individu. Je vais parler de deux situations spécifiques. Un, la sous-traitance et, deux, les transactions commerciales. Encore là, on est heureux, mais il faut quand même revenir sur terre. La première chose, c'est que la communication des renseignements personnels doit réellement être nécessaire pour l'exécution du contrat ou pour la transaction commerciale elle-même. Donc, il faut que vous vous posiez cette question : est-ce que c'est réellement nécessaire par rapport à tout ça? Il va y avoir aussi d'autres balises qui sont spécifiques. Deux choses que j'aimerais que vous reteniez par rapport aux sous-traitants et par rapport à la transaction commerciale.
Pour les sous-traitants, il y a maintenant une obligation de par la loi, puis c'est quelque chose qu'on essayait de négocier dans les contrats auparavant, mais, maintenant, si vous êtes sous-traitant, automatiquement vous devez aviser le fameux responsable ou la fameuse responsable de protection des renseignements personnels du client s'il y a une atteinte à la violation de la confidentialité.
La deuxième chose, c'est que, finalement, puis heureusement pour les clients, ce responsable ou cette responsable a maintenant la possibilité selon la loi de faire des vérifications relativement à ceci. Donc, vous avez vos contrats peut-être qui sont un peu plus courts, parce que vos gens de vente vous ont dit on veut ça sur une demi-page, puis il y a quelque chose qui dit I comply with all the laws, including the privacy laws. Si vous êtes un sous-traitant, vous avez maintenant des obligations implicites. Très souvent, les questions d'audit puis les questions relatives à ceci, ça réveille les gens à l'interne. Donc, il faut penser à ces questions-là. Suite à ceci, Melissa, pour la prochaine étape.
Melissa Tehrani
Deuxième étape. Une fois que vous avez dressé un portrait de la situation en matière de vie privée de votre entreprise, la deuxième étape est de se pencher sur les nouvelles mesures à prendre.
La première mesure, c'est d'élaborer et mettre en œuvre des politiques et des pratiques encadrant la gouvernance entreprise et surtout qui viseront à assurer la protection des renseignements personnels. Quelques petits points à retenir à ce sujet. Ces politiques et pratiques vont devoir être approuvées par le ou la responsable de la protection de la vie privée. Il faudra également publier sur le site Web de votre entreprise des informations détaillées au sujet de ces politiques et ces pratiques en termes clairs et simples. Donc, clairs et simples, non pas pour l'avocat ou l'avocate qui l'écrit, mais pour la personne qui le lit.
En ce qui concerne la communication, je vous dirais que vous pouvez le faire d'une ou deux manières. La première, en mettant à jour les politiques de confidentialité existantes que vous avez ou qu'on espère que vous avez. Sinon, la deuxième option que je vois de plus en plus souvent dans ma pratique, c'est d'avoir un espace défié à la protection de la vie privée et aux renseignements personnels sur le site Web de votre entreprise, où on retrouve souvent toutes les politiques et pratiques de l'entreprise sur ce sujet ainsi qu'une section Foire aux questions qui répond aux questions les plus fréquemment posées, et ce, de manière très claire et simple pour le lecteur. Ce qui nous amène à une autre obligation, soit celle de dépersonnalisation.
Olivier Lamoureux
Absolument. La dépersonnalisation et l'anonymisation, c'est une autre question à 25 millions de dollars, parce que souvent vous allez avoir vos gens en TI qui vous dictent I have a data leak ou d'autres situations comme ça et Don't worry about it, because, you know, I have encrypted the information; it's been hashed, it's been salted, etc. Comme vous le savez puis comme vous devez le rappeler, évidemment, ce n'est pas parce qu'un renseignement a été dépersonnalisé qu'automatiquement il n'est plus soumis aux lois dont on est en train de parler. Il y a deux niveaux : un niveau de dépersonnalisation et un niveau plus élevé d'anonymisation.
Dépersonnalisation, je ne suis pas capable que c'est Melissa de manière directe. Je pourrais être capable si je commençais à fouiller, je vérifie différentes bases de données, etc., mais c'est dépersonnalisé. Dans ce cas, ce qui est intéressant par rapport à ça, c'est que vous pourriez utiliser les renseignements dépersonnalisés pour des fins différentes que les fins initiales auxquelles elles avaient été recueillies. L'important, par contre, c'est que vous devez continuer de prendre des mesures raisonnables, donc d'avoir des mesures raisonnables, pour limiter les risques par rapport à l'identification ou la réidentification de Melissa. Ça, c'est le niveau que j'appellerais peut-être un peu standard.
Le deuxième niveau, c'est anonymisation. Quand quelqu'un vous dit que des données ont été anonymisées, you take it with a grain of salt, parce que selon la loi il faut vraiment que de manière complètement irréversible vous ne puissiez plus réidentifier Melissa de manière directe ou indirecte. On le sait tous, par exemple, j'ai utilisé Waze régulièrement. Waze sait que je suis à un endroit tous les matins, que je vais au bureau pendant la journée, que je suis à un endroit tous les soirs, etc. Il y a des différents moyens de réidentifier des gens quand on a différentes bases de données, qu'elles soient à l'interne chez nous, mais aussi des fois avec des données externes, publiques qui existent. Donc, si vous arrivez à ce niveau très, très important de données anonymisées, la beauté des choses est que vous n'êtes plus obligé de détruire les données une fois que les fins pour lesquelles elles ont été recueillies sont accomplies. Vous pouvez les utiliser de manière complètement anonymisée, mais seulement à des fins sérieuses et légitimes. Cette question de données anonymisées, on la voit aussi dans d'autres lois. Notamment, Mathieu parlait du projet de loi fédéral, puis notamment sur l'intelligence artificielle. Si vous avez des données anonymisées reliées à l'utilisation ou plein de choses reliées à un système d'intelligence artificielle, vous devez faire attention à ce projet de loi, parce que vous avez des obligations additionnelles dont on pourra parler à la pause par rapport à ça.
Melissa Tehrani
Un autre concept de droit nouveau au Québec que j'adore d'un point de vue personnel, c'est le concept de la protection de la vie privée par défaut ou privacy by design. C'est un concept selon lequel les entreprises qui offrent des produits ou des services technologiques au public et qui disposent de paramètres de confidentialité doivent par défaut assurer un haut niveau de confidentialité sans aucune intervention de la personne concernée. Je vous donne un exemple. Une application mobile qui permet le partage de photos et de vidéos n'a pas forcément besoin de collecter des données de géolocalisation, de sorte que ces paramètres vont devoir être désactivés par défaut et ce sera à la personne concernée de les activer si jamais elle le souhaite. Dans mon cas, ça m'évitera chaque fois que je télécharge une appli ou que mon fils télécharge une appli sur mon téléphone ou iPad de fouiller dans mes paramètres pour désactiver les services de localisation, ce que je fais chaque fois que je télécharge. Un autre concept de droit nouveau auquel il faudra porter une attention particulière est le droit à l'oubli qui, comme Olivier va en parler, soulève un peu plus de questions que ça n'en règle, malheureusement.
Olivier Lamoureux
Effectivement que oui. On parle de droit. L'oubli, je l'ai mis entre guillemets, pare que le droit à l'oubli ne doit pas être entendu comme un droit absolu d'une personne de juste dire : bien, cessez de diffuser mes renseignements personnels que vous avez collectés. Tu ne peux pas faire ça en te levant un matin. Essayez-le avec Facebook ou Instagram, vous m'en donnerez des nouvelles. Évidemment, il y a des conditions très précises qui doivent être rencontrées pour qu'une demande d'oubli soit recevable. Premièrement, qu'est-ce qu'une demande d'oubli? C'est quand on demande de cesser la diffusion ou qu'on demande la désindexation ou la réindexation de certains hyperliens qui mènent vers les renseignements personnels qui ont été collectés de façon fautive. Ça va se passer quand il y a une violation de la loi, évidemment, c'est le cas le plus classique, ou, et là vous avez une succession de conditions qui sont cumulatives, ça va pouvoir être formulée comme demande s'il y a un préjudice grave pour votre vie privée ou votre réputation et si le préjudice est manifestement plus important que l'intérêt du public de connaître cette information ou de prendre connaissance du renseignement personnel en question et la demande en plus doit elle-même être raisonnable pour éviter la survenance d'un préjudice.
Donc, ça, c'est du beau langage légal, mais essentiellement il y a plusieurs choses qu'on va regarder quand on va faire l'évaluation de la raisonnabilité d'une demande. On va regarder, par exemple : est-ce que la personne qui fait la demande est une personnalité publique? Si oui, le préjudice est probablement plus grand. Est-ce qu'il y a un délai entre le moment où l'information a été diffusée et le moment de la demande de retirer l'information? Évidemment, si le délai est long, ça va probablement jouer contre vous. Il y a une série de facteurs comme ça qui existent, mais, effectivement, comme Melissa l'a mentionné, c'est un droit nouveau et ça pose plus des questions que ça donne de réponses. D'ailleurs, je vais être bien honnête avec vous, quand on faisait la présentation, le concept de réindexation, la Commission de l'accès à l'information elle-même n'a pas de définition très précise sur ce qui est une réindexation. On parle d'un déplacement de l'information mais sans plus. Les termes qui sont utilisés sont très nouveaux, c'est une nouvelle terminologie. C'est certain que si on redonne cette conférence le mois prochain, j'aurai assurément quelque chose de plus intelligent à vous dire là-dessus. Voilà.
Naïm Alexandre Antaki
Merci beaucoup, Olivier. Un autre droit nouveau auquel vous devrez penser, c'est le droit à la portabilité des données. Ici, le baseline, en fait, c'est que vous avez déjà certaines obligations par rapport ceci dans la loi actuelle au Québec. La question clé que vous devez poser à vos gens à l'interne, c'est : si un individu, si Naïm vient vous voir, puis il vous demande s'il a des renseignements personnels au sein de votre entreprise, est-ce que vous êtes capable de lui confirmer si oui ou non il y a des renseignements personnels de Naïm puis, deuxièmement, est-ce que vous êtes capable de les communiquer? Questions qui ont l'air facile, mais qui ne sont pas nécessairement évidentes quand on va dans le, disons, when you go into weeds, si on peut le dire de cette manière.
Donc, c'est une obligation qui existe déjà, mais il y a des obligations additionnelles par rapport à ça en 2023-2024. Deux mille vingt-trois, je vais appeler ça l'obligation old school. Si votre renseignement personnel est informatisé, quelqu'un peut être capable de vous demander une version écrite et intelligible. Normalement, ça devrait être facile, mais ça dépend comment vous avez traité toute votre gouvernance des données. Est-ce que vous êtes capable d'aller chercher l'adresse ou l'âge de Naïm dans vos données puis aller la ressortir, ou est-ce que ç'a été transformé d'une manière bizarre?
L'obligation qui va être en 2024, c'est de pouvoir, disons, communiquer ces renseignements personnels dans un format informatique qui soit bien structuré et qui soit aussi couramment utilisé. Encore là, ç'a l'air facile, mais souvent ou des fois vous allez peut-être avoir des gens en TI qui vont utiliser des méthodes par rapport aux données qui ne sont pas structurées. Donc, s'il vous faut un format structuré en 2024, il faut peut-être penser que les renseignements personnels soient dans une catégorie à part. Alors, voilà. Merci beaucoup, Olivier. Merci beaucoup, Melissa.
On sait qu'il y a beaucoup de choses auxquelles il faut penser. Deux mille vingt-deux, vous rappeler qu'il y a le responsable des incidents de confidentialité puis la biométrie. C'est pour dans deux semaines. Donc, ça, c'est urgent et important. Mais les autres items dont on vous a parlé sont importants, mais heureusement vous avez le temps d'y penser puis, si vous avez d'autres questions, n'hésitez pas par rapport à ça. Si vous me permettez, après peut-être ces deux premières conférences, on va prendre quelques minutes, si on a le temps, puis je pose la question à Juliane et à Sonia pour une pause, à moins qu'on ait la chance de poser une question ou deux avant la pause.
PÉRIODE DE QUESTIONS
Julie-Han
On peut prendre le temps pour quelques questions. J'ai une question en ligne pour vous.
Question
Est-ce que la délégation est permise à un individu à l'extérieur du Canada dans le contexte d'une filiale canadienne d'une compagnie internationale?
Olivier Lamoureux
La réponse est oui.
Tous
<rire>
Melissa Tehrani
C'est excellent, ça.
Olivier Lamoureux
C'est le fun, des fois, une facile.
Question
I thought the act talk about personal responsibility of the person in charge. Was the Act amended to clarify that it's not the case?
Olivier Lamoureux
Ç'a peut-être été discuté au moment des débats parlementaires pour ce qui est de la responsabilité personnelle, mais, nous, on a fait nos vérifications. Premièrement, la loi ne mentionne rien là-dessus. Je regarde par là-bas, mais je parle vous parle à vous aussi. La loi ne mentionne pas qu'il y a une responsabilité personnelle pour la personne qui est Chief Privacy Officer. Nos renseignements obtenus auprès de la Commission de l'accès à l'information, d'ailleurs merci à Justine, nous confirment que ce n'est pas l'esprit de la loi. La loi ne sera pas appliquée comme telle pour créer une obligation personnelle. Donc, rassurez-vous. Ne vous rassurez pas, par contre, pour ce qui est de l'entreprise. Elle demeure on the hook, comme on dit.
Question
Parfait. On en a une autre. Nous vendons un logiciel à des entreprises dont les usagers sont des employés de ces entreprises qui collectent des données personnelles de certains individus. Nous hébergeons ces données sur des serveurs au Canada. Jusqu'à quel point ces obligations s'appliquent-elles à nous?
Melissa Tehrani
Bien, dans le fond, on revient au principe de base. La loi s'applique à toute entreprise qui collecte, conserve, communique, etc. les renseignements personnels, que ce soit les renseignements personnels de l'entreprise en tant que telle ou d'une tierce partie, comme dans ce cas-là.
Question
Parfait. Dernière question. Are the penalties retroactive? For example, if we don't comply by September 22nd, 2022?
Naïm Alexandre Antaki
Can you repeat the question, if you don't mind? What happens if you don't comply by September 22nd?
Julie-Han
Exactly. Yes.
Naïm Alexandre Antaki
Well, fun question. I think I will not give the lawyers answer, because you all know what the answer is on that. Another 25-million-dollar question. But I think, what I would say on this one, it's a bit like when someone had to deal with GDPR. My personal view is that obviously il y a une période d'acclimatation et you have to think about what is the real risk, that there's going to be a prejudice or damage here. Ce que je vous suggérerais, c'est que si vous n'êtes pas capable de vous conformer à tout pour 2022, peut-être nommer le responsable serait déjà une bonne chose, pour que ce ne soit pas le CEO automatiquement, sans qu'il ne le sache. Pour les autres items, peut-être commencer déjà à faire le travail. Puis peut-être que vous allez être capable de le faire plus rapidement que vous ne le pensez.
Julie-Han
Excellent, merci. On n'a plus de questions en ligne. Je ne sais pas si vous avez des questions en salle.
Naïm Alexandre Antaki
Oui?
Question
J'ai une question par rapport à l'interaction entre C-27 ou, plus particulièrement, la partie sur les renseignements personnels et 64 pour les entreprises fédérales. Donc, soit de juridiction fédérale ou conçu au fédéral. Je pense que ma question est d'ordre constitutionnel. Donc, l'applicabilité à une telle entreprise, si vous vous étiez penchés là-dessus?
Naïm Alexandre Antaki
Do you want to take this or you want me to?
Melissa Tehrani
<Inaudible>
Naïm Alexandre Antaki
Bien, en fait, c'est effectivement une question d'ordre constitutionnel qui n'est pas facile. I'm going to start with a very complex question. Melissa, tu pourras me corriger, mais je ne crois pas que les changements à la loi ont changé le point de vue par rapport à ça. Puis le projet de loi aussi au fédéral, je ne pense pas qu'il traite de ce point-là spécifiquement. Donc, les questions qui existaient déjà continuent à exister, si je peux m'exprimer ainsi. Par contre, d'un point de vue pratique, pratico-pratique, la beauté du projet de loi fédéral, c'est que dans une certaine mesure il est en train de suivre pour plusieurs choses ce qui est en train de se passer au Québec. Peut-être pas complètement, mais il y a une certaine convergence qui se passe. Donc, je crois que même si vous croyez ne pas être soumis à la loi au Québec, c'est peut-être une bonne idée de suivre la loi au Québec puis commencer à vous mettre en conformité, shadow conformity. Parce qu'une fois que le projet de loi fédéral aura passé à la Commission, etc., vous aurez une longueur d'avance, ce qui est rare dans notre domaine. Voilà.
Question
Merci. C'est très intéressant. Merci de nous accueillir en vrai, aujourd'hui. C'est grandement apprécié. Deux petites questions. Première question. Concernant les protections adéquates équivalentes ou, moi, dans ma mémoire, c'est le safe harbour, est-ce que le Québec donne des indications de quelle juridiction aurait cette protection adéquate? Il y avait des vices internationaux qui existaient, au niveau fédéral en tout cas. Est-ce que ça existe ou non?
Naïm Alexandre Antaki
Bien, en fait, au début, dans le projet de loi, dans sa mouture initiale, ça devait faire partie des choses, parce que les gens disaient : bon, les entreprises n'ont pas le temps de commencer à évaluer la loi du Mozambique, la loi du Mexique, la loi etc., puis ils ont besoin de faire affaire. C'est lu. Mais c'est quelque chose qui n'existe plus dans la version finale de la loi. Donc, ils s'en remettent à ce que l'entreprise croit qu'il y a bonne chose à faire. Donc, le risque revient sur vous, malheureusement, par rapport à tout ça. Ce qui est dommage, effectivement; je suis d'accord avec vous. Mais avec un peu de chance, ce n'est pas toutes les entreprises qui doivent faire affaire dans 70 pays différents. Même si vous le faites dans 70 pays, peut-être les renseignements personnels, vous pouvez les limiter à certaines juridictions avec lesquelles vous êtes peut-être un peu plus à l'aise.
Melissa Tehrani
On aurait bien souhaité avoir une telle liste, mais malheureusement ce sera maintenant à l'entreprise de faire du droit comparatif entre les divers États.
Question
Ma dernière question rapide, concernant la conservation des renseignements personnels. Je ne sais pas s'il y en a d'autres qui ont vécu ça dans leur carrière, mais un débat entre les équipes juridiques ou de privacy, c'est les gens des Opérations. Les gens des Opérations veulent garder tout pour toujours tout le temps et, nous, on est là avec notre gros bâton : OK, regardez, what is really useful, <Inaudible>. Avez-vous des conseils à nous donner à ce sujet, à part vraiment de leur faire peur, the fear of God, avec le 25-millions puis tout ça? Moi, je n'ai vraiment jamais trouvé la bonne recette par rapport à ça. Merci.
Naïm Alexandre Antaki
Je peux peut-être m'essayer. Je pense que la question, c'est pourquoi. Pourquoi est-ce que ces renseignements personnels sont réellement nécessaires pour valoriser l'entreprise? Puis, je veux dire, je vous comprends très bien. Je me rappelle, il y a quelques années, en intelligence artificielle, les gens disaient : même si vous ne savez pas c'est quoi l'intelligence artificielle, gardez vos données, parce que ça va être utile plus tard pour une valorisation. Mais il y a une évolution, je pense, dans la philosophie des différents législateurs qui fait qu'en fait le conseil, je pense, demeure utiliser le moins de renseignements personnels possible. Et si vous n'êtes pas capable d'évaluer pourquoi c'est nécessaire, je pense que vous aurez des problèmes d'un point de vue juridique. Olivier.
Olivier Lamoureux
Si je peux juste rajouter rapidement. Effectivement, le critère – ça résume très bien ce que Naïm vient de dire – c'est le need-to-know basis. C'est quelque chose qui est d'ailleurs indiqué dans les contrats d'emploi que je fais. Les Opérations, je comprends, c'est un désir qui est très présent. J'ai déjà été en entreprise aussi, donc j'ai vécu cette réalité. Ceci dit, la raison : avez-vous vraiment besoin?
Naïm Alexandre Antaki
Donc, ça, c'est la question qu'ils ne vont pas aimer, mais il faut aussi essayer de trouver une solution potentielle, puis peut-être vous pouvez revenir au niveau de : est-ce que vous avez vraiment besoin du renseignement personnel comme tel ou est-ce que vous êtes capable de le dépersonnaliser ou, encore mieux, de l'anonymiser? Parce que là vous êtes en train de vous simplifier la vie, puis peut-être que les Opérations n'ont pas réellement besoin de tout ça.
Julie-Han
J'ai juste une dernière question en ligne. Après, c'est la pause.
Question
Pourriez-vous nous rappeler les principales obligations des entreprises hors Québec?
Naïm Alexandre Antaki
En fait, ce qui est important, c'est que les lois sur la vie privée, ça ne s'applique pas uniquement au siège social de l'entreprise. Même si vous êtes une entreprise qui est à l'extérieur du Québec, si vous recueillez, traitez, utilisez, communiquez des renseignements personnels relativement à des gens du Québec, à ce moment-là il va falloir que vous vous conformiez. Il y a évidemment toute l'interaction entre le fédéral et le provincial dont Dominique parlait. C'est une tout autre question. Mais en gros, there's no free out-of-jail card or free out-of-25-million-dollar fine card on this one. Parfait. On dit qu'on a une question bonus, si vous me permettez. Oui?
Question
Est-ce que la loi fait une différence entre un transfert et un accès? Si j'ai un client au Canada et on accède à ces données de l'extérieur et non un transfert, est-ce qu'il y a une différence à ce niveau-là?
Melissa Tehrani
Je vous dirais que non, parce que dans le fond l'accès c'est une utilisation de ce renseignement, j'imagine, et donc ça serait soumis à la loi.
Olivier Lamoureux
Je vais rajouter juste une petite parenthèse. S'il n'y a effectivement pas de transfert – donc par là on parle vraiment d'une délocalisation des données – et qu'il y a seulement un accès, la loi va s'appliquer quand même, mais vous n'aurez pas nécessairement les mêmes obligations. Donc, juste pour clarifier.
Naïm Alexandre Antaki
Parfait. Alors, merci beaucoup pour toutes vos questions. Je vous invite peut-être à prendre une pause. Encore là, je me tourne vers Sonia et Julie-Han. On a combien de temps pour la pause?
Julie-Han
Un 15-minutes.
Naïm Alexandre Antaki
Un 15-minutes. Parfait. Alors, pour les gens qui sont en ligne, revenez-nous bientôt dans 15 minutes, parce qu'on va parler de sujets très intéressants : de valorisation et aussi d'innovation ouverte. Pour les gens qui sont dans la salle, vous pouvez monter au deuxième étage et aller dehors. Je vous invite à faire ce fameux réseautage qui nous manque aussi tellement, puis n'hésitez pas à poser des questions à n'importe qui d'entre nous, si vous avez des questions pendant la pause. Merci.
Naïm Alexandre Antaki
Alors, merci encore de votre présence. Je sais que c'est un plaisir de tous se revoir en personne et de discuter ensemble. On va maintenant commencer le troisième volet de notre Forum Tech Montréal, chez Gowling W.L.G. On m'a fait remarquer qu'apparemment j'ai oublié de me présenter au début de la conférence. Ce n'est pas nécessairement un problème, parce que l'important est que vous voyiez combien mes collègues sont fantastiques, comme je vous le disais, et puis je me suis présenté en personne, je pense, à l'énorme majorité d'entre vous qui êtes ici, mais pas peut-être pour les gens qui sont en ligne. Donc, je m'appelle Naïm Antaki. Je suis associé en droit des affaires chez Gowling à Montréal. Je suis le chef du groupe de technologie à Montréal et je suis aussi le cochef au national en intelligence artificielle. J'ai toujours adoré la technologie. Donc, j'apprécie beaucoup votre présence et les excellentes questions que vous avez posées jusqu'ici.
Alors, on a été dans la curiosité. On a été dans la conformité. Mais il faut aussi faire des affaires. Donc, le prochain volet va être relativement à la valorisation. C'est une question qui est vraiment importante et qui demande aussi vraiment une approche qui est multidisciplinaire. Pour ceci, on a vraiment beaucoup de chance d'avoir avec nous George Elvira, de notre groupe de propriété intellectuelle, Stefan Nasswetter, qui est de notre groupe de droit des affaires et je vais vous demander, s'il vous plaît, de présenter notre invitée.
George Elvira
Bien sûr. Merci, Naïm. Donc, je voudrais vous présenter, ici à ma gauche, Nicole Blanchard, qui est la CO, cheffe des Opérations dans la compagnie EVAH Corp, qui est une compagnie en santé animale québécoise, qui a une énorme expérience dans les investissements, dans la valorisation des technologies, au-delà de 30 ans d'expérience dans différents secteurs : télécommunications, sciences de la vie). Elle va pouvoir partager avec nous ses expériences, disons, venant du secteur privé, alors que, nous, on a plus une expérience, évidemment, au niveau de cabinets.
Dans cette section, on va essayer d'aborder un sujet qui, au courant de notre pratique, on a remarqué que c'est un sujet qui suscite des conversations très intéressantes, surtout avec nos clients du secteur privé. C'est notamment de circonscrire vraiment la question de savoir comment je valorise ou comment j'ai un retour sur mes investissements technologiques. C'est souvent une question qui revient. J'investis, je veux un retour. C'est souvent le management qui pose cette question-là. Alors, au courant de ma pratique, ce qu'on a souvent vu, c'est que, disons, la proposition de valeur des entreprises passe souvent… il y a une corrélation très significative avec les investissements technologiques. Pourquoi? Parce que ces investissements technologiques, bien souvent, vont permettre de mettre en place la pierre angulaire qui va permettre à votre entreprise de se différencier dans le marché. C'est notamment ce qui va permettre à votre entreprise d'être reconnue dans le marché comme pouvant donner des produits ou des services qui sont complètement uniques, qui sont différenciateurs dans le marché. Donc, bien souvent, ces investissements technologiques génèrent ce qu'on appelle, dans le jargon légal, la propriété intellectuelle. Quand on parle de comment je valorise mes investissements technologiques, bien souvent, ce qu'on peut dire, c'est : comment je valorise ma propriété intellectuelle?
Stefan Nasswetter
C'est un point intéressant. D'ailleurs, à ton avis, est-ce que les entreprises ont toutes de la PI?
George Elvira
C'est une question qui me revient souvent. Ils sont là : bien, George, attends une minute, voyons donc! Moi, je suis en manufacturing, je n'ai pas de PI. Ou bien : moi, je fabrique des pièces très, très, très simples, des tire-bouchons pour sortir le vin, je n'ai pas de PI. À ça, je réponds bien souvent… Écoutez, je voudrais attirer votre attention sur la diapositive. Il y a différentes catégories de propriété intellectuelle qui existent. Bien souvent, les gens pensent tout de suite brevet. Il n'y a pas juste ça. Je voudrais attirer votre attention sur la première catégorie, qui sont les savoir-faire et les secrets commerciaux. Très important. Par exemple, si vous êtes une compagnie en technologie, vous allez avoir des codes sources, vous allez avoir des interfaces d'usagers. Si vous êtes une compagnie en biotech ou pharma, vous allez avoir des données expérimentales qui sont confidentielles. Si vous êtes, par exemple, une compagnie en manufacturing, vous allez avoir des procédés de production qui vous permettent de vous différencier, qui font en sorte que vos clients et vos partenaires vous choisissent dans le marché et ne vous choisissent que vous, idéalement. Lorsqu'on parle de valorisation de votre propriété intellectuelle, ou PI, souvent, par l'abréviation, on parle de valorisation de l'une de ces catégories et, idéalement, de plus d'une à l'intérieur de votre entreprise.
Stefan Nasswetter
Alors, presque toutes les entreprises ont de la PI. On croyait qu'il serait utile d'aborder les stratégies de valorisation à des investissements technologiques dans la perspective d'une transaction éventuelle, puisque c'est quand un tiers est d'accord ou disposé à payer une prime ou même une surprime pour de la technologie, quand on veut parler d'une valorisation de la technologie et par le fait même des investissements technologiques qui ont mené à cette valorisation. Notre objectif est de discuter de bonnes pratiques qui peuvent être mises en place à travers le temps vis-à-vis une transaction éventuelle. Alors, on a préparé une petite ligne de temps qui est quand même simple.
Nicole Blanchard
Toute simple.
Si on commence à droite, il y a le Jour J, qui est la transaction. Ce Jour J, en fait, quand on parle de transaction, ce n'est pas nécessairement qu'on vend l'entreprise. Ça pourrait être, notamment, qu'on va vendre de la technologie en soi. Ça pourrait être qu'on va chercher du financement, des investissements. Ça pourrait être aussi la création d'une coentreprise. Bref, la transaction peut être plusieurs choses. Si on recule à travers le temps, juste avant la transaction, il y a une période de vérification diligente où la personne intéressée, soit l'acheteur ou l'investisseur, par exemple, va s'interroger sur la situation de l'entreprise dont la propriété intellectuelle. Si on recule en arrière d'un cran, on a aussi la préparation à la vérification diligente de la transaction. Alors, c'est le Jour J-2, où on commence à Ancienne transaction. Si on recule au tout début, on a le Jour 1, qui est aujourd'hui, ou au début d'une entreprise, d'ailleurs. La table étant mise, Nicole, ayant l'expérience et avoir eu autant d'expérience à mobiliser des capitaux et à participer à des ventes d'entreprises technologiques, pourrais-tu nous dire, à ton avis, le Jour 1, qu'est-ce que tu aimerais voir comme stratégie de valorisation des investissements technologiques? Je vais simplifier ma question. On commence où?
Nicole Blanchard
Merci. Bien, c'est facile pour moi aujourd'hui de vous parler, parce qu'on a fondé la compagnie EVAH en mai 2020, tout juste après le début de la pandémie. Donc, c'est très frais dans ma mémoire. Ce n'est pas la première compagnie que je gère, mais en étant si frais dans ma mémoire, je sais très bien que le Jour 1, on commence par une étude de notre marché, une étude de nos concurrents, la taille de notre marché et, surtout, le positionnement du Jour 1, c'est-à-dire où on est aujourd'hui par rapport à cet écosystème. Maintenant, avec la longue collaboration avec George, dès le Jour 1, on a formé nos employés sur la PI, mais on a aussi fait ce que vous appelé les droits en PI, c'est-à-dire savoir ce qu'on a en portefeuille. D'abord, quelle est la valeur zéro, possiblement, mais aussi surtout dans ce positionnement d'entreprise, où est-ce qu'on le place dans l'écosystème. Donc, vous nous avez aidés à démarrer ce travail dès le Jour 1. C'est vraiment un effort collaboratif parce que je pense que ce qui est très important là-dedans, c'est l'arrimage entre le modèle d'affaires et le modèle de valorisation de la propriété intellectuelle. D'ailleurs, là-dessus je voudrais juste également ajouter quelque chose à ce que Nicole a dit. C'est que dès le Jour 1, on met en place – bien souvent, on pense à ça – mon modèle d'affaires, comment je vais faire de l'argent, ça va être quoi mon exit. Mais bien souvent on oublie de mettre en place, dès le Jour 1 également, ma stratégie de valorisation de ma PI. Je vais m'expliquer là-dessus. Qu'est-ce que je veux dire par là? Il y a au moins deux volets qu'il faut considérer.
Le premier volet, c'est vraiment définir la valorisation de la PI. Qu'est-ce que je veux dire par là? Est-ce que je vais mettre en place un modèle de licence, par exemple, de ma technologie? Si oui, est-ce que ça va être exclusif ou non exclusif? Est-ce que ça va dépendre de la taille de mon target? Est-ce que je vais vendre une partie de ma PI? Est-ce que je vais la vendre au total? Par la suite, comment je vais rattacher mes revenus à ma PI? Est-ce que je fais juste une banque des widgits ou est-ce que je vends ma propriété intellectuelle associée aux widgits? Ça, c'est une question de votre positionnement au Jour 1. Je ne le fais pas encore, mais si c'est comme ça que je me positionne dans le marché, c'est le message que je transmets au marché. Ça va faciliter les négociations par la suite et toutes mes conversations avec mes potentiels acheteurs, avec mes potentiels clients. C'est une question de positionnement dès le Jour 1. Alors, c'était le premier volet. Un petit survol. Essayer de définir ce que je veux dire par quel est mon projet de valorisation de ma PI.
Deuxième volet, qui est également très important et je pense que beaucoup d'entreprises y pensent, est quelle est ma stratégie de capture de ma PI? Ce que je veux dire, c'est quand j'interagis avec d'autres parties, comment je fais pour définir ce qui m'appartient, ce qui lui appartient, ce qui nous appartient aux deux. Est-ce que la PI, que je pense qui m'appartient, m'appartient vraiment? Est-ce que j'ai des contrats en place avec mes employés? Est-ce que j'ai des contrats, des bonnes clauses de cession de PI, parce que je collabore avec une tierce partie? Est-ce que, par exemple, j'ai des politiques internes qui vont former mes employés à reconnaître la PI, à la traiter en tant que telle et faire en sorte qu'elle appartienne toujours à mon entreprise? Ce sont toutes des questions qu'il faut constamment être en train de se poser, pas juste au Jour 1 puis après ça on laisse ça de côté. C'est quelque chose qui doit être récurent, qui doit toujours revenir. C'est un plan qui est vivant.
Stefan Nasswetter
Ça me fait toujours plaisir d'entendre quelqu'un qui dit comme quoi c'est important d'avoir des bonnes clauses, puis des bons contrats. Tu le sais, je suis en droit des affaires, alors c'est quelque chose que je fais beaucoup. Mais au-delà des contrats, une des choses que j'aimerais voir au tout début, au Jour 1, c'est une gouvernance relative à la PI qui est bien pensée puis qui est adaptée à la stratégie qui a été choisie par l'entreprise. Il y a évidemment beaucoup de sortes de politiques qu'on pourrait notamment mettre en place. Je pense, entre autres, aux politiques de gestion de contrats, aux politiques de confidentialité. Peut-être une parenthèse par rapport à ça. Je ne parle pas de la politique de confidentialité qui va se retrouver sur le site Interne, puis qui est en lien avec la présentation qu'on vient d'avoir. Je parle de la politique de confidentialité relativement à la gestion de la PI. Une autre parenthèse par rapport à ça, c'est sûr que ça ne serait pas la même politique de confidentialité qu'on va mettre en place si on parle, par exemple, de secrets commerciaux ou d'inventions ou de brevets potentiels, parce que si on ne fait pas assez attention à la confidentialité de la PI et qu'on veut, par exemple, mettre en place un brevet plus tard et qu'on ne l'a pas fait, eh bien on peut perdre nos droits et notre protection. Donc, super important de le considérer dans la stratégie globale.
Autrement, une politique qui me vient à l'esprit, c'est une politique de documentation du développement de la PI. Ce qu'on peut faire dans cette politique, c'est mettre en place une structure où on va essentiellement identifier les contributeurs au fil du temps et ne pas se rendre au Jour J puis se demander, bien, il y a cinq ans, qui avait participé à ce projet-là? Identifier également leurs contributions à la PI. Identifier et rapatrier, pour que ce soit plus facile à repérer, les clauses de cession de PI qu'on a pour ce développement. Il y a beaucoup d'autres politiques; je pourrais en parler longuement. Une autre politique qui me vient à l'esprit, parce que je travaille beaucoup également en informatique, c'est les politiques d'utilisation de logiciels libres – open source, en anglais. C'est un problème qui est récurrent. Lorsqu'on parle d'un logiciel, les personnes intéressées – les acheteurs ou les investisseurs – vont vouloir savoir quels logiciels libres vous avez utilisés notamment pour identifier les licences problématiques et contaminantes potentiellement, qui sont rattachées à ces logiciels libres. Ne pas en avoir une en place est un problème, parce qu'on peut se retrouver dans une situation où un programmeur pense bien faire, puis il se dit qu'au lieu de passer x montant de temps à développer le logiciel ou ce module en particulier, je vais importer quelque chose qui est disponible gratuitement. N'ayant pas de guidelines à suivre, il va se dire : je fais une bonne affaire, je suis en train d'aider mon patron. Mais, dans le fond, il vient peut-être de contaminer la PI et donc de mettre en péril la protection et l'ownership de la PI en question.
George Elvira
C'est assez effrayant, tout ça.
Tous
<rire>
George Elvira
Là-dessus, Nicole, j'aimerais revenir peut-être après le Jour 1. On a commencé à penser à ce qu'on voulait voir. Avant même d'envisager la transaction, donc avant même d'arriver au Jour J-2, qu'est-ce que vous aimeriez voir au sein de votre entreprise?
Nicole Blanchard
Quand Stefan parle de politiques, moi, je suis une petite entrepreneure, une petite compagnie de 26 employés, alors on n'utilise pas le mot politiques. On utilise de la documentation, tout court. On dit que c'est tellement important, puis tout le monde le sait, au niveau, par exemple, des états financiers, la CFO a des systèmes, elle doit passer des audits et tout ça. On fait la même chose pour notre documentation, chez EVAH. On a décidé de commencer une architecture, qui n'est pas encore terminée. Ça fait déjà un an qu'on est en opération, mais on veut sécuriser nos dossiers. Une fois qu'ils sont finis d'être à l'étape ébauche, dans l'étape échange de commentaires et tout ça, on veut faire une architecture où nos dossiers sont sécurisés, c'est-à-dire nos contrats, nos ententes de confidentialité avec les tierces parties, nos brevets, les personnes clés de l'entreprise, la gouvernance, l'organigramme, tout ça. On a engagé une personne en assurance-qualité qui a 25 ans d'expérience dans plusieurs grandes entreprises. Elle nous aide à créer cette architecture. La raison principale, en fait, c'est qu'on veut qu'elle soit prête pour un investisseur éventuel, donc comment un investisseur ou même une banque d'investissement regarderait notre documentation. C'est ce qu'on est en train de mettre en place.
Du côté de la PI, comme tu disais, il faut que la stratégie soit très vivante. Donc, tous les trimestres, on a des rencontres avec nos experts en PI pour leur montrer l'avancement de notre PI, comment on la protège, puis où on la met dans la fameuse architecture documentaire.
George Elvira
Si je comprends bien, c'est vraiment une synergie entre la business et les ressources externes, les experts en PI pour s'assurer que le packaging final, celui qu'on va présenter le jour de la transaction, est préparé depuis les early stages, comme on pourrait dire.
Nicole Blanchard
Oui.
George Elvira
Pardonnez mon français. Pour revenir sur un des sujets vraiment intéressants, puis je veux vraiment revenir là-dessus, c'est le fait de garder le plan de PI vivant. C'est vraiment quelque chose qui n'est pas cristallisé dans le temps. On est constamment en train de changer nos objectifs commerciaux, mais le plan de PI doit également constamment être en train de changer. Ce n'est pas parce qu'au Jour 1 j'ai décidé de faire un modèle de licence et c'est comme ça que je vais faire mon argent qu'un an plus tard c'est encore vrai. Il faut toujours être prêt à être flexible de ce côté-là et, ça, ç'a des répercussions sur ce qu'on brevette, sur ce qu'on garde confidentiel, sur la documentation qui est nécessaire. Ça fait toujours partie du plan vivant.
Un autre aspect également que je veux vraiment mettre l'emphase là-dessus, c'est de toujours maintenir nos employés informés de ce que veut dire la propriété intellectuelle de la compagnie. Qu'est-ce que c'est et quel est le data? Quels sont les trucs qui sont confidentiels? Quels sont les trucs qui s'en vont se faire breveter? Pourquoi c'est important? Parce que, par exemple, quand on fait des collaborations avec des tierces parties – mon collègue Marc va vous en parler tantôt dans l'autre présentation – bien souvent on va mettre en contact des gens qui font la R et D. J'ai déjà fait de la R et D lorsque j'étais à l'université, 10 ans, et je sais très bien c'est quoi l'esprit d'un chercheur. On s'excite sur la technologie, on veut en dire le plus possible, on veut partager. Parce que c'est comme ça qu'on est formé en tant que chercheur. Mais lorsqu'on fait une collaboration avec une tierce partie qui n'est pas nécessairement… Bien, aujourd'hui, on est marié, tout va bien, mais dans deux ans peut-être que ça n'ira pas très bien. Ça fait qu'il ne faut pas tout partager d'un seul coup, parce que, bien, ça va améliorer la science. Il faut qu'on entraîne nos employés à penser différemment. Et ça, ça fait partie également de notre plan de valorisation de la PI. Ce n'est pas juste une question de HR, c'est vraiment ma PI, je l'ai identifiée, c'est ce qui va sortir de cette collaboration, eh bien, elle doit m'appartenir. Parce que plus tard, c'est ça que je vais mettre devant le potentiel investisseur ou devant le potentiel acquéreur le jour de la transaction. Donc, c'est vraiment un truc qui est très important de garder vivant. Constamment être en train de répéter à mes employés : ceci sont nos politiques, même si Nicole dit « On n'utilise pas 'politiques' chez EVAH ». Mais ceci sont nos politiques de traitement de nos données expérimentales confidentielles ou ceci est le traitement de nos données avant de les breveter.
Stefan Nasswetter
Super important. Super intéressant. D'ailleurs, je suis vraiment d'accord avec l'esprit vivant de la PI. Je dirais que c'est la même chose par rapport à ce que j'ai mentionné pour le point 1, c'est-à-dire le Jour 1. Je voulais une gouvernance puis une gestion contractuelle relative à la PI qui étaient mises en place correctement, mais il faut réévaluer, il faut faire le suivi. C'est bien beau de mettre en place des belles politiques, mais si on n'assure pas le suivi et qu'on ne procède pas à la réévaluation, on va tomber dans un mur assez rapidement, surtout lorsque la stratégie elle-même est vivante puis qu'il y a des changements qui ont lieu dans la stratégie choisie par l'entreprise.
En ce qui concerne le suivi de la gestion contractuelle, au-delà d'avoir des bons contrats puis des bonnes clauses de cession, c'est encore primordial évidemment, une autre chose qu'on peut considérer comme entreprise, c'est de penser aux cessions confirmatoires. Entre autres, il y a eu des litiges à travers le Canada en lien avec l'absence de cession confirmatoire pour les cessions de PI pour des œuvres futures. Donc, une entreprise pourrait décider, pour avoir ceinture et bretelles dans des projets clés, de prévoir l'obligation de convenir de cession confirmatoire lorsque le projet sera terminé. Côté pratique, ce qu'on peut voir, c'est des cessions confirmatoires qui pourraient être faites à certains intervalles, par exemple, annuellement. Ou, évidemment, le plus important c'est de le prévoir lorsque le contrat prend fin ou il est résilié. Comme ça, bien, on vient englober tout le développement qui a été fait.
George Elvira
C'est un très bon point. Pour continuer là-dessus, Nicole, bon, on a discuté de ce qu'on voulait le Jour 1, le Jour-2. Quand on commence à penser à la transaction, qu'est-ce que vous aimeriez voir au sein de votre entreprise?
Nicole Blanchard
À ce moment-là, on doit externaliser notre modèle. On doit peut-être travailler avec une grande banque d'investissement qui va jeter un coup d'œil sur notre data room et qui va dire c'est tout croche.
Tous
<rire>
George Elvira
C'est sûr qu'avec nous autres ils ne vont pas dire ça.
Tous
<rire>
Nicole Blanchard
Bien ça dépend, avec les gens, on ne sait pas, les choses changent aussi. Les investisseurs ont de moins en moins de temps. Donc, si vous voulez être expéditif puis avoir les choses à la bonne place, ça aide toujours. Mais ce que je dirais, c'est que, où on est rendu, la transaction est envisagée.
George Elvira
C'est ça, elle est envisagée.
Nicole Blanchard
C'est clair qu'il faut s'assurer qu'on va prendre plus de temps que prévu. Si on prévoit vendre ou faire une transaction, par exemple, en fin 2023, bien, on se préparer en fin 2022, parce qu'on ne le fera pas en six mois, c'est clair. Selon mon expérience aussi, c'est que ça prend beaucoup de temps du management, en particulier de CEO, CFO et d'autres gens clés dans l'entreprise. Si on peut prévoir une relève, c'est-à-dire que les opérations doivent continuer, les gens opérationnels doivent savoir que le management est pris par cette transaction potentielle. Donc, ça prend vraiment un shadow de l'équipe managériale. Ça prend aussi des ressources. Si on envisage une transaction qui va nous donner un coup de main financier, mais que ça n'arrive pas, il faut prévoir un scénario où on continue les opérations statu quo. C'est surtout ces deux éléments principaux.
Stefan Nasswetter
Excellent. Je suis tout à fait d'accord, c'est-à-dire que préparer à la vérification diligente, c'est pouvoir faire l'exercice lorsqu'on n'est pas en mode urgence puis qu'on a deux choses à gérer en même temps. Ça consiste essentiellement à prendre une liste de vérification diligente puis le faire à l'interne pour, entre autres, repérer les problématiques et le faire dans un contexte où on a le temps de préparer les questions. Puis lorsqu'on va ouvrir le data room à l'acheteur ou l'investisseur potentiel, il va se dire : ah, bien, ils contrôlent bien les enjeux, ils ont pensé à toutes les bonnes choses. C'est réconfortant parce qu'on démontre qu'on a justement un contrôle des enjeux puis, à l'inverse, si on pose certaines questions à la cible et que ça prend trop de temps avant qu'on nous fournisse une réponse, bien, il y a des drapeaux rouges qui vont se lever dans l'esprit d'un investisseur potentiel, un acheteur potentiel. J'aime bien l'exemple des logiciels libres. Là-dessus, si je pose la question à une cible « Quel logiciel libre avez-vous utilisés? », puis que ça prend une semaine à obtenir la réponse parce qu'ils doivent faire des vérifications, bien, il y a un drapeau rouge, là. Ils n'ont pas contrôlé l'enjeu, ils ne savent pas vraiment ce qui s'est passé. Donc, déjà il y a quelque chose d'inquiétant.
Évidemment, lorsqu'on fait l'exercice, comme je disais, ça permet de rectifier certaines problématiques qu'on va trouver. Au-delà de ça, s'il y a des problématiques qu'on identifie et qu'on n'est pas capable de remédier parce que, des fois, les situations ne sont pas idéales, il y a des choses qu'on peut faire pour essayer de les mitiger. On peut alors contrôler le message à l'investisseur ou l'acheteur potentiel. Un exemple me vient à l'esprit. C'est celui où un client, une cible avait accordé les licences qui étaient problématiques par le passé. Au lieu d'attendre que l'acheteur découvre ça dans la vérification diligente puis trouve l'anguille sous la roche, la stratégie a été décidée qu'on allait le mettre de l'avant, même avant la vérification de la diligente, puis qu'on allait le packager. On avait décidé : bien, voici, comment on va le présenter; on va venir minimiser l'enjeu, puis on va expliquer tout ce qui a été fait, même si ce n'est pas parfait, pour se rendre à une situation qui est pas mal moins inquiétante pour l'investisseur.
George Elvira
C'est super intéressant. D'ailleurs, Nicole, là-dessus, selon votre expérience au niveau des transactions, au niveau des investissements, est-ce que vous auriez quelques histoires que vous pourriez nous raconter au niveau de succès? Les good, bad and the ugly. Des trucs qui auraient très mal fonctionné que vous pourriez partager avec nous?
Nicole Blanchard
Il y a un échec que j'ai connu dans ma carrière, qui a eu lieu dans les années 2000, quand c'était le telecom boom. Tout allait tellement vite dans ces années-là qu'on était bien trop en avant de nos stratégies, si vous voulez. J'étais à ce moment-là en relation investisseur et on a fait une transaction MMA qui est allée trop, trop vite. On a fait une revue diligente avec un cabinet très connu des États-Unis, mais tout a été vraiment trop, trop vite et on s'est rendu compte, après l'acquisition, de la réalité du chaos. Donc, cette société a fait un Chapter 11, elle s'est protégée de la faillite.
Plus récemment, dans une société privée, j'ai eu un grand succès, parce qu'on a créé une tension concurrentielle, c'est-à-dire qu'on avait un acheteur dans notre mire, mais le prix était très, très, très insuffisant. Donc, on est allé un autre acheteur en Asie. Le comportement typique que je vois encore, c'est que quand on parle à un investisseur asiatique, tout le monde se redresse, puis tout le monde essaie de voir comme il faut. Donc, le premier acheteur était américain et la concurrence était asiatique. C'est un très, très grand groupe de la Chine qui est intéressé dans notre secteur et qui voulait vraiment pénétrer notre secteur. En parlant du Jour 1, pour l'écosystème, c'est important de regarder parfois les secteurs adjacents, parce que les choses changent vite, puis ce n'est pas juste votre niche ou votre secteur industriel, mais quelque chose d'adjacent. C'était le cas de cet investisseur asiatique. Juste à cause de la tension, le prix a doublé. Donc, on a vendu la société pour 100 millions de dollars à l'Américain.
George Elvira
C'est une très belle histoire. Merci beaucoup.
Tous
<rire>
George Elvira
D'ailleurs, je pense que dans cette histoire, juste pour rajouter mon petit grain de sel, j'étais là dans l'histoire, la PI avait joué un rôle important au niveau de …
Nicole Blanchard
oui, c'était centrale.
George Elvira
Ils avaient eu une grande valeur. Je pense ç'avait été valorisé… En fait, l'estimation de la firme comptable était dans les environs de 70 % de la valeur de la transaction. C'était la PI.
Nicole Blanchard
Oui.
George Elvira
Donc, pour souligner encore le fait que ce n'est pas juste un truc théorique et la PI c'est quelque chose qu'on met sur le mur. Non. Ç'a eu un effet tangible sur cette transaction au niveau du prix.
Stefan Nasswetter
En parlant de choses qu'on met sur le mur, on a quelques éléments clés sur ce dont on a discuté ce matin, mais aussi qu'on va vous partager dans les documents qui vont être un peu plus élaborés, mais je vois qu'on n'a pas de temps. Alors, on va peut-être passer à la période de questions.
George Elvira
Parfait.
Stefan Nasswetter
Merci.
George Elvira
C'était super clair. Aucune question. Fantastique.
Audience
<rire>
George Elvira
Vous êtes tous des convertis.
Tous
<rire>
PÉRIODE DE QUESTIONS
Julie-Han
J'ai une question en ligne pour vous.
Question
J'ai une personne qui demande : c'est quoi une cession confirmatoire?
Stefan Nasswetter
Très bonne question. Une cession confirmatoire, c'est venir dire après que l'œuvre a été créée qu'on me confirme la cession. Dépendamment du libellé de la clause en question dans le contrat, ça peut être nécessaire. Je pense à différentes terminologies qu'on a vues dans les cessions. Des fois, la cession est indiquée comme étant « Je cède aujourd'hui le droit de… ». Des fois, « Je m'engage à céder la propriété de ». « Je m'engage à céder », je ne l'ai pas encore cédé. Alors, la cession confirmatoire, c'est venir boucler la boucle puis s'assurer qu'on a effectivement eu la cession, une fois que le projet est terminé, puis ça évite le problème de « est-ce qu'il peut y avoir un débat sur la cession pour une œuvre future? ». Donc, voilà.
Julie-Han
Merci.
George Elvira
C'est tout?
Naïm Alexandre Antaki
Je pense qu'il y a des questions dans la salle. Oui?
Question
J'ai une petite question. Nous avons touché brièvement sur l'évaluation de technologie après une transaction. Je voulais savoir, en fait, s'il vaut la peine de faire une évaluation de technologie ou de PI par une firme de comptabilité avant le jour qu'on a identifié J-2?
Nicole Blanchard
Moi, je n'irais pas vers une firme comptable, mais plutôt vers une banque d'investissement, parce que les multiples vont être beaucoup plus grands. Surtout en technologie, c'est clair. Vous voyez qu'il y a des transactions de sociétés qui ont des multiples extraordinaires en ce moment. Puis c'est le rôle des grandes banques d'investissement de faire ça pour le client.
Question
J'aimerais savoir, qu'est-ce qui fait en sorte que certains logiciels open source soient problématiques ou contaminants pour la PI alors que d'autres, non.
Stefan Nasswetter
C'est effectivement la licence qui est rattachée au logiciel lui-même. Donc, ce ne sont pas les mêmes licences, donc pas les mêmes termes et conditions qu'on accepte en les utilisant, essentiellement. Donc, il y en a qui ne sont pas problématiques et qui ne vont donc pas contaminer la PI. Il y en a d'autres qui vont prévoir, entre autres, qu'une fois que tu as utilisé mon logiciel open source, bien, il faut que tu divulgues tout ce que tu as créé avec. Alors, ça devient public, essentiellement. Il y a évidemment plein de nuances. Je n'ai pas fait le tour de toutes les licences potentielles en open source, mais essentiellement c'est ça la nuance. C'est qu'il y en a qui ne sont pas vraiment problématiques, puis il y en a d'autres qui le sont vraiment.
Naïm Alexandre Antaki
Parfait. Est-ce qu'il y a d'autres questions? Oui? On a peut-être une question en ligne.
Julie-Han
Oui, j'ai une question en ligne.
Question
Comment on protège le savoir-faire d'une entreprise outre les dispositions générales dans un contrat?
Stefan Nasswetter
On a évidemment les contrats puis les clauses qui doivent être bien rédigées. Le savoir-faire, c'est aussi une question de confidentialité, comme je le mentionnais. Ce n'est pas quelque chose qu'on veut partager et que toute le monde que ce soit disponible partout. C'est ça aussi. Au-delà du contrat, on veut évidemment le gérer à l'interne à travers nos politiques puis s'assurer de la confidentialité. Donc, c'est une des façons de le gérer à l'extérieur du contrat.
George Elvira
Et pratico-pratique, si je peux juste rajouter là-dessus. Ce qu'on peut faire en tant qu'entreprise, c'est de s'assurer de tout bien documenter. Une fois que c'est documenté, ça devient concret et c'est beaucoup plus facile par la suite de démontrer qu'effectivement ceci est un savoir-faire que nous avons développé en telle date et voici les mesures que nous avons prises pour le garder confidentiel. Une fois qu'on peut démontrer ces choses-là, c'est là que ça devient beaucoup plus facile de défendre notre position qu'effectivement c'est du savoir-faire et ça nous apporte un avantage concurrentiel.
Naïm Alexandre Antaki
George, si tu me permets, je veux aussi revenir sur un oint qui est très important, dont Nicole avait parlé, qui est toute la question de la culture de l'entreprise. Je pense que ces documents sont importants. Nicole, ce que tu nous disais, si j'ai bien compris, c'est qu'effectivement il faut que les gens en prennent acte, que ça fasse partie de la fibre de l'entreprise elle-même. Je ne sais pas si tu veux dire quelques mots sur point-là.
Nicole Blanchard
En fait, ça prend une formation, parce que ce n'est pas tous les… Dans notre cas, ce sont des chercheurs. Comme George montrait, des gens qui sortent de l'université, donc qui ont une façon de travailler différente que dans l'industrie. On a aussi à travers une entreprise des gens admin, des gens de finances, des gens d'affaire. Alors, chacun, il faut qu'il soit sur la même page. Cette documentation nous permet tous de comprendre où on s'en va et quel est l'objectif.
Naïm Alexandre Antaki
Merci beaucoup, Nicole.
Julie-Han
Excellent. J'ai une dernière question.
Question
Quels sont les licences open source non problématiques?
Audience
<rire>
Stefan Nasswetter
Avez-vous trois jours?
Naïm Alexandre Antaki
Oui. Je pense que ce serait une question dont on pourra traiter un autre moment, quoiqu'il faut juste penser à la philosophie : why is something open source?, puis on arrive rapidement à la réponse. Il y a des raisons philosophiques qui font que c'est rarement sans problème. Alors, voilà.
Parfait. Merci énormément, Nicole, d'avoir partagé avec nous votre expérience, puis comment ça se passe dans la vraie vie. Merci beaucoup, George. Merci beaucoup, Stefan. C'est très intéressant de voir, justement, comment on travaille ensemble pour la valorisation d'une entreprise.
<applaudissements>
3E PRÉSENTATION
Naïm Alexandre Antaki
Pour le prochain volet, le dernier volet de notre Forum Tech d'aujourd'hui, j'inviterais mon collègue, Marc, qui est en droit des affaires, comme moi, à prendre place ainsi qu'un invité, Frédéric. Donc, en attendant qu'ils se préparent, je vais peut-être les présenter.
Frédéric s'est joint récemment à EVAH. Il est chef de la direction scientifique d'EVAH. Avant ça, il a été le cofondateur d'Immune Biosolutions, qui est une société de biotechnologie innovante, y occupant le poste de président et directeur général pendant près de 10 ans. Il a aussi un doctorat en biochimie. Marc est un de mes collègues, un associé, comme moi, en droit des affaires. Vous allez nous parler aujourd'hui d'innovation ouverte. Alors, je vous laisse la place et j'ai bien hâte d'entendre ce que vous avez à nous dire sur ce sujet qui est très intéressant. Merci.
Marc Tremblay
Bon. Alors, est-ce qu'on m'entend? Je sais que c'est rare. Habituellement, mes amis et ma femme me disent que je parle trop fort. Oui, c'est bon? Voilà.
Alors, oui, innovation ouverte. On pensait que dans la présentation antérieure… vous parliez de valorisation. Peut-être qu'on aurait dû inverser les présentations. Avant de faire de la valo, il faut créer. Donc, on veut parler un peu d'innovation ouverte et des ententes de collaboration. C'est une conférence tech. Alors, dans une conférence tech, il y a des buzz words puis il y a du hype. Comme vous le savez, l'innovation ouverte, c'est un peu buzz word qui est utilisé à toutes les sauces. Pour les fins d'aujourd'hui, on va prendre une définition relativement large pour que la discussion soit large. En général, qu'est-ce que c'est? Moi, d'une façon simple, je le définis comme étant toute création, toute entente de développement ou mécanique de développement de propriété intellectuelle de façon non organique. Donc, tout ce qui touche à la collaboration des tiers, tout ce qui va nécessiter de la collaboration d'une façon ou d'une autre, que ce soit entre entreprises privées, des centres de recherche, entre concurrents, entre concurrents et fournisseurs. Ça peut être vraiment de tout. Il y a vraiment de tout dans le marché. Et ça prend toutes sortes de formes. Évidemment, il y a la licence traditionnelle, qui va être considérée d'une certaine façon d'innovation ouverte ou, en tant que cas, avec la définition que je viens d'utiliser, à tout le moins de la collaboration. Également, on va aller dans les coentreprises, les joint ventures, où chacune des parties qui peuvent être deux, mais qui peuvent être des dizaines et des dizaines, voire des centaines, qui devient à ce moment-là pratiquement des conventions d'adhésion à un certain moment donné, où on va carrément créer un véhicule ou avec des licences, avec des gens qui vont amener des apports de ressources humaines ou de ressources financières, etc.
Ce qu'on voit plus traditionnellement, que j'appelle la collaboration symbiotique, que beaucoup voient comme de l'innovation ouverte traditionnelle, de dire des marathons de programmation, des hackethons. Il y a beaucoup d'autres plateformes d'innovation ouverte où, par exemple, des grandes sociétés vont inviter leurs clients à venir commenter sur un produit et les inciter à suggérer des améliorations.
Un autre exemple dont Stefan, dans la présentation antérieure, en faisait mention, une forme évidente de l'innovation ouverte dans le milieu de la TI, c'est le logiciel libre – l'open source – qui est la matérialisation de l'innovation ouverte. Je ne veux pas revenir trop sur l'open source, mais la réalité, comme vous savez, c'est qu'un codeur va développer du code et va décider de le mettre à la disponibilité de tous, le code source, et qui habituellement dans un milieu privé va vouloir… c'est le joyau de la couronne. Vous ne divulguez pas habituellement le code source, mais il va distribuer le code source en matière libre, mais qui va avoir comme exigence… vous pouvez modifier. Vous avez accès au code source, donc vous pouvez modifier le logiciel. Des tiers peuvent le faire, sans même connaître le codeur. Prendre le code, ajouter, améliorer, faire des nouveaux modules, sous condition. Et c'est là un des aspects problématiques du code source si vous voulez l'utiliser pour le revendre, du logiciel libre, c'est de redistribuer les améliorations que vous avez faites en mode libre également. Donc, redistribuer dans le marché.
Tout ça pour dire pourquoi l'innovation? Dans le marché, vous pouvez avoir des logiciels libres en ce moment qui ont été créés par des centaines, voire des milliers de personnes qui ont des millions de lignes de codes des gens qui ne se sont jamais parlés, qui finalement ont un logiciel qui est composé de milliers de modules potentiellement – milliers, peut-être pas – mais des centaines de modules qui travaillent ensemble et qui est l'œuvre collective de gens qui ne se sont jamais parlés. C'est un domaine qui est vaste. Vous avez vu les exemples. Ça va de quelque chose qui est plus traditionnel, qui était moins vu comme l'innovation ouverte, c'est-à-dire un joint venture, mais qui va jusqu'aux plateformes innovantes.
Juste avant d'aller dans le vif du sujet puis de parler de façon plus concrète avec Frédéric, je pense que, comme toute innovation, tous les modes d'innovation ouvert, pourquoi c'est un peu plus à la mode et il y en a de plus en plus par rapport à il y a une dizaine d'années ou plus si on remonte plus loin que ça. Il y a évidemment des innovations technologiques comme, par exemple, le logiciel libre sans Internet, c'est à peu près impossible que ça se développe. Évidemment, il y a des aspects technologiques, il y a des aspects économiques sur lesquels on va revenir, mais il y a aussi à mon avis une vision de la science puis de l'innovation qui a changé. En tout cas, pas pour tout le monde, mais clairement dans l'industrie qu'il y a une vision qui a changé. On est parti d'une vision qui était assez linéaires de l'innovation, où on prenait des composantes, le background IP, on additionne ça, puis on a une séquence temporelle et on va arriver à l'innovation x qu'on vise au départ et qu'on veut faire. Donc, une vision un peu livre de recettes, qu'on sait déjà les ingrédients, ça va prendre tant de temps, puis on sait la recette qu'est-ce qui va arriver. Et on sait ceux qui font de la recherche – Frédéric va pouvoir nous en parler tout à l'heure –, des chercheurs comme toi qui ont fait des doctorats et autres, savent la plupart du temps maintenant que la science ne fonctionne pas comme ça. La science est beaucoup plus chaotique et composée de beaucoup plus d'incertitudes. On passe d'une vision déterministique à une vision indéterministique, de la physique traditionnelle à la physique quantique. On est vraiment dans un paradigme où les gens réalisent que le départ d'un projet, on sait les composantes qu'on met au départ mais on ne sait pas la solution finale va être composée de quoi exactement.
Deux exemples très classiques. Vous faites une recherche dans un domaine particulier de génie mécanique et finalement à la fin vous aviez bien du background IP qui était tout du génie mécanique, puis à la fin c'est en émulant une technologie qui est reliée au génie des matériaux, vous allez l'émuler mais l'adapter dans un autre contexte, puis à la fin vous allez arriver avec l'innovation que vous pensiez faire au départ. Donc, une composante nouvelle qui amène à une innovation que vous recherchiez. Ou l'inverse est vrai aussi. D'autres fois, ces des composantes, vous avez mis les mêmes éléments dans votre recette que vous aviez envisagée au départ du projet, mais qui vous ne vous amène pas là du tout, finalement. Vous vouliez faire un médicament pour régler le problème A et, finalement, c'est un échec. Mais en faisant cette recherche-là, vous avez trouvé un médicament pour le problème A que vous ne cherchiez pas du tout.
Tout ça pour dire que l'innovation ouverte permet notamment, sur un de ces aspects-là, une fois que les gens ont pris conscience que la nature plus <inaudible> chaotique de la science qu'en multipliant les joueurs, bien, évidemment, on optimise les chances d'arriver à une innovation qui était souhaitée. Bon, finie la considération philosophique. Pratico-pratique, pourquoi faire de l'innovation ouverte au sens large? On parle beaucoup de coûts, Frédéric, avec le resserrement économique qu'on connaît en ce moment, je pense que ça va être d'autant plus d'actualité de regarder les options au niveau de l'innovation. Peux-tu nous parler un peu de ton expérience. Est-ce que, effectivement, le coût est un enjeu majeur ou pas?
Frédéric Leduc
C'est plus complexe que ça. Tu m'as inspiré. Il y a deux exemples qui me sont venus en tête. Il y a un exemple qui est peut-être connu par vous, dans la salle, qui ne sont pas nécessairement des scientifiques. La découverte de la pénicilline. Alexander Fleming est parti en vacances, il a laissé ses expériences sur le comptoir, il est revenu, il a découvert qu'il y a une moisissure qui tuait les bactéries, d'où la découverte de la pénicilline. L'histoire est très connue, parce que ça encourage les scientifiques à prendre des vacances. On va dire ça comme ça.
Tous
<rire>
Frédéric Leduc
Plus sérieusement, l'histoire qu'on raconte s'arrête là. Mais Alexander Fleming n'était pas capable de produire de la pénicilline en grandes quantités pour en faire un médicament. Ç'a pris deux autres dudes qu'on connaît très peu dans le grand public, qui étaient des chimistes de formation et qui eux avaient découvert un procédé de synthèse chimique absolument pas relié à la pénicilline, mais qui permettrait de synthétiser la pénicilline de façon industrielle. L'arrivée de la pénicilline dans la Deuxième guerre mondiale a changé drastiquement la vie des soldats et, évidemment, le nombre de morts lié à la guerre.
Un autre exemple qui m'est venu, le viagra. Viagra, qui était originellement développé pour des problèmes cardiaques. L'effet secondaire, bien, c'est ce qui est commercialisé et qui est connu du grand public. Mais chez les femmes, on donne le viagra pour des problèmes cardiaques. Sa vraie intention existe toujours, mais ç'a pris une autre tournure.
Je reviens sur ta question. Dans un monde moderne, le savant fou dans son garage qui fait une découverte, qui arrive à faire une innovation incroyable, il faut oublier ça. Ça n'existera presque plus. Je ne dis pas que ça n'existera pas, mais admettons que les couches d'innovation nécessaires, les couches technologiques, les couches d'expertise nécessaires pour arriver avec quelque chose de vraiment innovant – le mot en anglais disruptive – qui change vraiment la donne, c'est impossible maintenant par une seule personne. Évidemment, le principe de collaboration devient maintenant essentiel. Un chercheur universitaire de nos jours doit collaborer non seulement avec ses collègues dans le laboratoire, mais d'autres laboratoires, d'autres expertises. Donc, ça, ça change drastiquement. L'Internet nous aide à communiquer partout dans le monde, d'avoir des collègues, des gens qui peuvent contribuer partout dans le monde, mais il y a d'autres pressions. Les pressions, évidemment, commerciales, les coûts et la vitesse au marché. Il ne faut pas se le cacher. Depuis les 50 dernières années, la nécessité d'arriver au marché le plus rapidement possible s'est accélérée. Qui dit accélération, dit, bien, il faut trouver des ressources qui vont nous permettre d'aller plus vite et de faire mieux. C'est sur que la collaboration est hautement liée à toutes ces pressions.
Marc Tremblay
Je vais revenir à une vision plus large de l'innovation ouverte. Pour prendre, par exemple, dans des joint ventures, les difficultés que soit tu as vues ou que tu as expérimentées au niveau de la création de ces véhicules pour la valorisation TI, pas la valorisation, pour le développement de la propriété intellectuelle, les enjeux, les difficultés plutôt auxquelles tu as été confronté?
Frédéric Leduc
Dans plusieurs secteurs, incluant le secteur des sciences de la vie qui est un exemple assez flagrant, il y a eu une consolidation des grands joueurs. Ces grands joueurs se sont concentrés sur la commercialisation mondiale, sur les aspects beaucoup plus fédéraux, si je me permets le pont avec la politique. Ce qui veut dire que c'est des petites entreprises qui sont responsables de l'innovation. Les grandes sociétés se sont départies, ont diminué leur capacité à aider à l'interne, dans le chemin, finalement, de petites entreprises plus agiles, plus innovantes, qui peuvent se casser les dents, fermer et repartir sur des nouvelles idées. Ça crée les relations dans plusieurs secteurs. C'est souvent un géant qui veut une nouvelle technologie développée par un petit joueur. Il y a donc un déséquilibre dans les discussions de codéveloppement de licences. Bon, je prends EVAH; on est 25 employés. Quand l'autre joueur en face de vous a un département légal cinq fois plus grand que votre équipe au complet, c'est sûr que ça crée une espèce d'enjeu. Les grands joueurs peuvent mettre beaucoup plus de pression. Il y a quand même le form of fear of missing out. Il est existant, mais c'est le peu de balance qu'il y a dans la transaction. C'est sûr que des petits joueurs qui sont innovants ont à dealer avec des énormes machines de négociation et ça va en plein dans l'aspect. On parlait de due diligence un peu plus tôt, d'évaluation des brevets. Bien, eux ont des équipes au complet qui ne font que ça, tous les jours. Ça, c'est un défi pour les parties innovantes, de bien se positionner puis de ne pas se faire écraser.
Marc Tremblay
C'est ça. Nous, dans la pratique, quand on négocie des ententes de collaboration ou d'innovation ouverte, un des enjeux, des fois, qui mènent à des deal breakers, c'est d'identifier, de savoir d'où on part. Les gens l'ont dans leur tête, le savant fou. Heureusement, il est rare. La plupart ne le sont pas, heureusement. Mais l'idée, évidemment, c'est souvent extrêmement complexe. La documentation, des fois, est soit déficiente ou trop abondante. Des fois, on a les deux parce qu'on veut divulguer le background. J'ai eu des transactions où, finalement, on a tout conclu, où par incapacité d'une des parties à bien définir le background IP, donc savoir d'où on part et, donc, par conséquent, définir le foreground par la négative la propriété créée. Bien, on n'a pas été capable d'expliquer ou de bien définir et circonscrire le background IP. Donc, faire en sorte que l'autre partie dise : bien, moi, j'ai peur qu'à la fin de l'innovation tu me dises, bien, c'était du background IP, je n'ai rien inventé et je le savais déjà puis tu n'as pas de licence dessus. Je ne sais pas si tu as été confronté à ça ou c'est juste moi qui a été malchanceux.
Frédéric Leduc
Non. C'est un enjeu super difficile. Je vais prendre le cas d'Immune Biosolutions. Même dans le cas d'EVAH, c'est quelque chose qu'on voit souvent. Comme je vous ai dit, l'innovation, c'est la croisée des chemins des expertises. Ça fait que souvent une entreprise va être le point central de l'innovation qui a été créée avec des collaborations avec d'autres entreprises, mais aussi avec des laboratoires académiques, universitaires. Donc, il y a ce besoin de définir le background, qui est absolument essentiel, parce que ça ne régit pas juste la transaction finale avec le gros joueur, mais tout ce qui est en arrière. Puis ça, ce n'est pas facile parce les universités, bien qu'outillées avec des groupes spécialisés là-dedans, la culture de la protection de la propriété intellectuelle n'est pas encore très développée chez nos universitaires. Ça commence à changer drastiquement, mais, justement, il y a beaucoup de laboratoires qui travaillent sur des choses incroyables et ils n'ont aucune idée… ils n'ont pas le réflexe de dire : ah, ça, c'est unique; ah, ça, c'est spécial; ça, ça devrait être de la propriété intellectuelle. Ça fait que souvent ils vont le publier, ils vont évidemment gâcher leur potentiel de breveter, mais ça fait partie aussi de cet élément de background IP. C'est quoi l'expertise du laboratoire? C'est quoi qui est unique dans ce qu'on fait, dans ce qu'on a comme outils, les modèles qu'on a développés? Tout est relié à ça. C'est sûr qu'il y a des secteurs où, par exemple, en sciences de la vie le brevet est l'outil principal de valorisation de la propriété intellectuelle. Ce n'est pas le cas dans tous les secteurs. En TI, par exemple, ce n'est pas possible de breveter des <inaudible>.
Tous
<rire>
Frédéric Leduc
Mais, ça, je ne suis pas un expert ici. Mais c'est clairement un enjeu.
Marc Tremblay
Fais attention, on brevette beaucoup. <rire>
Frédéric Leduc
C'est beaucoup plus difficile. On va dire ça; je vais me limiter. Donc, c'est un secteur qui est propice à avoir de la confusion sur c'est quoi le background, surtout quand c'est du background qui a été emprunté ici et là. Mais c'est clairement un enjeu important, surtout quand tu veux mettre la table pour une relation qui doit être gagnante-gagnante, de bien établir la base. Puis ça, ce n'est pas simple.
Marc Tremblay
C'est ça. C'est peut-être un bon moment pour enchaîner. On parle de l'innovation ouverte, mais si on revient à l'innovation ouverte plus restreinte, telle qu'on l'entend, par exemple, des associations pour créer des standards ou de collaboration pour des meilleures pratiques, il y a quand même des différences par industrie. Si on prend la TI, si on prend le manufacturer puis peut-être le pharma, comment tu vois l'innovation ouverte dans ces trois secteurs? Où on est aujourd'hui, puis le potentiel?
Frédéric Leduc
C'est une question qui est très sectorielle. Je vais essayer de prendre deux secteurs dont un que je connais très, très bien, l'autre, moyennement. Les pharmas, ce n'est pas des joueurs qui aiment jouer ensemble. Ce n'est pas leur terrain de jeux. Tout est relié aux brevets, à la valorisation. Je vous mets en contexte, juste pour que vous compreniez. Quand on développe un médicament, ça prend des fois 5, 10, 15 ou 20 ans. Il y a des millions, des centaines de millions, milliards qui sont investis pour développer un médicament et souvent il faut breveter avant même que l'étude clinique soit complétée ou soit même amorcée. Ce qui veut dire qu'à même le monopole de 20 ans, on ampute des fois 5 à 10 ans pour avoir la validation clinique qui est absolument essentielle pour démontrer son efficacité, le côté sécuritaire du médicament. Ça fait que les entreprises qui ont investi énormément ont très peu de temps pour retrouver le rendement sur leur investissement. Dans un secteur comme ça, vous comprendrez que la capacité ou la volonté de collaborer ensemble avec des compétiteurs directs est très, très peu présent. Par contre, il y a des secteurs – l'aéronautique, la foresterie – où les grands joueurs collaborent très souvent ensemble pour résoudre des problématiques qu'ils ont tous en commun. Si je prends mon secteur, les chances de collaboration ouverte sont beaucoup plus probables sur des éléments qui sont communs à tous. Je vais donner peut-être quelques exemples. C'est sûr que l'intelligence artificielle, en ce moment, les pharmaceutiques sont dans les gradins. Ils regardent ce qui se passent, ils regardent les petites entreprises qui en développent. Ils ne sont pas prêts encore à embarquer dans le jeu. Ils ont développé des plateformes d'innovation ouverte, dans son terme le plus pur, mais ils sont encore en touristes; ils sont encore en observateurs. Probablement que dans ce secteur il y a beaucoup plus de possibilités qu'il y ait de l'innovation ouverte, parce que c'est un secteur plus difficilement protégeable à leurs yeux, moins aligné avec leur modèle classique de valorisation de la PI, mais qui va être un outil complémentaire à ce qu'ils font déjà. Donc, pas un remplacement à, mais bonifier leurs produits ou leur accès au marché.
C'est vraiment une question sectorielle et un agencement de comment on protège la PI, comment elle est vendue. Tu parlais du secteur manufacturier. Le know-how, le savoir-faire est le mode de protection de la propriété intellectuelle. À ce moment-là, c'est d'autres règles qui s'appliquent, puis là il y a peut-être plus d'ouverture pour l'innovation ouverte.
Marc Tremblay
Effectivement. C'est vrai qu'il y a vraiment tout… par secteur, c'est très, très différent, l'ouverture à l'innovation ouverte au sens strict, avec des plateformes ou même la collaboration ou de l'échange. Elle est effectivement très différente.
Frédéric Leduc
Un autre secteur, le secteur minier. La compétition se fait sur trouver le site. Une fois que le site a été acheté, identifié, validé, les technologies pour extraire efficacement pour diminuer la pollution, tout ça, c'est du travail qui a été fait en innovation ouverte de la part des grandes organisations minières. Ils voient un avantage à être tous ensemble à trouver des meilleures solutions. La compétition se fait ailleurs. Ça fait que c'est vraiment très sectoriel.
Marc Tremblay
Oui. Finalement, peut-être rapidement, j'aurais aimé qu'on aborde la question de dès qu'on fait de l'innovation ouverte au sens large, par exemple dans des joint ventures, toute la question au départ, évidemment, comme dans toute entente, les gens s'entendent, on a une idée assez précise où on veut aller, le type de ressources qu'on veut déployer. Mais, évidemment, le temps passe. Trois ans plus tard, peut-être qu'on discute un peu de la divergence d'objectifs. Un CEO a été changé, une nouvelle vision. Donc, au niveau des risques reliés que tu perçois ou que tu as vécus.
Frédéric Leduc
C'est une question très, très ouverte, on s'entend. Je pense que dans toute bonne entente, il faut que les attentes soient claires et soient même stipulées, si possible. Ça aide beaucoup à donner la direction et les intentions de chacun des partenaires ou des gens impliqués. Évidemment, l'évolution d'un projet peut mener à une catastrophe ou un succès inespéré. C'est pour ça qu'il y a des partenaires légaux et autres qui viennent contribuer à l'équation pour bien cadrer l'entente. Mais ce n'est pas tout le temps facile. Ce n'est pas tout le temps facile, parce que – sûrement que, dans la salle, ça vous ait déjà arrivé – la plupart des avocats sont formés pour imaginer tout ce qui pourrait arriver dans une entente, souvent pire que les bons côtés. Ça fait que des fois on crée des ententes qui deviennent extrêmement lourdes pour, justement, adresser chacune des possibilités d'une entente. Ce n'est jamais parfait. Des fois, il y a des ententes qui achoppent, justement, parce qu'il y a trop de scénarios catastrophiques qui viennent mettre les bâtons dans les roues, puis ça met un cadre tellement serré qu'il n'y a pas d'innovation possible. C'est extrêmement difficile de balancer. Mais la confiance envers le partenaire, l'intention de plusieurs partenaires qui sont dans l'entente devient à ce moment-là l'élément clé d'une bonne entente. Il faut que ça soit le miroir de l'entente légale, mais la confiance, l'établissement des attentes, c'est un ingrédient secret non négligeable.
Marc Tremblay
Oui, effectivement, des fois, dans des transactions, les gens oublient qu'en amont… D'ailleurs, les Européens sont un petit peu mieux que nous, en général, à faire cet effort en amont pour construire la confiance avant de commencer à rédiger. Souvent, ils sont un peu trop vite de ce côté-là.
Frédéric Leduc
En Asie, c'est l'extrême. Pour que tu aies visité sur place de nombreuses fois l'exécutif, de créer la confiance, ça prend des fois des années. Mais une fois que la confiance est là, elle l'est pour longtemps. Mais, oui, il y a une question culturelle là-dedans.
Marc Tremblay
Si je résume, il y a toute la question d'innovation ouverte. Comme je le dis, d'entrée de jeu, personne n'est contre la vertu, tout le monde voudrait en faire un peu, au moins, mais souvent c'est des questions d'enjeux stratégiques qui font qu'on ne veut pas partager certaines choses. J'ai un client qui le dit souvent. Il dit : moi, je suis pour collectiviser les coûts, mais privatiser les gains. C'est toujours l'enjeu, quand on parle de collaboration avec des tiers et c'est ce qui explique souvent que les pharmas sont un peu plus réticentes à le faire.
Maintenant, juste en terminant, un aspect plus légal, qui est l'aspect de droit de la concurrence, évidemment, qui dit collaboration entre concurrents. Des fois, même avec des fournisseurs. Il y a toute la question qu'il ne faut jamais oublier. Dans la majorité des cas, il n'y a pas de problèmes, mais il y a quand même tous les enjeux de droit de la concurrence. La Commission européenne, cette année, a émis deux nouvelles directives qui devraient entrer en vigueur, si je ne me trompe pas, début janvier 2023, qui met des guidelines encore sur quels genres de ce qu'on appelle la coopération horizontale et les restrictions qui sont applicables. Donc, il faut avoir la réflexion de se poser la question – je parle d'innovation ouverte au sens large, que ça soit dans des plateformes ou dans les organismes de standardisation ou encore par la vraie innovation ouverte – vraiment toujours avoir cet esprit, surtout si vous êtes dans la grande entreprise, d'avoir ces enjeux en tête, parce qu'évidemment ça peut être critique. Parce que si vous avez une position dominante ou si vous pouvez créer des standards de facto ou des accords sur le prix ultime au marché – il y a toute une liste qu'il faut consulter – il faut toujours avoir ça à l'esprit avant d'initier tout type de projet dans ce secteur-là.
Je pense qu'on vient de finir le temps à une seconde près. Alors, je ne sais, pas, Naïm. C'est rare que les avocats ont fini à temps. <rire>
Frédéric Leduc
Je voudrais te faire un commentaire.
Marc Tremblay
Excuse-moi, Frédéric.
Frédéric Leduc
Non, mais, sur ce que tu viens juste de dire, je pense que c'est à chacune des organisations de déterminer c'est quoi leur valeur ajoutée, c'est quoi le cœur de qui ils sont qui les rend uniques ou parmi les rares d'un secteur ou d'une industrie, puis de bien cerner là où la contribution de l'extérieur va pouvoir s'ajouter, créer de la synergie avec le cœur de cette entreprise-là. Ça fait que de ne jamais compromettre l'unicité de la compagnie, mais d'utiliser l'innovation ouverte pour l'améliorer ou en créer quelque chose d'encore plus précis.
Marc Tremblay
Ça fait penser un peu à la réflexion dans le domaine de la TI qu'il y avait eu. Je ne sais pas si vous connaissez un gars qui s'appelle Nicholas Carr. Il avait écrit un article dans le Harvard Business Review, au début en 2003, avant le cloud computing. Il avait dit : Does IT matter? Ç'avait fait toute une polémique aux États-Unis. Il a écrit des livres après, dont un qui s'appelle The Grid. Sa vision, c'était de dire : bien, arrêtez, chaque compagnie a son département de TI unique qui réinvente la roue, alors que ce qui s'en vient, ça va être exactement comme l'électrification, où les industries au XIXe siècle avait chacune leur moulin pour créer leur propre électricité, alors qu'aujourd'hui you're on the grid, c'est Hydro-Québec qui <indiscernable 3:11:13>. Tu ne te différencies pas dans l'industrie par ta production d'électricité. Lui faisait l'équivalant en TI. Pour l'innovation ouverte, c'est un peu la même idée. C'est de dire : bien, on se distingue dans quoi? Il y a l'innovation ouverte, puis je parle au niveau restreint. On niveau large, quand on parle de joint venture, bien, des fois c'est pour créer le cœur, l'enjeu.
Naïm Alexandre Antaki
Merci beaucoup. Est-ce qu'il y a des questions?
Julie-Han
Oui, on a une question en ligne en deux parties.
Question
En mode innovation ouverte, cela prend-il nécessairement un contrat détaillé et signé qui protège la PI existante (background) et les nouveaux livrables (foreground)? Si les parties en mode agile décident d'un procédé sans contrat écrit, comment vont se régler les questions de PI foreground et background?
Marc Tremblay
Je peux déjà répondre à la deuxième. S'il n'y a pas de contrat écrit dans un secteur comme ça, ça se peut que ce soit le juge qui règle ça comme c'est parti. Mais disons que c'est une assez mauvaise idée de ne pas avoir de contrat écrit. Ce n'est pas parce que je suis avocat, mais disons que c'est assez évident que dès que ça touche à la propriété intellectuelle, il faut avoir un contrat écrit. Ceci étant dit, si je reviens à la première partie, c'est une bonne question. Ç'a l'air d'une question naïve, mais ce n'est pas une question naïve, parce qu'il y a beaucoup de plateformes d'idéation. Nous, on a un client qui a développé une plateforme d'idéation, puis il y a plusieurs clients qui disent : oui, mais la gestion de la PI, c'est comment? Nous, la réponse qu'on a préparée avec lui, puis de dire à ses clients, bien, ce n'est pas lié à l'outil. L'outil, c'est comme de dire, bien, c'est quoi? On fait une conférence téléphonique entre 50 participants. Ce n'est pas Nortel ou le fabricant qui va vous dire c'est quoi la propriété intellectuelle. C'est à vous, en fonction de ce que vous faites. Est-ce que vous faites de l'innovation ouverte, entre guillemets, à l'intérieur de l'entreprise? Bien, la PI est réglée si c'est entre employés. C'est une question pertinente, parce qu'il y a beaucoup d'innovation ouverte. Par exemple – je ne nommerai pas la compagnie – c'est une grande multinationale qui demande à ses fournisseurs de participer à l'élaboration de produits. Tu vas voir dans les sections. Finalement, il y a une section très bien cachée qui dit : bien, toute la propriété intellectuelle est cédée. Parce que, évidemment, ils ne sont pas fous, ils veulent pouvoir utiliser les innovations qui vont leur être soumises. Mais est-ce que les fournisseurs qui participent sont tous allés voir leur supérieur immédiat puis dire : bien, moi, j'ai envoyé une idée, puis on m'a cédé les droits? <rire> Donc, il y a quand même des éléments… Heureusement, souvent dans ces innovations ouvertes, très, très, ouvertes, où il y a des centaines de fournisseurs, la PI, c'est souvent sur des processus ou des choses que c'est du soft IP, mais quand même c'est clairement une question qu'il faut avoir en tête. On met des projets d'innovation ouverte, il faut se poser la question, absolument.
Frédéric Leduc
Je pense que ça existe encore, de faire des projets avec une poignée de main puis pas de contrat.
Marc Tremblay
Mais un contrat, ça peut être un contrat verbal, mais c'est une question de preuves après.
Frédéric Leduc
Ça peut être un contrat verbal, mais c'est évidemment une gestion du risque.
Marc Tremblay
Oui.
Frédéric Leduc
Parce que quand ce n'est pas spécifiquement écrit, ça peut aller dans tous les sens. Ça fait que pour moi c'est une gestion de risque.
Marc Tremblay
Absolument.
Frédéric Leduc
Même des partenaires qui fonctionnent encore de cette façon-là. Une poignée de main, ça vaut de l'or. Il faut garder ça en tête. Et c'est une culture aussi, où la parole ou la poignée de main est plus importante qu'un contrat légal.
Naïm Alexandre Antaki
L'un n'empêche pas l'autre.
Tous
<rire>
Naïm Alexandre Antaki
Est-ce qu'il y a d'autres questions? Oui. Je crois qu'on a plusieurs questions en personne. Ou quelques-unes.
Question
Oui. On a parlé du problème que, quand on a fournisseurs, pour le fournisseur il se ramasse à céder toute sa PI. Le problème inverse aussi dont j'ai entendu parler, de la contamination de la PI. Si on signe partout des NDA, tous les moyens, il peut arriver que le fournisseur nous donne de la PI qu'on aurait facilement développée à l'interne, mais que ça peut poser des problèmes dans la firme. Selon vous, est-ce que c'est un problème important? J'en ai entendu parler, mais ça ne semble pas être un enjeu si important qu'on en parle très souvent.
Marc Tremblay
La contamination par des NDA, c'est sûr que la réponse plate c'est de dire : ça dépend comment la NDA est rédigée. De façon générale, parce que ça se ressemble souvent, il y a toujours des exclusions générales de dire : c'est une information confidentielle, il y a des exclusions standard, trois ou quatre, dont une qui est : j'avais déjà… C'est une question de preuve, après. Si c'est de l'information que j'avais déjà, bien, c'est exclu des obligations du NDA. Après ça, comme je viens de le dire, ça dépend de beaucoup de questions de preuve pour vous de dire : bien, je le savais déjà. Après ça, c'est une bataille d'experts en cour pour déterminer est-ce que l'invention que je vous ai divulguée vous l'aviez déjà conceptualisée, puis elle était suffisamment made to practice, suffisamment développée pour constituer une information qui exclut. Mais c'est sûr qu'avec un NDA, il faut être prudent. C'est certain qu'il faut être prudent avec ça. Il y a des risques de contamination. Ce n'est pas pour rien qu'il y a des grandes entreprises qui vont avoir des politiques très serrées sur ce qui peut être fait. Un domaine que je connais moins mais que je travaille quand même parce qu'il y a des clients qui nous posent des questions dans le milieu du développement des films. C'est sûr qu'eux souvent il y a bien des producteurs qui refusent systématiquement, ils vont jeter. Tu m'envoies des scénarios, ils vont à la poubelle directement, parce que je ne veux pas contaminer, parce que c'est juste du soft IP. Est-ce que c'est une nouvelle histoire, puis tu vas venir me poursuivre en contrefaçon de droit d'auteur dans six ans, une fois que moi j'ai pris un projet d'un autre scénariste, puis l'histoire c'est un policier. Des policiers dans un district je sais pas quoi, puis, là, tu sais, il y a 50 films comme ça, mais… Alors, c'est toujours nuancer que tu ne veux pas prendre la chance d'avoir des choses qui pourraient être similaires. Donc, il y a des gens pour qui c'est systémique. Il n'y a pas de NDA, ils ne veulent même pas de NDA. Toute la PI, on la jette. Donc, je ne pourrai pas prouver que tu m'as contaminé parce que je ne l'ai jamais lu.
Frédéric Leduc
Dans mon secteur, c'est flagrant, en fait. Les entreprises de service vont être très rapides à fournir un NDA, vont être très ouvertes à ça. Les gros joueurs, comme les pharmaceutiques, vont attendre le plus longtemps possible avant de signer des ententes comme ça, parce que, justement, comme Marc a bien expliqué, ça peut les contaminer puis ils ont à justifier, puis là c'est des audits, etc. Même que, dans certaines compagnies, les équipes de licensing sont complètement détachées des équipes R et D pour qu'il n'y ait pas de contamination. Pour moi, c'est un enjeu problématique, parce que ça veut dire que les gens qui font les deals puis les gens qui font de la R et D ne se parlent pas. C'est souvent la compagnie qui fait le lien entre les deux, ce qui n'est pas très pratique. C'est vraiment évident qu'il y a des plus grandes entreprises, dont c'est les politiques de retarder ou de ne pas signer d'entente de confidentialité parce que c'est plus problématique qu'autre chose. Surtout dans des endroits très, très compétitifs, avec des choses beaucoup plus larges, c'est souvent le cas. Souvent les NDA avec des gros partenaires comme ça sont tellement cernés. La zone est tellement bien déterminée pour qu'il n'y ait pas d'entrecroisement avec un autre deal.
Naïm Alexandre Antaki
Merci. Est-ce qu'il y a d'autres questions?
Peut-être un complémentaire. Des fois, il y a même une firme, une tierce partie, une autre firme d'avocats ou de brevets qui vient faire l'analyse entre les deux pour ne pas qu'un parti ou l'autre parti ait accès à des informations privilégiées. Ça fait que ça peut aller jusque-là.
Naïm Alexandre Antaki
Donc, il y a un concept de clean room d'évaluation indépendante.
Frédéric Leduc
Oui.
Marc Tremblay
Ça, on le voit dans… On parlait d'open source tantôt, mais dans le code source, dans les compagnies TI, où est-ce qu'au niveau de la vérification diligente, quand vous vendez une compagnie de TI, que le cœur de la compagnie est le software, vous ne voulez pas donner accès à l'acquéreur avant qu'il ait payé vos codes sources. Il va y avoir des tiers où il peut nommer, bien, on va dire : on va engager CGI qui va avoir les NDA, etc., mais que là c'est un tiers qui n'est pas l'acquéreur, qui va pouvoir analyser le cas, regarder s'il y a du code source, s'il est bien structuré, etc., s'il est bien documenté. Mais s'il n'y a pas de deal, l'acquéreur n'a pas eu le bénéfice de voir le code source comment il est structuré puis d'avoir tous les secrets, les joyaux de la couronne. Vous allez voir les joyaux de la couronne quand vous allez avoir payé la couronne.
<rire>
Naïm Alexandre Antaki
Merci. Je crois qu'on avait une autre question. Oui?
Question
Oui. On parlait justement des collaborations et les attentes. Je voudrais savoir. Après une entente, il y a déjà un understanding sur l'ownership et les droits de licence sur le foreground acquis. Selon vous, c'est quoi la meilleure manière pratico-pratique de bien bifurquer le background IP versus le foreground acquis, même à la lumière de la divergence des objectifs, des fois, dans un projet?
Naïm Alexandre Antaki
Est-ce que vous l'avez vécu dans une situation en particulier de votre côté? Je suis curieux, parce que votre question est très précise. Donc, j'ai l'impression que vous avez… juste au cas où il y ait un contexte.
Voix féminine
Oui. En fait, j'ai vécu une situation où c'était très bien défini c'est quoi le background et le foreground IP dans une entente de collaboration entre une université et un joueur privé. C'est exactement avec l'histoire de pénicilline un peu. Il y a eu vraiment une divergence d'objectifs où le foreground IP ne ressemblait pas du tout à ce qui était défini dans le contrat. Après ça, ç'a entamé des débats sur, OK, on a décidé du foreground IP qui était défini dans le contrat, mais il y a un troisième bucket qui est ressorti, puis c'est comment on gère l'ownership et les droits de licence.
Marc Tremblay
C'est extrêmement intéressant, effectivement. Frédéric, je vais juste commencer. Effectivement, c'est un des problèmes qui est assez fondamental dans l'IP, puis que tantôt j'ai évoqué, quand je parlais de la vision qui avait bien changé, parce qu'évidemment ça parle du côté un peu moins prévisible. C'est indéterminé. On commence une recherche et on nous a défini le foreground. Vous saviez que là où vous espériez arrivé. Finalement, si j'ai bien compris, il y a eu du foreground qui a été fait, qui ne tombe pas dans la définition de foreground. Votre contrat était fait d'une façon particulière. Des fois, foreground, on va juste dire c'est ce qui est créé, donc ça inclut tout, qui va avoir été créé, qui va être une question de faire, après ça, à prouver. Comme vous dites, des fois c'est balisé. C'est le foreground en matière de manufacturier, le composite d'A, B, C. Effectivement, il y a comme un résiduel. Si on découvre autre chose, ça va être à qui? Souvent, il y en a un qui va dire : bien, c'est juste une modification de mon background, donc ça m'appartient. L'autre va dire : bien, non, c'est du foreground, donc ça devrait être traité de la même façon. Puis là on est dans un débat d'experts. Je n'ai pas vu votre contrat, mais c'est sûr que généralement le foreground va être défini de façon plus générique. C'est la propriété intellectuelle qui va avoir été créée dans le cadre de l'interaction. Même ça, ce n'est pas parfait, parce qu'il y a toutes sortes d'autres problématiques. Au moins, il y a ce bout qui est adressé. Je ne sais pas, Frédéric, si t'as …
Frédéric Leduc
Moi, je l'ai vu adressé de toutes sortes de façons, différentes versions de legalese -désolé d'utiliser ce terme-là. J'ai vu vraiment plusieurs façons, soit vraiment très généralistes que le fruit de la collaboration c'est foreground. Puis là, c'est très, très large. Mais j'ai déjà vu encore plus détaillé que ça, dire : voici ce qu'on s'attend à avoir comme foreground; si ça sort de là… Je ne serais pas capable de tout répéter le langage exactement, mais il y a une entente qui doit être faite par la suite avec l'accord des deux parties pour gérer tout ce qui serait hors de cette entente-là. Ça fait que j'ai vu différentes bombes, mais c'est sûr qu'il faut le gérer. L'innovation, ça peut mener à des chemins très, très différents. C'est une compagnie qui travaillait sur du coating pour protéger des bateaux qui a finalement fait des senseurs de diagnostic. Ce n'est pas la même affaire, pas du tout. C'est ça que ça donne.
Marc Tremblay
Ça donne lieu à l'autre problématique qui arrive souvent, un deadlock, c'est-à-dire qu'il faut que tu renégocies. Supposons que le background IP, si tu vas dans ces ententes-là, vous allez donner une licence. Chaque partenaire va, par exemple, dans une collaboration à deux où chacun amène de la PI, le background IP va avoir une licence croisée des fois qui va être donnée, mais qui va être limitée avec un field of views qui va être pour une affaire limité. Puis là, vous trouvez une affaire qui déborde complètement de field of views, si vous avez besoin du background IP du copartenaire, vous n'êtes pas plus avancé. Donc, ça ramène tout le monde. On travaille avec plein de scénarios possibles, là, mais ca ramène qu'il y a une incertitude dans ces ententes-là que, quand on finit ailleurs que là où on pensait, ce qui arrive assez souvent, il y a une possibilité qu'on soit obligé de retourner à la table à dessin. Puis ça, on n'aime pas tout le temps ça.
Frédéric Leduc
Je reviens sur un point que Nicole a soulevé. C'est aussi une question de culture. Quand nos employés, dans les gens qui sont inclus dans le contrat s'aperçoivent que ça ne va pas dans la direction prévue du contrat, il devrait y avoir quelques petits drapeaux levés puis il devrait avoir un dialogue de fait entre les partenaires.
Marc Tremblay
Ça, c'est ce que les avocats se disent entre eux avant de parler au client. <rire>
Frédéric Leduc
Je pense que c'est aussi aux entreprises de donner un minimum de compréhension des ententes, évidemment pas toute l'entente au complet, mais les parties importantes pour qu'ils soient aux aguets de « oh, ç'a dévié en dehors de ce qu'on voulait rencontrer>.
Marc Tremblay
Ça, c'est la fameuse affaire de la page blanche, tu la mets à côté puis elle est un petit peu plus grise, puis à la fin, quand tu fais la recherche… J'imagine que comme chercheur tu pars au début de l'entente, tu sais exactement c'est où que vous voulez aller, mais après quatre ans, on a bifurqué tranquillement puis on ne s'en est pas aperçu, on n'est pas retourné lire la convention qu'on a rédigée il y a quatre ans.
Frédéric Leduc
Tout à fait. D'où un rappel régulier, annuel ou trimestriel. C'est peut-être une bonne chose à faire.
Naïm Alexandre Antaki
Merci énormément, Marc. Merci énormément, Frédéric, d'avoir parlé d'innovation ouverte. Je pense qu'il y a un fil conducteur. Puis merci pour la dernière question, parce que je pense que, comme on le disait dans le cas de la valorisation, tout ça c'est vivant. On ne peut pas tout prévoir dans les contrats, il faut choisir ce qui est le plus important, ce qui est le moins important. Pour les imprévus, des fois, la solution n'est pas dans le contrat. Mais, effectivement, en s'assurant d'avoir des réunions pas uniquement entre les développeurs, mais des fois aussi avec la personne qui a lu le contrat au moins une fois pour voir si on parle toujours de la même chose ou pas. Parce que c'est plus facile de négocier avant de savoir exactement si on a trouvé le nouveau jalon ou the new unicorn qu'après. Alors, merci encore d'avoir partagé vos points de vue par rapport à ceci. Je vous en prie. Si vous me permettez, je vais en profiter pour conclure ce forum.
Je vous remercie énormément, à toutes et à tous, d'avoir été ici en personne, aujourd'hui, d'avoir aussi été avec nous en virtuel, pour celles et ceux qui sont en virtuel. On a beaucoup apprécié les questions. Ça nous permet de continuer notre réflexion. Comme vous l'avez vu et vous le savez déjà, ce n'est pas quelque chose qui est facile. Il faut essayer d'être à la fine pointe de la technologie. C'est ce qu'on a essayé de voir avec la littératie numérique au début. Ensuite, il faut demeurer au courant des développements législatifs qu'on n'a pas le choix de traiter. C'est ce qu'on a vu dans la deuxième présentation. Tout ça, on ne le fait pas dans un vide. On le fait pour les affaires. C'est important. Puis j'apprécie beaucoup, encore une fois, Nicole. Merci tellement, puis la même chose pour Frédéric. Parce que, surtout pour les avocats, qu'ils soient à l'intérieur d'une entreprise ou à l'extérieur d'une entreprise, c'est important de se rappeler quelle est la réalité, qu'est-ce qui est vraiment important, parce que les clients sont des gens d'affaires et notre but est d'aider cette innovation, d'aider cette valorisation, de notre côté, tout en étant humbles. Comme je le dis toujours, les avocats ne sont pas là pour donner des solutions, mais ils sont là pour aider à peut-être mieux cerner des risques, puis peut-être trouver des solutions innovantes peut-être qu'on a vues de notre côté dans d'autres dossiers et que vous n'avez pas eu la chance de voir.
J'aimerais prendre une minute très importante pour remercier plusieurs personnes. Tout d'abord, Sonia, Juliane et Delphine, de notre département de Marketing. Si on est dans un si bel endroit aujourd'hui, si tout s'est passé de manière sans anicroche aujourd'hui, ce n'est surtout pas à cause de moi. C'est vraiment grâce à elles – et non pas à cause d' elles. Elles nous ont accompagnés tout au long de la préparation de cette conférence qu'on prépare depuis plusieurs mois, comme vous vous imaginez. Je veux aussi remercier chacune et chacun des conférenciers. Merci beaucoup d'avoir partagé vos commentaires. Évidemment, Pierre Pilote, qui est le chef de notre bureau à Montréal. Raphal, James. On a plusieurs personnes du bureau. Justine, qui nous a aidés pour la préparation d'une des présentations. Vous êtes ici aussi parce que vous vouliez entendre ces réalités. J'apprécie le fait que vous soyez ici.
La conversation n'est pas faite pour se terminer aujourd'hui, tout de suite. En fait, ce qu'on aimerait, c'est de continuer cette conversation. Je vous invite en personne à continuer de parler avec nous, parce que ça fait plaisir, après deux, trois ans, que ce soit par les réseaux sociaux ou en nous envoyant des courriels, si vous avez d'autres questions, puis aussi pour partager. Je sais, encore là, que Dominique et d'autres personnes – je m'excuse, Dominique, je suis un homme comme ça – qui pensent très à l'avant de ce qui peut se passer dans le futur, vraiment côté stratégie d'affaires. Donc, on apprend de vous aussi, et par vos questions on apprend.