Cliquez sur les liens ci-dessous pour accéder à la section voulue :
Contrats relatifs aux technologies de l’information au Canada
Les droits de propriété intellectuelle en technologies de l’information
Questions de droit criminel relatives aux technologies de l’information
- Responsabilité des fournisseurs de services Internet (« FSI »)
- Intelligence artificielle
- Augmentation des cyberrisques
Au Canada, le droit des technologies de l’information couvre une vaste gamme de règles et de pratiques juridiques, nombre de celles‑ci faisant l’objet d’autres chapitres du présent guide; ces règles et pratiques touchent des activités et des opérations visant des logiciels, du matériel informatique, des bases de données, des communications électroniques, Internet de même que d’autres technologies de l’information.
Ce chapitre résume quelques-unes des principales questions juridiques à prendre en compte, en matière de droit des technologies de l’information, lorsqu’on veut faire affaire au Canada.
1. Contrats relatifs aux technologies de l’information au Canada
1.1 - Quelles sont les modalités généralement négociées?
Au Canada, les contrats relatifs aux technologies de l’information précisent habituellement les obligations de chaque partie, notamment les obligations de livraison, de rendement, de paiement et de confidentialité, les droits de propriété et de licence, y compris le champ d’utilisation, les essais et procédures de réception, l’entiercement de codes sources, s’il y a lieu, les déclarations, les garanties, les indemnités, les limitations de responsabilité et les dénis de responsabilité. Les clauses de déni et de limitations de responsabilité dans les contrats de technologies de l’information peuvent aider à minimiser les risques. Cependant, certaines particularités du droit canadien peuvent rendre ces clauses inexécutoires, d’où la nécessité d’une rédaction et d’un examen minutieux par un conseiller juridique canadien.
1.2 - Cessions et licences
Au Canada, les cessions ou les licences de droits de propriété intellectuelle devraient être écrites et consignées à l’OPIC. Les droits moraux d’un auteur, qui existent aux termes de la Loi sur le droit d’auteur, sont incessibles, mais sont susceptibles de renonciation. Voir le chapitre X, « Propriété intellectuelle ».
1.2.1 - Les licences de logiciels peuvent-elles être cédées ou faire l’objet d’une sous-licence?
Les tribunaux canadiens peuvent considérer qu’une licence de logiciel est « personnelle » et qu’elle ne peut donc être cédée ou faire l’objet d’une sous-licence en faveur d’une tierce partie, à moins que cette licence ne contienne la permission expresse du concédant de la céder ou de la concéder ainsi par sous-licence. En outre, des restrictions quant à la confidentialité et à la portée de la licence peuvent également toucher la transférabilité d’un contrat de licence. Il ne faut pas négliger ce point important lors de la vérification diligente dans le cadre de toute acquisition commerciale canadienne.
1.2.2 - Les licences sous emballage scellé, les concessions de licence par clic et les contrats de licence en ligne sont-ils exécutoires au Canada?
Les tribunaux canadiens ont conféré un caractère exécutoire mixte aux programmes d’ordinateur de série assortis d’une licence sous emballage scellé, d’une concession de licence par clic et d’un contrat de licence en ligne, en raison de l’exigence en droit canadien selon laquelle deux parties doivent consentir à un contrat pour être liées par celui‑ci. Le caractère exécutoire de ces contrats a été reconnu lorsque l’acquéreur a pris connaissance de leurs modalités au moment de la vente ou lorsque le propriétaire du site Web a fourni un avis adéquat des modalités avant que les parties concluent leur contrat. Ce caractère exécutoire a également été reconnu lorsqu’un comportement commercial établi antérieur ou subséquent de l’utilisateur a été prouvé.
1.3 - Application des lois sur la vente de produits
1.3.1 - Les achats de technologies de l’information sont-ils des ventes de produits?
Si une opération d’acquisition de technologies de l’information relève des lois provinciales sur la vente de produits, certains droits et certaines obligations en découleront. Les tribunaux canadiens ont tendance à assimiler l’acquisition de systèmes informatiques à la vente de produits, alors que les opérations touchant uniquement le service, l’entretien, la formation personnalisée et la programmation sont habituellement jugées accessoires à la vente de produits et ne sont donc pas assujetties aux lois sur la vente de produits. Un logiciel préemballé fourni en vertu d’un contrat de licence n’est pas assujetti à ces lois puisqu’aucune propriété du logiciel n’est transférée au titulaire d’une licence. Un logiciel fourni dans le cadre d’une plus vaste opération qui comporte la vente de produits (par exemple de matériel informatique) fait exception à la règle.
1.4 - Protection du consommateur
1.4.1 - Comment les lois sur la protection du consommateur touchent‑elles les activités sur Internet et le commerce électronique?
Certaines provinces ont mis en place une loi sur la protection du consommateur qui prévoit diverses exigences en matière de contrats de vente par Internet, notamment la divulgation de renseignements pertinents et la livraison d’une copie du contrat au consommateur. Le gouvernement fédéral a également publié un code de conduite à l’intention des entreprises se livrant à des opérations de commerce électronique avec les consommateurs. Voir le chapitre IV, « Réglementation en matière de commerce et d’investissement ».
2. Les droits de propriété intellectuelle en technologies de l’information
2.1 - Droit d’auteur
2.1.1 - Quelles sont les technologies de l’information protégées par le droit d’auteur?
Le droit d’auteur constitue actuellement la source principale de protection des programmes d’ordinateur, des manuels d’utilisation, des bases de données, des sites Web et d’autres œuvres liées aux technologies de l’information au Canada, pourvu qu’ils respectent les exigences de la Loi sur le droit d’auteur fédérale. Seule une œuvre « originale » peut faire l’objet d’un droit d’auteur, c’est-à-dire qu’elle doit avoir été créée par l’auteur dont le talent et le jugement ont mené à cette création. Par ailleurs, pour qu’une œuvre bénéficie de la protection du droit d’auteur au Canada, elle doit être présentée sous une forme fixe. Cette exigence est facile à satisfaire dans le domaine des technologies de l’information. En date du 30 décembre 2022, la durée de la protection du droit d’auteur au Canada a été prolongée à 70 ans. Cette prolongation de 20 ans n’est pas rétroactive.
La Loi sur le droit d’auteur protège les programmes d’ordinateur à titre d’œuvres littéraires. Les tribunaux canadiens reconnaissent que pour écrire un programme d’ordinateur suffisamment de talent et de jugement sont nécessaires; l’écriture de tels programmes répond donc habituellement à l’exigence d’originalité minimale permettant d’obtenir la protection de la Loi sur le droit d’auteur. La mise à jour et l’enrichissement d’un logiciel font l’objet d’une protection du droit d’auteur indépendante. Le fait qu’un programme d’ordinateur soit créé à l’aide de techniques de programmation bien connues ou qu’il contienne des éléments dérivés ne l’empêche pas de jouir de la protection du droit d’auteur s’il s’agit d’un programme original dans son ensemble.
La conception et les plans du matériel informatique bénéficient également de la protection du droit d’auteur au Canada. De plus, tous les codes de logiciel stockés sur le matériel informatique peuvent être visés par le droit d’auteur. Les puces informatiques peuvent bénéficier de la protection visant la topographie de circuits intégrés. Voir le paragraphe 2.2 du chapitre XI, « Topographies de circuits intégrés ».
De plus, les tribunaux canadiens considèrent que l’apparence et la mise en page d’un site Web sont protégées par le droit d’auteur, comme le sont les éléments sous-jacents qui pourraient par ailleurs bénéficier de cette protection, comme les œuvres littéraires et musicales.
Une fois que certaines exigences juridiques sont satisfaites, le titulaire du droit d’auteur obtient divers droits, dont ceux de reproduire, d’exécuter et de présenter l’œuvre visée par le droit d’auteur, ainsi que le droit d’autoriser l’un ou l’autre de ces actes. Tout acte consistant à transmettre une œuvre en ligne, notamment en donnant la possibilité de la télécharger ou de la lire en continu, sans être autorisé à le faire, ainsi que tout téléchargement ou lecture en continu non autorisé de l’œuvre qui en résulte, sont considérés comme une violation du droit d’auteur.
2.1.2 - À qui appartient le droit d’auteur en technologies de l’information?
Comme il est indiqué au chapitre X, « Propriété intellectuelle », l’auteur d’une œuvre liée aux technologies de l’information est généralement considéré comme le premier titulaire du droit d’auteur sur celle‑ci. Il existe une exception à cette règle : lorsque l’auteur est un employé et que l’œuvre est créée dans le cadre de ses fonctions (en l’absence d’entente stipulant le contraire, le premier titulaire du droit d’auteur est l’employeur et non l’employé). Lorsqu’il s’agit d’une œuvre créée par des tiers non-employés, un contrat de cession écrit est essentiel.
Certaines discussions sont en cours afin de déterminer si un système d’intelligence artificielle (« IA ») peut être considéré comme un auteur ou le premier propriétaire d’une œuvre. Le gouvernement du Canada a notamment publié un document de consultation en juillet 2021, dans lequel il traite de la question et sollicite des commentaires. Bien que la jurisprudence canadienne sur le droit d’auteur laisse entendre qu’un auteur doit être une personne physique, l’Office de la propriété intellectuelle du Canada a pour la toute première fois enregistré un droit d’auteur sur une œuvre artistique créée en collaboration, dont l’un des deux coauteurs était un programme d’IA. Notons, cependant, que le propriétaire inscrit de l’œuvre était une personne physique. Les résultats de la consultation publique menée par le gouvernement ne sont pas connus au moment de rédiger les présentes.
2.1.3 - Les bases de données peuvent-elles être protégées par le droit d’auteur? Quels sont les critères à remplir?
Aux termes de la Loi sur le droit d’auteur, les bases de données sont protégées à titre de « compilations ». La Cour suprême du Canada a statué que, pour recevoir la protection du droit d’auteur, une base de données doit être créée de manière indépendante par l’auteur et la sélection et la disposition des éléments qui la composent doivent provenir de l’exercice du talent et du jugement de l’auteur. Cet exercice ne doit pas être négligeable au point qu’on puisse le qualifier d’entreprise purement mécanique. Cependant, la « créativité », au sens de caractère nouveau ou unique, n’est pas nécessaire. En outre, le créateur de la base de données acquiert un droit d’auteur seulement à l’égard de la base de données, et non des composants individuels de celle‑ci.
2.1.4 - Quelles technologies de l’information ne sont pas protégées par le droit d’auteur?
La législation canadienne en matière de droit d’auteur ne protège pas les calculs mathématiques, les algorithmes, les formules, les idées, les méthodes ou les procédés sous‑jacents contenus dans les technologies de l’information, mais seulement leur expression.
2.2 - Topographies de circuits intégrés
Les topographies de circuits intégrés (ou les puces informatiques) sont protégées au Canada en vertu de la Loi sur les topographies de circuits intégrés. Voir le chapitre X, « Propriété intellectuelle ».
2.3 - Secrets commerciaux
Les technologies de l’information, y compris une formule, un modèle, une compilation, un programme, une méthode, une technique ou un procédé, peuvent également être protégées aux termes de lois sur les secrets commerciaux lorsqu’il existe une obligation de confidentialité en vertu du droit ou d’une entente (l’obligation doit être raisonnable pour être exécutoire). Voir le chapitre X, « Propriété intellectuelle ».
2.4 - Marques de commerce
Les marques de commerce sont utilisées pour protéger la survaleur associée aux noms, slogans, symboles et autres marques utilisés par les entreprises dans le domaine des technologies de l’information. Les droits rattachés à une marque de commerce découlent de la Loi sur les marques de commerce fédérale et de la common law. Des modifications importantes à la Loi sur les marques de commerce ont été introduites en 2014. Quelques modifications mineures sont entrées en vigueur en 2015 et les plus importantes, en juin 2019. Ces modifications visent entre autres l’élimination de l’obligation selon laquelle une marque de commerce doit être utilisée au Canada ou à l’étranger avant d’être enregistrée. La protection d’une marque de commerce se limite aux produits ou services qui sont énumérés dans la demande s’y rapportant; il est donc important de prendre en considération les fins pour lesquelles l’entreprise compte utiliser la marque. Cela inclut les logiciels, les applications et les biens virtuels. Voir le chapitre X, « Propriété intellectuelle ».
2.4.1 - Comment protège-t-on les noms de domaine?
Les noms de domaine peuvent bénéficier des droits rattachés aux marques de commerce s’ils répondent aux exigences de la loi ou de la common law visant les marques de commerce. Ainsi, il est possible d’enregistrer un nom de domaine en tant que mot servant de marque ou marque de commerce en caractères standard. Au Canada, les propriétaires de marques de commerce peuvent obtenir réparation auprès des cybersquatteurs aux termes des lois sur les marques de commerce et de la procédure de règlement des différends de l’Autorité canadienne pour les enregistrements Internet, lorsque le différend vise un nom de domaine « .ca ». Dans le cas des noms de domaine génériques, les règles édictées par la Société pour l’attribution des noms de domaine et des numéros sur Internet s’appliquent.
2.4.2 - Quels risques présentent les métabalises?
Des tribunaux canadiens ont jugé que l’usage de métabalises, par exemple des balises ou mots-clés dans le codage d’un site Web utilisés par des moteurs de recherche pour classer les pages Web, qui sont similaires aux marques de commerce d’une autre personne au point de créer de la confusion constitue une violation de marque de commerce.
Pour ce qui est de la publicité par mot-clé, notamment à l’aide d’AdWords de Google, la Cour supérieure du Québec et la Cour d’appel de la Colombie-Britannique ont déterminé que le seul fait d’enchérir sur un mot-clé ne constitue pas une violation de la Loi sur les marques de commerce. Cette pratique est généralement considérée comme légitime et offre un plus grand choix aux consommateurs plutôt que de créer la confusion. Toutefois, les liens commandités affichés sur les pages de résultats de recherche qui résultent de la publicité par mot-clé peuvent violer la Loi sur les marques de commerce si ces liens créent de la confusion avec les marques de commerce d’une autre personne.
2.5 - Brevets
Au Canada, l’octroi d’un brevet pour une invention en technologies de l’information comporte des exigences, prévues par la Loi sur les brevets fédérale, auxquelles il faut répondre. Le 22 juin 2023, la Loi portant exécution de certaines dispositions du budget déposé au Parlement le 28 mars 2023 (soit le projet de loi C-47) a reçu la sanction royale. Cette loi vient instaurer au Canada un système général d’ajustement de la durée des brevets (« ADB »). Ce cadre d’ADB vise à dédommager les brevetés pour tout retard déraisonnable dans la délivrance d’un brevet. Voir le chapitre X, « Propriété intellectuelle », pour en savoir davantage.
2.5.1 - Les logiciels et autres technologies de l’information sont-ils brevetables au Canada?
L’Office de la propriété intellectuelle du Canada octroie régulièrement des brevets sur des inventions logicielles, particulièrement des méthodes appliquées à l’aide d’instructions exécutées par ordinateur qui interagissent avec certains éléments du matériel informatique ou qui visent les systèmes, processus et méthodes utilisés pour trouver une solution à un problème technique précis, plutôt que sur l’algorithme en soi. En outre, la Cour d’appel fédérale du Canada a statué qu’une méthode en ligne visant à faire des affaires comporte un objet admissible à un brevet. Cependant, les programmes d’ordinateur ne sont pas brevetables au Canada s’ils ne servent qu’à réaliser une série de calculs mathématiques ou s’ils sont liés à une idée abstraite.
2.5.2 - Un système d’IA peut-il être considéré comme un inventeur en vertu de la législation canadienne sur les brevets?
Le Bureau des brevets du Canada a reçu une demande de brevets dans laquelle on désignait un système d’IA en tant qu’inventeur. Le demandeur, Stephen L. Thaler, avait désigné la machine, connue sous le nom de DABUS et décrite comme une « machine à créativité » (creativity machine), comme l’inventeur dans une demande en 2019. Une lettre de non-conformité avait alors été envoyée au demandeur lui précisant qu’il ne semblait pas possible qu’une machine ait des droits en vertu de la législation canadienne ou qu’elle ait la capacité de transférer de tels droits à un humain. Le Bureau des brevets du Canada n’a pas encore pris de décision définitive, mais la mention « inconnu » a depuis été inscrite à titre d’« inventeur » dans la demande. De nombreuses autres demandes de brevet désignant DABUS en tant qu’inventeur ont été soumises, puis rejetées, dans d’autres territoires, notamment en Australie, aux États-Unis, au Royaume-Uni, ainsi que par les chambres de recours de l’Office européen des brevets.
3. Questions de droit criminel relatives aux technologies de l’information
3.1 - Infractions en vertu du Code criminel
Au Canada, les infractions en vertu du Code criminel en lien directement avec les technologies de l’information comprennent notamment :
- voler des données informatiques;
- escroquer le public de tout bien, d’argent ou de tout titre de valeur par supercherie, mensonge ou autre moyen frauduleux à l’aide d’un ordinateur;
- utiliser un ordinateur d’une manière non autorisée ou posséder un outil à cette fin (par exemple le piratage);
- commettre un méfait relatif aux données informatiques (par exemple la distribution de virus informatiques);
- se livrer au trafic de mots de passe non autorisés.
Il existe de nombreuses autres infractions criminelles aux termes du Code criminel et de la Loi sur le droit d’auteur qui peuvent toucher indirectement les technologies de l’information.
3.2 - Accès légal
En général, l’accès légal renvoie aux interceptions de communications et à la saisie et perquisition de données qui peuvent être effectuées seulement par les forces de l’ordre en vertu d’une autorisation légale, notamment aux termes du Code criminel. Des changements importants ont été apportés aux lois en matière d’accès légal en 2015. Certaines dispositions du Code criminel liées aux interceptions modifiées accordent aux responsables de l’application de la loi de nouveaux pouvoirs visant à recueillir des preuves électroniques dans le cadre d’une enquête.
Plus précisément, ces modifications ont introduit un ordre de préservation et une ordonnance de préservation qui permettent aux agents chargés de l’application de la loi de demander ou d’ordonner à un tiers qui a en sa possession ou qui contrôle des données informatiques, y compris un fournisseur de services Internet, de préserver des données informatiques de 21 à 90 jours. De plus, de nouvelles ordonnances de communication visant les données de transmission et de localisation antérieures ont été introduites, ainsi que des exigences visant les données de transmission et de localisation en temps réel, qui permettent aux agents chargés de l’application de la loi de retracer le parcours Web d’une personne physique et d’activer à distance un dispositif de localisation existant (par exemple un GPS de véhicule). Il est important de noter que dans certains cas, les ordres, ordonnances ou mandats mis en place par ces modifications devront remplir le seuil d’existence de motifs raisonnables de soupçonner plutôt que celui d’existence de motifs raisonnables de croire, qui constitue un seuil plus élevé.
3.3 - Attentes raisonnables en matière de vie privée en ce qui concerne les adresse IP
L’article 8 de la Charte canadienne des droits et des libertés veille à ce que chacun ait droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, établissant ainsi une attente raisonnable en matière de vie privée. Au fil du temps, la portée de ce droit s’est étendue à diverses technologies, notamment aux ordinateurs personnels et aux renseignements sur les abonnés qui sont rattachés aux adresses IP attribuées à des particuliers. En Alberta, cependant, ce droit ne s’applique plus aux adresses IP. Étant donné qu’une adresse IP est un identifiant numérique qui ne fournit aucune information biographique ou confidentielle de base, celle-ci ne devrait susciter en tant que telle aucune attente raisonnable de confidentialité. Les policiers en Alberta peuvent donc maintenant obtenir des adresses IP sans autorisation judiciaire, mais doivent néanmoins obtenir un mandat de perquisition afin de recueillir des renseignements confidentiels auprès de fournisseurs d’accès à Internet.
4. Contrôle cryptographique
4.1 - Existe-t-il des restrictions relatives au cryptage au Canada?
Sauf en ce qui a trait au contrôle des exportations, les entreprises et les consommateurs au Canada sont libres d’élaborer, d’importer et d’utiliser toute technologie de cryptage qu’ils souhaitent, dans la mesure où ils respectent les règles juridiques relatives à la propriété intellectuelle, à la confidentialité, de même que le droit criminel applicables.
5. Protection de la vie privée et des données
Comme il en est fait mention dans le chapitre IX, « Protection de la vie privée », la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») fédérale et les lois provinciales sur la protection de la vie privée applicables au secteur privé dans certaines provinces imposent des conditions sur la collecte, l’utilisation et la divulgation de renseignements personnels par des organismes dans le cadre d’activités commerciales.
Ces lois contiennent des exigences relatives à la protection des renseignements personnels soumis au contrôle d’un organisme, dont des mesures de sécurité visant à prévenir l’accès, la collecte, l’utilisation, la divulgation, la modification, la destruction et d’autres gestes semblables non autorisés. Elles comportent aussi des exigences en cas d’atteinte à la protection des données. Les entreprises qui recueillent, utilisent ou divulguent des renseignements personnels doivent se conformer à la LPRPDE et/ou à la loi provinciale sur la protection de la vie privée applicable.
Le gouvernement fédéral a adopté en juin 2015 la Loi sur la protection des renseignements personnels numériques, qui prévoit pour les sociétés du secteur privé des obligations visant à assurer la protection des renseignements personnels des consommateurs en ligne. Toutes les dispositions de la Loi sur la protection des renseignements personnels numériques sont maintenant en vigueur, y compris celles qui énoncent les exigences de notification et de déclaration des atteintes à la protection des données.
Aux obligations qui incombaient déjà aux sociétés du secteur privé viendraient s’ajouter les exigences prévues au projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, déposé le 16 juin 2022 par le gouvernement fédéral (le « projet de loi C-27 »). Ce projet de loi a franchi l’étape de la deuxième lecture le 24 avril 2023. Le nouveau cadre législatif qui y est présenté régirait les pratiques utilisées dans le secteur privé pour protéger les renseignements personnels et, si le projet de loi est adopté, édicterait trois nouvelles lois. Plus précisément, la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») abrogerait et remplacerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le titre de la partie 2 de la LPRPDE serait remplacé et deviendrait la Loi prévoyant l’utilisation de moyens électroniques pour communiquer ou enregistrer de l’information et des transactions; dont le titre abrégé serait, la Loi sur les documents électroniques. Enfin, la Loi sur le Tribunal de la protection des renseignements personnels et des données établirait un tribunal administratif responsable d’examiner certaines décisions rendues par le commissaire à la protection de la vie privée du Canada et de rendre des ordonnances en cas d’infractions à la LPVPC.
Le 22 septembre 2021, le gouvernement du Québec a adopté le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ce projet de loi apporte des modifications importantes aux exigences régissant l’utilisation et la protection des renseignements personnels en vertu de diverses lois provinciales du Québec (y compris les lois distinctes qui s’appliquent aux entités du secteur privé et aux entités du secteur public). Il établit de nouvelles obligations qui incomberont aux entreprises en exploitation au Québec; certaines d’entre elles sont entrées en vigueur en septembre 2022, tandis que les autres prendront effet à différents moments en 2023 et en 2024. Notamment, les entités publiques et privées sont tenues désormais de signaler les atteintes à la protection des données et de nommer un responsable de la protection de la vie privée au sein de leur organisation. Les amendes pour non-conformité à la législation sur la protection de la vie privée dans les secteurs public et privé se sont également accrues à compter de septembre 2022. Pour de plus amples renseignements sur ces exigences, voir le chapitre IX, « Protection de la vie privée ».
6. Preuve électronique
6.1 - Une preuve électronique est-elle admissible devant les tribunaux?
Au Canada, une preuve électronique est admissible devant les tribunaux si elle satisfait aux règles de la common law et des lois applicables, notamment les lois fédérales et provinciales sur la preuve et les Règles de procédure civile. Ces dernières comprennent : (i) l’authentification par la partie soumettant la preuve; (ii) l’intégrité du système utilisé et de la méthode de tenue de documents, d’entreposage de renseignements et de récupération de ceux‑ci; (iii) l’originalité; et (iv) la fiabilité.
Les tribunaux canadiens acceptent la preuve électronique lorsqu’elle représente avec précision et justesse les renseignements qu’elle vise à communiquer. Enfin, les tribunaux canadiens ont permis l’utilisation d’Internet devant les tribunaux et accepté le contenu de sites Web.
7. Contrats électroniques
7.1 - Les signatures et les documents électroniques sont-ils valides au Canada?
Au Canada, tant sous le régime fédéral que provincial ou territorial, selon une série de lois relatives au commerce électronique, la plupart des types de signatures et de documents électroniques qui répondent aux exigences énoncées dans les lois et règlements applicables sont reconnus par la loi, à l’exception notamment des testaments, des effets négociables et des transferts de propriété.
Il est important de vérifier la validité de ces documents, car il peut y avoir des exigences différentes d’un territoire à l’autre. Entre autres, la Colombie-Britannique est la première province à autoriser les testaments électroniques.
Il y a lieu également de prêter attention à la conduite des parties, en cherchant à établir si l’intention d’être liée par une entente peut être déduite par une personne raisonnable. Cela comprend les interactions informelles pouvant être suffisantes pour indiquer l’acceptation d’une entente. C’est ce qui s’est produit dans le cadre d’une affaire entendue par un tribunal de première instance : l’émoji d’un pouce levé ayant suffi pour faire appliquer l’entente contestée.
8. Questions relatives à la langue française
8.1 - Les sites Web et les contrats relatifs aux technologies de l’information doivent-ils être traduits en français?
Dans la province de Québec, il existe des lois relatives à la langue qui peuvent toucher les contrats électroniques et les sites Web, en exigeant qu’une version française soit rendue disponible lorsque les parties ou opérations en cause ont un lien avec le Québec, notamment un bureau ou des employés dans la province. De plus, la Charte de la langue française prévoit des obligations selon lesquelles diverses communications, y compris les publicités commerciales, doivent être en français. Elle impose également des exigences particulières à l’égard de certains contrats d’adhésion, lesquels contrats et leurs documents connexes (tels que les renseignements figurant sur un site Web transactionnel, dont les modalités de service) doivent d’abord être fournis à l’adhérent en français. Le non-respect de ces exigences peut entrainer la nullité du contrat ou rendre ce dernier non opposable à l’adhérent.
8.2 - Les logiciels doivent-ils être traduits en français?
Aux termes des lois linguistiques du Québec, tout logiciel vendu au Québec doit être offert en français, à moins qu’aucune version française n’existe. Un logiciel peut être fourni dans d’autres langues que le français, pourvu que la version française, si elle existe, puisse être obtenue à des conditions au moins aussi favorables que les versions dans d’autres langues et qu’elle présente des caractéristiques techniques au moins équivalentes. En outre, le logiciel doit répondre aux exigences relatives à l’emballage et à l’étiquetage en français.
9. La compétence et Internet
9.1 - Où sont formés les contrats électroniques?
La question relative au lieu de formation d’un contrat électronique n’est pas encore réglée de façon concluante au Canada et la réponse pourrait différer d’une province à l’autre. Contrairement à la télécopie, que les tribunaux canadiens ont déclarée « instantanée » dans certains cas, le contrat étant par conséquent formé au moment et à l’endroit où l’initiateur reçoit un avis d’acceptation, il n’est pas clair que les communications électroniques, comme les courriels ou les contrats formés sur un site Web, sont instantanées. Les lois canadiennes régissant le commerce électronique (voir le paragraphe 7.1 du chapitre XI, « Les signatures et les documents électroniques sont‑ils valides au Canada? ») prévoient certaines lignes directrices quant à l’endroit et au moment de la réception réputée d’un document électronique. Cependant, la simple mise en ligne de renseignements sur un site Web peut ne pas suffire lorsqu’il s’agit de fournir ce renseignement à une autre personne. De même, l’échange de courriels ayant pour objet un contrat ou une relation contractuelle pourrait ne pas suffire à former un contrat.
9.2 - Les transmissions Internet et les sites Web étrangers peuvent-ils être assujettis aux lois canadiennes?
Un tribunal peut exercer sa compétence au Canada s’il existe un « lien réel et substantiel » entre l’objet du litige et le ressort. De manière générale, les tribunaux ont constaté que plus un site Web ou l’entreprise du propriétaire de ce site est actif au Canada, ou si le site Web ou l’entreprise vise des personnes au Canada, plus il sera assujetti aux lois canadiennes. Le fait qu’un site Web ou son serveur puissent se trouver à l’étranger ne soustrait pas le propriétaire du site Web aux incidences juridiques canadiennes.
La Cour suprême du Canada a récemment confirmé une injonction accordée à l’échelle mondiale contre un fournisseur de service de recherche de premier plan, ce qui démontre que les tribunaux canadiens peuvent étendre leur portée et soumettre des sites Web mondiaux aux lois canadiennes.
La Cour suprême du Canada a également appliqué ce critère de « lien réel et substantiel » afin de déterminer la compétence relativement aux questions de droit d’auteur en ligne. L’application de la Loi sur le droit d’auteur dépend de l’existence de ce lien entre la transmission Internet et le Canada. Ce critère prend en considération les faits de chaque affaire ainsi que les liens existants pertinents, notamment l’emplacement d’un fournisseur de contenu, d’un serveur hôte, des intermédiaires et de l’utilisateur final.
9.3 - Les parties à un contrat en ligne peuvent-elles choisir les lois et le tribunal applicables?
Sous réserve de certaines exceptions (par exemple la protection du consommateur), les parties à un contrat en ligne au Canada ont le droit de choisir les lois applicables et le tribunal exclusif pour entendre les différends; elles ont également le droit d’exclure l’application des principes de conflit de lois. Cependant, les tribunaux canadiens ont statué que cela ne peut servir à priver de sa compétence une province liée de façon importante. La Cour suprême du Canada a également récemment déclaré que, sans égard à la validité d’une clause concernant le droit applicable, les tribunaux peuvent déclarer cette clause non exécutoire pour des raisons de politique; par exemple lorsqu’il est clairement dans l’intérêt du public qu’une cause soit entendue au Canada ou en cas d’inégalité flagrante du pouvoir de négociation des parties à un contrat.
10. Réglementation Internet
10.1 - Les activités liées à Internet sont-elles réglementées au Canada?
Le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») est l’organisme responsable de la réglementation de la radiodiffusion et des télécommunications au Canada. Il y réglemente notamment certains types d’entreprises et d’activités internet. Par exemple, si une entreprise Internet est admissible à titre de « fournisseur de services de télécommunication », c’est-à-dire qu’elle offre des services de télécommunication vocale ou de transmission de données, aux termes de la Loi sur les télécommunications, elle peut être assujettie à la réglementation sur les télécommunications, ce qui pourrait avoir des répercussions sur ses activités, sa propriété, ses installations, ses taux et ses services. Le CRTC réglemente également la diffusion de certains messages électroniques commerciaux (voir ci-après).
En outre, le CRTC s’est vu octroyer des pouvoirs expressément destinés à la réglementation de certains contenus audio et audiovisuels diffusés sur Internet au Canada. En 2023, la Loi sur la diffusion continue en ligne (le « projet de loi C-11 ») a modifié la Loi sur la radiodiffusion (Canada) en introduisant des dispositions modernisées visant la radiodiffusion sur Internet, y compris plusieurs services de diffusion vidéo et audio en continu sur demande et plateformes de médias sociaux. Ces modifications ont pour but de réduire l’asymétrie réglementaire en accordant expressément des pouvoirs au CRTC pour assujettir les radiodiffuseurs en ligne aux mêmes types d’exigences que ceux qui sont imposés aux radiodiffuseurs traditionnels. Auparavant, les radiodiffuseurs en ligne étaient exemptés de la réglementation du CRTC. Bon nombre de ces exigences font actuellement l’objet de consultations et n’ont pas encore été fixées. Cependant, le CRTC peut exiger que les radiodiffuseurs en ligne présentent du contenu canadien ou engagent des dépenses, ou fassent des dons, pour soutenir le contenu canadien et autochtone. Le projet de loi C-11 a également élargi les mesures que peut prendre le CRTC pour faire appliquer la loi, y compris l’imposition de sanctions administratives pécuniaires.
Il faut noter que, contrairement aux services de télévision traditionnelle, aucune licence de droit d’auteur obligatoire n’est actuellement disponible pour la retransmission de radiodiffusion en direct sur Internet. Ainsi, les retransmetteurs doivent négocier les licences de droit d’auteur avec l’ensemble des détenteurs de droits pour la radiodiffusion d’une œuvre. Il n’est cependant pas rare que des tiers diffusent illégalement certaines émissions sans le consentement du titulaire du droit d’auteur, ce qui oblige ces titulaires à demander des injonctions. Les demandes d’injonction pour ce genre de situation se sont multipliées à la suite de l’affaire Bell Media Inc. c. GoldTV.Biz tranchée en 2019. La Cour fédérale du Canada a d’ailleurs rendu une toute première ordonnance dans laquelle elle exigeait à des fournisseurs de services Internet de bloquer des adresses IP en temps réel. Reconnue comme une injonction de blocage dynamique de sites Web, cette ordonnance permet à des fournisseurs de services Internet de suivre et de bloquer en permanence l’accès au contenu qui était diffusé illégalement, même si les adresses IP changent. Dans cette affaire, l’injonction visait la diffusion en direct de parties de hockey.
Autre fait notable de 2023 : la Loi sur les nouvelles en ligne (le « projet de loi C-18 ») a reçu la sanction royale. Le projet de loi C-18 prévoit que certaines plateformes numériques de grande taille devraient participer à un processus de négociation avec certaines entreprises de nouvelles, ou certains groupes de telles entreprises, relativement à la diffusion de contenu de nouvelles en ligne. Le processus de négociation consisterait d’abord en une période de négociation obligatoire, suivie de séances de médiation si la période de négociation ne menait pas à un accord entre les parties. Enfin, si les séances de médiation ne donnaient pas lieu à un accord, les parties entameraient un arbitrage sur l’offre finale. Le projet de loi C-18 a suscité une attention considérable et ses répercussions sur le secteur canadien des nouvelles sont en évolution continue.
De plus, certaines obligations doivent être remplies en vertu des lois sur la protection du consommateur pour faire affaire avec des consommateurs sur Internet. Voir le paragraphe 1.4 du chapitre XI, « Protection du consommateur » et le paragraphe 9.3 du chapitre XI, « Les parties à un contrat en ligne peuvent‑elles choisir les lois et le tribunal applicables? ».
Par ailleurs, de nombreuses exigences en matière de réglementation, d’octroi de licence, d’enregistrement et de permis sont imposées au Canada par les bourses, les commissions sur les valeurs mobilières, le Bureau du surintendant des institutions financières, les commissions sur la santé et la sécurité publiques, les commissions sur la sécurité des transports, les conseils sur la concurrence, les associations sectorielles ainsi que divers autres organismes et agences qui réglementent les différentes entreprises et activités au Canada.
10.2 - Quelles règles s’appliquent à la publicité en ligne?
Les règles de base qui régissent les pratiques traditionnelles de publicité et de marketing, dont la Loi sur la concurrence et le Code criminel, s’appliquent à toutes les formes de publicité et de marketing sur Internet, ce qui comprend la documentation trompeuse concernant les prix, les déclarations trompeuses sur un site Web et un babillard électronique ou dans les courriels, les groupes de discussion ou les salons de clavardage. Le Bureau de la concurrence a préparé des lignes directrices qui traitent de certaines méthodes d’application de ces règles traditionnelles dans un contexte en ligne, notamment l’utilisation d’avertissements et d’hyperliens, de même que les renseignements qui devraient être disponibles en ligne pour annoncer un produit, un service ou une entreprise.
La Loi canadienne anti-pourriel (« LCAP ») introduit de nouvelles dispositions civiles et criminelles dans la Loi sur la concurrence, qui réglementent les déclarations fausses ou trompeuses ainsi que les pratiques commerciales trompeuses sur le marché électronique. Voir le paragraphe 10.3 du chapitre XI, « Les pourriels sont‑ils illégaux au Canada? », pour obtenir plus de renseignements sur la LCAP et, pour la réglementation en matière de publicité, consulter le chapitre IV, « Réglementation en matière de commerce et d’investissement ».
10.3 - Les pourriels sont-ils illégaux au Canada?
Conçue comme l’un des régimes anti-pourriel les plus rigoureux du monde, la LCAP a une incidence considérable sur les pratiques de communication électronique des sociétés canadiennes et étrangères qui envoient des MEC à des destinataires canadiens. Beaucoup de dispositions de la LCAP, dont celles visant les MEC, sont entrées en vigueur le 1er juillet 2014, tandis que les dispositions qui réglementent l’installation non sollicitée de programmes d’ordinateur sont entrées en vigueur le 15 janvier 2015. Cette loi restreint également d’autres activités, notamment la possibilité pour les entreprises de modifier les données de transmission contenues dans une communication électronique.
Sous réserve de certaines exceptions comprises dans la loi et les règlements connexes, la LCAP interdit l’envoi de MEC à une adresse électronique à moins que 1) la personne à qui le message est envoyé ait consenti à le recevoir et 2) le message respecte les exigences réglementaires quant à sa forme et à son contenu. Parmi les autres exigences, la LCAP prévoit qu’un consentement exprès doit être obtenu au préalable, c’est-à-dire que le consentement explicite et positif du destinataire d’un MEC doit être obtenu avant l’envoi. Cela diffère des pratiques courantes du secteur qui font appel à un mécanisme de retrait du consentement ou de consentement négatif, comme une case de consentement cochée d’avance que le consommateur doit décocher pour indiquer qu’il ne souhaite pas recevoir de messages commerciaux.
En ce qui a trait à l’installation non sollicitée de programmes d’ordinateur, sous réserve de certaines exceptions, la LCAP interdit d’installer ou de faire installer un programme d’ordinateur (notamment des mises à jour ou des améliorations logicielles) dans l’ordinateur d’une autre personne, à savoir un ordinateur portable, un téléphone intelligent, une tablette, une console de jeu ou autre dispositif connecté, dans le cadre d’activités commerciales, sans le consentement exprès du propriétaire ou de l’utilisateur autorisé. Tout comme lorsqu’il est question d’envoyer des MEC, le consentement exprès doit être obtenu de la manière prescrite avant l’installation de programmes d’ordinateur. Des obligations de communication d’information s’appliqueront également.
Les sanctions éventuelles en cas d’inobservation de la LCAP sont élevées et comprennent des sanctions administratives pécuniaires pouvant atteindre 1 M$ CA pour une personne physique et 10 M$ CA pour une personne morale.
Qui plus est, la LCAP crée un droit privé d’action pour les personnes qui sont touchées par une contravention à toute disposition de cette loi, notamment les dispositions anti-pourriel. Les dispositions de la LCAP prévoyant un droit d’action privé devaient initialement entrer en vigueur le 1er juillet 2017, mais leur adoption a été suspendue pour une période indéterminée. Cette suspension est une bonne nouvelle pour l’industrie, qui craignait que des poursuites, y compris des actions collectives, soient intentées alors que l’industrie peine à comprendre et à respecter les exigences de la Loi.
Il faut noter que les dispositions de la Loi sur la concurrence en matière de publicité pour certains produits, notamment le tabac, ou en matière de publicité trompeuse, ainsi que les dispositions du Code criminel en matière de fraude, d’accès autorisé à un ordinateur, d’utilisation d’ordinateurs, de même que de méfait relatif aux données pourraient s’appliquer aux polluposteurs. Divers groupes de l’industrie ont mis en place des codes et des lignes directrices à l’intention de leurs membres relativement à la distribution de documents promotionnels et à leur application.
La LPRPDE et les lois provinciales semblables sur la protection de la vie privée applicables au secteur privé (voir le chapitre IX, « Protection de la vie privée ») sont également susceptibles de toucher les polluposteurs en imposant des obligations visant la collecte, l’utilisation et la divulgation de renseignements personnels, notamment les adresses courriel, dans le cadre d’activités commerciales.
11. Responsabilité des fournisseurs de services Internet (« FSI »)
11.1 - À quels risques de responsabilité s’exposent les FSI?
Les FSI, et possiblement leurs administrateurs et dirigeants, pourraient être tenus responsables de diverses réclamations découlant de la prestation de leurs services en vertu d’un contrat, d’un délit civil ou d’une loi.
11.2 - Le Canada possède-t-il une loi qui protège les FSI de la responsabilité?
Aucune loi canadienne ne prévoit une immunité générale contre la responsabilité pour les FSI. Cependant, les tribunaux ne les ont généralement pas tenus responsables des activités de contrefaçon de leurs utilisateurs. Dans le domaine du droit d’auteur, la Cour suprême du Canada a conclu que les FSI et les autres intermédiaires ne sont pas responsables de la violation du droit d’auteur si leurs activités se limitent à permettre la communication de données et qu’ils ne posent aucun geste lié au contenu. La Cour suprême a également décidé que la mise en antémémoire (le stockage temporaire de matériel par un FSI) constitue une activité protégée.
La Loi sur la modernisation du droit d’auteur du Canada a codifié l’approche de la Cour suprême en 2012 en limitant la responsabilité engagée dans le cadre de la « prestation de services liés à l’exploitation d’Internet ou d’un autre réseau numérique », limite qui vise les activités des FSI et de quiconque offre des services de mise en antémémoire et d’hébergement. Cette loi permet également la mise en place d’un régime « d’avis et avis », aux termes duquel les FSI doivent, s’ils reçoivent du titulaire du droit d’auteur un avis de contrefaçon potentielle, faire parvenir cet avis à leurs abonnés potentiellement responsables de la contrefaçon.
La Loi concernant le cadre juridique des technologies de l’information du Québec établit également un régime de responsabilité et, dans certaines circonstances, une protection des FSI qui agissent à titre d’intermédiaire sur un réseau de communication. À la suite de l’entrée en vigueur du projet de loi 6, des modifications ont été apportées à certaines des dispositions législatives de ce dernier.
12. Intelligence artificielle
Comme il a été mentionné à la rubrique 5, s’il est adopté, le projet de loi C-27 modifierait considérablement la législation fédérale sur la protection des renseignements personnels dans le secteur privé. Ces modifications instaureraient notamment des règles visant à réglementer le commerce international et interprovincial en ce qui a trait aux systèmes d’IA « à incidence élevée » en vertu d’une nouvelle loi intitulée Loi sur l’intelligence artificielle et les données (la « LIAD »). Entre autres choses, la LIAD prévoirait la désignation d’un nouveau commissaire à l’intelligence artificielle et aux données afin d’aider le ministre de l’Innovation, des Sciences et de l’Industrie à faire appliquer la LIAD, et érigerait en infraction le fait de rendre disponible ou d’utiliser un système d’IA pouvant vraisemblablement causer des préjudices sérieux. La LIAD privilégierait par ailleurs une approche fondée sur le préjudice aux fins de la réglementation de l’IA en créant de nouvelles obligations à l’égard des « systèmes à incidence élevée » (un terme qui reste à définir), lesquelles s’appliqueraient partout au Canada.
13. Augmentation des cyberrisques
13.1 - Quelle est la fréquence des cyberattaques?
Les cyberattaques ont considérablement augmenté au cours des dernières années, et il en va de même pour les frais qu’elles occasionnent.
Les entreprises devraient rester sur leurs gardes et accorder une attention particulière aux attaques par rançongiciel, lesquelles sont les plus fréquentes et généralement les plus onéreuses. Les cyberattaquants utilisent des stratagèmes de plus en plus sophistiqués et le montant des rançons versées augmente chaque année. En fait, les rançons payées qui sont supérieures à 100 000 $ US sont de plus en plus courantes. Dans bon nombre de cas, les rançons peuvent même dépasser 1 M$ US (parfois, d’un montant considérable). Les coûts réels d’une cyberattaque, qu’une rançon soit payée ou non, peuvent facilement atteindre, dans plusieurs cas, des millions de dollars lorsqu’on tient compte des coûts essentiels liés à la réponse à une cyberattaque, des pertes de revenus découlant de la perturbation des activités de la victime, ainsi que des répercussions sur la réputation de cette dernière.
Au cours de la dernière année, la protection des données et des renseignements personnels a suscité davantage d’inquiétudes. Les données révèlent que, dans 77 % des cas, les cyberattaquants ont pu accéder à de l’information sensible et que, dans 68 % des cas, ces derniers ont été en mesure de retirer ces renseignements des systèmes de l’organisation visée.
Comme le nombre de cyberattaques augmente, les entreprises doivent veiller à adopter des pratiques rigoureuses en matière de cybersécurité. Que ce soit en choisissant la bonne technologie, en respectant les pratiques exemplaires relativement aux logiciels et aux appareils informatiques qu’elles utilisent ou en mettant sur pied une équipe responsable de la sécurité, les entreprises doivent absolument se doter d’un plan d’intervention en cas de cyberincident. Pour de plus amples renseignements sur la cybersécurité, consultez l’édition 2023 de l’Étude sur les tendances en matière de cybersécurité au Canada de Blakes.
13.2 - Le signalement des cyberincidents est-il obligatoire?
L’obligation de signaler un cyberincident dépend des circonstances particulières de l’atteinte subie. Des exigences en matière de signalement sont établies dans la législation sur la protection des renseignements personnels, de même que dans des règlements particuliers qui peuvent s’appliquer à des secteurs d’activités en particulier. Les réformes législatives semblent pencher vers le signalement obligatoire des cyberincidents; mais que les rapports de signalement soient obligatoires ou non, ils sont en hausse. En cas d’atteinte ou d’atteinte présumée, être proactif est essentiel non seulement pour réduire le risque d’aggravation des dommages, mais aussi pour s’assurer de respecter les exigences en matière de signalement qui s’appliquent. Pour des précisions sur ces exigences, consultez le chapitre IX, « Protection de la vie privée ».
13.3 - Quelles sont les points à prendre en considération au chapitre de la cybersécurité au moment d’acquérir une entreprise?
Les cyberattaques peuvent causer des dommages majeurs au sein d’une organisation, que ce soit en entrainant des perturbations opérationnelles coûteuses, en modifiant les pratiques commerciales en place ou en portant atteinte à la réputation de l’entreprise touchée. Avant d’acquérir une entreprise canadienne, ou d’y investir, il est donc important d’évaluer les pratiques et les politiques de celle-ci en matière de cybersécurité.
Lorsqu’ils envisagent une opération, les acheteurs se protégeront encore mieux s’ils incluent des questions liées à la cybersécurité dans le processus de vérification diligente et en négociant certaines protections contractuelles.
Au cours du processus de vérification diligente, les acheteurs devraient demander à la société cible si elle a été victime de cyberincidents dans le passé. Ils devraient également examiner les pratiques appliquées par celle-ci sur le plan de la cybersécurité, ainsi que les politiques et les procédures de cette dernière en matière de gouvernance des données.
L’acheteur peut également négocier des protections contractuelles en ce qui concerne la convention d’achat ou encore une retenue sur le prix d’achat payable au(x) vendeur(s) pour couvrir les coûts de redressement liés au(x) cyberincident(s) engagés après l’acquisition.
13.4 - Une entreprise peut-elle être tenue responsable dans le cadre d’une action collective intentée en rapport avec une atteinte à la protection des données?
Il y a lieu de constater que, de plus en plus, des personnes dont les renseignements personnels ont été touchés lors de cyberattaques visant des entreprises tentent d’intenter des actions collectives contre ces dernières.
Pour qu’une action collective puisse être engagée, une demande doit être présentée, puis autorisée (ou certifiée, selon le territoire). Cette première étape permet l’introduction de l’action collective. Cependant, le bien-fondé de la poursuite est examiné à une étape ultérieure.
Il n’est pas rare que des actions collectives en dommages-intérêts pour atteintes à la sécurité des données soient autorisées. Il reste à voir si des entreprises seront éventuellement tenues responsables pour de telles atteintes et, si elles le sont, dans quelles circonstances.