Droit canadien des technologies et de la propriété intellectuellehttps://stikeman.com/fr-ca/rss/droit-canadien-technologies-propriete-intellectuelle?utm_source=tech-list-fr&utm_medium=email&utm_campaign=techDroit canadien des technologies et de la propriété intellectuellefr-CA{C167958E-AF08-4DE5-9806-24DC01C59466}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/Perspectives-Data-Law-PodcastsDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderRachel Zuroffhttps://stikeman.com/fr-ca/equipe/z/rachel-zuroffDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéAu sujet de la protection de la vie privée : perspectives sur le droit en matière de protection de la vie privée et des données<p><strong>Nous sommes fiers de lancer une nouvelle série de balados « Perspectives » <span style="background-color: #ffffff; color: #000000;">(en anglais) </span>qui offrira un point de vue canadien sur les principaux enjeux nationaux et internationaux en matière de protection des renseignements personnels et des données. Réalisés par notre groupe Protection des renseignements personnels et des données, ces balados se penchent sur les répercussions pratiques des nouveautés réglementaires sur les entreprises exploitant des activités au Canada.</strong></p> <br /> <p><strong>Épisode 8 - Law 25 Simplified: Navigating User Consent in Québec</strong></p> <p>Avec Danielle Miller Olofsson, associée principale, David Elder, avocat, et Rachel Zuroff, avocate spécialisée en recherche et en gestion du savoir, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Dans cet épisode, David, Danielle et Rachel discutent des nouvelles indications publiées par l’organisme de réglementation de la protection des renseignements personnels du Québec, qui portent sur la façon dont les organisations peuvent s’assurer de leur conformité aux nouvelles obligations instaurées par la Loi 25 lorsqu’elles obtiennent le consentement des utilisateurs à l’utilisation ou à la communication de leurs renseignements personnels, et la façon dont ces obligations se comparent aux dispositions semblables au niveau fédéral. </p> <p>Écoutez et abonnez-vous sur <a href="https://soundcloud.com/se-perspectives/law-25-simplified-navigating-user-consent-in-quebec">SoundCloud</a>, <a href="https://open.spotify.com/episode/6QyNxyGQroH7W3t5tdv06x?si=FgTQNMmQSpqzu4yPERq5XA">Spotify</a>, ou <a href="https://podcasts.apple.com/ca/podcast/law-25-simplified-navigating-user-consent-in-qu%C3%A9bec/id1671877812?i=1000646904592">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1758369921&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/law-25-simplified-navigating-user-consent-in-quebec" title="Law 25 Simplified: Navigating User Consent in Québec" target="_blank" style="color: #cccccc; text-decoration: none;">Law 25 Simplified: Navigating User Consent in Québec</a></div> <br /> <p><strong>Épisode 7 - Informed Consent in the Cookie Jar: When to Use Cookie Banners on Websites in Canada</strong></p> <p>Avec Danielle Miller Olofsson, associée principale, David Elder, avocat, et Rachel Zuroff, avocate spécialisée en recherche et en gestion du savoir, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Dans cet épisode, David, Danielle et Rachel discutent des témoins utilisés sur les sites Web, des lois sur la protection des renseignements personnels du Canada qui s’appliquent à l’utilisation de témoins et des cas dans lesquels les entreprises doivent afficher un bandeau de consentement aux témoins sur leurs sites Web. </p> <p>Écoutez et abonnez-vous sur <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/informed-consent-in-the-cookie-jar-when-to-use-cookie-banners-on-websites-in-canada?si=5f6bb6a04e1c467885100481a8e58b84&utm_source=clipboard&utm_medium=text&utm_campaign=social_sharing" target="_blank">SoundCloud</a>, <a rel="noopener noreferrer" href="https://open.spotify.com/episode/1zdeL70HkWkN1vz3f1z4NS?si=Da2UGpyBSTO9Pq2MLcnk6g" target="_blank">Spotify</a>, ou <a rel="noopener noreferrer" href="https://podcasts.apple.com/ca/podcast/informed-consent-in-the-cookie-jar-when-to-use-cookie/id1671877812?i=1000633231118" target="_blank">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1652793291&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/informed-consent-in-the-cookie-jar-when-to-use-cookie-banners-on-websites-in-canada" title="Informed Consent in the Cookie Jar: When to Use Cookie Banners on Websites in Canada" target="_blank" style="color: #cccccc; text-decoration: none;">Informed Consent in the Cookie Jar: When to Use Cookie Banners on Websites in Canada</a></div> <br /> <p><strong>Épisode 6 - Data Privacy In Québec: Be Ready For Important Changes Coming On September 22, 2023</strong></p> <p>Avec Danielle Miller Olofsson, associée principale, David Elder, avocat, et Rachel Zuroff, avocate spécialisée en recherche et en gestion du savoir, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Le dernier épisode de notre série de balados sur la protection de la vie privée se penche sur les changements importants qui seront apportés à la législation québécoise le 22 septembre 2023. Découvrez comment les entreprises peuvent se préparer à cette nouvelle vague de modifications du régime de protection des renseignements personnels du Québec.</p> <p>Écoutez et abonnez-vous sur <a href="https://soundcloud.com/se-perspectives/data-privacy-in-quebec-be-ready-for-important-changes-coming-on-september-22-2023?si=9790fbeccab94828a90262b43aa440c5&utm_source=clipboard&utm_medium=text&utm_campaign=social_sharing">SoundCloud</a>, <a href="https://open.spotify.com/episode/0lv0PbNdBhg0uIRPdfhWSz?si=cgrzlbgRTHyWHLcPNUWwyg">Spotify</a>, ou <a href="https://podcasts.apple.com/ca/podcast/data-privacy-in-qu%C3%A9bec-be-ready-for-important-changes/id1671877812?i=1000627085694">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src=" https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1609811415%3Fsecret_token%3Ds-BAGIuzHIIRY&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false "></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href=" https://soundcloud.com/se-perspectives " title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href=" https://soundcloud.com/se-perspectives/data-privacy-in-quebec-be-ready-for-important-changes-coming-on-september-22-2023/s-BAGIuzHIIRY " title="Data Privacy In Québec: Be Ready For Important Changes Coming On September 22, 2023" target="_blank" style="color: #cccccc; text-decoration: none;">Data Privacy In Québec: Be Ready For Important Changes Coming On September 22, 2023</a></div> <br /> <p><strong>Épisode 5 - Biometrics in a Digital Age: Unlocking the Privacy Concerns</strong></p> <p>Avec Danielle Miller Olofsson, associée principale, David Elder, avocat, et Rachel Zuroff, avocate spécialisée en recherche et en gestion du savoir, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Les systèmes biométriques gagnent en popularité auprès des gouvernements et des organisations du secteur privé pour identifier automatiquement les personnes. Mais quelles sont les incidences des lois sur la protection de la vie privée soulevées par les organisations qui recueillent autant de renseignements personnels? Danielle Miller Olofsson et David Elder se penchent sur cette question.</p> <p>Écoutez et abonnez-vous sur <a href="https://soundcloud.com/se-perspectives/biometrics-in-a-digital-age-unlocking-the-privacy-concerns?si=58a15427b4234277953eba6a01bbd3c9&utm_source=clipboard&utm_medium=text&utm_campaign=social_sharing">SoundCloud</a>, <a href="https://open.spotify.com/episode/6vF77CUVq0MDUAFiGB6MFE?si=VDQlxzYNSIizTmSaaiG-sw">Spotify</a>, ou <a href="https://podcasts.apple.com/ca/podcast/biometrics-in-a-digital-age-unlocking-the-privacy-concerns/id1671877812?i=1000623938507">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src=" https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1588489679&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false "></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href=" https://soundcloud.com/se-perspectives " title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href=" https://soundcloud.com/se-perspectives/biometrics-in-a-digital-age-unlocking-the-privacy-concerns " title="Biometrics in a Digital Age: Unlocking the Privacy Concerns" target="_blank" style="color: #cccccc; text-decoration: none;">Biometrics in a Digital Age: Unlocking the Privacy Concerns</a></div> <br /> <p><strong>Épisode 4 - Data Transfers: The Rules for Moving Personal Information Within and Outside of Canada</strong></p> <p>Avec Danielle Miller Olofsson, avocate senior, David Elder, avocat-conseil et Rachel Zuroff, avocate recherchiste, Gestion du savoir, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Danielle Miller Olofsson et David Elder discutent des règles que les organisations doivent suivre lorsqu’elles transfèrent des renseignements personnels au Canada et à l’étranger, et ils s’intéressent particulièrement aux cas distincts des États-Unis et de l’Union européenne.</p> <p>Écoutez et abonnez-vous sur <a href="https://can01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fsoundcloud.com%2Fse-perspectives%2Fdata-transfers-the-rules-for-moving-personal-information-within-and-outside-of-canada%3Fsi%3D17d4f527f3ba4fe8a5a5449b53d2eeaa%26utm_source%3Dclipboard%26utm_medium%3Dtext%26utm_campaign%3Dsocial_sharing&data=05%7C01%7CHJamal%40stikeman.com%7C70830dc70df846cc1b8008db6b5ca5b0%7C394646dfa1184f83a4f46a20e463e3a8%7C0%7C0%7C638221817881657905%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=A5Bs7MdXOd4tyS%2BdFB9QgUTMRa0lO8zAL%2FP75vWuKow%3D&reserved=0">SoundCloud</a>, <a href="https://can01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fopen.spotify.com%2Fepisode%2F3Ifx2ud86j1EdkA0xo4A5W%3Fsi%3DwRt0xlUVTymq42bSUjiNVA&data=05%7C01%7CHJamal%40stikeman.com%7C70830dc70df846cc1b8008db6b5ca5b0%7C394646dfa1184f83a4f46a20e463e3a8%7C0%7C0%7C638221817881657905%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=rQYVTEr%2FUIcWRAcSK2JFNmLdFt6hBna4JpXJ%2F8x2Oxc%3D&reserved=0">Spotify</a>, ou <a rel="noopener noreferrer" href="https://podcasts.apple.com/ca/podcast/data-transfers-the-rules-for-moving-personal/id1671877812?i=1000616677271" target="_blank">Apple Podcast</a><a rel="noopener noreferrer" href="https://podcasts.apple.com/ca/podcast/data-transfers-the-rules-for-moving-personal/id1671877812?i=1000616677271" target="_blank">s</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1531502692%3Fsecret_token%3Ds-M6pDCkRsckn&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/data-transfers-the-rules-for-moving-personal-information-within-and-outside-of-canada/s-M6pDCkRsckn" title="Data Transfers: The Rules for Moving Personal Information Within and Outside of Canada" target="_blank" style="color: #cccccc; text-decoration: none;">Data Transfers: The Rules for Moving Personal Information Within and Outside of Canada</a></div> <br /> <p><strong>Épisode 3 - Québec’s Law 25: New Obligations for Data Processing Agreements and Privacy Impact Analyses</strong></p> <p>Avec Danielle Miller Olofsson, avocate senior, David Elder, avocat-conseil, et Rachel Zuroff, avocate recherchiste, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Danielle Miller Olofsson et David Elder discutent avec Rachel Zuroff de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (anciennement connue sous le nom de Projet de loi 64). Plus précisément, ils examinent deux changements clés que les entreprises exerçant leurs activités au Québec devront prendre en compte d'ici le 22 septembre 2023, date d'entrée en vigueur des modifications. Celles-ci concernent les nouvelles obligations relatives aux ententes de traitement des données et aux analyses d'impact sur la vie privée, ainsi que leur comparaison avec les obligations en matière de protection de la vie privée en vigueur dans le reste du Canada.</p> <p>Écoutez et abonnez-vous sur <a href="https://soundcloud.com/se-perspectives/quebecs-law-25-new-obligations-for-data-processing-agreements-and-privacy-impact-analyses">SoundCloud</a>, <a href="https://can01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fopen.spotify.com%2Fepisode%2F5nRBQIKNqnclGKoNBKeIyQ%3Fsi%3DtqWFB1ywRD-e4EVsE8gCuA&data=05%7C01%7CHJamal%40stikeman.com%7Ca8f8396a9cce4c5b65d308db555b48db%7C394646dfa1184f83a4f46a20e463e3a8%7C0%7C0%7C638197622765379062%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=u6x1qaToaBEvjrpMdByD%2F%2BWYHygPG4Zci7SonOCJMfc%3D&reserved=0">Spotify</a>, ou <a href="https://can01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fpodcasts.apple.com%2Fca%2Fpodcast%2Fqu%25C3%25A9becs-law-25-new-obligations-for-data-processing%2Fid1671877812%3Fi%3D1000613092082&data=05%7C01%7CHJamal%40stikeman.com%7Ca8f8396a9cce4c5b65d308db555b48db%7C394646dfa1184f83a4f46a20e463e3a8%7C0%7C0%7C638197622765535293%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=1SXkwxm%2FPjCGM2iJLT4l6FqERZu9l8KuuZBK%2B%2FwhIic%3D&reserved=0">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1514625106&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/quebecs-law-25-new-obligations-for-data-processing-agreements-and-privacy-impact-analyses" title="Québec’s Law 25: New Obligations for Data Processing Agreements and Privacy Impact Analyses" target="_blank" style="color: #cccccc; text-decoration: none;">Québec’s Law 25: New Obligations for Data Processing Agreements and Privacy Impact Analyses</a></div> <br /> <p><strong>Épisode 2 - Data Privacy Law in 2022: Recapping a Year of Worldwide Change </strong></p> <p>Avec Danielle Miller Olofsson, avocate senior, et Rachel Zuroff, avocate recherchiste, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Dans cet épisode enregistré en octobre 2022, Danielle Miller Olofsson nous présente quelques-unes des dernières nouveautés en matière de droit relatif à la protection de la vie privée au Canada et à l'étranger et discute de l'importance croissante des données en tant que nouvelle forme de valeur à échanger et à réglementer. Vous en saurez plus sur le code californien de conception adaptée à l'âge, sur la loi européenne sur l'intelligence artificielle et sur une importante décision américaine relative à la protection des renseignements personnels.</p> <p>Écoutez et abonnez-vous sur <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/data-privacy-law-in-2022-recapping-a-year-of-worldwide-change?si=ffc69ce85ffb4bd5a373dc445ed12aed&utm_source=clipboard&utm_medium=text&utm_campaign=social_sharing" target="_blank">SoundCloud</a>, <a rel="noopener noreferrer" href="https://open.spotify.com/episode/6STi8ZNmLLuAhmWoUM96Zb?si=pqa1eC4fRuaOW3Io4vNqTA" target="_blank">Spotify</a>, ou <a rel="noopener noreferrer" href="https://podcasts.apple.com/ca/podcast/data-privacy-law-in-2022-recapping-a-year-of/id1671877812?i=1000612214200" target="_blank">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1509453238&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/data-privacy-law-in-2022-recapping-a-year-of-worldwide-change" title="Data Privacy Law in 2022: Recapping a Year of Worldwide Change" target="_blank" style="color: #cccccc; text-decoration: none;">Data Privacy Law in 2022: Recapping a Year of Worldwide Change</a></div> <br /> <p><strong>Épisode 1 - Recent Developments in European Privacy Law: What Québec Lawyers Need to Know</strong></p> <p>Avec Danielle Miller Olofsson, avocate senior, et Rachel Zuroff, avocate recherchiste, Stikeman Elliott S.E.N.C.R.L., s.r.l.</p> <p>Danielle Miller Olofsson explique les récentes nouveautés européennes relatives aux transferts de données et ce qu’elles signifient pour les avocats pratiquant au Québec.</p> <p>Écoutez et abonnez-vous sur <a href="https://soundcloud.com/se-perspectives/recent-developments-in-european-privacy-law-what-quebec-lawyers-need-to-know?si=4a1eb8558e734f61b7c3f11c6414d851&utm_source=clipboard&utm_medium=text&utm_campaign=social_sharing">SoundCloud</a>, <a href="https://open.spotify.com/episode/1f2WbhGhDW36NExc5wZyyu?si=MyUKqrj7TLebG8EpMjFeuQ">Spotify</a>, ou <a href="https://podcasts.apple.com/ca/podcast/recent-developments-in-european-privacy-law-what-qu%C3%A9bec/id1671877812?i=1000611320423">Apple Podcasts</a>.</p> <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/1502195962%3Fsecret_token%3Ds-S3q9snQEWkA&color=%23a50034&auto_play=false&hide_related=true&show_comments=false&show_user=false&show_reposts=false&show_teaser=false"></iframe> <div style="font-size: 10px; color: #cccccc;line-break: anywhere;word-break: normal;overflow: hidden;white-space: nowrap;text-overflow: ellipsis; font-family: Interstate,Lucida Grande,Lucida Sans Unicode,Lucida Sans,Garuda,Verdana,Tahoma,sans-serif;font-weight: 100;"><a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives" title="Stikeman Elliott Perspectives" target="_blank" style="color: #cccccc; text-decoration: none;">Stikeman Elliott Perspectives</a> · <a rel="noopener noreferrer" href="https://soundcloud.com/se-perspectives/recent-developments-in-european-privacy-law-what-quebec-lawyers-need-to-know/s-S3q9snQEWkA" title="Recent Developments in European Privacy Law: What Québec Lawyers Need to Know" target="_blank" style="color: #cccccc; text-decoration: none;">Recent Developments in European Privacy Law: What Québec Lawyers Need to Know</a></div> <br /> <p><a href="https://stikeman.com/fr-ca/savoir/guides/videos-podcasts">> Consultez tout le contenu multimédia de Stikeman Elliott</a></p>26-Feb-2024 05:20:00{60C3A2D4-7528-49B9-8740-DE5568002779}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/nouvelles-normes-service-marques-commerce-janvier-2024Tessa Martelhttps://stikeman.com/fr-ca/equipe/m/tessa-martelDroit canadien des technologies et de la propriété intellectuelleDe nouvelles normes de service pour les marques de commerce sont entrées en vigueur le 1er janvier 2024<p><strong>L'Office de la propriété intellectuelle du Canada a modifié ses normes de service pour les <span style="text-decoration: underline;"><a rel="noopener noreferrer" href="https://ised-isde.canada.ca/site/office-propriete-intellectuelle-canada/fr/renseignements-organisationnels/cibles-rendement/normes-service-clientele-lopic" target="_blank">marques de commerce</a></span> afin de mieux refléter la durée du processus actuel d’enregistrement d’une marque de commerce.</strong></p> <p><em>Une traduction complète de ce billet sera disponible prochainement.</em></p> <p><strong>The Canadian Intellectual Property Office amended its service standards for </strong><a rel="noopener noreferrer" target="_blank" href="https://ised-isde.canada.ca/site/canadian-intellectual-property-office/en/corporate-information/performance-targets/client-service-standards#Trademarks_Branch"><strong>trademarks</strong></a><strong> to better reflect the length of the current trademark registration process. </strong></p> <h2>More Realistic Service Standards</h2> <p>New service standards for trademarks came into effect on January 1, 2024. The amendments significantly lengthen the previous service standards but will not result in a lengthening of the trademark registration process.</p> <p>The Canadian Intellectual Property Office (“CIPO”) amended the service standards to better reflect examination time and increase predictability for applicants. The previous service standards were outdated and did not reflect actual application wait times. For example, prior to these amendments, the service standard for examination of an electronic application for the registration of a trademark was 2 weeks, but, in practice as of January 4, 2024, trademark applications faced up to a 55 month wait for examination.</p> <p>The table below summarizes the amendments to the trademark service standards:</p> <table> <tbody> <tr> <td> <p><strong>Item</strong></p> </td> <td> <p><strong>Previous Service Standard</strong></p> </td> <td> <p><strong>Service Standard as of January 1, 2024</strong></p> </td> </tr> <tr> <td> <p><strong>CIPO will complete a first action for a request for giving public notice for a badge, crest, emblem, mark or armorial bearing</strong></p> </td> <td> <p>Within 8 weeks upon receipt of a compliant paper request and payment of the prescribed fee</p> </td> <td> <p>Within 12 months upon receipt of compliant request and payment of the prescribed fee</p> </td> </tr> <tr> <td> <p><strong>CIPO will send a first action for an electronic application for the registration of a trademark </strong></p> </td> <td> <p>Within 2 weeks upon receipt of an electronic application that meets filing requirements and payment of the prescribed fee</p> </td> <td> <p>Within 18 months from the filing date of a domestic electronic application that is filed using the pre-approved list of goods and services and payment of the prescribed fee.</p> <p>Within 28 months from the filing date of a domestic electronic application that is filed <span style="text-decoration: underline;">without</span> using the pre-approved list of goods and services and payment of the prescribed fee</p> </td> </tr> <tr> <td> <p><strong>CIPO will send a first action for an application for the registration of a trademark (paper)</strong></p> </td> <td> <p>Within 8 weeks upon receipt of a paper application that meets the filing requirements and payment of the prescribed fee</p> </td> <td> <p>Within 28 months from the filing date of a domestic paper application and payment of the prescribed fee</p> </td> </tr> <tr> <td> <p><strong>Application to extend the statement of goods or services of a trademark registration</strong></p> </td> <td> <p>CIPO will send a filing notice within 8 weeks upon receipt of a paper application that meets the filing requirements and payment of the prescribed fee</p> </td> <td> <p>CIPO will send a first action (approval or first report) within 28 months from the filing date of a paper application and payment of the prescribed fee.</p> </td> </tr> </tbody> </table> <h2>Addressing Delays</h2> <p>CIPO is aware of the delays in the trademark examination process. According to its <a rel="noopener noreferrer" target="_blank" href="https://ised-isde.canada.ca/site/canadian-intellectual-property-office/en/2023-2028-business-strategy-ceo-message">2023-2028 Business Strategy</a>, CIPO’s first priority is to deliver timely quality intellectual property services. The 2023-2028 Business Strategy sets out the ways CIPO is attempting to remedy the current trademark examination backlog, which include hiring more trademark examiners, leveraging IT solutions to bring process efficiencies, and expanding the pre-approved list of goods and services.</p> <p>Do not hesitate to reach out to any member of Stikeman Elliott LLP’s <a rel="noopener noreferrer" target="_blank" href="https://www.stikeman.com/en-ca/expertise/intellectual-property">Intellectual Property Group</a> for more information.</p>09-Jan-2024 03:11:00{30D70D19-6AA5-4FCA-B5C5-9DE053D72E9C}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/reduction-delais-prolongations-commission-oppositions-marques-commerce-%C3%A0-compter-premier-decembreAndrea C. Kroetchhttps://stikeman.com/fr-ca/equipe/k/andrea-c-kroetchTessa Martelhttps://stikeman.com/fr-ca/equipe/m/tessa-martelDroit canadien des technologies et de la propriété intellectuelleRéduction des délais et des prolongations de délai à la Commission des oppositions des marques de commerce à compter du 1er décembre 2023<p><strong>L’Office de la propriété intellectuelle du Canada a </strong><a rel="noopener noreferrer" href="https://ised-isde.canada.ca/site/office-propriete-intellectuelle-canada/fr/changements-lies-aux-prolongations-delai-commission-oppositions-marques-commerce" target="_blank"><strong>annoncé</strong></a><strong> que des mises à jour d’énoncés de pratique portant sur la procédure d'opposition en matière de marque de commerce et sur la procédure de radiation prévue à l’article 45 (annulation pour défaut d’emploi) entreront en vigueur à compter du 1<sup>er</sup> décembre 2023. Ces modifications s’inscrivent dans le cadre des efforts continus de la Commission des oppositions des marques de commerce visant à fournir des procédures plus rapides et plus efficaces. En résumé, les mises à jour ont pour effet de réduire les délais accordés pour tenir un contre-interrogatoire, de plafonner les prolongations de délai disponibles et d’instaurer une nouvelle circonstance exceptionnelle visant à justifier une prolongation de délai. Les demandes de contre-interrogatoire et les demandes de prolongation de délai présentées à compter du 1<sup>er</sup> décembre 2023 seront assujetties aux nouveaux énoncés de pratique. Les propriétaires de marques de commerce et leurs agents qui sont concernés par une procédure d'opposition en matière de marque de commerce ou par une procédure de radiation prévue à l’article 45 devront faire preuve de diligence afin de s’assurer que tous les délais nouvellement imposés sont respectés.</strong></p> <h2>Réduction des prolongations de délai</h2> <p>L’Office de la propriété intellectuelle du Canada publie des énoncés de pratique afin de donner des indications sur la procédure d'opposition en matière de marque de commerce et sur la procédure de radiation pour défaut d’emploi prévue à l’article 45 de la <em>Loi sur les marques de commerce</em> (la «<strong> </strong>Loi<strong> </strong>»). La majorité des modifications présentées dans les énoncés de pratique ont pour effet de réduire les prolongations de délai maximales disponibles dans le cadre d’une procédure d’opposition et de la procédure de radiation prévue à l’article 45.</p> <h3>Procédure d’opposition en matière de marque de commerce</h3> <p>La majorité des procédures d’opposition en matière de marque de commerce prennent fin lorsque les parties acceptent de résoudre leur différend à l’amiable au moyen d’un règlement. La pratique générale du registraire des marques de commerce (le « registraire ») consiste à donner à chacune des parties l’occasion de prolonger les procédures pour lui permettre d’envisager la conclusion d’un règlement. Cette prolongation est appelée un délai de « conciliation ». Dans l’énoncé de pratique mis à jour, le délai de « conciliation » maximal autorisé sera réduit et passera de neuf à sept mois.</p> <p>Le registraire pourrait également accorder des prolongations de tout délai fixé en vertu de la Loi ou du <em>Règlement sur les marques de commerce</em> (le « Règlement »). Ces prolongations sont appelées des « jalons pour prolongations de délai ». Vous trouverez ci-après un résumé des modifications aux jalons pour prolongations de délai disponibles dans le cadre d’une procédure d’opposition en matière de marque de commerce :</p> <ul> <li>La prolongation de délai dont l’opposant peut se prévaloir pour déposer une déclaration d’opposition est réduite et passe de quatre à deux mois.</li> <li>La prolongation de délai dont le requérant peut se prévaloir pour déposer une contre-déclaration est réduite et passe de deux à un mois.</li> <li>La prolongation de délai dont l’opposant peut se prévaloir pour soumettre une preuve (ou une déclaration indiquant sa volonté de ne pas soumettre de preuve) est réduite et passe de trois à deux mois.</li> <li>Lorsque le requérant demande la tenue d’un contre-interrogatoire dans les deux mois de la date à laquelle l’opposant a terminé sa preuve, la prolongation de délai dont le requérant peut se prévaloir pour déposer sa preuve est réduite et passe de quatre à deux mois. Si le contre-interrogatoire n’est pas terminé, le délai de dépôt de la preuve est réduit et passe de deux à un mois.</li> <li>La prolongation de délai dont l’opposant peut se prévaloir pour déposer sa contre-preuve est réduite et passe de quatre à un mois.</li> <li>Lorsque l’opposant demande la tenue d’un contre-interrogatoire dans le mois qui suit la date à laquelle le requérant a terminé sa preuve, la prolongation de délai dont l’opposant peut se prévaloir pour soumettre sa contre-preuve est réduite et passe de quatre à un mois et, si le contre-interrogatoire n’est pas terminé, le délai de dépôt de la contre-preuve est réduit et passe de deux à un mois.</li> <li>La prolongation de délai dont une partie peut se prévaloir pour déposer ses observations écrites (ou une déclaration indiquant sa volonté de ne pas déposer d’observations) est réduite et passe de deux à un mois.</li> </ul> <h3>Procédure de radiation prévue à l’article 45</h3> <p>Le propriétaire d’une marque de commerce déposée peut également se prévaloir d’un jalon pour prolongations de délai relativement au délai qui lui est imparti pour fournir et signifier sa preuve en réponse à l'avis prévu à l'article 45. Toutefois, aux termes du nouvel énoncé de pratique portant sur la procédure de radiation prévue à l’article 45, la prolongation de délai maximale autorisée sera réduite et passera de quatre à deux mois.</p> <h2>Réduction des délais de tenue d’un contre-interrogatoire</h2> <p>Aux termes du nouvel énoncé de pratique portant sur la procédure d’opposition, lorsque le registraire ordonne un contre-interrogatoire, le délai accordé pour la tenue du contre-interrogatoire sera réduit et passera de quatre à deux mois. Par conséquent, les demandes de contre-interrogatoire présentées <strong>à compter du</strong> 1<sup>er</sup> décembre 2023 seront soumises au nouveau délai de deux mois qui est accordé pour la tenue du contre-interrogatoire.</p> <h2>Nouvelle circonstance exceptionnelle – Incapacité à « rencontrer » un délai à venir malgré une action diligente</h2> <p>Dans le cadre de la procédure d’opposition et de la procédure de radiation de l’article 45, le registraire peut accorder une prolongation de délai au-delà du jalon s’il établit que la partie a démontré l’existence de circonstances exceptionnelles justifiant une prolongation de délai supplémentaire. Les deux énoncés de pratique mentionnent des exemples de circonstances exceptionnelles qui, selon le registraire, pourraient justifier une prolongation de délai supplémentaire.</p> <p>À compter du 1<sup>er </sup>décembre 2023, une nouvelle justification permettant d’accorder une prolongation de délai pour circonstance exceptionnelle sera instaurée : l’incapacité à « rencontrer » un délai à venir malgré une action diligente. Lorsqu’une partie est incapable de respecter un délai à venir, mais qu’elle a fait des efforts raisonnables en vue de se conformer aux exigences de la Loi et du Règlement et d’agir rapidement et avec diligence à tout moment, une prolongation peut être accordée <em>si</em> la partie est en mesure de démontrer qu'elle a fait preuve, dans l'ensemble et de façon cohérente, d'efforts raisonnables, de rapidité et de diligence dans ses efforts pour respecter le délai. Par exemple, une prolongation peut être accordée à une partie dans cette circonstance exceptionnelle si le délai a été occasionné par une erreur ou une omission involontaire de la part d'une partie ou d'un agent ou par la longueur inhérente du processus de préparation d'une preuve (p. ex. la preuve d'experts ou la preuve par sondage).</p> <h2>Recommandations aux propriétaires de marques de commerce</h2> <p>Les modifications présentées dans les énoncés de pratique mis à jour qui concernent la procédure d’opposition et la procédure de radiation de l’article 45 s’appliqueront aux demandes de contre-interrogatoires ou aux demandes de prolongations de délai présentées <strong>à compter du 1<sup>er</sup> décembre 2023</strong>. Étant donné que les modifications instaurées ont pour effet de réduire considérablement les délais de tenue d’un contre-interrogatoire et les prolongations de délai disponibles, les propriétaires de marques de commerce et leurs agents devront faire preuve d’une plus grande diligence afin de s’assurer que tous les délais nouvellement imposés sont respectés.</p> <p>N’hésitez pas à communiquer avec un membre du <a rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/expertise/propriete-intellectuelle" target="_blank">groupe Propriété intellectuelle</a> de Stikeman Elliott S.E.N.C.R.L., s.r.l. pour obtenir plus d’informations.</p>14-Nov-2023 03:50:00{B27586C0-0BD2-4D76-ACCD-437EE0816556}https://stikeman.com/fr-ca/savoir/services-financiers/comprendre-l-evolution-de-la-reglementation-du-canada-regissant-la-chaine-de-blocs-et-la-cryptomonnaieAlix d'Anglejan-Chatillonhttps://stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillonRamandeep K. Grewalhttps://stikeman.com/fr-ca/equipe/g/ramandeep-k-grewalÉric Lévesquehttps://stikeman.com/fr-ca/equipe/l/eric-levesqueActualités - Services financiersDroit canadien des valeurs mobilièresDroit canadien des technologies et de la propriété intellectuelleLe point fiscalComprendre l’évolution de la réglementation du Canada régissant la chaîne de blocs et la cryptomonnaie<p><a href="https://www.stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillon">Alix d'Anglejan-Chatillon</a>, <a href="https://www.stikeman.com/fr-ca/equipe/g/ramandeep-k-grewal">Ramandeep Grewal</a> et <a href="https://www.stikeman.com/fr-ca/equipe/l/eric-levesque">Éric Lévesque</a>, de nos bureaux de Toronto et de Montréal, ont récemment mis à jour <a href="/-/media/files/kh-general/stikeman-elliott---blockchain--cryptocurrency-regulation-2024.ashx">le chapitre canadien</a> (en anglais seulement) du guide <em>Blockchain & Cryptocurrency Regulation 2024</em>, publié par <a rel="noopener noreferrer" target="_blank" href="https://www.globallegalinsights.com/">Global Legal Insights</a>. Ce chapitre donne un excellent aperçu de ce domaine du droit qui évolue rapidement au Canada et aborde principalement les sujets suivants :</p> <ul> <li>Attitude des gouvernements et définition</li> <li>Réglementation de la cryptomonnaie</li> <li>Réglementation des ventes</li> <li>Obligations liées à la propriété et à l’obtention de permis</li> <li>Promotion et contrôles</li> <li>Lois sur le transfert d’argent et obligations de lutte contre le blanchiment d'argent</li> <li>Obligations de déclaration</li> <li>Restrictions frontalières et déclarations</li> <li>Minage</li> <li>Fiscalité</li> <li>Autres obligations législatives canadiennes</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/stikeman-elliott---blockchain--cryptocurrency-regulation-2024.ashx">publication de 16 pages</a> (en anglais seulement).</p>03-Nov-2023 05:04:00{C658EBAF-F448-42C0-A45F-452A7D799D74}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/demystifier-reglementation-soins-sante-guide-canadienSara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleDroit canadien des technologies et de la propriété intellectuelleDémystifier la réglementation sur les soins de santé : un guide canadien<p><a rel="noopener noreferrer" href="https://www.stikeman.com/en-ca/people/z/sara-zborovski" target="_blank">Sara Zborovski</a> et <a rel="noopener noreferrer" href="https://www.stikeman.com/en-ca/people/t/ian-trimble" target="_blank">Ian Trimble</a> ont rédigé dernièrement le chapitre canadien du guide <a rel="noopener noreferrer" href="https://www.lexology.com/gtdt/tool/workareas/report/healthcare-regulation/chapter/canada" target="_blank">Healthcare Regulations 2024</a> publié par <em>Lexology — Getting the Deal Through</em>. Explorez l’univers en constante évolution de la réglementation sur les soins de santé et apprenez-en plus sur les sujets cruciaux suivants :</p> <ul> <li>Organisation, financement et structure du système de soins de santé</li> <li>Tarification et remboursement des soins de santé</li> <li>Organisations et structures organisationnelles de soins de santé</li> <li>Règles portant sur la concurrence, la lutte contre la corruption et la transparence</li> <li>Réglementation des services de soins de santé</li> <li>Protection des données, vie privée et information numérique sur la santé</li> <li>Mise à jour et tendances</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/healthcare-regulations-2023.ashx" target="_blank">publication de 17 pages</a> (en anglais seulement).</p>12-Oct-2023 03:51:00{440A2A48-D3D8-4FCB-BEDC-6ACBB39F4D4D}https://stikeman.com/fr-ca/savoir/droit-a-la-vie-privee-protection-des-renseignements-personnels-et-cybersecurite/autorites-protection-vie-privee-demandent-plateformes-proteger-renseignements-persoDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderProtection des renseignements personnels et cybersécuritéDroit canadien des technologies et de la propriété intellectuelleLes autorités de protection de la vie privée demandent aux plateformes de protéger les renseignements personnels accessibles au public<p>Le <a rel="noopener noreferrer" href="https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/nr-c_20230824/" target="_blank">Commissaire à la protection de la vie privée du Canada</a> et d’autres autorités internationales de protection des données ont récemment publié <a rel="noopener noreferrer" href="https://www.priv.gc.ca/fr/nouvelles-du-commissariat/allocutions/2023/js-dc_20230824/" target="_blank">une déclaration commune</a> demandant aux exploitants de sites Web et aux plateformes de médias sociaux de mieux protéger les renseignements personnels contre l’extraction illégale de données.</p> <p>La déclaration commune a des incidences non seulement sur les particuliers et sur les exploitants de sites Web et de réseaux sociaux, mais aussi sur les entreprises qui peuvent examiner et recueillir des renseignements personnels sur des sites accessibles au public afin de réunir de l’information sur la perception du public à l’égard de marques, de produits et de services, ainsi que sur d’autres entités de collecte de renseignements sur les marchés. Bien que ces types d’activités ne figurent pas parmi les risques identifiés qui ont apparemment donné lieu à la déclaration commune, il semblerait que ces techniques de collecte de renseignements sur les marchés pourraient néanmoins être touchées par les contrôles préconisés par la déclaration commune.</p> <p><strong>Les lois sur la protection de la vie privée s’appliquent </strong><strong>aux publications publiques</strong></p> <p>Il est peut-être surprenant pour beaucoup que la plupart des renseignements personnels accessibles au public, comme ceux affichés sur le Web ou sur les réseaux sociaux, demeurent assujettis aux lois canadiennes sur la protection de la vie privée, ce qui signifie que le consentement est généralement requis pour toute collecte, utilisation ou communication de ces renseignements. Il existe des exceptions, mais seulement pour un ensemble assez restreint de renseignements personnels « accessibles au public » définis par règlement, comme ceux prévus par le <a rel="noopener noreferrer" href="https://laws-lois.justice.gc.ca/fra/reglements/DORS-2001-7/TexteComplet.html" target="_blank"><em>Règlement précisant les renseignements auxquels le public a accès</em></a>, qui a été pris en vertu de la loi fédérale sur la protection des renseignements personnels dans le secteur privé, à savoir la <a rel="noopener noreferrer" href="https://laws-lois.justice.gc.ca/fra/lois/p-8.6/" target="_blank"><em>Loi sur la protection des renseignements personnels et les documents électroniques</em></a> (la « LPRPDE »).</p> <p>Dans la déclaration commune publiée par 12 membres du <a rel="noopener noreferrer" href="https://globalprivacyassembly.org/participation-in-the-assembly/global-cross-border-enforcement-cooperation-arrangement-list-of-participants/" target="_blank">Groupe de travail sur la coopération internationale en matière d’application de la loi</a> de l’<a rel="noopener noreferrer" href="https://globalprivacyassembly.org/" target="_blank">Assemblée mondiale pour la protection de la vie privée</a>, les autorités de protection des données ont fait observer que l’extraction de données, qui consiste à extraire automatiquement des données provenant de sites et de plateformes accessibles au public, pose des risques importants pour la vie privée des particuliers concernés. Par exemple, il est mentionné dans la déclaration commune que les renseignements personnels qui sont extraits peuvent être exploités afin d’appuyer des cyberattaques ciblées (p. ex., par le biais de piratage psychologique ou d’hameçonnage), de favoriser l’usurpation d’identité, de permettre le marketing direct non sollicité ou les pourriels, ou, plus grave, de permettre le contrôle, le profilage et la surveillance non autorisés des personnes, notamment par des gouvernements étrangers.</p> <p><strong>Obligations des plateformes</strong></p> <p>Comme les renseignements personnels affichés publiquement sont encore assujettis à de nombreuses lois sur la protection de la vie privée, y compris au Canada, les autorités chargées de la protection des données ont également observé que les exploitants de sites Web et de réseaux sociaux sont responsables en vertu des lois sur la protection de la vie privée applicables de la protection des renseignements personnels qu’ils hébergent et traitent, notamment de la protection contre l’extraction illégale de données. Comme les techniques d’extraction et d’exploitation des données extraites évoluent constamment, les autorités ont souligné que la protection de ces renseignements est une responsabilité de chaque instant qui exige une vigilance constante.</p> <p>Ces déclarations semblent étendre les responsabilités prévues par les lois canadiennes sur la protection de la vie privée, qui obligent les organisations à protéger les renseignements personnels <em>dont elles ont la gestion</em>, pour les obliger également à protéger les renseignements personnels sous la gestion d’un utilisateur qui détermine les renseignements personnels à publier, ainsi que l’emplacement et la durée de la publication. Il reste à voir si les tribunaux canadiens accepteront que la responsabilité juridique d’une organisation ait une portée si large.</p> <p>La déclaration mentionne également que les particuliers peuvent prendre certaines mesures pour mieux protéger les renseignements personnels qui sont publiés sur des sites Web ou sur des plateformes de médias sociaux.</p> <p><strong>Mesures de protection potentielles</strong></p> <p>Afin d’atténuer les risques posés par l’extraction de données, les autorités ont indiqué que les sites Web et les plateformes de médias sociaux devraient mettre en œuvre des mesures de contrôle à couches multiples sur le plan procédural, proportionnelles à la sensibilité des renseignements personnels accessibles au public. Voici quelques mesures de contrôle qui pourraient être mises en place :</p> <ul> <li>Désigner au sein de l’organisation des personnes responsables de l’identification et de la mise en œuvre de mesures de contrôle contre l’extraction, ainsi que de la surveillance des activités d’extraction et des suites à leur donner.</li> <li>Limiter le nombre de visites par heure ou par jour d’un compte à d’autres profils de compte, et en limiter l’accès si une activité inhabituelle est détectée.</li> <li>Surveiller les activités de recherche anormalement élevées visant d’autres utilisations, en particulier par de nouveaux comptes.</li> <li>Observer les tendances dans l’activité des robots qui pourraient être un signe d’extraction.</li> <li>Prendre des mesures pour détecter les robots, par exemple en procédant à des tests CAPTCHA, et en bloquant l’adresse IP à partir de laquelle une activité d’extraction de données est détectée.</li> <li>Prendre les mesures juridiques qui s’imposent lorsqu’une extraction de données est soupçonnée ou confirmée (comme envoyer des mises en demeure exigeant que l’extracteur cesse ses activités d’extraction et supprime les données extraites);</li> <li>Aviser les autorités compétentes des territoires où l’extraction de données peut constituer une atteinte à la protection des données.</li> <li>Épauler les utilisateurs de façon proactive afin qu’ils puissent prendre des décisions éclairées au sujet des renseignements personnels qu’ils publient.</li> </ul> <p>De nombreuses plateformes interdisent déjà l’extraction de données dans leurs conditions d’utilisation et peuvent déjà surveiller et traiter l’extraction qu’elles détectent. Toutefois, la déclaration commune et l’appui accordé par le Commissaire à la protection de la vie privée du Canada pourraient amener certaines plateformes à accroître leur activité anti-extraction.</p>08-Sep-2023 03:19:00{9AE58059-03AF-4933-8996-FF5B2D9FD4AE}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/frais-office-propriete-intellectuelle-Canada-augmenteront-considerablement-2024Jonathan N. Auerbachhttps://stikeman.com/fr-ca/equipe/a/jonathan-n-auerbachJeilah Chanhttps://stikeman.com/fr-ca/equipe/c/jeilah-chanJustine M. Whiteheadhttps://stikeman.com/fr-ca/equipe/w/justine-m-whiteheadDroit canadien des technologies et de la propriété intellectuelleLes frais de l’Office de la propriété intellectuelle du Canada (OPIC) augmenteront considérablement le 1er janvier 2024<p><strong>L’OPIC a annoncé dernièrement que la plupart de ses frais officiels augmenteront d’au moins 25 % en 2024. Ce rajustement aura une incidence sur toutes les demandes en cours de brevets, de marques de commerce, de dessins industriels et de droits d’auteur, ainsi que sur les frais relatifs aux recours administratifs et aux renouvellements. Les propriétaires de propriété intellectuelle canadienne sont invités évaluer s’il est opportun de prendre certaines mesures (comme présenter de nouvelles demandes ou des demandes de renouvellement) avant la fin de l’année pour atténuer l’incidence de cette augmentation.</strong></p> <h2>Aperçu des hausses de frais</h2> <p>L’OPIC ne reçoit pas de financement annuel de la part du gouvernement du Canada, et il doit se financer intégralement à même les revenus qu’il génère au moyen des frais de service. Ces augmentations considérables sont destinées à combler le déficit structurel actuel de l’OPIC.</p> <p>Vous trouverez ci-après un aperçu des principales hausses de frais en vigueur à compter du 1ᵉʳ janvier 2024. La liste complète des frais majorés se trouve sur le site Web de l’OPIC <a href="https://ised-isde.canada.ca/site/office-propriete-intellectuelle-canada/fr/vous-devez-savoir-sujet-changements-venir-aux-frais-lopic">ici</a>.</p> <h3>Marques de commerce</h3> <table width="489"> <tbody> <tr> <td style="width: 311px;"> <p><strong>Procédure</strong></p> </td> <td style="width: 93px;"> <p><strong>Droits pour 2023</strong></p> </td> <td style="width: 85px;"> <p><strong>Droits pour 2024</strong></p> </td> </tr> <tr> <td style="width: 311px;"> <p>Demande d’enregistrement d’une marque de commerce – première classe de produits/services</p> </td> <td style="width: 93px;"> <p>347,35 $</p> </td> <td style="width: 85px;"> <p>458,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Demande d’enregistrement d’une marque de commerce – chacune des autres classes de produits/services</p> </td> <td style="width: 93px;"> <p>105,26 $</p> </td> <td style="width: 85px;"> <p>139,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Renouvellement de l’enregistrement d’une marque de commerce – première classe de produits/services</p> </td> <td style="width: 93px;"> <p>421,02 $</p> </td> <td style="width: 85px;"> <p>555,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Renouvellement de l’enregistrement d’une marque de commerce – chacune des autres classes de produits/services</p> </td> <td style="width: 93px;"> <p>131,58 $</p> </td> <td style="width: 85px;"> <p>173,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Demande de prolongation de délai</p> </td> <td style="width: 93px;"> <p>125,00 $</p> </td> <td style="width: 85px;"> <p>150,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Production d’une déclaration d’opposition</p> </td> <td style="width: 93px;"> <p>789,43 $</p> </td> <td style="width: 85px;"> <p>1 040,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Inscription/demande d’un transfert</p> </td> <td style="width: 93px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>125,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Demande d’envoi d’un ou de plusieurs avis visés au paragraphe 44(1) de la Loi</p> </td> <td style="width: 93px;"> <p>421,02 $</p> </td> <td style="width: 85px;"> <p>555,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Demande d’envoi d’un ou de plusieurs avis visés au paragraphe 45(1) de la Loi</p> </td> <td style="width: 93px;"> <p>421,02 $</p> </td> <td style="width: 85px;"> <p>555,00 $</p> </td> </tr> <tr> <td style="width: 311px;"> <p>Droit pour l’enregistrement (date de production antérieure au 17 juin 2019)</p> </td> <td style="width: 93px;"> <p>210,51 $</p> </td> <td style="width: 85px;"> <p>277,00 $</p> </td> </tr> </tbody> </table> <h3>Brevets</h3> <p>L’augmentation de 25 % ne s’appliquera pas aux petites entreprises canadiennes qui constituent des petites entités. La définition des <em>Règles sur les brevets</em> pour les « petites entités » sera élargie pour comprendre une entité employant moins de cent personnes, au lieu de 50 employés ou moins. Les hausses des taxes générales indiquées ci-après visent les autres entités.</p> <table width="489"> <thead> <tr> <td style="width: 301px;"> <p><strong>Procédure</strong></p> </td> <td style="width: 103px;"> <p><strong>Taxe pour 2023</strong></p> </td> <td style="width: 85px;"> <p><strong>Taxe pour 2024</strong></p> </td> </tr> </thead> <tbody> <tr> <td style="width: 301px;"> <p>Taxe pour le dépôt</p> </td> <td style="width: 103px;"> <p>421,02 $</p> </td> <td style="width: 85px;"> <p>555,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Pour chaque revendication au-delà de la vingtième</p> </td> <td style="width: 103px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>110,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Requête d’examen</p> </td> <td style="width: 103px;"> <p>816,00 $</p> </td> <td style="width: 85px;"> <p>1 110,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Demande pour l’avancement de l’examen</p> </td> <td style="width: 103px;"> <p>526,29 $</p> </td> <td style="width: 85px;"> <p>694,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe finale</p> </td> <td style="width: 103px;"> <p>306,00 $</p> </td> <td style="width: 85px;"> <p>416,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe pour le rétablissement</p> </td> <td style="width: 103px;"> <p>210,51 $</p> </td> <td style="width: 85px;"> <p>277,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Inscription d’un transfert/changement de nom</p> </td> <td style="width: 103px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>125,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Demande d’enregistrement d’un document</p> </td> <td style="width: 103px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>125,00 $</p> </td> </tr> <tr> <td colspan="3" style="width: 489px;"> <p>Taxe pour le maintien en état</p> </td> </tr> <tr> <td style="width: 301px;"> <p>2<sup>e</sup> au 4<sup>e</sup> anniversaire</p> </td> <td style="width: 103px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>125,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>5<sup>e</sup> au 9<sup>e</sup> anniversaire</p> </td> <td style="width: 103px;"> <p>210,51 $</p> </td> <td style="width: 85px;"> <p>277,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>10<sup>e</sup> au 14<sup>e</sup> anniversaire</p> </td> <td style="width: 103px;"> <p>263,14 $</p> </td> <td style="width: 85px;"> <p>347,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>15<sup>e</sup> au 19<sup>e</sup> anniversaire</p> </td> <td style="width: 103px;"> <p>473,65 $</p> </td> <td style="width: 85px;"> <p>624,00 $</p> </td> </tr> <tr> <td colspan="3" style="width: 489px;"> <p> Demandes internationales</p> </td> </tr> <tr> <td style="width: 301px;"> <p><strong>Procédure</strong></p> </td> <td style="width: 103px;"> <p><strong>Taxe pour 2023</strong></p> </td> <td style="width: 85px;"> <p><strong>Taxe pour 2024</strong></p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe de transmission</p> </td> <td style="width: 103px;"> <p>315,77 $</p> </td> <td style="width: 85px;"> <p>416,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe de recherche</p> </td> <td style="width: 103px;"> <p>1 684,12 $</p> </td> <td style="width: 85px;"> <p>2 220,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxes additionnelles pour la recherche</p> </td> <td style="width: 103px;"> <p>1 684,12 $</p> </td> <td style="width: 85px;"> <p>2 220,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe d’examen préliminaire</p> </td> <td style="width: 103px;"> <p>842,06 $</p> </td> <td style="width: 85px;"> <p>1 110,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxes additionnelles pour l’examen</p> </td> <td style="width: 103px;"> <p>842,06 $</p> </td> <td style="width: 85px;"> <p>1 110,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Taxe nationale de base</p> </td> <td style="width: 103px;"> <p>421,02 $</p> </td> <td style="width: 85px;"> <p>555,00 $</p> </td> </tr> <tr> <td style="width: 301px;"> <p>Rétablissement des droits</p> </td> <td style="width: 103px;"> <p>210,51 $</p> </td> <td style="width: 85px;"> <p>277,00 $</p> </td> </tr> </tbody> </table> <h3>Dessins industriels</h3> <table width="489"> <tbody> <tr> <td style="width: 307px;"> <p><strong>Procédure</strong></p> </td> <td style="width: 97px;"> <p><strong>Droits de 2023</strong></p> </td> <td style="width: 85px;"> <p><strong>Droits de 2024</strong></p> </td> </tr> <tr> <td style="width: 307px;"> <p>Demande d’enregistrement</p> </td> <td style="width: 97px;"> <p>430,30 $</p> </td> <td style="width: 85px;"> <p>567,00 $</p> </td> </tr> <tr> <td style="width: 307px;"> <p>Maintien du droit exclusif</p> </td> <td style="width: 97px;"> <p>376,50 $</p> </td> <td style="width: 85px;"> <p>496,00 $</p> </td> </tr> <tr> <td style="width: 307px;"> <p>Inscription d’un transfert</p> </td> <td style="width: 97px;"> <p>100,00 $</p> </td> <td style="width: 85px;"> <p>125,00 $</p> </td> </tr> <tr> <td style="width: 307px;"> <p>Rétablissement</p> </td> <td style="width: 97px;"> <p>215,14 $</p> </td> <td style="width: 85px;"> <p>284,00 $</p> </td> </tr> <tr> <td style="width: 307px;"> <p>Avancement de l’examen</p> </td> <td style="width: 97px;"> <p>537,87 $</p> </td> <td style="width: 85px;"> <p>709,00 $</p> </td> </tr> </tbody> </table> <h3>Droit d’auteur</h3> <table width="489"> <tbody> <tr> <td style="width: 307px;"> <p><strong>Procédure</strong></p> </td> <td style="width: 97px;"> <p><strong>Frais de 2023</strong></p> </td> <td style="width: 85px;"> <p><strong>Frais de 2024</strong></p> </td> </tr> <tr> <td style="width: 307px;"> <p>Demande d’enregistrement</p> </td> <td style="width: 97px;"> <p>50,00 $</p> </td> <td style="width: 85px;"> <p>63,00 $</p> </td> </tr> <tr> <td style="width: 307px;"> <p>Enregistrement d’une cession d’un droit d’auteur ou d’une licence relative à un droit d’auteur</p> </td> <td style="width: 97px;"> <p>65,00 $</p> </td> <td style="width: 85px;"> <p>81,00 $</p> </td> </tr> </tbody> </table> <h2>Principaux points à retenir</h2> <p>Compte tenu de ces hausses de frais à venir, les titulaires de droits de propriété intellectuelle canadienne pourraient envisager de prendre certaines mesures en 2023 pour éviter de payer les hausses de frais en 2024.</p> <p>Pour les marques de commerce :</p> <ul> <li>Les demandeurs auraient avantage à déposer de nouvelles demandes à l’automne 2023, si possible;</li> <li>Les titulaires peuvent, dans la mesure du possible, s’occuper de la classification de Nice et du renouvellement de tout enregistrement de marque de commerce arrivant à échéance. Les droits de renouvellement ne peuvent être déposés que dans les six mois précédant l’expiration de la période initiale d’enregistrement, mais il existe une exception à cette règle pour le premier renouvellement des enregistrements antérieur au 17 juin 2019 qui est effectué après cette date.</li> </ul> <p>Pour les brevets :</p> <ul> <li>Les auteurs de demandes de brevets internationaux PCT en instance pourraient entreprendre la phase nationale au Canada en 2023 (plutôt que d’attendre la date limite de 30 mois).</li> <li>Les auteurs de demandes de brevet en instance au Canada pourraient demander un examen en 2023 ou payer des taxes annuelles de maintien en état en 2023.</li> </ul> <p>Si vous souhaitez discuter en détail de votre portefeuille de propriété intellectuelle afin de déterminer les mesures à prendre avant la hausse des droits, n’hésitez pas à communiquer avec l’un des membres de notre groupe de pratique en droit de la Propriété intellectuelle.</p> <p><em>L’auteur aimerait remercier Amy Williams, stagiaire étudiante en droit du bureau de Stikeman Elliott à Ottawa, pour sa collaboration.</em></p>14-Aug-2023 06:57:00{6E483435-6AB4-4843-84BB-7C72E7DE0901}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/Limite--utilisation-marques-commerce-deposees-publicites-comparativesKevin K. Grahamhttps://stikeman.com/fr-ca/equipe/g/kevin-grahamDroit canadien des technologies et de la propriété intellectuelleLimite à l’utilisation de marques de commerce déposées dans des publicités comparatives<p><strong>Introduction</strong></p> <p>L’article 22 de la <em>Loi sur les marques de commerce</em> (Canada) interdit l’utilisation d’une marque de commerce déposée « d’une manière susceptible d’entraîner la diminution de la valeur de l’achalandage attaché à cette marque de commerce ».</p> <p>La Cour fédérale a récemment rendu sa décision tant attendue dans l’affaire <em>Energizer Brands, LLC and Energizer Canada Inc. v. The Gillette Company et al.</em> (<a rel="noopener noreferrer" href="https://decisions.fct-cf.gc.ca/fc-cf/decisions/en/523777/1/document.do" target="_blank">2023 FC 804</a>). Même si l’article 22 a été promulgué il y a presque 70 ans, cette décision représente l’un des rares cas d’examen détaillé de l’application des dispositions relatives à la diminution de la valeur de l’achalandage de l’article 22 dans le contexte de publicités comparatives.</p> <h2><strong>Contexte</strong></h2> <p>Dans le cadre de cette action, Energizer a réclamé des dommages-intérêts contre The Gillette Company et plusieurs membres de son groupe (collectivement « Duracell ») en raison d’une campagne de publicité comparative. Dans le cadre de la campagne, Duracell a vendu des piles dans des emballages affichant des autocollants qui comportaient des allégations relatives à la performance des piles de Duracell par rapport à celles d’Energizer. Trois déclarations différentes figuraient sur les autocollants : la première faisait directement référence aux marques déposées ENERGIZER et ENERGIZER MAX d’Energizer, la deuxième utilisait l’expression « [TRADUCTION] la marque du lapin » (la « marque du lapin ») (une référence indirecte à l’emblématique mascotte d’Energizer, qui faisait l’objet de plusieurs enregistrements de marques de commerce) et la troisième faisait uniquement référence à « [TRADUCTION] l’autre marque concurrente la plus populaire » (l’« autre marque concurrente la plus populaire »). Energizer a affirmé que chaque version des autocollants violait l’article 22 de la <em>Loi sur les marques de commerce</em>.</p> <p>Energizer a également prétendu que la campagne de publicité comparative de Duracell comportait des déclarations fausses ou trompeuses en violation des dispositions de la <em>Loi sur les marques de commerce</em> et de la <em>Loi sur la concurrence</em>.</p> <h2><strong>Analyse</strong></h2> <p>La Cour a rejeté les prétentions d’Energizer selon lesquelles la publicité de Duracell comportait des déclarations fausses ou trompeuses, ainsi que ses allégations de dépréciation de l’achalandage relatives à l’utilisation des expressions « la marque du lapin » et « l’autre marque concurrente la plus populaire » dans la publicité comparative. Cependant, Energizer a eu gain de cause en ce qui concerne son allégation de dépréciation de l’achalandage relative à l’utilisation d’autocollants apposés sur les piles de Duracell qui indiquaient que les piles de Duracell duraient plus longtemps que les piles ENERGIZER ou ENERGIZER MAX comparables.</p> <p>Comme l’a indiqué la Cour suprême du Canada dans l’arrêt <em>Veuve Clicquot Ponsardin c. Boutiques Cliquot Ltée</em>, <a rel="noopener noreferrer" href="https://scc-csc.lexum.com/scc-csc/scc-csc/en/2295/1/document.do" target="_blank">2006 CSC 23</a>, un demandeur doit satisfaire à un critère à quatre volets pour que soit accueillie son action pour dépréciation de l’achalandage fondée sur l’article 22. Le demandeur doit faire la preuve des éléments suivants : (i) le défendeur a utilisé la marque de commerce déposée du demandeur avec des biens ou des services (peu importe qu’ils entrent en concurrence avec ceux du demandeur); (ii) la marque de commerce déposée du demandeur est suffisamment connue pour que l’achalandage qui y est attaché soit appréciable (bien qu’il n’y ait pas d’exigence que la marque soit connue ou célèbre); (iii) l’utilisation de la marque par le défendeur était susceptible d’avoir une incidence sur l’achalandage (c’est-à-dire qu’il y avait un lien); (iv) l’incidence probable est d’entraîner la dépréciation ou de causer un dommage à la valeur de l’achalandage.</p> <p>La Cour a conclu que les autocollants qui affichaient ENERGIZER et ENERGIZER MAX utilisaient les marques d’Energizer et que l’achalandage attaché aux marques de commerce était considérable; en outre, elle a estimé que « [TRADUCTION] la marque de commerce ENERGIZER est une marque bien connue, voire célèbre ». En ce qui concerne les deux derniers volets du critère, bien que la Cour ait noté que les éléments de preuve ne contenaient pas de « [TRADUCTION] données primaires » sur la façon dont les clients réagissaient réellement aux autocollants, la Cour a estimé que les autocollants étaient des exemples de marques de commerce « [TRADUCTION] dont l’emploi inconsidéré a fait perdre le contrôle à leur propriétaire et affaibli le caractère distinctif » dans des circonstances où « [TRADUCTION] la jurisprudence ne permet pas leur utilisation par des tiers sans consentement, par exemple sur des emballages de tiers ». Par conséquent, à la suite de la décision rendue antérieurement dans l’arrêt <em>Clairol International Corp. et al. c. Thomas Supply and Equipment Co.,</em> la Cour a conclu qu’Energizer avait vraisemblablement démontré une dépréciation de l’achalandage de ses marques de commerce déposées ENERGIZER et ENERGIZER MAX d’une manière prévue à l’article 22.</p> <p>En ce qui concerne les mesures de réparation, la Cour a refusé d’accorder à Energizer la possibilité de choisir une remise des profits par Duracell parce qu’Energizer n’avait pas démontré de lien de causalité entre la présence des autocollants contestés sur l’emballage de Duracell et les profits réalisés par Duracell sur la vente de ces piles. Cependant, même si la Cour était d’avis qu’Energizer n’avait « [TRADUCTION] pas subi de perte mesurable sous forme de part de marché » en raison des autocollants, elle a néanmoins accordé 179 000 $ CA en dommages-intérêts, ce qui représente un montant équitable compte tenu de la nécessité de dissuader l’« emploi inconsidéré » des marques de commerce déposées d’Energizer. La Cour a également accordé une injonction permanente.</p> <p>En rejetant l’allégation de dépréciation de l’achalandage pour l’utilisation de l’expression « la marque du lapin », la Cour a noté qu’il n’y avait aucune preuve qu’un autre concurrent dans le domaine des piles utilisait un lapin ou un dessin de lapin comme marque de commerce. En conséquence, la Cour a conclu que l’utilisation de l’expression « la marque du lapin » était une référence abrégée au lapin Energizer. Toutefois, la Cour a également estimé que ces conclusions ne « [TRADUCTION] répondaient pas pleinement à la question du lien » au titre du troisième volet du critère. La Cour a conclu qu’il était peu probable que le consommateur moyen pressé fasse une pause au présentoir de piles du magasin qui soit suffisamment longue pour lui permettre de lire l’autocollant et de remarquer la référence à « la marque du lapin », qui était en caractères beaucoup plus petits que ceux de la marque DURACELL et des autres caractéristiques plus importantes sur l’étiquette. En outre, la Cour a jugé que pour établir un lien, il faudrait que le consommateur passe par des étapes mentales supplémentaires lorsqu’il est confronté à l’expression indirecte « la marque du lapin » (contrairement à la référence directe aux marques ENERGIZER et ENERGIZER MAX). Par conséquent, la Cour a conclu que Duracell « [TRADUCTION] n’employait pas de façon inconsidérée une marque Energizer » et qu’en l’absence de preuve de réaction du consommateur à l’autocollant, elle ne pouvait conclure que Duracell avait causé la dépréciation de l’achalandage pour une des marques de commerce déposées du lapin Energizer.</p> <p>La Cour n’a pas non plus été convaincue qu’il existait une probabilité de dépréciation de l’achalandage dans les marques de commerce déposées d’Energizer en raison de l’utilisation par Duracell de l’expression « l’autre marque concurrente la plus populaire » sur les autocollants. La Cour a estimé qu’il n’y avait aucune preuve que le consommateur moyen pressé allait remarquer les détails sur l’étiquette plutôt chargée, au-delà des autres caractéristiques plus importantes. La Cour a également estimé que les éléments de preuve n’ont pas permis d’établir que l’expression « l’autre marque concurrente la plus populaire » comprend un aspect distinctif d’une marque de commerce déposée d’Energizer ou peut être confondue avec une telle marque, et que l’expression n’était pas suffisamment semblable à une des marques de commerce d’Energizer pour en évoquer une chez un consommateur pressé.</p> <h2><strong>Principaux points à retenir</strong></h2> <p>La décision de la Cour fédérale donne des indications sur les risques d’afficher les marques de commerce d’un concurrent dans des allégations de publicité comparative lorsque celles-ci sont affichées sur l’emballage d’un produit.</p> <p> </p> <p><em>L’auteur tient à souligner le soutien et l’aide de Sinead Dunne, étudiante pour la période d’été au bureau d’Ottawa de Stikeman Elliott</em><em>.</em></p>14-Aug-2023 06:39:00{B1FAFF1D-0557-4D28-A535-4AA2459D798E}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/desindexation-de-documents-diffamatoires-cinq-conclusions-a-tirer-d-une-decision-recente-de-la-cour-superieure-du-quebecDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéDésindexation de documents diffamatoires : Cinq conclusions à tirer d’une décision récente de la Cour supérieure du Québec<p><strong>Le 28 mars 2023, près de six mois avant que le droit de demander la désindexation ne prenne effet au Québec, la Cour supérieure du Québec a ordonné à Google de verser 500 000 $ à A.B., un important homme d’affaires du Québec, pour avoir omis de désindexer un site qui contenait des documents diffamatoires. Les documents, qui avaient été affichés sur un site accessible au moyen du moteur de recherche de la défenderesse, ont considérablement terni la réputation de A.B. au Canada et aux États-Unis. Après avoir appris l’existence de ces documents en 2007, A.B. a demandé à plusieurs reprises à la défenderesse de retirer les liens qui y menaient de son moteur de recherche. À l’origine, la défenderesse s’est conformée à la demande, mais pour son moteur de recherche canadien uniquement. Elle a finalement réindexé les documents en 2011, après quoi ils sont redevenus accessibles au Canada.</strong></p> <p>Même si la décision <a rel="noopener noreferrer" href="https://www.canlii.org/en/qc/qccs/doc/2023/2023qccs1167/2023qccs1167.html" target="_blank"><em><em>A.B</em></em>. <em><em>v.</em></em> <em><em>Google</em></em></a> (2023 QCCS 1167) ne porte pas à proprement parler sur le droit de demander la désindexation prévu par la <em><em>Loi sur la protection des renseignements personnels dans le secteur privé</em></em> (la « <strong><strong>LPRPSP</strong></strong> »), elle permet de tirer les conclusions suivantes au sujet des prestataires de services de référence technologiques (les « <strong><strong>prestataires de services</strong></strong> ») qui exercent des activités au Québec :</p> <ol> <li>La <a rel="noopener noreferrer" href="https://www.canlii.org/fr/qc/legis/lois/rlrq-c-c-1.1/derniere/rlrq-c-c-1.1.html" target="_blank"><em><em>Loi concernant le cadre juridique des technologies de l'information</em></em></a> (la « <strong><strong>LCCJTI</strong></strong>») concerne de plus en plus les prestataires de services et les entreprises qui exercent des activités au Québec;</li> <li>Les prestataires de services sont tenus de se conformer aux normes qu’ils s’imposent dans leurs déclarations publiques;</li> <li>Le géoblocage ne limite pas nécessairement les dommages subis dans un cas de diffamation;</li> <li>Le fait qu’Internet contienne beaucoup d’informations peu fiables ne diminue pas l’effet de la diffamation en ligne;</li> <li>En l’espèce, la décision du tribunal n’a pas pour effet d’ouvrir grand la porte aux affaires portant sur le droit de demander la désindexation.</li> </ol> <p>Nous allons analyser chacun des éléments décrits ci-après.</p> <h2><strong>1. La LCCJTI concerne les prestataires de services et les entreprises qui exercent des activités au Québec</strong></h2> <p>La LCCJTI est au cœur de la décision <em><em>A.B</em></em>. <em><em>v. Google</em></em>, plus précisément la deuxième partie de son article 22, selon laquelle le prestataire de services qui agit à titre d’intermédiaire peut engager sa responsabilité s’il a connaissance du fait que les services qu’il fournit servent à la réalisation d’une activité à caractère illicite et qu’il ne cesse pas promptement de les fournir. Par conséquent, même si dans des circonstances normales l’intermédiaire n’est pas responsable des activités auxquelles ses utilisateurs prennent part, il est tenu d’agir s’il a connaissance du caractère illicite de ces activités. </p> <p>Par ailleurs, la décision du juge Hussain souligne la pertinence croissante de la LCCJTI. La LCCJTI, qui a été adoptée en 2001, est demeurée dans l’ombre de la LPRPSP en ce qui concerne l’évaluation de l’incidence de la Loi 25, qui met à jour la législation sur la protection des renseignements personnels du Québec. Par exemple, même si elles n’ont pas d’incidence en l’espèce, la LCCJTI contient des dispositions qui ont été modifiées par la Loi 25, comme l’obligation de divulguer, avant son déploiement, l’utilisation d’une technologie de traitement des données biométriques aux fins d’identification à la <a rel="noopener noreferrer" href="https://www.cai.gouv.qc.ca/plan-du-site/" target="_blank"><em><em>Commission d’accès à l’information</em></em></a> (la « <strong><strong>CAI </strong></strong>»), l’autorité du Québec responsable de la protection des données. Cette obligation est tout à fait unique au Canada et présente des défis pour les entités pancanadiennes qui ont déjà déployé une technologie d’authentification ou d’identification fondée sur la biométrie sans l’avoir préalablement divulguée à la CAI.</p> <h2><strong>2. Les prestataires de services seront tenus responsables de leurs déclarations publiques </strong></h2> <p>La tactique gagnante contre la défenderesse a été d’affirmer que celle-ci invoquait ses propres déclarations publiques et de soumettre des déclarations de témoins qui ont défendu le soin que la défenderesse accordait à procurer de l’information adéquate aux utilisateurs. La Cour a conclu que l’image d’éditeur de contenu responsable créée par ces déclarations était incompatible avec la façon dont la défenderesse se qualifiait elle-même d’intermédiaire neutre et non responsable de l’information qui transitait par ses serveurs.</p> <h2><strong>3. Le géoblocage n’atténue pas nécessairement l’impact de la diffamation</strong></h2> <p>Le juge Hussain n’a pas accepté l’argument de la défenderesse selon lequel les dommages causés à la réputation du demandeur ont été atténués par l’utilisation du géoblocage. La défenderesse a prétendu que plus de 99 % des recherches effectuées par les Canadiens étaient dirigées vers des sites canadiens qui n’ont pas eu accès à l’information diffamatoire avant 2011. Selon la Cour, puisque les gens d’affaires non canadiens pouvaient utiliser la technologie VPN liée aux moteurs de recherche de leurs pays d’origine, le géoblocage a pu être facilement contourné. Aussi, le géoblocage n’a pas circonscrit les effets de la diffamation à un lieu particulier. Cette conclusion rend compte de la solidité de la preuve présentée par la défenderesse dans ce cas particulier et ne doit pas être interprétée comme un rejet pur et simple de la pertinence du géoblocage dans les affaires de diffamation en ligne, mais elle vaut tout de même la peine d’être soulignée.</p> <h2><strong>4. La qualité inégale de l’information qui circule sur Internet ne diminue pas la faute d’un défendeur </strong></h2> <p>La Cour a refusé de souscrire à l’opinion selon laquelle l’importante quantité d’informations inexactes qui circule sur Internet atténue la faute d’un défendeur dans le cadre d’une poursuite en diffamation. Le juge Hussain a écrit ce qui suit :</p> <p><em>[Traduction] « Le droit québécois de la diffamation ne prévoit pas que la faute doit être atténuée par le fait que le contenu diffamatoire en question se retrouve dans un environnement dans lequel il y a aussi du contenu diffamatoire sur d'autres personnes. La victime de la diffamation n'est pas victime d'une faute moins importante parce qu'il existe d'autres victimes d'autres fautes ».</em></p> <h2><strong>5. <em><em>A.B.</em></em> <em><em>v. Google</em></em> n’ouvre pas grand les portes au droit à l’oubli ou à la demande de désindexation </strong></h2> <p>Le juge Hussain a souligné que <em><em>A.B</em></em>. <em><em>v. Google</em></em> est une affaire qui concerne l’échec d’un prestataire de services à prendre les mesures nécessaires pour rendre ses services indisponibles à un utilisateur qui en fait un usage illicite. Selon lui, cette affaire ne constitue pas un précédent en matière de droit à la désindexation ou de droit à l’oubli.</p> <p>Même si la décision <em><em>A.B.</em></em> <em><em>v. Google</em></em> pourrait être ultérieurement citée dans des affaires de droit à la désindexation, il s’agit avant tout d’une affaire qui concerne la LCCJTI. Cette affaire donne également des indications sur la façon dont les tribunaux interpréteront des arguments qui sont fréquemment invoqués dans les affaires de diffamation.</p>14-Jun-2023 02:23:00{080EF81D-84F6-4FF6-A053-9E902590C95A}https://stikeman.com/fr-ca/savoir/droit-a-la-vie-privee-protection-des-renseignements-personnels-et-cybersecurite/defis-lies-a-la-vie-privee-et-a-la-reglementation-etatique-Danielle-Miller-Olofsson-discute-des-repercussionsProtection des renseignements personnels et cybersécuritéDroit canadien des technologies et de la propriété intellectuelleDéfis liés à la vie privée et à la réglementation étatique : Danielle Miller Olofsson discute des répercussions de la technologie et de l’IA sur les renseignements personnels<p><a rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/equipe/m/danielle-miller-olofsson" target="_blank">Danielle Miller Olofsson</a>, avocate senior du groupe Droit des affaires, a discuté avec Peter Carr, animateur du balado <em>Impact of Information Systems on Society</em>, des préoccupations croissantes liées aux répercussions actuelles d’Internet et de la technologie sur notre vie privée, compte tenu, en particulier, de la place croissante qu’occupe l’intelligence artificielle dans nos vies quotidiennes.</p> <p>Dans cet épisode, Danielle formule des commentaires sur les sujets suivants :</p> <ul> <li>La distinction à établir entre la « protection de la vie privée » et les « renseignements personnels » et les différents types de « protection de la vie privée » et de « renseignements personnels »</li> <li>Les modes de collecte des renseignements personnels en ligne</li> <li>Les huit principes de réglementation</li> <li>L’influence de la technologie sur nos renseignements personnels</li> <li>Les répercussions croissantes de l’intelligence artificielle</li> <li>Les réglementations et les législations étatiques (en Europe, en Asie et en Amérique du Nord)</li> <li>Les facteurs et les stratégies d’avenir</li> </ul> <p>Écoutez la version intégrale de l’entrevue de Danielle ici : <a rel="noopener noreferrer" href="https://can01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fimpactofinformationsystemsonsociety.wordpress.com%2F2023%2F05%2F18%2Fprivacy-challenges-and-regulation-danielle-miller-olofsson%2F&data=05%7C01%7CENaufal%40stikeman.com%7C3cc2c46a08d0416f281408db612edc1b%7C394646dfa1184f83a4f46a20e463e3a8%7C0%7C0%7C638210626113086256%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=%2BRCe3yYbXRS1TfaD3CJZsDfaDVgce9TgjsSnen0FaUc%3D&reserved=0" target="_blank">Privacy Challenges and Regulation – Danielle Miller Olofsson – Impact of Information Systems on Society (wordpress.com)</a>.</p>30-May-2023 09:25:00{0B0CA65A-4412-4B24-B241-F204B60C16A1}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/linextricable-echeveau-de-la-protection-de-la-vie-privee-et-de-la-concurrence-David Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderTessa Martelhttps://stikeman.com/fr-ca/equipe/m/tessa-martelDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéL’inextricable écheveau de la protection de la vie privée et de la concurrence : le commissaire à la protection de la vie privée présente un mémoire dans le cadre des consultations sur l’avenir de la politique de la concurrence au Canada<p><strong><span>En réaction aux consultations sur l’avenir de la politique de la concurrence au Canada, le commissaire à la protection de la vie privée du Canada a recommandé d’apporter deux modifications à la <em>Loi sur la concurrence </em>: (i) le Commissariat à la protection de la vie privée et le Bureau de la concurrence devraient être autorisés par la loi à collaborer dans le cadre d’examens et d’autres questions de conformité; (ii) la <em>Loi sur la concurrence</em> devrait définir et interdire les pièges à utilisateurs (ou interfaces truquées) qui portent atteinte à la concurrence.</span></strong></p> <h2>Contexte</h2> <p>En tant que défenseur du droit des Canadiens à la protection de la vie privée, le commissaire à la protection de la vie privée du Canada (le « <strong>commissaire à la protection de la vie privée</strong> ») contribue au moyen de mémoires écrits aux processus de consultation d’autres organismes gouvernementaux. Le 20 mars 2023, le commissaire à la protection de la vie privée a remis au ministre de l’Innovation, des Sciences et du Développement économique du Canada (« <strong>ISDE </strong>») des recommandations en réaction aux <a rel="noopener noreferrer" href="https://ised-isde.canada.ca/site/secteur-politique-strategique/fr/politique-dencadrement-marche/politique-concurrence/consultations-lavenir-politique-concurrence-canada" target="_blank">consultations sur l’avenir de la politique de la concurrence au Canada</a> (les « <strong>consultations</strong> ») visant à souligner les recoupements croissants observés entre la protection de la vie privée et la concurrence et la façon dont les modifications apportées à la <em>Loi sur la concurrence</em> pourraient avoir des répercussions sur la vie privée des Canadiens.</p> <p>Les consultations ont été lancées en novembre 2022 afin de recueillir le point de vue des Canadiens sur des modifications plus larges à la <em>Loi sur la concurrence</em> au Canada. À l’origine, les consultations ont été lancées après l’entrée en vigueur d’importantes modifications à la <em>Loi sur la concurrence</em> en juin 2022, qui avaient été intégrées à un projet de loi omnibus, la <a rel="noopener noreferrer" href="https://parl.ca/legisinfo/fr/projet-de-loi/44-1/c-19" target="_blank"><em>Loi no 1 d'exécution du budget de 2022</em></a><em>. </em>Ces modifications législatives sont résumées dans le <a rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/savoir/droit-canadien-concurrence/publication-des-modifications-a-la-loi-sur-la-concurrence-de-la-premiere-etape-le-canada-se-rallie-a-la-communaute-occidental" target="_blank">billet de blogue</a> de nos collègues.</p> <p>L’inclusion de modifications importantes à la <em>Loi sur la concurrence</em> dans une loi budgétaire signifie que les commentaires des intervenants externes n'ont pas été examinés au cours du processus législatif. De nombreux membres de la communauté de la concurrence canadienne ont critiqué cette méthode et le commissaire à la protection de la vie privée a lui aussi fait part de sa désapprobation et déclaré qu’il « compte donner [son] avis à cet égard lorsqu’[il] sera invité à le faire pendant l’examen que mènera le Parlement des projets de loi en question ».</p> <h2>Recommandations</h2> <p>Dans son mémoire, le commissaire à la protection de la vie privée a formulé deux recommandations :</p> <ol> <li>Pour éviter les recoupements en matière de réglementation, appuyer les mandats de chacun, surmonter tout problème possible qui pourrait survenir pour assurer la compétitivité des marchés tout en protégeant le droit à la vie privée des citoyens canadiens, et obtenir des résultats pour le public dans un environnement réglementaire de plus en plus complexe, le Commissariat à la protection de la vie privée (le « <strong>CPVP</strong>») et le Bureau de la concurrence (le « <strong>Bureau</strong> ») devraient être autorisés par la loi à collaborer dans le cadre d’examens, d’investigations et d’autres questions de conformité officielles.</li> <li>Étant donné qu’il existe d’autres risques qui concernent à la fois la protection de la vie privée et la concurrence dans l’économie numérique, les lois devraient chercher à mieux définir et à interdire plus sévèrement les pièges à utilisateurs (ou interfaces truquées), qui ont des effets sur le marché, de la même façon que d’autres territoires le font dans le monde, afin de s’attaquer aux préjudices qui sont causés sur les plans de la concurrence et de la protection de la vie privée.</li> </ol> <p> </p> <h3>Collaboration accrue</h3> <p>Dans son mémoire, le commissaire à la protection de la vie privée a reconnu que les domaines de la concurrence et de la protection de la vie privée se recoupent de plus en plus et il a fait valoir que cette tendance exige une « collaboration accrue entre les différents organismes de protection de la vie privée et de la concurrence ». L’inclusion de la protection de la vie privée en tant que facteur non lié au prix de l’analyse de la concurrence permet de reconnaître la façon dont les consommateurs d’un service « gratuit » pourraient, dans un environnement numérique, « payer » au moyen de leurs données personnelles et comportementales.</p> <p>Actuellement, le CPVP n’est pas en mesure de collaborer officiellement avec le Bureau dans le cadre d’enquêtes ou de lui transmettre des renseignements pertinents. Dans son mémoire, le commissaire à la protection de la vie privée observe que son enquête de 2016 sur l’atteinte à la vie privée d’Ashley Madison met en évidence les incohérences de la législation sur l’enjeu de la collaboration, puisque le CPVP a été en mesure d’échanger avec la United States Federal Trade Commission des renseignements qu’il n’aurait pas été autorisé à échanger avec le Bureau en raison de limites législatives « nationales ». Le commissaire à la protection de la vie privée, qui mentionne le <a rel="noopener noreferrer" href="https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/memoires-presentes-dans-le-cadre-de-consultations/sub_sen-ont_211221/" target="_blank">mémoire qu’il a présenté dans le cadre de la consultation du sénateur Howard Wetston</a> en 2021, observe que cette collaboration interréglementaire entre le Bureau et le CPVP assurerait une « approche globale et uniforme en matière de réglementation numérique au profit de marchés compétitifs, à l’avantage des consommateurs et de leur droit à la vie privée ». Le commissaire à la protection de la vie privée fait valoir que l’absence de collaboration entre le CPVP et le Bureau pourrait entraîner des décisions réglementaires contradictoires qui favorisent la concurrence au détriment de la vie privée ou vice versa.</p> <h3>Définition des pièges à utilisateurs (ou interfaces truquées)</h3> <p>La seconde recommandation du commissaire à la protection de la vie privée consiste à définir et à interdire les pièges à utilisateurs (ou interfaces truquées). Les pièges à utilisateurs (ou interfaces truquées) sont un nouveau concept généralement défini comme des pratiques de conception visant à tromper ou à manipuler les utilisateurs afin qu’ils fassent des choix qu’ils n’auraient pas faits autrement. Les pièges à utilisateurs (ou interfaces truquées) sont liés aux enjeux de protection de la vie privée lorsque, par exemple, une conception sert à « faciliter l’adhésion des utilisateurs à des réglages pouvant porter atteinte à leur vie privée et faire en sorte qu’il soit difficile d’annuler un service ou de le refuser ». Même si les lois sur la protection de la vie privée canadiennes actuelles réglementent dans une certaine mesure les pièges à utilisateurs (ou interfaces truquées), le commissaire à la protection de la vie privée fait valoir la nécessité de les définir expressément dans la <em>Loi sur la concurrence</em> afin de « fournir des précisions et une certitude à l’égard de ces questions, et de permettre une application rigoureuse de la <em>Loi </em>». Les homologues internationaux du Canada portent également attention au rôle et aux répercussions des pièges à utilisateurs (ou interfaces truquées). Par exemple, aux États-Unis, la Federal Trade Commission a publié un <a rel="noopener noreferrer" href="https://www.ftc.gov/system/files/ftc_gov/pdf/P214800%20Dark%20Patterns%20Report%209.14.2022%20-%20FINAL.pdf" target="_blank">rapport</a> sur les pièges à utilisateurs (ou interfaces truquées) et, au Royaume-Uni, la Competition and Markets Authority a publié deux <a rel="noopener noreferrer" href="https://www.gov.uk/government/publications/online-choice-architecture-how-digital-design-can-harm-competition-and-consumers" target="_blank">articles</a> sur les pièges à utilisateurs (ou interfaces truquées) et les préjudices éventuels qu’ils pourraient causer.</p> <h2>Prochaines étapes</h2> <p>Le délai accordé au public pour formuler des commentaires dans le cadre des consultations a pris fin le 31 mars 2023. ISDE examine maintenant les commentaires recueillis et publiera ses conclusions et les prochaines étapes sur son <a rel="noopener noreferrer" href="https://ised-isde.canada.ca/site/secteur-politique-strategique/fr/politique-dencadrement-marche/politique-concurrence/consultations-lavenir-politique-concurrence-canada" target="_blank">site Web</a>.</p> <p>« <em>Cet article a été republié par LexisNexis Canada dans l'édition de juin 2023 de la Revue canadienne du droit de la vie privée.</em> »</p>11-Apr-2023 03:31:00{F1B1B8FF-763A-4B3C-AED2-B120EE6EE7E9}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/la-loi-25-du-quebec-et-la-protection-de-la-vie-privee-des-la-conception-cinq-elements-a-prendre-en-compteDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéLa loi 25 du Québec et la protection de la vie privée « dès la conception » : cinq éléments à prendre en compte lors de la configuration de systèmes d’information<p><strong>La majeure partie des modifications apportées par la « loi 25 <em>» à la Loi sur la protection des renseignements personnels dans le secteur privé</em> du Québec (la « LPRPSP ») prennent effet le 22 septembre 2023. Dans un <a href="https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/cinq-tendances-a-suivre-en-matiere-de-protection-de-la-vie-privee-en-2023" target="_blank">précédent billet</a>, nous avons analysé les politiques et les pratiques internes que ces modifications nécessitent. Ce billet s’intéresse particulièrement à quatre configurations des systèmes d’information que les entreprises du Québec doivent respecter afin de se conformer à la loi 25. Il faut notamment s’assurer : (i) de désactiver les paramètres de confidentialité par défaut, (ii) de permettre la désactivation facile des paramètres de profilage, (iii) de l’existence d’une inscription exacte des renseignements personnels, et (iv) que les systèmes peuvent détruire et anonymiser les renseignements personnels dont on n’a plus besoin. Ce billet traite également d’une cinquième obligation – souvent négligée, mais de plus en plus pertinente – qui concerne les données biométriques.</strong></p> <h2>Désactiver les paramètres de confidentialité par défaut</h2> <p>À compter de septembre 2023, le nouvel article 9.1 de la LPRPSP obligera les entreprises qui recueillent des renseignements personnels en offrant un produit ou un service technologique à « s’assurer que, par défaut, les paramètres de ce produit ou de ce service assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée ». Cette obligation ne s’applique pas aux témoins utilisés comme indicateurs de connexion. Concrètement, cela signifie que la personne doit activer les fonctions de traçage incluses dans le service ou le produit. Par défaut, l’entreprise qui offre le bien ou le service doit désactiver les fonctions de traçage.</p> <h2>Divulguer le profilage</h2> <p>Conformément au point précédent, les entreprises qui se servent de la technologie aux fins d’identification, de localisation ou de profilage d’une personne devront communiquer, dans leur politique de protection des renseignements personnels, non seulement qu’elles se livrent à une telle activité, mais aussi la façon dont leur technologie de profilage peut être activée (probablement pour que la personne qui ne souhaite pas faire l’objet d’un profilage puisse désactiver la fonction de profilage). L’article 8.1 mentionne clairement que la transparence recherchée s’applique aussi à la surveillance en milieu de travail. Il dispose expressément que le « profilage » « s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne ».</p> <p>Par conséquent, à compter de septembre 2023, les entreprises devront faire preuve de transparence au sujet de l’ensemble de la technologie qu’elles déploient pour surveiller les personnes, y compris les employés du Québec. Les entreprises devront vraisemblablement veiller à ce que la technologie en question soit configurée afin d’en permettre la désactivation sur demande de la personne concernée.</p> <h2>Savoir où se trouvent les renseignements personnels</h2> <p>Même si le fait de donner suite, dans les trente jours, à la demande d’accès à un renseignement personnel d’une personne, ou de correction de celui-ci, n’est pas nouveau, l’ajout de nouveaux droits individuels (notamment le droit à la mobilité des données et à la désindexation) et l’obligation d’aviser toutes les personnes touchées par un incident de confidentialité obligent les entreprises à savoir où leurs renseignements personnels sont conservés et à savoir qui y a accès. Les systèmes d’information d’une entreprise doivent être pleinement intégrés et configurés afin de permettre : (i) l’accès facile à <strong>tous</strong> les renseignements personnels nécessaires à l’exécution d’une obligation de divulgation et (ii) la mise à jour et la destruction complètes des renseignements à l’échelle de l’organisation. Bien qu’il ne soit pas obligatoire pour les entreprises du secteur privé, le mappage des données est un outil efficace permettant d’acquérir et de conserver la trace du lieu dans lequel les renseignements personnels sont stockés.</p> <h2>Détruire et anonymiser les données</h2> <p>La capacité de détruire et d’anonymiser les données (notamment les renseignements personnels) dont on n’a plus besoin constitue une quatrième obligation en matière de configuration des systèmes d’information. À compter de septembre 2023, la loi 25 exigera l’anonymisation ou la destruction des renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies. Même si la question de l’anonymisation est controversée – puisque sur le plan technologique une véritable anonymisation est impossible – et que le verbe « dépersonnalisé » aurait mieux reflété les possibilités et les obligations réelles imposées par la loi, les entreprises doivent dorénavant s’assurer que leurs systèmes d’information sont capables de détruire ou d’« anonymiser » les renseignements personnels dont elles n’ont plus besoin.</p> <h2>Biométrie</h2> <p>Même s’il n’est pas nouveau, ce cinquième point constitue un rappel adressé aux entreprises qui envisagent d’utiliser des renseignements biométriques afin d’identifier et d’authentifier une personne physique. La <em>Loi concernant le cadre juridique des technologies de l'information </em>du Québec oblige l’entreprise qui utilise des renseignements biométriques en vue d’identifier et d’authentifier une personne à obtenir le consentement exprès de la personne après avoir divulgué préalablement sa pratique à la <em>Commission d’accès à l’information</em> (le commissariat à la protection de la vie privée du Québec, la « CAI »). L’entreprise doit également aviser la CAI soixante jours avant la mise en service d’une base de données biométrique. En outre, les directives de la CAI sur l’utilisation de la biométrie au travail énoncent que d’autres moyens de s’identifier doivent être offerts aux personnes. Par conséquent, les employeurs ne peuvent s’en remettre exclusivement à l’identification ou à l’authentification biométrique des employés.</p> <p>Outre les politiques et les étapes procédurales, les modifications apportées à la LPRPSP qui prendront effet en septembre 2023 nécessitent des rajustements de configuration aux systèmes d’information. Certains de ces changements pourraient être non négligeables. Les entreprises devraient maintenant commencer à s’occuper de ces rajustements, le cas échéant, afin d’éviter l’imposition de sanctions en septembre.</p>14-Mar-2023 02:02:00{2365A79E-0CE3-48D4-9AD7-E0BE574EA17F}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/protection-des-renseignements-personnels-et-des-donnees-au-canada-apercu-juridiqueDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéActualités - Sociétés et droit commercialProtection des renseignements personnels et des données au Canada : aperçu juridique<p><strong>Les lois canadiennes sur la protection des renseignements personnels et des données sont complexes et évolutives en raison des changements technologiques rapides à l’échelle mondiale et de la structure constitutionnelle fédérale du Canada. Stikeman Elliott a publié dernièrement un <a href="/-/media/files/kh-guides/dbic/se-canada---privacy-law-overview-2023.ashx">aperçu clair et précis</a> (traduction à venir) du droit en matière de protection des renseignements personnels qui sera utile aux conseillers juridiques d’entreprise, aux entrepreneurs et aux autres personnes intéressées par ces questions. David Elder, qui dirige le groupe de pratique du cabinet sur la protection des renseignements personnels et des données, est l’auteur de cet aperçu et une sommité dans ce domaine.</strong></p> <p>Les sujets traités dans la publication sont notamment les suivants :</p> <ul> <li>Les lois sur la protection des renseignements personnels dans le secteur privé, notamment la LPRPDE (la loi fédérale) et ses équivalents en Alberta, en Colombie-Britannique et au Québec;</li> <li>Les questions de compétence qui découlent du système fédéral canadien, notamment les domaines de chevauchement des compétences fédérales et provinciales;</li> <li>Le rôle des commissaires à la protection de la vie privée du fédéral et des provinces;</li> <li>Les mesures réparatoires – ordonnances, amendes et sanctions;</li> <li>Les liens entre le droit canadien en matière de protection des renseignements personnels et la législation des autres pays, notamment le RPGD européen;</li> <li>La portée de la protection « adéquate » du Canada auprès de l’UE et du R.-U.;</li> <li>L’approche fondée sur des principes qui régit les lois sur la protection des renseignements personnels du Canada;</li> <li>Le concept de consentement du droit canadien en matière de protection des renseignements personnels et des données;</li> <li>La déclaration et la notification des atteintes;</li> <li>Les lois sur la protection des renseignements personnels applicables au secteur de la santé et aux entités gouvernementales;</li> <li>Les questions d’impartition et de transfert des données au Canada.</li> </ul> <p>Nous sommes heureux de vous offrir cette <a href="/-/media/files/kh-guides/dbic/se-canada---privacy-law-overview-2023.ashx">publication mise à jour</a> (traduction à venir) et nous attendons comme toujours vos commentaires.</p>01-Mar-2023 08:00:00{98EB1C98-8FCE-4BBE-8C14-BD6E0A55BE87}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/VIDEO-Cybersecurity-Top-TrendsVanessa Coiteuxhttps://stikeman.com/fr-ca/equipe/c/vanessa-coiteuxDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonMarjorie Bouchardhttps://stikeman.com/fr-ca/equipe/b/marjorie-bouchardDroit canadien des technologies et de la propriété intellectuelleVIDÉO : Cybersecurity Top Trends - What to look for in 2023 (bilingue)<p>Dans ce webinaire (en anglais et en français), Vanessa Coiteux, Danielle Miller Olofsson et Marjorie Bouchard discutent des principales tendances dans le domaine de la cybersécurité pour 2023. Elles y présentent des exemples pratiques d’exigences fédérales et provinciales et de la manière dont ces exigences affectent les entreprises canadiennes, qu'elles soient des sociétés ouvertes ou fermées (1 heure, 17 minutes, 16 secondes). </p> <div style="position:relative;height:0;padding-bottom:59.56%;"><iframe title="VIDEO: Cybersecurity Top Trends" style="position:absolute;width=;" 100%;height="100%;left:0'" width="100%" height="100%" src="https://www.youtube.com/embed/TvwKmhqFb6k" frameborder="0" allow="encrypted-media"></iframe></div> <p> </p> <p><a href="https://stikeman.com/fr-ca/savoir/guides/videos-podcasts">> Consultez tout le contenu multimédia de Stikeman Elliott</a></p> <p> </p>01-Mar-2023 03:13:00{6A9F786D-F8FB-4930-A993-62876682773C}https://stikeman.com/fr-ca/savoir/droit-canadien-communications/home-depot-est-epinglee-par-le-commissaire-a-la-protection-de-la-vie-privee-pour-avoir-communique-des-donnees-a-metaDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderDroit canadien des communicationsDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéHome Depot est épinglée par le commissaire à la protection de la vie privée pour avoir communiqué des données à Meta<p><strong>Dans ses récentes <a href="https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2023/lprpde-2023-001/">conclusions, le Commissariat à la protection de la vie privée du Canada (le « CPVP »)</a> a déterminé que Home Depot du Canada inc. (« Home Depot ») n’avait pas obtenu de consentement valable et valide à la communication d’un résumé de renseignements sur les achats à Meta Platforms Inc. (« Meta ») visant à mesurer l’efficacité des publicités Facebook et à atteindre des fins propres à Meta. Les conclusions portent également à croire que Home Depot n’avait pas obtenu de consentement suffisant avant d’utiliser les renseignements des clients à ses propres fins commerciales et analytiques.</strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>Recent <a rel="noopener noreferrer" target="_blank" href="https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2023/pipeda-2023-001/">findings by the Office of the Privacy Commissioner of Canada (“OPC”)</a> found that Home Depot of Canada Inc. (“Home Depot”) did not obtain valid meaningful consent to share summary purchase information with Meta Platforms Inc. (“Meta”) in order to measure the effectiveness of Facebook ads, as well as for Meta’s own purposes. The findings also suggest that Home Depot did not obtain sufficient consent to use customer information for its own marketing and analytics purposes.</strong></p> <p>The findings potentially raise troubling questions about the form of consent and the granularity of the consent disclosures that are required under the federal privacy law for the use of even non-sensitive personal information for marketing and analytics purposes. The Home Depot case is likely to be of interest to many Canadian retailers, which are likely to be engaged in similar practices.</p> <h2><strong>Background</strong></h2> <p>The OPC findings relate to Home Depot’s use of “Offline Conversions”, a Meta feature that allows businesses to measure the effectiveness of Facebook ads. The investigation found that when a Home Depot customer provided their email address at check-out in order to obtain an e-receipt, the company forwarded a hashed version of that email address to Meta, along with summary in-store purchase details (i.e., indicating only the store department in which the purchased items were found). Having applied the same hashing algorithm to the email addresses of all Facebook users, Meta would then attempt to match the Home Depot data to a Facebook user, allowing Meta to provide Home Depot with aggregated reports respecting the effectiveness of advertising placed by the company on Facebook. The OPC also noted that Meta uses information obtained from merchants using the Offline Conversions tool to create lookalike audiences to deliver ads across Meta’s social media platforms to people with a similar profile to existing offline customers. These ads could promote the disclosing merchant, or any other Meta advertising customer.</p> <h2><strong>Key Findings</strong></h2> <p>The OPC made three principal findings respecting Home Depot’s compliance with the consent requirements under the <a rel="noopener noreferrer" target="_blank" href="https://laws-lois.justice.gc.ca/ENG/ACTS/P-8.6/index.html"><em>Personal Information Protection and Electronic Documents Act</em></a><em> (</em>PIPEDA<em>)</em>:</p> <ol> <li><strong>Express consent was needed to disclose personal information to Meta.</strong><br /> PIPEDA provides that the reasonable expectations of the individual are relevant to determining the form of consent that organizations must obtain. In the Home Depot case, the OPC found that a customer would not reasonably expect that their email address and purchase information would be shared with Meta for the purpose of measuring the impact of Home Depot’s online advertising campaigns, nor to be used for Meta’s own business purposes, including targeted advertising, unrelated to Home Depot. Accordingly, the OPC found that express customer consent was required for the use and disclosure in question.</li> <li><strong>Insufficient efforts to ensure customers are aware of the purposes for personal information use and disclosure.</strong><br /> Although the OPC found the express consent was required, it noted that even if it were an appropriate case to rely on implied consent (as Home Depot had submitted), the retailer could not have relied on implied consent as it did not make reasonable efforts to ensure that customers were advised of the purposes for which their personal information would be used and disclosed. In this regard, the OPC noted that Home Depot requested email addresses at point of sale for the explicit purpose of issuing electronic receipts, but did not notify customers that it would use or disclose customer information for other purposes, nor direct those customers to Home Depot’s or Meta’s privacy statements.</li> <li><strong>General disclosures in privacy policy insufficient to support meaningful consent.</strong><br /> The OPC further found that, even if a customer requesting an e-receipt had been directed to and read Home Depot’s Privacy Statement, it was unlikely that the customer would have reasonably understood the nature of the information sharing with Meta, or the consequences of this practice, as is required by PIPEDA. The OPC noted that Home Depot’s Privacy Statement used “generic and vague” terms such as “improve our products and services”, which do not clearly describe the purposes for the collecting, use and disclosure of the personal information in question.</li> </ol> <h2><strong>Issues & Implications</strong></h2> <p>The Home Depot findings are likely to raise a number of significant concerns for Canadian businesses, including the following. </p> <h3><em>Express v. Implied Consent</em></h3> <p>It is not entirely clear whether the OPC considers that express consent is required just for an organization to disclose non-sensitive personal information to Meta in order for Meta to use that data for its own purposes (such as to direct social advertising on behalf of other businesses), or whether the OPC considers that express consent is also required in order for an organization to share personal information with Meta in order to receive aggregate level reports about the effectiveness of the ads that organization placed on Meta’s platforms.</p> <p>PIPEDA allows for both implied and express forms of consent. <a rel="noopener noreferrer" target="_blank" href="https://www.priv.gc.ca/en/privacy-topics/collecting-personal-information/consent/gl_omc_201805/">Guidelines</a> issued jointly by the OPC, the Office of the Information and Privacy Commissioner of Alberta and the Office of the Information and Privacy Commissioner for British Columbia provide that express consent is generally required where the personal information in question is sensitive, the processing is outside of the reasonable expectations of the individual, and/or the processing creates a meaningful residual risk of significant harm.</p> <p>In the Home Depot case, the practices under consideration involved only non-sensitive, partially aggregated information and would be unlikely to give rise to any risk of harm to the individuals concerned.</p> <p>Many would consider that the disclosure of personal information to a third party, to be used for the third party’s own purposes, would generally require express consent; however, only implied consent has typically been required for an organization to share personal information with a service provider that processes personal information on the sharing organization’s own behalf. Accordingly, it would appear to be a marked departure from accepted practice to require express consent for an organization to share personal information with Meta in order to receive summary reports respecting the effectiveness of social advertising. Complicating the analysis in this case is the fact that Meta is, in part, using data collected during the operation of its Facebook service in order to produce the Offline Conversions report. </p> <p>In the result, businesses may be left wondering as to whether they are compliant with PIPEDA in relying on implied consent to share personal information with service providers for marketing and analytics purposes. Given these uncertainties, businesses may wish to carefully review their practices in this regard.</p> <h3><em>Privacy Policy Wording</em></h3> <p>Another of the other key issues raised by the Home Depot findings is the question of the level of specificity required in the description of the purposes for processing personal information, which businesses typically include in their privacy policies. The <a rel="noopener noreferrer" target="_blank" href="https://www.homedepot.ca/en/home/customer-support/privacy-and-security.html#how-we-use-information">Home Depot Privacy Statement</a> does indicate that the company will use personal information for a range of business purposes, including:</p> <ul> <li>to make website or product and service improvements</li> <li>to look at website trends and customer interests (including combining information it has with information received from third parties)</li> <li>to use personal information to deliver marketing communications, including online ads</li> <li>to share personal information with service providers providing services on Home Depot’s behalf</li> </ul> <p>The Privacy Statement also explicitly notes that social media platforms may collect information about a customer’s use of Home Depot’s services and may track a consumer’s online activities over time and across multiple websites and mobile applications, and that Home Depot may receive such information from such platforms. The level of detail provided in Home Depot’s 4200-word Privacy Statement may not be atypical for other Canadian businesses, yet the OPC found it to be inadequate.</p> <p>In the digital era, the ways in which personal information might be compiled, shared, analyzed and used can appear somewhat complex to the average consumer, suggesting a greater amount of detail/explanation may be required in order for a business to inform its customers of its privacy practices in a comprehensive and understandable manner.</p> <p>One can certainly imagine presenting a more detailed description of an organization’s use of the Offline Conversions feature, but the resulting explanation might well run several paragraphs. Applying the same level of granularity to explaining other types of usage or disclosure of personal information could result in a markedly longer privacy policy document. As the OPC and other privacy commissioners have acknowledged, information buried in a privacy policy or terms of use serves no practical purpose to individuals with limited time and energy to devote to reviewing privacy information. </p> <p>The OPC’s <a rel="noopener noreferrer" target="_blank" href="https://www.priv.gc.ca/en/privacy-topics/collecting-personal-information/consent/gl_omc_201805/">Guidelines for obtaining meaningful consent</a> accordingly recommend that organizations emphasize key elements in their full privacy polices, providing layers of additional details (such as through hyperlinked, connecting pages or documents) to allow individuals to access information of interest in more manageable and easily-accessible ways. Businesses using the Offline Conversions tool or engaging in other sophisticated digital tracking technologies for marketing and analytics may want to consider linking to their privacy policies expanded, more in-depth explanations of these practices.</p>09-Feb-2023 08:03:00{2061D085-DA2A-4A70-98B9-0DE9D668EB52}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/protection-des-renseignements-personnels-au-quebec-se-preparer-pour-la-prochaine-serie-de-modificationsDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéProtection des renseignements personnels au Québec : Se préparer pour la prochaine série de modifications au « projet de loi 64 » de septembre 2023<p><strong>La deuxième série de modifications à la législation sur la protection des renseignements personnels dans le secteur privé du Québec, le « projet de loi 64 » – la </strong><a rel="noopener noreferrer" href="https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1" target="_blank"><strong><em>Loi sur la protection des renseignements personnels dans le secteur privé</em></strong></a><strong> (la « LPRPSP ») – prendra effet le 22 septembre 2023. Dans ce billet, nous examinerons cinq modifications clés qui devront être mises en œuvre par les sociétés qui exercent des activités au Québec d’ici le 22 septembre. Ces modifications comprennent : (i) l’obligation de créer des politiques sur les renseignements personnels, (ii) de nouveaux droits de retrait du consentement ou de demande de désindexation/réindexation pour les particuliers, (iii) l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée dans certaines situations, (iv) l’obligation de conclure des contrats écrits de traitement des données avec les personnes auxquelles des renseignements personnels sont transférés, (v) de nouvelles sanctions pécuniaires importantes.</strong></p> <p>Ces modifications font suite à une série de modifications précédentes du projet de loi 64, en vigueur depuis septembre 2022, qui comprennent l’obligation pour l’entreprise de nommer une personne responsable de la conformité à la législation, de publier le titre et les coordonnées de cette personne sur son site Internet et de mettre en œuvre une procédure d’intervention en cas d’incident de confidentialité.</p> <h2>1. Politiques sur les renseignements personnels obligatoires</h2> <p>Le projet de loi 64, comme autre mesure visant à assurer que les entités qui traitent des renseignements personnels sur les Québécois mettent en place des structures de gouvernance adéquates, oblige les entreprises à adopter des politiques et pratiques sur :</p> <ul> <li>la conservation et la destruction des renseignements personnels;</li> <li>les rôles et les responsabilités des employés qui s’occupent des renseignements personnels tout au long du cycle de vie de ces renseignements;</li> <li>la gestion des plaintes.</li> </ul> <p>Ces politiques et ces pratiques doivent être rédigées en langage clair et adaptées à la sensibilité des renseignements personnels visés et à la nature de l’entreprise. Elles doivent être approuvées par le responsable de la protection des données de l’organisation (le « RPD ») et des informations détaillées à leur sujet doivent être publiées sur le site Internet de l’entité (ou, si aucun site Internet n’existe, il faut les rendre accessibles par un autre moyen approprié).</p> <p>En vertu du projet de loi 64, les avis donnés aux particuliers dont les renseignements sont recueillis doivent inclure :</p> <ul> <li>les fins auxquelles les renseignements personnels sont recueillis;</li> <li>les moyens utilisés pour les recueillir;</li> <li>le cas échéant, le nom du tiers pour lequel les renseignements personnels sont recueillis;</li> <li>le cas échéant, une déclaration portant sur la communication possible des renseignements à l’extérieur du Québec;</li> <li>des déclarations qui mentionnent le droit du particulier : <ul> <li>d’accéder aux renseignements qui sont recueillis et de les rectifier;</li> <li>de retirer son consentement à l’utilisation ou à la communication des renseignements personnels recueillis.</li> </ul> </li> </ul> <p>La pratique exemplaire consiste à inclure ces renseignements dans un avis sur la protection des renseignements personnels que le public peut consulter. D’autres obligations de communication sont imposées aux entités qui ont recours à des technologies de traçage ou à la prise de décision automatisée.</p> <h2>2. Nouveaux droits accordés aux particuliers</h2> <p>Outre leurs droits d’accès et de rectification des renseignements personnels, à compter du 22 septembre 2023, les particuliers auront le droit de retirer leur consentement à l’utilisation et à la communication de leurs renseignements personnels. Le projet de loi 64 instaure également deux droits individuels supplémentaires, qui sont accordés pour la première fois au Canada :</p> <ul> <li>le droit de demander la cessation de la diffusion;</li> <li>le droit à la désindexation ou à la réindexation.</li> </ul> <p>Le projet de loi 64 accorde au particulier le droit de demander qu’une entité cesse de diffuser ses renseignements personnels ou qu’un hyperlien qui est rattaché à son nom et qui permet d’accéder à ses renseignements personnels soit désindexé si la diffusion des renseignements contrevient à la loi ou à une ordonnance judiciaire.</p> <p>Le projet de loi 64 permet également au particulier de demander la fin de la diffusion ou de demander la désindexation ou la réindexation si <strong>toutes</strong> les conditions suivantes sont réunies :</p> <ul> <li>la diffusion du renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée;</li> <li>ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement;</li> <li>la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.</li> </ul> <p>Il faut observer que ces droits ne sont pas des droits absolus. Un certain nombre de facteurs doivent être examinés afin d’établir s’il faut accueillir une demande visant à honorer ces droits, comme l’identité de la personne visée (p. ex. un mineur par opposition à un adulte qui est une personnalité publique), la sensibilité ou l’exactitude du renseignement ou le contexte s’y rapportant.</p> <h2>3. Analyse des facteurs relatifs à la vie privée</h2> <p>À compter de septembre 2023, les évaluations des facteurs relatifs à la vie privée (les « EFVP ») seront exigées des entités avant qu’elles puissent s’engager dans des activités sensibles sur le plan de la vie privée comme l’une des suivantes :</p> <ul> <li>le projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;</li> <li>la communication d’un renseignement personnel à l’extérieur du Québec.</li> </ul> <p>Les EFVP, qui sont déjà courantes en Europe et dans le secteur public canadien, ne sont pas un « exercice universel ». Elles doivent plutôt être adaptées à la sensibilité des renseignements et au volume de renseignements visés et elles sont plus réussies lorsque le RPD de l’organisation, qui peut proposer des mesures d’atténuation des risques liés à la vie privée, est consulté dès le début du projet. La capacité du programme ou du projet à permettre la communication au particulier d’un renseignement personnel informatisé recueilli auprès de lui dans un format technologique structuré et couramment utilisé est un élément dont l’EFVP doit traiter. Si l’EFVP concerne un renseignement personnel qui doit être transféré à l’extérieur du Québec, le poids de la législation sur la protection des renseignements personnels en vigueur dans le territoire de destination doit également être examiné.</p> <h2>4. Contrats de traitement des données</h2> <p>Le projet de loi 64 oblige dorénavant les entités qui n’ont pas déjà conclu des contrats écrits de traitement des données avec les fournisseurs de service auxquels elles transfèrent des renseignements personnels à conclure de tels contrats. Ces contrats doivent comprendre les dispositions suivantes :</p> <ul> <li>la description des mesures mises en œuvre pour : <ul> <li>protéger le caractère confidentiel du renseignement;</li> <li>utiliser le renseignement aux fins nécessaires seulement;</li> <li>détruire le renseignement après qu’il a servi les fins auxquelles il a été recueilli;</li> </ul> </li> <li>une disposition d’avis au cas où le fournisseur de services est la victime d’une atteinte (ou d’une tentative d’atteinte) à la protection des données qui pourrait concerner (ou a concerné) le renseignement;</li> <li>une disposition sur l’audit.</li> </ul> <h2>5. Sanctions</h2> <p>Finalement, les nouvelles sanctions qui prendront effet en septembre 2023 et qui sont semblables aux sanctions européennes constituent l'un des éléments les plus remarquables du projet de loi 64. Elles se composent de sanctions administratives pécuniaires dont le montant maximal est de 50 000 $ pour un particulier et de 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé pour l’entreprise qui :</p> <ul> <li>omet d’informer un particulier de la source des renseignements personnels recueillis sur lui, des fins auxquelles les renseignements seront utilisés, des méthodes de collecte utilisées, du droit d’accès et de rectification et du droit de retirer son consentement;</li> <li>recueille, utilise, communique, stocke ou détruit un renseignement personnel en contravention à la LPRPSP;</li> <li>omet de déclarer un incident de confidentialité à la Commission d’accès à l’information (la « CAI ») ou aux particuliers dont les renseignements personnels ont été compromis;</li> <li>ne prend pas de mesures portant sur la mise en œuvre des mécanismes de sécurité adéquats;</li> <li>omet d’informer un particulier des décisions exclusivement fondées sur un processus de prise de décisions automatisée;</li> <li>contrevient aux obligations imposées aux agents de renseignements personnels.</li> </ul> <p>Le projet de loi 64 prévoit également des sanctions criminelles qui se composent d’amendes allant de 5 000 $ à 100 000 $ pour un particulier et de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé pour l’entreprise qui :</p> <ul> <li>recueille, utilise, communique, stocke ou détruit un renseignement personnel en contravention à la LPRPSP;</li> <li>omet de déclarer un incident de confidentialité à la CAI ou aux particuliers dont les renseignements personnels ont été compromis;</li> <li>ne prend pas de mesures portant sur la mise en œuvre de mécanismes de sécurité adéquats;</li> <li>contrevient aux obligations imposées aux agents de renseignements personnels;</li> <li>entrave le déroulement d’une enquête ou d’une inspection de la CAI;</li> <li>exerce des mesures de représailles contre une personne qui a déposé une plainte ou collaboré à une enquête de bonne foi;</li> <li>refuse ou néglige de se conformer à la demande de documents de la CAI qui permet à la CAI de confirmer l’application du projet de loi 64;</li> <li>contrevient à une ordonnance de la CAI.</li> </ul> <p>Ces sanctions ne sont pas non plus « universelles ». Un certain nombre de facteurs seront pris en compte en vue d’établir la nature et le montant de la sanction, comme la nature et la gravité de la contravention, sa durée continue, la sensibilité du renseignement personnel, le nombre de personnes dont les renseignements personnels ont été compromis, les mesures d’atténuation prises, la compensation offerte aux victimes et la capacité de payer de l’entité.</p> <p>Enfin, le projet de loi 64 prévoit des dommages-intérêts punitifs – et un droit privé d’action – d’au moins 1 000 $ pour les atteintes illicites, intentionnelles ou résultant d’une faute lourde aux droits à la protection de la vie privée prévus aux articles 35 à 40 du Code civil du Québec.</p>08-Feb-2023 06:52:00{8FAEF11F-14FD-4AAA-A350-969629A6F9EB}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/balado-sur-la-vie-privee-les-renseignements-personnels-et-les-litiges-aux-enjeux-eleves-dans-le-secteur-public-canadienDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleDroit canadien des communicationsProtection des renseignements personnels et cybersécuritéBalado sur la vie privée, les renseignements personnels et les litiges aux enjeux élevés dans le secteur public canadien<p><strong>La spécialiste du droit à la protection de la vie privée <a rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/equipe/m/danielle-miller-olofsson" target="_blank">Danielle Miller Olofsson</a>, membre de notre bureau de Montréal, a récemment discuté de son nouveau livre (corédigé avec Shaun Finn) <em>In the Public Eye: Privacy, Personal Information, and High Stakes Litigation in the Canadian Public Sector</em> dans le balado <em>Legal Voices</em> de LexisNexis. L’entretien suscitera l’intérêt de tous ceux qui traitent de questions liées à la protection de la vie privée en contexte commercial. </strong></p> <p>Les sujets dont Danielle discute dans le balado sont notamment les suivants :</p> <ul> <li>Protection des données et cybersécurité</li> <li>Recours collectifs</li> <li>Vie privée</li> <li>Atteinte à la protection des données</li> <li>Enjeux liés à la protection de la vie privée au travail</li> <li>Vérification des interventions en cas d’incident de sécurité</li> <li>Évaluations des facteurs relatifs à la vie privée</li> <li>Vie privée et enquêtes et litiges liés à la sécurité</li> </ul> <p>Vous pouvez écouter le balado <a href="https://www.podbean.com/media/share/pb-ewrsd-13698b9">ici</a>.</p>31-Jan-2023 05:00:00{1F30B53B-7EA5-4CA4-9E00-D92FBCDDC6F9}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/la-technologie-financiere-au-canada-aspects-juridiques-et-reglementaires-d-un-secteur-en-croissanceAlix d'Anglejan-Chatillonhttps://stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillonRamandeep K. Grewalhttps://stikeman.com/fr-ca/equipe/g/ramandeep-k-grewalDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderShawn Smithhttps://stikeman.com/fr-ca/equipe/s/shawn-smithÉric Lévesquehttps://stikeman.com/fr-ca/equipe/l/eric-levesqueDroit canadien des technologies et de la propriété intellectuelleLa technologie financière au Canada : aspects juridiques et réglementaires d'un secteur en croissance<p><strong>Cinq avocats de Stikeman Elliott ont rédigé dernièrement le <a href="/-/media/files/kh-general/lexology-fintech-2023.ashx">chapitre « canadien »</a> (en anglais seulement) du guide de 2023 sur la technologie financière de Lexology, publié dans le cadre de la série « Getting the Deal Through ».  Le chapitre donne un excellent aperçu de ce domaine du droit qui évolue rapidement au Canada.</strong> </p> <ul> <li>Environnement et initiatives liés à la technologie financière</li> <li>Réglementation financière</li> <li>Réglementation transfrontalière</li> <li>Ventes et marketing</li> <li>Changement de contrôle</li> <li>Crimes financiers</li> <li>Prêt entre pairs et plateformes de prêts</li> <li>Intelligence artificielle, technologie des registres distribués et cryptoactifs</li> <li>Protection des données et cybersécurité</li> <li>Impartition et infonuagique</li> <li>Droits de propriété intellectuelle</li> <li>Concurrence</li> <li>Fiscalité</li> <li>Immigration</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="https://www.stikeman.com/-/media/files/kh-general/lexology-fintech-2023.ashx">publication de 20 pages</a>.</p>17-Jan-2023 05:00:00{DDBF913C-7A5C-42DF-8FE5-1811F0F6E86B}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/cinq-tendances-a-suivre-en-matiere-de-protection-de-la-vie-privee-en-2023Danielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéCinq tendances à suivre en matière de protection de la vie privée en 2023<p><strong>En ce début d’année, nous avons décidé de nous intéresser à trois lois (plus précisément deux lois et un projet de loi) et à deux décisions qui auront très certainement une incidence sur l’encadrement de la protection de la vie privée pour les entreprises canadiennes en 2023.</strong></p> <h2>1. Deuxième série de modifications de la législation sur la protection des renseignements personnels du Québec</h2> <p>La refonte du cadre de la protection des renseignements personnels dans les secteurs privé et public de la Loi 25 doit entrer en vigueur au cours d’une période de quatre ans qui a commencé en septembre dernier. Cependant, l’étape la plus exigeante pour les entités non conformes se déroulera en 2023.</p> <p>En date de septembre 2023, les entreprises seront tenues, entre autres :</p> <ul> <li>d’établir des politiques et des procédures de collecte, d’utilisation et de communication des renseignements personnels;</li> <li>de procéder à une évaluation des facteurs relatifs à la vie privée : (i) de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services concernant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels ou (ii) avant de communiquer un renseignement personnel à l’extérieur du Québec;</li> <li>de conclure des accords relatifs au traitement des données avec les prestataires de services tiers qui traitent des renseignements personnels pour le compte de l’entreprise;</li> <li>de mettre en œuvre de nouveaux droits individuels, comme le droit à la désindexation et le droit à la réindexation;</li> <li>de faire face à des sanctions administratives et criminelles lourdes d’au maximum 4 % du chiffre d’affaires mondial de l’exercice financier précédent ou de 25 millions de dollars en cas de non-conformité.</li> </ul> <h2>2. Une possible nouvelle loi sur la protection de la vie privée : la <em>Loi sur la protection de la vie privée des consommateurs</em></h2> <p>Le 16 juin 2022, le ministre fédéral de l’Innovation, des Sciences et de l’Industrie a présenté le projet de loi C-27, qui constitue une deuxième tentative de réforme de la <em>Loi sur la protection des renseignements personnels et les documents électroniques</em> du Canada (la « <strong>LPRPDE</strong> »). Le projet de loi C-27 est censé remplacer la LPRPDE.</p> <p>Le projet de loi C-27 n’a pas encore franchi l’étape de la seconde lecture, mais s’il est adopté, il entraînera entre autres ce qui suit :</p> <ul> <li>la création du Tribunal de la protection des renseignements personnels et des données qui sera chargé d’examiner les décisions du Commissariat à la protection de la vie privée et d’imposer des sanctions administratives;</li> <li>l’imposition de lourdes sanctions pécuniaires d’au maximum 5 % des recettes globales brutes ou 25 millions de dollars;</li> <li>l’instauration d’un droit privé d’action;</li> <li>la reconnaissance du droit d’une personne physique de demander par écrit le retrait des renseignements qui la concernent;</li> <li>l’apport de précisions sur les étapes à suivre afin d’obtenir un consentement légitime.</li> </ul> <h2>3. Nouvelles clauses contractuelles types applicables au transfert de renseignements personnels à partir de l’UE</h2> <p>Les entités qui se prévalent des clauses contractuelles types (les « CCT ») afin de transférer des renseignements personnels à partir de l’UE doivent désormais s’assurer qu’elles utilisent les CCT publiées par la Commission européenne le 4 juin 2021 (les « nouvelles CCT »).</p> <p>Jusqu’au 28 décembre 2022, les entités qui avaient conclu un contrat avant le 27 septembre 2021 pouvaient utiliser les CCT antérieures au 4 juin 2021, tandis que les entités qui avaient conclu un contrat à compter du 27 septembre 2021 étaient tenues d’utiliser les nouveaux CCT. La période de transition est désormais terminée : toutes les entités qui se prévalent des CCT doivent utiliser les CCT du 4 juin 2021. Toutefois, les entités qui transfèrent des renseignements personnels à partir du Royaume-Uni (R.-U.) peuvent toujours se prévaloir de l’International Data Transfer Agreement du R.-U. et des nouvelles CCT (l’« <strong>addenda du R.-U.</strong> »).</p> <h2>4. Interprétation large de la notion de « vente de renseignements personnels » en contexte de consommation dans la décision California AG</h2> <p>Dans le cadre d’une transaction conclue le 23 août 2022 qui portait, entre autres, sur la définition de « vente » en application de la <em>California Consumer Privacy Act</em> (la « <strong>CCPA </strong>»), une amende de 1,2 million de dollars (américains) a été imposée à Sephora pour n’avoir pas honoré le droit d’un consommateur à ce que ses renseignements personnels ne soient pas vendus.</p> <p>Sephora a prétendu qu’elle n’avait pas vendu les renseignements personnels du consommateur, mais qu’elle les avait échangés avec plusieurs détaillants qui étaient autorisés à installer certains dispositifs de localisation sur le site Web et les applications de Sephora afin de retracer leurs produits. Les détaillants partageaient les analyses de données consécutives avec Sephora. Le procureur général de Californie a décidé que même si Sephora n’avait pas reçu de sommes d’argent de la part des détaillants en question, l’analyse de leurs données était suffisante pour constituer une vente en vertu de la CCPA.</p> <h2>5. Consentement et dominance des marchés : nouvelle décision de la Cour de justice de l’Union européenne</h2> <p>Finalement, la décision rendue dernièrement par l’avocat général de la Cour de justice de l’Union européenne (la « <strong>CJUE</strong> ») dans l’affaire <em>Meta Platforms</em> c. <em>Bundeskartellamt</em> devrait être prise au sérieux par les entités en position dominante sur le marché qui s’en remettent au consentement comme seul fondement du traitement des renseignements personnels.</p> <p>L'avocat général a conclu que le fait qu’une entité occupe une position dominante sur le marché ne viciait pas, en soi, le caractère libre et éclairé du consentement. Toutefois, il a également déclaré que la position dominante sur le marché :</p> <p>« …joue néanmoins un rôle dans l’appréciation de la liberté du consentement […], qu’il incombe au responsable du traitement de démontrer, compte tenu, le cas échéant, de l’existence d’un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, de l’éventuelle obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires à la prestation des services en cause, de la nécessité que le consentement soit spécifique pour chaque finalité de traitement et de la nécessité d’éviter que le retrait du consentement engendre un préjudice pour l’utilisateur qui retire son consentement. »</p> <p>Même si la décision de la CJUE est toujours en suspens, un courant jurisprudentiel qui remet en question la validité du consentement donné à une entité dont les concurrents sont faibles ou inexistants commence à se former.</p>16-Jan-2023 05:51:00{959FDD39-7DD9-4F52-8F81-02816B2AA381}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/questions-juridiques-dans-le-domaine-des-soins-de-sante-perspective-canadienne-pour-2023Sara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleDroit canadien des technologies et de la propriété intellectuelleQuestions juridiques dans le domaine des soins de santé : perspective canadienne pour 2023<p>Notre <a href="/fr-ca/expertise/sciences-vie-soins-sante" target="_blank">groupe Sciences de la vie et soins de santé</a> a rédigé dernièrement le <a href="/-/media/files/kh-general/life-sciences-getting-the-deal-through-2023.ashx">chapitre canadien de l’édition 2023 du guide <em>Life Sciences </em>de Lexology</a> (en anglais seulement) publié dans le cadre de la série « Getting the Deal Through ». Ce chapitre offre un excellent aperçu de ce domaine du droit qui évolue rapidement.</p> <p><em>Une traduction de ce billet sera disponible prochainement.</em></p> <p>Our <a href="/fr-ca/expertise/sciences-vie-soins-sante">Life Sciences and Healthcare Group</a> recently authored the<a href="/-/media/files/kh-general/life-sciences-getting-the-deal-through-2023.ashx"> “Canada” chapter in Lexology’s 2023 <em>Life Sciences</em> guide</a>, published as part of the “Getting the Deal Through” series. This chapter provides an excellent overview of this rapidly developing area of law, including the following topics:</p> <ul> <li>Organization and financing of healthcare</li> <li>Healthcare services</li> <li>Advertising</li> <li>Healthcare data protection, privacy and digitization</li> <li>Competition and antitrust law in the health sector</li> <li>Pricing and reimbursement</li> <li>Trends to watch for</li> </ul> <p>We are pleased to be able to make this <a href="/-/media/files/kh-general/life-sciences-getting-the-deal-through-2023.ashx">11-page chapter</a> available for downloading.</p>Wed, 14 Dec 2022 12:00:00 Z14-Dec-2022 09:08:00{6C6B1573-CC38-4BE3-8CA3-6D710416E56B}https://stikeman.com/fr-ca/savoir/societes-droit-commercial/pharma-and-medical-device-regulations-2023-une-mise-a-jour-du-droit-canadienSara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleActualités - Sociétés et droit commercialDroit canadien des technologies et de la propriété intellectuellePharma and Medical Device Regulations 2023 : une mise à jour du droit canadien<p>Sara Zborovski et Ian Trimble de Stikeman Elliott ont récemment corédigé le <a href="/-/media/files/kh-general/2023-pharma--medical-device-regulation---canada.ashx">chapitre canadien de</a><em><a href="/-/media/files/kh-general/2023-pharma--medical-device-regulation---canada.ashx"> Pharma & Medical Device Regulations 2023</a> </em>(en anglais seulement), publié par Lexology. Cette publication offre un excellent aperçu de ce domaine du droit.</p> <p><em>Une traduction de ce billet sera disponible prochainement.</em></p> <p>Stikeman Elliott’s <a href="/fr-ca/equipe/z/sara-zborovski">Sara Zborovski</a> and <a href="/fr-ca/equipe/t/ian-trimble">Ian Trimble</a> recently co-authored the <a href="/-/media/files/kh-general/2023-pharma--medical-device-regulation---canada.ashx">Canadian chapter of <em>Pharma & Medical Device Regulations 2023</em></a>, published by Lexology. This publication provides an excellent overview of the area of law, notably of the following topics:</p> <ul> <li>Regulatory Framework</li> <li>Clinical Practice</li> <li>Marketing Authorization</li> <li>Amending Authorizations</li> <li>Recall</li> <li>Advertising and Promotion</li> <li>Off-Label Use and Unlicensed Products</li> <li>Sale and Supply</li> <li>Regulatory Trends</li> </ul> <p>We are pleased to be able to make this <a href="/-/media/files/kh-general/2023-pharma--medical-device-regulation---canada.ashx">13-page publication </a>available for downloading.</p>Tue, 13 Dec 2022 12:00:00 Z13-Dec-2022 09:08:00{70965E5B-A6C5-47FA-B12A-918BDEDACC18}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/la-cour-supreme-precise-le-calcul-de-la-remise-des-profits-dans-le-cadre-d-une-poursuite-pour-contrefacon-de-brevetsKevin K. Grahamhttps://stikeman.com/fr-ca/equipe/g/kevin-grahamDroit canadien des technologies et de la propriété intellectuelleLa Cour suprême précise le calcul de la remise des profits dans le cadre d’une poursuite pour contrefaçon de brevets<p>Le 18 novembre 2022, la Cour suprême du Canada (la « CSC ») a publié sa décision <em>Nova Chemicals Corp. c. Dow Chemical Co. </em>(<a href="https://decisions.scc-csc.ca/scc-csc/scc-csc/fr/item/19554/index.do">2022 CSC 43</a>). Cette décision a confirmé le montant de la plus importante indemnité financière accordée jusqu’à présent dans une poursuite pour contrefaçon de brevet canadienne et a donné l’occasion à la CSC de préciser le cadre de calcul de la remise des profits, notamment la mise en œuvre d’une « solution non contrefaisante ». La CSC a également confirmé qu’il est possible d’obtenir des « bénéfices de rebond ».</p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p>On November 18, 2022, the Supreme Court of Canada (“SCC”) released its decision in <em>Nova Chemicals Corp v Dow Chemical Co </em>(<a rel="noopener noreferrer" target="_blank" href="https://decisions.scc-csc.ca/scc-csc/scc-csc/en/item/19554/index.do">2022 SCC 43</a>). This decision upheld the largest monetary award to date in a Canadian patent infringement proceeding, and provided the SCC with an opportunity to clarify the framework for calculating an accounting of profits, including the implementation of a “non-infringing option”, as well as confirming the availability of springboard profits.</p> <h2>Background Facts</h2> <p>Canadian patent infringement actions are often bifurcated into a liability phase and, if liability is established, a phase to establish the quantum of the claimed monetary remedy (i.e., damages and/or an accounting of profits).</p> <p>During the liability phase in this proceeding, the Federal Court found that the patent in issue owned by Dow Chemical Co. (“Dow”) was valid and had been infringed by the manufacture and sale of certain plastics by Nova Chemicals Corp. (“Nova”) (<a rel="noopener noreferrer" target="_blank" href="https://decisions.fct-cf.gc.ca/fc-cf/decisions/en/item/73434/index.do">2014 FC 844</a>). The finding of infringement was affirmed by the Federal Court of Appeal (<a rel="noopener noreferrer" target="_blank" href="https://decisions.fct-cf.gc.ca/fca-caf/decisions/en/item/180202/index.do">2016 FCA 216</a>) and leave to appeal to the Supreme Court of Canada was denied.</p> <p>At the quantification phase, the Federal Court awarded Dow an accounting of Nova’s profits arising from its infringing activities, totaling approximately $645M (<a rel="noopener noreferrer" target="_blank" href="https://decisions.fct-cf.gc.ca/fc-cf/decisions/en/item/230610/index.do?r=AAAAAQALMjAxNyBmYyAzNTAB#_Toc480296512">2017 FC 350</a>). A portion of the award was for “springboard profits” for activities that occurred after the expiry of the patent, which was the first time that such profits were awarded in a Canadian patent action. The Federal Court of Appeal upheld this award (<a rel="noopener noreferrer" target="_blank" href="https://decisions.fca-caf.gc.ca/fca-caf/decisions/en/item/485375/index.do">2020 FCA 141</a>). Nova then sought, and was granted, leave to appeal to the Supreme Court of Canada.</p> <p>Nova pursued the appeal to the Supreme Court of Canada on two primary grounds:</p> <ul> <li><strong>Non-infringing option: </strong>Nova argued that had it not manufactured the infringing plastics, it would have manufactured and sold a non-infringing option. As such, Nova argued that the profits from the sale of the non-infringing option should be deducted from the profits award. </li> <li><strong>Springboard profits: </strong>Nova argued that (i) the remedy of springboard profits was not legally permissible; and (ii) Nova had already compensated Dow for its “ramp-up” into the market through its payment of a reasonable royalty.</li> </ul> <h2>Analysis</h2> <p>In an 8-1 decision, the Supreme Court of Canada dismissed Nova’s appeal (<a rel="noopener noreferrer" target="_blank" href="https://decisions.scc-csc.ca/scc-csc/scc-csc/en/item/19554/index.do">2022 SCC 43</a>).</p> <p>In doing so, the Supreme Court established a three-step framework for an accounting of profits analysis:</p> <p><strong>Step 1:</strong> Calculate the actual profits earned by selling the infringing product — i.e., revenue minus (full or differential) costs.</p> <p><strong>Step 2:</strong> Determine whether there is a non-infringing option that can help isolate the profits causally attributable to the invention from the portion of the infringer’s profits <em>not</em> causally attributable to the invention — i.e., differential profits. It is at this step that judges should apply the principles of causation. Causation “need not be determined by scientific precision: it is ‘essentially a practical question of fact which can best be answered by ordinary common sense’”.</p> <p><strong>Step 3:</strong> If there is a non-infringing option, subtract the profits the infringer could have made had it used the non-infringing option from its actual profits, to determine the amount to be disgorged.</p> <p>The majority of the Court clarified that a “non-infringing option” under the second step of the test “is any product that helps courts isolate the profits causally attributable to the invention from the profits which arose at the same time the infringing product was used or sold, but are not causally attributable to the invention.” The majority expressly stated that while the non-infringing option need not be a “strict market substitute” for the patented product, a non-infringing option is <em>not</em> the “most profitable” alternative product that the infringer “would have” and “could have” sold had it not infringed.</p> <p>The majority stated that the infringer must “adduce sufficient evidence to satisfy the court that the profits from its infringing product arose by virtue of features other than the patentee’s invention and that there is a non-infringing option that can help the court isolate this value.” Since (i) the reference judge found as a fact that customers only purchased Nova’s infringing plastics because they contained the features captured by Dow’s patent and (ii) Nova did not establish that there were relevant non-infringing options (and in fact conceded that there were no relevant non-infringing options), the majority held that the reference judge did not err in concluding that all of the profits earned by the sale of the infringing product were causally attributed to the invention.</p> <p>The majority also held that an award of springboard profits was legal permissible as “an extension of the fundamental principle that, in calculating an accounting of profits, the infringer must disgorge all profits causally attributable to infringement of the invention”. Justice Malcom Rowe, writing on behalf of the majority, stated that “[a]rtificially limiting an accounting of profits in the manner suggested by Nova would leave gains that are causally attributable to infringement of the invention in the hands of the infringer and thus undercut the bargain underlying the <em>Patent Act</em>.”</p> <p>The majority also saw no merit in Nova’s argument that it had already compensated Dow for its “ramp-up” into the market by virtue of its payment of a reasonable royalty. </p> <h2>Key Takeaways</h2> <p>The Supreme Court of Canada has provided guidance on the accounting of profits remedy in patent infringement cases by articulated a three-step test for conducting an accounting of profits, while clarifying the meaning of “non-infringing option” under the second step of that test.</p> <p>This case will provide significant guidance to plaintiffs considering initiating patent litigation as well as defendants faced with such suits.</p> <p><em style="color: #242424; background-color: #ffffff;">The author would like to acknowledge the support and assistance of Renée Taillieu and <a href="{CB74A7F3-145D-43BD-B241-EC320A128CA1}?item=web%3a%7b10BD80BF-F2AF-4DFF-A28B-6A86C1E19357%7d%40fr-CA">Zach Rudge</a>, articling students at law.</em></p>Thu, 24 Nov 2022 12:00:00 Z24-Nov-2022 05:46:00{857AEDFA-57D5-45A1-87B5-F61C60807678}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/reaction-aux-atteintes-a-la-securite-des-renseignements-personnels-au-quebec-cinq-perceptions-erronees-frequentesDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéRéaction aux atteintes à la sécurité des renseignements personnels au Québec : cinq perceptions erronées fréquentes<p><strong>La première vague de modifications à la <a rel="noopener noreferrer" target="_blank" href="https://www.legisquebec.gouv.qc.ca/fr/document/lc/p-39.1">Loi sur la protection des renseignements personnels dans le secteur privé</a> du Québec (LPRPSP), qui a pris effet il y a un peu plus d’un mois, nous a donné l’idée de partager certaines perceptions erronées que nous avons relevées dans le cadre de nos discussions sur les incidents de sécurité liés aux renseignements personnels, plus précisément l’« incident de confidentialité » et la déclaration obligatoire des atteintes à la sécurité des données. </strong></p> <p>Rappelons qu’au Québec, un « renseignement personnel » se définit comme tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement. Constitue un « incident de confidentialité » l’accès à un renseignement personnel, ou l’utilisation ou la communication d’un tel renseignement, qui n’a pas été autorisé par la loi, ainsi que la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.</p> <h2>1. « Seuls quelques dossiers ont été touchés, nous n’allons donc pas déclarer l’incident. »</h2> <p>L’articulation des seuils de déclaration des renseignements personnels au Québec peut sembler quelque peu contre-intuitive pour les analystes de risque chevronnés. Contrairement à la plupart des autres formes d’analyse du risque d’exploitation – dans le cadre desquelles l'évaluation de la gravité et des répercussions d’une situation et des mesures qui doivent être prises afin d’y remédier se fonde généralement sur le nombre de systèmes ou de personnes touchés et/ou sur les coûts pour l’entité – un incident de confidentialité <strong>doit être déclaré</strong> s’il est censé entraîner un <strong>risque de préjudice sérieux</strong> pour les personnes dont les renseignements ont été compromis.</p> <p>L'évaluation du « risque de préjudice sérieux » est fondée sur :</p> <ul> <li>la sensibilité du renseignement personnel,</li> <li>les conséquences appréhendées de son utilisation,</li> <li>la probabilité qu’il soit utilisé à des fins préjudiciables.</li> </ul> <p>Cette évaluation peut mener à la conclusion que des atteintes qui semblaient très mineures initialement doivent être notifiées, tandis que des atteintes plus importantes n’ont pas à être notifiées. Par exemple, la compromission d’un seul fichier qui contient un numéro de passeport et un nom devra être notifiée, tandis que la perte d’une clé USB qui contient les adresses courriel de 150 personnes n’aura pas à être notifiée.</p> <h2>2. « Le renseignement est ancien, nous n’allons donc pas déclarer l’incident. »</h2> <p>Sans égard à l’« ancienneté » du renseignement personnel, <strong>toute compromission du renseignement qui pourrait entraîner un risque de préjudice sérieux doit être notifiée</strong> à la <em>Commission d’accès à l’information</em> (CAI) – commission de la protection des renseignements personnels du Québec – et à la personne dont le renseignement personnel a été compromis. S’il y a un risque de préjudice sérieux, voici les trois seuls cas dans lesquels la personne n’a pas à être avisée directement :</p> <ul> <li>lorsque le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne;</li> <li>lorsque le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’entité;</li> <li>lorsque l’entité n’a pas les coordonnées de la personne.</li> </ul> <p>Toutefois, l’entité est tenue dans tous ces cas de donner un avis public de l’incident de confidentialité, par exemple sur son site Web.</p> <h2>3. « Seuls des dossiers papier ont été volés, ce n’était donc pas un incident de confidentialité. »</h2> <p>Nous oublions souvent que les incidents de confidentialité <strong>n’ont aucun rapport avec la plateforme</strong> sur laquelle ils se produisent. Il importe peu que le renseignement personnel ait été enregistré sur un document papier ou un document numérique : si le document a été compromis, un incident de confidentialité s’est produit et l’évaluation du « risque de préjudice sérieux » est déclenchée, ainsi que toutes les obligations de déclaration consécutives. La possibilité de compromission des dossiers papier et de déclenchement des obligations d’avis est la raison pour laquelle les entités ne devraient pas s’en remettre aveuglément à leurs procédures d’intervention en cas de cyberincident en vue de se conformer à la législation sur la protection des renseignements personnels. Étant donné que ces procédures sont axées sur la cybersécurité, elles échouent fréquemment à couvrir les renseignements personnels compromis qui sont contenus dans des dossiers papier.</p> <h2>4. « Nous anonymisons tous les renseignements personnels que nous recueillons, il n’y a donc aucun risque. »</h2> <p>En êtes-vous bien sûr?</p> <p>Même s’il est vrai que les renseignements personnels anonymisés ne sont plus considérés comme étant des renseignements au sujet d’une personne identifiable et que, par conséquent, ils ne sont en principe pas protégés par les lois sur la protection des renseignements personnels applicables, une véritable anonymisation est impossible.<strong> L’« anonymisation » désigne habituellement une variante de la dépersonnalisation</strong>, qui est un concept sensiblement différent en droit de la protection de la vie privée. Bien que la dépersonnalisation réduise le niveau de sensibilité des renseignements personnels et – en fonction des techniques utilisées – pourrait rendre la repersonnalisation de ces renseignements très difficile, la repersonnalisation est souvent possible, du moins en théorie. Avant d’exclure un incident de confidentialité au motif que les renseignements personnels ont été dépersonnalisés, il est important de bien comprendre les techniques utilisées afin de dépersonnaliser les renseignements et d’effectuer une analyse du risque portant sur la probabilité de repersonnalisation et du risque ultérieur de préjudice sérieux.</p> <h2>5. « Nous sommes victimes d’une cyberattaque, nous devons donc la déclarer à la CAI. »</h2> <p>Voici la bonne nouvelle – du moins sur le plan de la protection des renseignements personnels. <strong>Ce n’est pas parce que vous avez subi une cyberattaque que vous devez automatiquement la déclarer à la CAI.</strong> Si les dossiers compromis ne contenaient pas de renseignements personnels ou si, après une évaluation du risque éventuel de préjudice sérieux, il est établi que l’avis n’est pas exigé, alors l’entité n’est pas tenue de déclarer l’attaque à la CAI. Si l’attaque concerne des renseignements personnels (sans égard au fait que ces renseignements créent un risque de préjudice sérieux), l’entité doit toujours consigner l’attaque et la raison pour laquelle elle a décidé de ne pas aviser la CAI et les personnes concernées. </p>Thu, 03 Nov 2022 11:00:00 Z03-Nov-2022 03:47:00{FBB70C31-2E89-4996-AEC7-A95626257C26}https://stikeman.com/fr-ca/savoir/services-financiers/chaine-de-blocs-et-cryptomonnaie-comprendre-le-regime-reglementaire-du-canadaAlix d'Anglejan-Chatillonhttps://stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillonRamandeep K. Grewalhttps://stikeman.com/fr-ca/equipe/g/ramandeep-k-grewalÉric Lévesquehttps://stikeman.com/fr-ca/equipe/l/eric-levesqueActualités - Services financiersLe point fiscalDroit canadien des valeurs mobilièresDroit canadien des technologies et de la propriété intellectuelleChaîne de blocs et cryptomonnaie : Comprendre le régime réglementaire du Canada<p>Trois associés de nos bureaux de Toronto et de Montréal ont récemment mis à jour le chapitre canadien du guide <em><a href="/-/media/files/kh-general/blockchain--cryptocurrency-regulation-2023.ashx">Blockchain & Cryptocurrency Regulations 2023</a></em> (en anglais seulement), publié par <a rel="noopener noreferrer" target="_blank" href="https://www.globallegalinsights.com/">Global Legal Insights</a>. Ce chapitre donne un excellent aperçu de ce domaine du droit qui évolue rapidement au Canada et aborde principalement les sujets suivants :</p> <ul> <li>Réglementation de la cryptomonnaie</li> <li>Réglementation des ventes</li> <li>Obligations liées à la propriété et à l’obtention de permis</li> <li>Promotion et contrôles</li> <li>Lois sur le transfert d’argent et obligations de lutte contre le blanchiment d'argent</li> <li>Obligations de déclaration</li> <li>Restrictions frontalières</li> <li>Minage</li> <li>Fiscalité</li> <li>Autres obligations législatives canadiennes</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/blockchain--cryptocurrency-regulation-2023.ashx">publication de 11 pages</a> (en anglais seulement).</p>Tue, 01 Nov 2022 11:00:00 Z01-Nov-2022 05:46:00{0E74E38A-2C28-472E-B542-D3ED3E9316FE}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/l-entree-en-vigueur-le-3-octobre-2022-des-modifications-apportees-aux-regles-sur-les-brevetsTessa Martelhttps://stikeman.com/fr-ca/equipe/m/tessa-martelDroit canadien des technologies et de la propriété intellectuelleL’entrée en vigueur le 3 octobre 2022 des modifications apportées aux Règles sur les brevets reflète les engagements pris par le Canada dans le cadre de l’ACEUM<p><strong>La majeure partie des <a rel="noopener noreferrer" href="https://www.gazette.gc.ca/rp-pr/p2/2022/2022-06-22/html/sor-dors120-fra.html" target="_blank">modifications</a> instaurées le 2 juin 2022 par les <em>Règles modifiant les Règles sur les brevets </em>sont entrées en vigueur le 3 octobre 2022. Elles visent à simplifier le processus d’examen des brevets et à aligner le Canada sur le régime obligatoire d'ajustement de la durée des brevets de l’Accord Canada-États-Unis-Mexique (« ACEUM » appelé « USMCA » aux États-Unis).</strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>On October 3, 2022, the majority of the </strong><a rel="noopener noreferrer" target="_blank" href="https://www.gazette.gc.ca/rp-pr/p2/2022/2022-06-22/html/sor-dors120-eng.html"><strong>amendments</strong></a><strong> introduced by the <em>Rules Amending the Patent Rules</em> on June 2, 2022, came into force and effect. The amendments aim to streamline the patent examination process and bring Canada in line with the patent term adjustment regime as required by the Canada-United States-Mexico Agreement (“CUSMA”; known in the U.S. as “USMCA”).</strong></p> <p>The following is a summary of some of the key changes introduced by the revised <em>Patent Rules</em>.</p> <h2>Excess Claim Fee</h2> <p>As of October 3,<sup>, </sup>2022, excess claim fees will apply to requests for examination of patent applications with more than 20 claims. The excess claim fee is CAD $100 (CAD $50 for small entities<a href="#_ftn1" name="_ftnref1"><sup>[1]</sup></a>) for each claim over 20. This amendment is consistent with other patent offices, such as the United States Patent and Trademark Office (“USPTO”) and European Patent Office (“EPO”) which have a maximum of 20 and 15 claims respectively before excess claim fees are payable.</p> <p>The new fee is intended to encourage the filing of more compact patent applications resulting in more timely processing.</p> <p>The excess claim fee is calculated based on the greatest number of claims pending in the application <em>at any time</em> starting from the date examination is requested and ending on the date the final fee is paid. The excess claim fees are calculated and payable at two points in the application process: first, when examination is requested, and second, when the final fee (i.e., issue fee) is paid.</p> <p>Patent applications that have 20 claims or fewer at all times between the request for examination and payment of the final fee will not be subject to the excess claim fee.</p> <p>To avoid or minimize excess claim fees applicants can:</p> <ul> <li>file a voluntary amendment at any time prior to or together with the request for examination reducing the number of claims in an application; and/or</li> <li>include alternatives within a claim and/or dependent claims that refer to more than one preceding claim as these count as a single claim for the purposes of calculating the excess claim fee.<a href="#_ftn2" name="_ftnref2"><sup>[2]</sup></a></li> </ul> <h2>Conditional Notice of Allowance</h2> <p>A Conditional Notice of Allowance (“CNOA”) is a notice that says the patent will be allowed, provided that minor defects in the application are resolved. Prior to the amendments, there was no CNOA procedure in Canada.</p> <p>Now, an Examiner can issue a CNOA to an applicant when they have “reasonable grounds to believe that, but for certain minor defects, an application would comply with the Act and these Rules.” The CNOA essentially means that the application will be found allowable if minor defects are addressed (see the Manual of Patent Office Practice (“MOPOP”) <a rel="noopener noreferrer" target="_blank" href="https://manuels-manuals.opic-cipo.gc.ca/w/ic/MOPOP-en#!b/ss_25_01_01">s. 25.01.01</a> for examples of minor defects that could be included in a CNOA).</p> <p>The applicant must make the amendments or submit arguments and pay the final fee no later than four months after the date the CNOA was sent.</p> <p>However, the Examiner can withdraw a CNOA:</p> <ul> <li>after it is sent but before a patent is issued, if the Examiner has reasonable grounds to believe the application does not comply due to defects <em>other than</em> those referred to in the notice; or</li> <li>after the applicant replies in good faith by the deadline, if the Examiner has reasonable grounds to believe the application still does not comply in respect of those defects.</li> </ul> <p>In both cases, the Examiner must notify the applicant and refund the final fee (if paid).</p> <h2>Request for Continued Examination</h2> <p>Prior to these amendments coming into force, patent applicants could be issued numerous Non-Final office actions before being issued a Notice of Allowance or a Final Action. However, the changes to the <em>Patent Rules </em>introduce a limit of three examiner’s notices. Upon the issuance of the third examiner’s notice, examination will cease until a Request for Continued Examination (“RCE”) is filed. For applications which requested examination on or after October 3, 2022, once the third notice is issued, the applicant must file an RCE and pay a fee of CAD $816 (CAD $408 for small entities) for examination to continue.</p> <p>The deadline for filing an RCE is no later than four months of the date of the third notice.</p> <p>An RCE entitles an applicant to two additional examination reports (to bring the application into compliance) or to receive a Notice of Allowance. If the application requires more than two additional examination reports, the RCE process described above repeats, including the obligation to pay the fee.</p> <h2>Conclusion</h2> <p>The Canadian Intellectual Property Office (“CIPO”) has already updated the MOPOP in accordance with the October 2022 amendments. The MOPOP revision history can be accessed <a rel="noopener noreferrer" target="_blank" href="https://www.ic.gc.ca/eic/site/cipointernet-internetopic.nsf/eng/wr05102.html">here</a>.</p> <p>For more information on the revised Patent Rules, and what these changes may mean for your business, please contact any member of our Intellectual Property Group.</p> <p><em><span>The author would like to acknowledge the support and assistance of <a href="{CB74A7F3-145D-43BD-B241-EC320A128CA1}?item=web%3a%7b349C54C1-54FB-465E-B437-45416F8D4442%7d%40fr-CA">Renée Taillieu</a></span>, articling student at law.</em></p> <hr /> <p><a href="#_ftnref1" name="_ftn1">[1]</a> Section 112(2) of the <em>Patent Rules</em> defines a small entity as one that employs 50 or fewer employees or that is a university. This definition does not include: (i) an entity that is controlled directly or indirectly by an entity, other than a university, that employs more than 50 employees; or (ii) an entity that has transferred or licensed or has an obligation, other than a contingent obligation, to transfer or license any right in the invention to an entity, other than a university, that employs more than 50 employees. The determination of small entity applies to the applicant at the filing date of the application.</p> <p><a href="#_ftnref2" name="_ftn2">[2]</a> Sections 80(1.1) and 87(1.1) of the <em>Patent Rules</em>.</p>21-Oct-2022 05:16:00{CE01A886-A8D0-4444-B7E6-81AA54314A13}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/les-5-principales-idees-fausses-sur-la-nouvelle-loi-quebecoise-sur-la-protection-des-renseignements-personnelsDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéLes 5 principales idées fausses sur la nouvelle loi québécoise sur la protection des renseignements personnels<p><strong>Puisque la première série de modifications à la <a rel="noopener noreferrer" href="https://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C25F.PDF" target="_blank">Loi sur la protection des renseignements personnels du Québec</a> (la « loi 25 ») entrera en vigueur le 22 septembre 2022, nous avons cru bon de partager les 5 principales idées fausses que nous avons dégagées de discussions que nous avons eues sur les incidences qu’aura la loi 25 sur les entreprises qui exercent des activités au Québec.</strong></p> <p>Note : Bien que la loi 25 ait été adoptée il y a un an, ses dispositions entrent en vigueur en plusieurs étapes, soit en 2022, en 2023 et en 2024. Pour plus de renseignements à ce sujet, <a rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/nouvelle-legislation-sur-la-protection-des-renseignements-personnels-du-quebec-son-incidence-sur-les-entreprises" target="_blank"><span style="text-decoration: underline;">voir notre dernier billet</span></a>.</p> <h2>1. « Nous exerçons des activités interentreprises; par conséquent, la législation ne s’applique pas à nous. »</h2> <p>La législation s’applique à toute entité qui détient des « renseignements personnels ». Cette expression est définie comme tout renseignement qui concerne une personne physique et permet<em>, </em>directement ou indirectement, de l’identifier. Il s’agit de renseignements comme le nom, l’adresse, la date de naissance, le numéro d’identification délivré par le gouvernement ou le genre d’une personne. Il s’agit également de l’adresse IP ou MAC d’un appareil qui peut être relié à une personne, ainsi que du comportement de navigation de cette personne. Il est donc difficile d’imaginer, compte tenu de la définition très large des « renseignements personnels », qu’une entreprise ne recueille, n’utilise ou ne divulgue pas (« traite ») des renseignements personnels d’une manière ou d’une autre et que, par conséquent, les exigences de la loi 25 ne s’appliquent pas à elle.</p> <h2>2. « Je pense qu’un membre des RH s’occupe de la conformité à la législation sur la protection des renseignements personnels. »</h2> <p>Bien que le « membre » des RH puisse être très compétent et qu’il est probablement le mieux placé pour assurer le respect de la loi 25, les entreprises qui traitent des renseignements personnels devront désormais désigner une personne spécifique pour assurer la protection des renseignements personnels. Le titre et les coordonnées de cette personne doivent être publiés sur le site Web de l’entreprise ou mis à la disposition du public par tout autre moyen approprié. <strong>À compter du 22 septembre 2022, si une entité n’a pas désigné une telle personne, le rôle de responsable de la protection des renseignements personnels reviendra automatiquement à la personne <span style="text-decoration: underline;">ayant le plus haut pouvoir de décision</span></strong>, qui pourra le déléguer par écrit à une autre personne de l’organisation.</p> <h2>3. « Je pense que notre service des TI a un plan d’intervention en cas d’incident. »</h2> <p>La plupart des services de TI disposent d’un plan d’intervention en cas d’incident. Toutefois, un plan d’intervention en cas d’incident informatique est adapté aux exigences qui incombent au service de TI et il ne reflète pas nécessairement les obligations légales auxquelles une entreprise doit faire face à la suite d’un incident impliquant des renseignements personnels, comme :</p> <ul> <li>déterminer si l’incident peut entraîner un risque de préjudice sérieux;</li> <li>aviser les personnes dont les renseignements ont été compromis ainsi que la Commission d’accès à l’information si l’incident pose un risque de préjudice sérieux;</li> <li>consigner l’incident dans un registre et <strong>en conserver une copie pendant 5 ans</strong>.</li> </ul> <p>Il est essentiel de disposer d’un plan d’intervention en cas d’incident spécifique aux renseignements personnels pour deux raisons : premièrement, un incident impliquant des renseignements personnels ne concerne pas nécessairement les TI. Par exemple, un dossier papier perdu ou volé contenant les noms et les salaires des employés constitue un incident et ne sera probablement pas prévu dans un plan d’intervention en cas d’incident informatique. Deuxièmement, les seuils utilisés pour déterminer les niveaux de risque d’un cyberincident sont généralement plus élevés que ceux utilisés pour déterminer un risque de préjudice sérieux pour une personne à la suite d’une atteinte à ses renseignements personnels.</p> <h2>4. « Nous ne partageons pas les renseignements personnels avec qui que ce soit. Nous les stockons sur le nuage. »</h2> <p>À moins que l’entreprise n’héberge ses propres serveurs en nuage, le stockage de renseignements personnels auprès d’un fournisseur de services infonuagiques externe est considéré comme une communication de renseignements personnels. L’entreprise doit donc informer la personne de cette communication de renseignements. De plus, à partir de septembre 2023, le consentement de la personne à cette communication ne sera plus nécessaire, mais l’entreprise devra avoir conclu une entente sur le traitement des données dans laquelle le fournisseur offre des mesures de sécurité adéquates pour protéger les renseignements personnels qu’il reçoit. Si le fournisseur est situé à l’extérieur du Québec, une évaluation des facteurs relatifs à la vie privée devra être effectuée pour s’assurer que les renseignements personnels bénéficieront d’un niveau de protection équivalent.</p> <h2>5. « Nous ne pouvons pas communiquer ces renseignements, car nous n’avons pas le consentement de la personne concernée. »</h2> <p>À compter du 22 septembre 2022, une entreprise participant à une transaction commerciale pourra communiquer les renseignements personnels d’une personne à la contrepartie à l’opération sans le consentement de cette personne. Cette mesure a pour effet d’élargir l’application de l’exception relative aux « transactions commerciales » prévue par la <em>Loi sur la protection des renseignements personnels et les documents électroniques </em>du gouvernement fédéral aux entreprises exerçant leurs activités au Québec. La loi 25 exige toutefois de la partie qui communique les renseignements personnels qu’elle conclue une entente avec la partie qui les reçoit, dans laquelle elle s’engage à faire ce qui suit :</p> <ul> <li>utiliser les renseignements personnels seulement pour conclure la transaction commerciale;</li> <li>s’abstenir de communiquer les renseignements personnels sans le consentement de la personne concernée, sauf si la loi l’y autorise;</li> <li>prendre des mesures pour protéger la confidentialité des renseignements personnels;</li> <li>détruire les renseignements personnels si la transaction n’est pas conclue ou si les renseignements personnels ne sont plus nécessaires à la conclusion de la transaction.</li> </ul> <p>Une fois la transaction conclue, le destinataire des renseignements personnels doit traiter les renseignements de manière à respecter la loi 25 et doit éventuellement informer la personne qu’il détient ses renseignements personnels.</p> <p><strong>Ces 5 points portent sur les changements les plus importants que la loi 25 introduit dans le contexte de la protection des renseignements personnels au Québec. Dans un an, d’autres exigences, plus complexes, entreront en vigueur, laissant aux entreprises québécoises les 12 prochains mois pour se préparer.</strong></p>Tue, 13 Sep 2022 04:00:00 Z13-Sep-2022 04:00:00{6315FC40-6EFD-4E7D-B4B6-8459D50B375C}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/projet-de-reglement-quebecois-sur-les-incidents-de-confidentialiteDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleActualités - Sociétés et droit commercialProtection des renseignements personnels et cybersécuritéProjet de règlement québécois sur les incidents de confidentialité : quand transmettre un avis et quels renseignements inclure<p><strong>Un peu plus de neuf mois après l’adoption du projet de <a rel="noopener noreferrer" href="https://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C25F.PDF" target="_blank"><em>Loi modernisant des dispositions législatives en matière de protection des renseignements personnels</em></a> (le « projet de loi 64 »), qui a notamment restructuré les lois de la province en matière de protection des renseignements personnels dans les secteurs public et privé, le gouvernement du Québec a présenté son <a rel="noopener noreferrer" href="http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=1&file=77600.pdf" target="_blank">projet de règlement</a> (le « Règlement »), qui indique la façon dont les entités devront répondre aux incidents affectant la confidentialité des renseignements personnels (les « incidents de confidentialité »).</strong></p> <p>Le Québec est en retard en ce qui concerne la déclaration obligatoire des atteintes. Tous les États américains, l’Union européenne, ainsi que l’Alberta et les provinces canadiennes assujetties à la <a rel="noopener noreferrer" href="https://canlii.ca/t/cl0v" target="_blank"><em>Loi sur la protection des renseignements personnels et les documents électroniques</em></a> (la « LPRPDE ») obligent les entités à déclarer les atteintes qui visent les renseignements personnels aux organismes de réglementation compétents et aux personnes dont les renseignements personnels sont compromis. Toutefois, chaque loi est quelque peu différente en ce qui concerne les modalités, le moment et la teneur de la divulgation. Le Règlement du Québec ne fait pas exception. Les paragraphes suivants décrivent certaines des particularités du Règlement, essentiellement sur le plan de la tenue d’un registre, des seuils et de la définition d’incident de confidentialité. Ils décrivent ensuite les obligations précises liées à la divulgation et à la tenue d’un registre que ce Règlement impose. </p> <ol> <li><strong>Tenue d’un registre :</strong> Contrairement à la LPRPDE qui oblige l’organisation à tenir un registre de chaque atteinte aux mesures de sécurité pendant 24 mois, le Règlement propose une période de rétention de cinq ans à compter de la date ou de la période au cours de laquelle l’entité a pris connaissance de l’incident de confidentialité.</li> <li><strong>Seuil :</strong> Contrairement à la LPRPDE et à la <em>Personal Information Protection Act</em> de l’Alberta qui exigent la transmission d’un avis à leurs commissions de la protection de la vie privée respectives et aux particuliers dont les renseignements personnels sont compromis si l’atteinte peut présenter un « risque réel de préjudice grave », le projet de loi 64 requiert un avis en cas de « risque de préjudice sérieux ». Même s’il est trop tôt pour savoir si cette distinction terminologique entraînera une différence importante de seuils de déclaration, il se peut que ce soit le cas.</li> <li><strong>Incident de confidentialité :</strong> La LPRPDE définit l’atteinte aux mesures de sécurité comme la « communication non autorisée ou [la] perte de renseignements personnels, ou [l’]accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation […] ou du fait que ces mesures n’ont pas été mises en place. » Toutefois, le projet de loi 64 définit l’« incident de confidentialité » comme suit : <ol style="list-style-type: lower-alpha;"> <li>l’accès non autorisé par la loi à un renseignement personnel;</li> <li>l’utilisation non autorisée par la loi d’un renseignement personnel;</li> <li>la communication non autorisée par la loi d’un renseignement personnel;</li> <li>la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.</li> </ol> </li> </ol> <p>Encore une fois, même s’il est trop tôt pour connaître les répercussions de cette distinction terminologique, la définition de l’incident de confidentialité semble couvrir un champ d’activité plus large que l’« atteinte aux mesures de sécurité ».</p> <h2>Obligation de divulgation et de tenue d’un registre</h2> <p>Si le Règlement entre en vigueur tel quel, l’entité située au Québec qui est l’objet d’un incident de confidentialité sera tenue de se conformer aux obligations de divulgation et de tenue d’un registre suivantes.</p> <h3>Avis à la <em>Commission d’accès à l’information</em> (« CAI »)</h3> <table> <tbody> <tr> <td> <p>Moment</p> </td> <td> <p>Lorsque l’entité qui détient des renseignements personnels a des motifs de croire qu’un incident de confidentialité susceptible de poser un risque de préjudice sérieux s’est produit. Aucun délai n’est précisé.</p> <p>Si certains des renseignements ci-après deviennent disponibles après l’envoi d’un premier avis, des avis de suivi doivent être envoyés dès que l’information est disponible.</p> </td> </tr> <tr> <td> <p>Modalités</p> </td> <td> <p>Par écrit</p> </td> </tr> <tr> <td> <p>Contenu</p> </td> <td> <p>· Le nom de l’entité qui a été la cible de l’incident de confidentialité et son numéro d’entreprise du Québec, le cas échéant;</p> <p>· Le nom de la personne à contacter qui a été désignée par l’entité afin de répondre aux questions sur l’incident de confidentialité;</p> <p>· La description des renseignements personnels qui ont été compromis ou, si cette information n’est pas connue, la raison justifiant cette méconnaissance;</p> <p>· Une brève description de l’incident de confidentialité et, si elle est connue, de sa cause;</p> <p>· La date ou la période (approximative) où l’incident de confidentialité a eu lieu;</p> <p>· La date ou la période au cours de laquelle l’entité a pris connaissance de l’incident de confidentialité;</p> <p>· Le nombre de personnes dont les renseignements personnels ont été compromis et, parmi celles-ci, le nombre (approximatif) de personnes qui résident au Québec;</p> <p>· Une description des raisons qui portent l’entité à croire que l’incident de confidentialité pourrait poser un risque de préjudice sérieux;</p> <p>· Les mesures que l’entité a prises ou entend prendre afin d’aviser les personnes dont les renseignements personnels ont été compromis et la date où les personnes ont été ou seront avisées;</p> <p>· Les mesures que l’entité a prises ou entend prendre à la suite de l’incident afin de diminuer le risque de préjudice et de prévenir les incidents de même nature à l’avenir, et la date où ces mesures ont été ou seront prises;</p> <p>· Une indication qu’une commission de protection des données autre que la CAI a été avisée de l’incident de confidentialité. </p> </td> </tr> </tbody> </table> <h3>Avis aux personnes dont les renseignements personnels ont été compromis</h3> <table> <tbody> <tr> <td> <p>Moment</p> </td> <td> <p>Lorsque l’entité qui détient des renseignements personnels a des motifs de croire qu’un incident de confidentialité susceptible de poser un risque de préjudice sérieux s’est produit. Aucun délai n’est précisé.</p> </td> </tr> <tr> <td> <p>Modalités</p> </td> <td> <p>Au moyen d’un avis personnel envoyé à chaque personne dont les renseignements personnels ont été compromis.</p> <p>Au moyen d’un avis public dans les cas suivants :</p> <p>· l’envoi d’un avis personnel causerait un préjudice accru à la personne concernée;</p> <p>· l’envoi d’un avis représenterait une difficulté excessive pour l’entité;</p> <p>· l’entité n’a pas les coordonnées de la personne concernée.</p> <p>Au moyen d’un avis public afin de diminuer le risque de préjudice sérieux ou d’atténuer un tel préjudice. Les personnes concernées doivent quand même recevoir un avis personnel.</p> </td> </tr> <tr> <td> <p>Contenu</p> </td> <td> <p>· Une description des renseignements personnels qui ont été compromis ou, si cette information n’est pas connue, la raison justifiant cette méconnaissance;</p> <p>· Une brève description de l’incident de confidentialité;</p> <p>· La date ou la période où l’entité a eu connaissance de l’incident de confidentialité;</p> <p>· Une description des mesures que l’entité a prises ou entend prendre afin de diminuer le risque de préjudice;</p> <p>· Les mesures que la personne dont les renseignements personnels ont été compromis peut prendre afin d’atténuer le risque de préjudice;</p> <p>· Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident de confidentialité.</p> </td> </tr> </tbody> </table> <h3>Contenu du registre des incidents de confidentialité</h3> <table> <tbody> <tr> <td> <p>Moment</p> </td> <td> <p>Lorsqu’un incident de confidentialité se produit dans une entité qui détient des renseignements personnels, que l’incident doive ou non être déclaré à la CAI et aux personnes dont les renseignements personnels ont été compromis.</p> </td> </tr> <tr> <td> <p>Délai</p> </td> <td> <p>Cinq ans après la date ou la période où l’entité a pris connaissance de l’incident de confidentialité.</p> </td> </tr> <tr> <td> <p>Contenu</p> </td> <td> <p>· Une description des renseignements personnels qui ont été compromis ou, si cette information n’est pas connue, la raison justifiant cette méconnaissance;</p> <p>· Une brève description de l’incident de confidentialité;</p> <p>· La date ou la période (approximative) où l’incident de confidentialité a eu lieu;</p> <p>· La date ou la période où l’entité a eu connaissance de l’incident de confidentialité;</p> <p>· Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;</p> <p>· Une description des raisons qui portent l’entité à croire que l’incident de confidentialité pourrait poser un risque de préjudice sérieux;</p> <p>· Si l’incident de confidentialité présente un risque de préjudice sérieux, les dates des avis transmis à la CAI et aux personnes dont les renseignements personnels ont été compromis et la mention de l’obligation de donner un avis public;</p> <p>· Une description des mesures prises après l’incident de confidentialité afin de diminuer le risque de préjudice.</p> </td> </tr> </tbody> </table> <h2>Calendrier de mise en œuvre</h2> <p>Le Règlement, qui a été déposé le 29 juin 2022, devrait entrer en vigueur 45 jours après (environ un mois avant la date d’entrée en vigueur prévue des premières dispositions du projet de loi 64, y compris la partie qui concerne l’avis d’incident). En date du <strong>22 septembre 2022</strong>, les entités qui exercent leurs activités au Québec seront tenues de divulguer les incidents de confidentialité et de se conformer aux obligations d’avis et de tenue d’un registre décrites précédemment.</p>29-Jul-2022 12:50:00{6FCB2E6C-2F1B-4E91-85A7-8972F0C30239}https://stikeman.com/fr-ca/savoir/droit-canadien-actions-collectives/les-annonceurs-ont-le-fardeau-de-prouver-que-les-particuliers-ont-consenti-a-apparaitre-dans-les-publicitesAlexandra Urbanskihttps://stikeman.com/fr-ca/equipe/u/alexandra-urbanskiDroit canadien des actions collectivesDroit canadien des technologies et de la propriété intellectuelleSelon la Cour suprême de la Colombie-Britannique, les annonceurs ont le fardeau de prouver que les particuliers ont consenti à apparaître dans les publicités et les pouvoirs législatifs ne peuvent limiter les recours fondés sur la législation provinciale à leurs propres tribunaux <p><strong>Dans la décision <em>Douez v. Facebook, Inc., </em><a rel="noopener noreferrer" href="https://www.canlii.org/en/bc/bcsc/doc/2022/2022bcsc914/2022bcsc914.html" target="_blank">2022 BCSC 914</a>, la Cour suprême de la Colombie-Britannique (la « Cour ») a décidé que l’utilisation par Facebook des noms et des photos des membres du groupe dans son programme publicitaire appelé « actualités commanditées » (<em>Sponsored Stories</em>) sans leur consentement contrevenait à quatre lois provinciales sur la protection des renseignements personnels (Colombie-Britannique, Saskatchewan, Manitoba et Terre-Neuve-et-Labrador). La position adoptée par la Cour est contraire à celle de la jurisprudence de l’Ontario, selon laquelle la compétence<em> ratione materiae</em> accordée par le législateur à un tribunal particulier signifie que la compétence de tous les autres tribunaux est exclue, y compris celle des cours supérieures des autres provinces.</strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>In <em>Douez v. Facebook, Inc., </em></strong><a rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/bc/bcsc/doc/2022/2022bcsc914/2022bcsc914.html"><strong>2022 BCSC 914</strong></a><strong>, the </strong><strong>Supreme Court of British Columbia (the “Court”) held that Facebook used class members’ names and images in its “Sponsored Stories” advertising program without their consent, contrary to four provincial privacy statutes (British Columbia, Saskatchewan, Manitoba, and Newfoundland and Labrador). In doing this, the Court took a position that is contrary to Ontario authority that states that legislative conferral of subject matter jurisdiction to a particular court means that all other courts, including superior courts of other provinces, do not have jurisdiction over that subject matter.</strong></p> <h2>Background</h2> <p><strong>Facebook’s Sponsored Stories</strong></p> <p>From January 2011 to May 30, 2014, Facebook offered an advertising program called “Sponsored Stories”, whereby advertisers could pay Facebook to associate the advertiser’s name or identifiable mark with a Facebook user who performed certain social actions in connection with the advertiser (i.e., liking the advertiser’s Facebook profile or other content). Facebook’s software would attach a banner to the social action such as “Sponsored”, as well as the advertiser’s thumbnail icon, and increase the likelihood that the user’s friends would see the now “Sponsored” social action on their news feeds. Facebook did not display the Sponsored Story on the user’s home page and did not inform a user when their name and image were used to create a Sponsored Story.</p> <p><strong>The Class Proceeding</strong></p> <p>In 2012, Ms. Douez brought a proposed class action in B.C. on behalf of Facebook users alleging that Sponsored Stories violated section 3(2) of the <a rel="noopener noreferrer" target="_blank" href="https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/00_96373_01">B.C. Privacy Act</a>, which states:</p> <p style="padding-left: 30px;">It is a tort, actionable without proof of damage, for a person to use the name or portrait of another for the purpose of advertising or promoting the sale of, or other trading in, property or services, unless that other, or a person entitled to consent on his or her behalf, consents to the use for that purpose.</p> <p>As a threshold matter, Facebook argued that the B.C. courts should decline jurisdiction because the Terms of Use agreed to by the plaintiff contained a forum selection clause in favour of California. The Court refused to decline jurisdiction and proceeded to <a rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/bc/bcsc/doc/2014/2014bcsc953/2014bcsc953.html?searchUrlHash=AAAAAQANMjAxNCBCQ1NDIDk1MwAAAAAB">certify the action in 2014</a>.</p> <p>Facebook appealed to the B.C. Court of Appeal, which held that the forum selection clause was enforceable and did not consider the challenge to the certification of the common issues. The plaintiff appealed to the Supreme Court of Canada, which in 2017, held that the forum selection clause was unenforceable.</p> <p>The matter returned to the B.C. Court of Appeal for consideration of Facebook’s challenge to the certification order. The B.C. Court of Appeal upheld the certification decision, and in 2019, the case management judge granted the plaintiff’s application to amend the claim to include residents of Saskatchewan, Manitoba, and Newfoundland and Labrador.</p> <p>The plaintiff applied for summary trial of the common issues that were certified by the Court in 2014 (and amended in 2019). Facebook opposed the motion and argued that:</p> <ul> <li>the <strong>Court </strong><strong>lacked jurisdiction</strong> to determine the privacy claims under Manitoba’s and Newfoundland and Labrador’s privacy statutes; and</li> <li>the matter is <strong>not suitable for determination by way of summary trial</strong>.</li> </ul> <h2>The Jurisdictional Challenge</h2> <p>The Court held that it did not lack jurisdiction to determine the privacy claims under Manitoba’s and Newfoundland and Labrador’s privacy statutes.</p> <p>Facebook had argued that the Court could not adjudicate the claims under the Manitoba and Newfoundland and Labrador legislation as those statutes granted exclusive jurisdiction to their respective provincial superior courts. In making this argument, Facebook drew on a line of Ontario cases that have held that when a provincial legislature confers jurisdiction over a particular subject to a particular court, other courts, including those in other provinces, do not have jurisdiction over that subject matter.</p> <p>The Court rejected Facebook’s argument and found that provincial superior courts have the power to adjudicate disputes arising under statutes of other jurisdictions, including other provinces. Relying on constitutional principles, the Court noted that the legislatures of Manitoba and Newfoundland and Labrador cannot legislate extraterritorially, and thus lack the legislative competence to prohibit the Court from adjudicating claims under their respective privacy statutes.</p> <p>Ultimately, the Court held that it has adjudicative competence to determine the claims under the Manitoba and Newfoundland and Labrador privacy acts, and whether it should do so in this case is a question to be decided through a <em>forum non conveniens </em>analysis (i.e., whether there is another more appropriate forum in which to hear the dispute). As Facebook did not raise a <em>forum non conveniens </em>objection, the Court held that it could not decline to exercise its jurisdiction over the extra-provincial statutory claims.</p> <h2>Liability for Breach of Privacy Legislation</h2> <p>The Court held that the liability common issues (i.e., whether users expressly or impliedly consented to their name or portrait being used in Sponsored Stories) in this case are amendable to summary resolution. The Court did not find damages issues suitable for summary determination and deferred them for determination by conventional trial.</p> <p><strong>Express or Implied User Consent</strong></p> <p>The Court began its analysis by examining who bears the burden of proving consent. Upon examining all four provincial privacy statutes in issue, the Court concluded that a defendant is best suited to prove consent as a defence. While the plaintiff must establish a <em>prima facie </em>case for breach of the relevant legislation, the Court noted that this threshold is low and Ms. Douez’s affidavit evidence that she did not consent satisfies the low threshold for a <em>prima facie </em>case and Facebook bears the burden of proving consent.</p> <p>The Court found that a reasonable reader would interpret Facebook’s terms of use as providing users with the ability to control whether their name and profile picture could be used by advertisers. Yet, as the evidence established that a user could not control the use of their information, the Court ruled that Facebook had not obtained express consent as required by the provincial legislation.</p> <p>Facebook argued that its practices were consistent with the terms of use that provided that Facebook would not “give” a user’s content or information to advertisers without their consent. Specifically, Facebook argued it did not transfer the individual names and profiles pictures of users who became the subject of Sponsored Stories, and advertisers could not “review or store or process this information in any way”. However, the Court held that Facebook’s interpretation of “give” was unrealistically narrow and unreasonable as Sponsored Stories “gave” advertisers the means to add their image to a user’s social action, add the “sponsored” banner and “hitch their brand” to user information.</p> <p>The Court found that unless and until a user learned that they had been featured in a Sponsored Story, and about the ineffectiveness of privacy settings to prevent them being featured in other Sponsored Stories, the evidence did not support an inference of implied consent. </p> <h2>Key Take-Aways</h2> <ul> <li>This decision departs from a line of Ontario cases regarding the issue of the scope of the provincial superior courts’ jurisdiction to deal with statutory privacy claims pursuant to the legislation of a different province. This may cause uncertainty in national class actions brought outside the provinces that enacted these statutes and class counsel will want to keep an eye on any guidance offered by the higher courts.</li> <li>The onus rests with the defendant to prove it obtained consent to use a person’s name and image in advertising under these provincial statutes. While the plaintiff must establish a <em>prima facie </em>case for breach of the relevant legislation, this threshold is low and may be easily satisfied.</li> </ul> <p>The right to privacy requires consent to be sought, not presumed. It is important that privacy policies and terms of use make it clear how and when user information may be used for advertising and promotional purposes.</p>29-Jun-2022 05:33:00{D94B101D-EB4E-4705-BA64-F72549B64C6C}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/projet-de-loi-c-26-ediction-de-la-loi-sur-la-protection-des-cybersystemes-essentiels-du-canadaDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleDroit canadien de l'énergieActualités - Sociétés et droit commercialActualités - Services financiersProjet de loi C-26 : édiction de la Loi sur la protection des cybersystèmes essentiels du Canada<p><strong>Le 14 juin 2022, le gouvernement du Canada a déposé le <a rel="noopener noreferrer" target="_blank" href="https://www.parl.ca/DocumentViewer/en/44-1/bill/C-26/first-reading">projet de loi C-26, <em>Loi concernant la cybersécurité</em></a> qui, entre autres, vise à édicter la <em>Loi sur la protection des cybersystèmes essentiels</em> (la « LPCSE »). Le <a rel="noopener noreferrer" target="_blank" href="https://www.canada.ca/fr/securite-publique-canada/nouvelles/2022/06/proteger-les-cybersystemes-essentielles.html">« document d’information » qui est joint au projet de loi</a> explique que la LPCSE « remédie aux lacunes de longue date du gouvernement : protéger les services et systèmes vitaux auxquels les Canadiens et Canadiennes se fient ». Ainsi, le gouvernement peut (selon le libellé du document d’information) : </strong></p> <ul> <li>Désigner certains services et systèmes comme étant vitaux à la sécurité nationale et publique et les exploitants (ou classes d’exploitants) qui sont responsables de leur protection;</li> <li>Veiller à ce que ces exploitants désignés protègent les cybersystèmes qui sont à la base des infrastructures essentielles du Canada;</li> <li>Assurer le signalement des incidents cybernétiques s’ils dépassent le seuil établi;</li> <li>Obliger les organisations à passer à l’action pour intervenir <em>(sic)</em> aux menaces ou vulnérabilités cybernétiques;</li> <li>Poursuivre une approche plurisectorielle à la cybersécurité <em>(sic)</em> en raison de l’interdépendance croissante des cybersystèmes.</li> </ul> <p>Afin d’atteindre son objectif, la LPCSE propose d’imposer de nouvelles obligations de conformité et de déclaration à certaines catégories de personnes, sociétés de personnes ou organisations non dotées de la personnalité morale sous réglementation fédérale dans des secteurs qui sont réputés d’importance critique pour la sécurité canadienne (les « exploitants désignés »), ainsi que des sanctions sévères pour non-conformité des exploitants désignés et de leurs administrateurs et dirigeants.</p> <h2>Obligations de conformité</h2> <p>La LPCSE oblige les exploitants désignés à faire ce qui suit :</p> <ul> <li>Établir un programme de cybersécurité ;</li> <li>Aviser les organismes réglementaires compétents de certains événements;</li> <li>Atténuer les risques liés à la chaîne d’approvisionnement et aux tiers;</li> <li>Déclarer sans délai les incidents de cybersécurité;</li> <li>Tenir des documents de conformité.</li> </ul> <p>Elle permettra également au gouverneur en conseil de donner des directives de cybersécurité afin de réagir aux menaces et aux vulnérabilités immédiates.</p> <h3>Programme de cybersécurité</h3> <p>Même si les exploitants désignés n’ont pas encore été nommés dans l’annexe 2 du projet de loi, dès que le gouverneur en conseil établit qu’une entité est un exploitant désigné, l’entité doit, dans les 90 jours, établir un programme de cybersécurité relativement à ses cybersystèmes essentiels (les « CSE ») et le mettre à la disposition de l’organisme réglementaire compétent. Un CSE s’entend de « tout cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique ». Une liste des services ou systèmes critiques est fournie à l’annexe 1 de la LPCSE. Ces services ou systèmes critiques comprennent les suivants :</p> <ul> <li>Services de télécommunications;</li> <li>Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;</li> <li>Systèmes d’énergie nucléaire;</li> <li>Systèmes de transport relevant de la compétence législative du Parlement;</li> <li>Systèmes bancaires;</li> <li>Systèmes de compensation et de règlement.</li> </ul> <p>Le projet de loi exige que le programme de cybersécurité de l’exploitant désigné permette :</p> <ul> <li>d’identifier et de gérer les risques organisationnels pour la cybersécurité, notamment les risques associés à la chaîne d’approvisionnement de l’exploitant désigné et à l’utilisation par celui-ci de produits et services de tiers;</li> <li>de protéger ses CSE contre toute compromission.</li> <li>de détecter les incidents de cybersécurité (les « <strong>ICS</strong>») qui touchent ou pourraient toucher ses CSE. Le projet de loi définit l’ICS comme un « incident, notamment acte, omission ou situation, qui nuit ou peut nuire : a) soit à la continuité ou à la sécurité d’un service critique ou d’un système critique; b) soit à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel »;</li> <li>de réduire au minimum les conséquences des ICS qui touchent ses CSE;</li> <li>de prendre toute mesure prévue par règlement.</li> </ul> <p>Dès que le programme est établi, l’exploitant désigné doit :</p> <ul> <li>en aviser par écrit l’organisme réglementaire compétent,</li> <li>mettre en œuvre le programme et en assurer la mise à jour.</li> </ul> <p>Le programme doit être examiné à la date prévue par règlement ou, à défaut, une fois par an. L’examen doit être terminé dans les 60 jours et les changements apportés au programme par suite de l’examen doivent être communiqués à l’organisme réglementaire compétent dans les 30 jours de la fin de l’examen. </p> <h3>Avis obligatoires</h3> <p>Le projet de loi oblige les exploitants désignés à aviser l’organisme réglementaire compétent de l’existence d’un événement qui concerne : a) un changement important survenu dans la propriété ou le contrôle de l’exploitant désigné; b) un changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits de tiers; c) toutes circonstances prévues par règlement. L’exploitant désigné sera également tenu d’informer l’organisme réglementaire compétent de tout changement apporté à son programme de cybersécurité qui découle des événements mentionnés aux points a) à c) dans les 90 jours suivant la remise de l’avis qui concerne l’événement.</p> <h3>Atténuation des risques liés à la chaîne d’approvisionnement et aux tiers</h3> <p>Si l’exploitant désigné identifie un risque de cybersécurité lié à la chaîne d’approvisionnement ou au produit ou service d’un tiers, il est tenu en vertu du projet de loi de prendre des mesures raisonnables afin d’atténuer le risque.</p> <h3>Déclaration</h3> <p>L’exploitant désigné sera également tenu de déclarer sans délai tout ICS qui concerne l’un de ses CSE d’abord au Centre de la sécurité des télécommunications puis à l’organisme réglementaire compétent.</p> <h3>Tenue de documents</h3> <p>Selon le projet de loi, l’exploitant désigné est tenu de conserver au Canada, dans tout lieu désigné par règlement ou dans son établissement, des documents qui contiennent les informations suivantes :</p> <ul> <li>les mesures qu’il a prises pour mettre en œuvre son programme de cybersécurité;</li> <li>tout ICS qu’il a déclaré au Centre de la sécurité des télécommunications;</li> <li>les mesures qu’il a prises pour atténuer les risques liés à la chaîne d’approvisionnement ou aux tiers;</li> <li>les mesures qu’il a prises pour mettre en œuvre toute directive de cybersécurité;</li> <li>toute question précisée par règlement.</li> </ul> <h3>Directive de cybersécurité</h3> <p>Le projet de loi propose également d’autoriser le gouverneur en conseil à prendre un décret sur la cybersécurité enjoignant à un exploitant désigné ou à une catégorie d’exploitants désignés de se conformer à toute mesure de protection d’un CSE. Outre le nom ou la catégorie de l’exploitant désigné, le décret doit préciser les mesures à prendre et les délais dans lesquels elles doivent être prises. Le défaut de se conformer à une directive de cybersécurité est punissable par mise en accusation et pourrait faire l’objet des sanctions décrites ci-après.</p> <h2>Application</h2> <p>Afin de contrôler l’application des obligations de conformité qui précèdent, la LPCSE prévoit des sanctions administratives pour les violations et des sanctions pénales pour les infractions. Les deux types de sanctions sont assortis d’une prescription de trois ans et entraînent la responsabilité des administrateurs et dirigeants « qui [l’] ont ordonné[e] ou autorisé[e], ou qui [y] ont consenti, acquiescé ou participé » à la violation ou à l’infraction. La violation ou l’infraction qui dure plus d’un jour sera considérée comme une infraction distincte pour chaque jour au cours duquel elle se poursuit.</p> <p>De plus, les organismes réglementaires suivants seront autorisés à entrer dans tout lieu – y compris une habitation – aux fins de vérification interne et d’exécution d’un ordre de conformité : (i) le surintendant des institutions financières, (ii) le ministre de l’Industrie, (iii) la Banque du Canada, (iv) la Commission canadienne de sûreté nucléaire, (v) la Régie canadienne de l’énergie, (vi) le ministère des Transports.</p> <p>Comme il a été mentionné précédemment, deux types de sanctions sont proposées dans le projet de loi, selon que le manquement à la LPCSE constitue une violation ou une infraction. Cependant, le projet interdit de qualifier un acte ou une omission à la fois de violation et d’infraction, la procédure en violation et la procédure pénale s’excluant mutuellement. La violation, qui désigne une activité qui contrevient à la LPCSE, sera punissable d’une sanction pécuniaire maximale d’un million de dollars pour une personne physique et de quinze millions de dollars dans les autres cas. L’infraction, qui désigne la contravention à des dispositions précises comme l’obligation d’établir un programme de cybersécurité ou l’obligation de donner un avis, pourrait être punissable sur déclaration de culpabilité par procédure sommaire ou par mise en accusation. La déclaration de culpabilité par procédure sommaire donnera lieu à une amende ou à une peine d’emprisonnement de deux ans moins un jour pour le particulier ou à une amende pour l’entité concernée. La déclaration de culpabilité par mise en accusation entraînera (pour le particulier) une amende et une peine d’emprisonnement maximale de cinq ans (ou l’une de ces peines) ou une amende (pour l’entité concernée). Dans les deux cas, le montant de l’amende sera fixé par le tribunal.</p> <h2>Conclusion</h2> <p>Le projet de loi C-26 propose des mesures de conformité censées protéger les CSE dans des secteurs dont l’importance est jugée critique pour la sécurité canadienne. Le projet de loi a franchi l’étape de la première lecture à la Chambre des communes seulement et il ne sera peut-être pas adopté dans sa forme actuelle. Toutefois, si le projet de loi C-26 est adopté « tel quel », les entités du secteur privé qui exercent des activités relevant de son champ d’application devront se conformer à des obligations de conformité et de tenue de documents supplémentaires. Nous continuerons à suivre le cheminement du projet de loi aux diverses étapes du processus législatif (voir le <a rel="noopener noreferrer" target="_blank" href="https://www.parl.ca/LegisInfo/fr/projet-de-loi/44-1/c-26">site Web du Parlement du Canada</a> afin d’en savoir plus sur l’état d’avancement du projet de loi).</p>Mon, 20 Jun 2022 11:00:00 Z20-Jun-2022 08:36:00{7FF6AF18-B6BE-4F79-BBE0-11F4C061F7D4}https://stikeman.com/fr-ca/savoir/droit-canadien-communications/le-crtc-annule-ses-conclusions-en-vertu-de-la-lcap-contre-des-intermediaires-en-ligneDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderDroit canadien des technologies et de la propriété intellectuelleDroit canadien des communicationsProtection des renseignements personnels et cybersécuritéLe CRTC annule ses conclusions en vertu de la LCAP contre des intermédiaires en ligne - mais évite l’éléphant dans la pièce<p>Le CRTC a annulé les conclusions de 2018 de son personnel selon lesquelles deux intermédiaires publicitaires en ligne auraient aidé une partie inconnue dans l’installation de logiciels malveillants sur des ordinateurs du gouvernement canadien, en contravention à l’article 9 de <a href="https://laws-lois.justice.gc.ca/fra/lois/e-1.6/page-1.html">La Loi canadienne anti-pourriel (LCAP)</a>.</p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p>The CRTC has overturned a 2018 staff finding that two online advertising intermediaries aided an unknown party with respect to the installation of malware on Canadian government computers, contrary to s. 9 of <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://laws-lois.justice.gc.ca/eng/acts/e-1.6/page-1.html#h-176975">Canada’s Anti-Spam Legislation (CASL)</a>. </p> <p>In <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://crtc.gc.ca/eng/archive/2022/2022-132.htm">Compliance and Enforcement Decision CRTC 2022-132</a>, the Commission determined that neither Datablocks Inc. (Datablocks) nor Sunlight Media Networks Inc. (Sunlight Media) violated s. 9 and that accordingly, no administrative monetary penalties (AMPs) would be imposed – effectively nullifying a <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://crtc.gc.ca/eng/archive/2018/vt180711.htm?_ga=2.228386973.168047180.1652973255-468318961.1624561559">July 2018 Notice of Violation (NOV)</a> issued by CRTC staff, which imposed penalties of $150,000 on Datablocks and $100,000 on Sunlight Media. </p> <p>CASL confers a range of investigative and enforcement powers on a “designated person” (in this case, the Chief Compliance and Enforcement Officer, a senior member of CRTC staff), including the ability to issue NOVs and to impose AMPs. Decision 2022-132 is the result of a kind of appeal mechanism in CASL, whereby the recipient of an NOV issued by CRTC staff may make representations to the Commission itself (i.e. the appointed members of the CRTC), following which the Commission must determine, on a balance of probabilities, whether that person committed the violation.</p> <p>The case concerned malware that was installed through online advertisements that had been altered by unknown third parties so as to redirect users that clicked on such ads to sites through which malware could be installed. Section 8 of CASL, which is targeted at malware and spyware, prohibits the non-consensual installation of a computer program on any other person’s computer system. CRTC staff was unable to identify the persons responsible for the installation of malware. </p> <p>Instead, staff focused its attention on Datablocks (which provided an automated real-time advertising exchange platform) and Sunlight Media (which operated a small online ad network, connecting advertisers and publishers using Datablock’s platform), finding them to be liable under s. 9 of CASL for aiding the unknown parties in the installation of the malware, by serving the small number of malicious ads that were included in the billions of ads that were automatically served through the Datablocks exchange platform. Section 9 prohibits anyone from ‘aiding, inducing, procuring or causing to be procured’ the doing of any act contrary to any of the core provisions of the Act respecting electronic marketing, computer program installation and transmission data alteration.</p> <p>Unfortunately, for industry observers, the CRTC review decision turns on narrow technical evidentiary findings as to whether computer programs were actually installed without consent, contrary to s. 8. The Commission concluded that there was insufficient evidence to demonstrate that the 7 malware files identified by the Chief Compliance and Enforcement Officer were actually installed on the government computers in question, meaning there was no violation of s. 8 of CASL. As such, the review decision avoids consideration of the thornier aspect of the case: the proper application of the “aiding and abetting” prohibition in s. 9. </p> <p>After Datablocks and Sunlight Media challenged their NOVs, the Commission <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.stikeman.com/en-ca/kh/canadian-communications-law/Digital-businesses-beware-you-could-be-liable-for-the-anti-spam-violations-of-others">issued guidance respecting its approach to applying s. 9 of CASL</a>, taking what many saw as an aggressive approach. In that guidance, as well as letters sent to a large number of internet service providers and online platforms, the Commission controversially suggested that organizations could be found to have “aided” another party’s CASL violation simply be providing enabling services, technical or otherwise, such as by providing access to the tools or equipment necessary for a third party to violate the law. This approach has not been considered by the courts, nor have there been any CRTC decisions to date that have interpreted and applied s. 9. The Datablocks review decision fails to provide any additional guidance to digital intermediaries as to the circumstances in which they may be found liable for the CASL violations of others.</p> <p>The CRTC decision brings to an end a lengthy investigative and enforcement process that, for the companies, commenced in January 2016, when CRTC staff executed a search warrant against Datablocks. </p> <p><em><em>Note: Stikeman Elliott represented Datablocks and Sunlight Media with respect to the CASL investigation and subsequent review by the CRTC. </em></em></p>20-May-2022 06:08:00{52FFBD49-7C81-4B30-8894-EBA40F2F6FFC}https://stikeman.com/fr-ca/savoir/droit-canadien-actions-collectives/la-cour-divisionnaire-de-l-ontario-invalide-la-certification-d-une-demande-fondee-sur-l-intrusion-dans-l-intimiteAlexandra Urbanskihttps://stikeman.com/fr-ca/equipe/u/alexandra-urbanskiDroit canadien des actions collectivesDroit canadien des technologies et de la propriété intellectuelleLa Cour divisionnaire de l’Ontario invalide la certification d’une demande fondée sur l’intrusion dans l’intimité dans le cadre d’un recours collectif pour atteinte à la sécurité des données<p><strong>Dans la décision <a rel="noopener noreferrer" href="https://www.canlii.org/en/on/onscdc/doc/2022/2022onsc1790/2022onsc1790.html" target="_blank"><em>Stewart v. Demme</em></a>, la Cour divisionnaire de l’Ontario (la « Cour ») a invalidé la certification d’une demande fondée sur le délit d’intrusion dans l’intimité qui avait été accordée dans le cadre d’un recours collectif pour atteinte à la sécurité des données intenté contre un hôpital, dans lequel une infirmière avait utilisé les dossiers médicaux de patients afin de voler des médicaments sur ordonnance.  </strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>In </strong><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/on/onscdc/doc/2022/2022onsc1790/2022onsc1790.html"><strong><em>Stewart v. Demme</em></strong></a><strong><em>, </em></strong><strong>the Ontario Divisional Court (the “Court”) overturned the certification of </strong><strong>an intrusion upon seclusion claim in a data breach class action against a hospital, where a nurse used patient health records to steal prescription medication. </strong></p> <h2>Background</h2> <p>This case arose from a decade-long theft of thousands of Percocet pills by a nurse employed by the defendant, William Osler Health System (the “Hospital”). The nurse, who had a drug addiction, improperly accessed the health records of over 11,000 patients for the purpose of obtaining the pills, and not to satisfy any other need for patients’ health information. The Hospital’s records showed that she had accessed each patient’s records for only a few seconds and that this had had no effect on the treatment of the patients.</p> <p>The Hospital terminated the nurse’s employment upon discovering the theft, of which she was subsequently convicted criminally. After the Hospital contacted the affected patients, this proposed class action was commenced seeking damages for:</p> <ol> <li>Negligence, for failing to safeguard private health information; and</li> <li>Intrusion upon seclusion (a tort recognized by the Ontario Court of Appeal in <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/on/onca/doc/2012/2012onca32/2012onca32.html#par15"><em>Jones v. Tsige</em></a>), which requires the plaintiff to demonstrate that: <ol style="list-style-type: lower-alpha;"> <li>the defendant’s conduct was intentional or reckless;</li> <li>the defendant invaded, without lawful justification, the plaintiff’s private affairs; and</li> <li>a reasonable person would regard the invasion as highly offensive, causing distress, humiliation, or anguish.</li> </ol> </li> </ol> <h3>Certification Decision</h3> <p>While <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/on/onsc/doc/2020/2020onsc83/2020onsc83.html?autocompleteStr=2020%20ONSC%2083&autocompletePos=1">the certification judge held</a> that the elements of negligence were not made out against the Hospital because there was no provable harm, he found that that the plaintiff’s intrusion upon seclusion claim was viable.</p> <p>Finding that the first two elements of the tort were met – namely, intentional, or reckless conduct, and the unlawful invasion into the patients’ private affairs or concerns – the certification judge held that the “central question of liability” in this case was whether the invasion of the class members’ privacy is “highly offensive”.</p> <p>While the certification judge noted that the nurse’s access to the patients’ data was fleeting and that the facts of this case “do not exactly cry out for a remedy”, based on his interpretation of <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/on/onca/doc/2012/2012onca32/2012onca32.html#par15"><em>Jones</em></a><em>, </em>he held that “even a small [intrusion] into a realm as protected as private health information may be considered highly offensive, and therefore, actionable”.</p> <h2>Divisional Court Decision</h2> <p>On appeal, the Divisional Court overturned the certification decision and dismissed the intrusion upon seclusion claim.</p> <p>The Court held that the certification judge erred in how he interpreted <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/en/on/onca/doc/2012/2012onca32/2012onca32.html#par15"><em>Jones</em></a><em>. </em>Notably, the Court held that “not every intrusion into private health information amounts to a basis to sue for the tort of intrusion upon seclusion”. Rather, if the case does not “cry out for a remedy” it should signal that the high standard for certification of the tort may not be met.</p> <p>The Court emphasized that because the tort of intrusion upon seclusion is a “no actual damages tort” it should only be available for deliberate and significant invasions of personal privacy. Having regard to the facts of this case, the Court held that the certification judge erred in concluding that the claim met the high threshold necessary to disclose a tenable cause of action in intrusion upon seclusion. Specifically, the patient health information accessed was limited and not particularly sensitive in the realm of health information; the access was fleeting and incidental to the medication theft; and there was no discernible effect on the patients.</p> <p>The Court also noted that the significance of the intrusion must be assessed individually, not collectively. The fact that there were over 11,000 patient intrusions in this case did not mean that each intrusion was significant and highly offensive.</p> <h2>Key Take-Aways</h2> <p>The decision in this appeal underscores:</p> <ul> <li>The high bar a plaintiff must meet to bring an intrusion upon seclusion claim: not all privacy breaches, even those related to personal health information, rise to the level of tortious intrusions upon seclusion. To the contrary, only deliberate and significant affronts to privacy that are “highly offensive” are actionable on this basis;</li> <li>That in making the assessment of whether a breach is “highly offensive”, courts will look to the specific circumstances and context of the case at hand, including the nature and sensitivity of the information accessed, the defendant’s motives and the actual impact on affected individuals. If the facts of the case don’t “cry out for a remedy”, it may be a sign that the high standard for certification of the tort has not been met; and</li> <li>That the significance of a breach is to be assessed individually, rather than collectively. Even though the many breaches that occurred might collectively have been considered a serious privacy incident by the Hospital, it did not follow that each individual breach was significant and highly offensive.</li> </ul>21-Apr-2022 05:53:00{0BB2212F-8B21-43F5-9657-F5FB4E4DDE2C}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/le-transfert-de-donnees-hors-de-l-ue-quelles-conclusions-faut-il-tirer-des-decisions-rendues-dernierementDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéLe transfert de données hors de l’UE : Quelles conclusions faut-il tirer des décisions rendues dernièrement en application du RGPD à propos de Google Analytics?<p><strong>Les sociétés qui utilisent Google Analytics (« Analytics ») ou des plateformes semblables pourraient être intéressées par les décisions rendues dernièrement par plusieurs autorités de protection des données européennes qui ont conclu que les transferts de données d’Analytics vers les États-Unis ne sont pas conformes au <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN" target="_blank">Règlement général sur la protection des données</a> (« RGPD ») de l’UE. Les préoccupations des autorités au sujet du caractère identifiable de l’information et de sa vulnérabilité éventuelle aux demandes formulées en application de la FISA pourraient avoir une résonance plus vaste.</strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>Companies using Google Analytics (“Analytics”) or similar platforms may be interested in recent rulings of several European data protection authorities that found Analytics data transfers to the U.S. to be non-compliant with the EU’s </strong><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://gdpr-info.eu/"><strong>General Data Protection Regulation</strong></a><strong> (“GDPR”). The authorities’ concerns with the identifiability of the information and its potential vulnerability to FISA requests could apply more broadly.</strong></p> <h2>Facts</h2> <p>In August 2020, following the <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf">European Court of Justice’s decision invalidating the Privacy Shield</a> (“Schrems II”, decided July 16, 2020), the None of Your Business privacy rights advocacy organization (“NOYB”) brought cases before 27 European data protection authorities alleging that Analytics transfers personal information from the European Union to the United States in a manner inconsistent with the GDPR. As it did in Schrems II, NOYB argued that personal information of Europeans collected by sites using Analytics was not being adequately protected because it was vulnerable to disclosure to the U.S. intelligence service.</p> <p>Although Google argued that the information in question is not personal information and that it has implemented sufficient additional safeguards, the Austrian data protection authority and the French <em>Commission nationale de l’information et des libertés</em> (“CNIL”) recently decided in favour of NOYB.</p> <h2>The CNIL’s Findings</h2> <p>The following observations, which are based on <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply">the CNIL’s findings</a>, reiterate: (i) the EU’s broad definition of “personal information”, (ii) the EU’s desire to see effective security measures implemented to protect personal information against U.S. Government requisitions; and (iii) the importance of explicit, enlightened, and informed consent.</p> <h3>A broad definition of “personal information”</h3> <p>The CNIL’s decision confirms an inclusive definition of personal information (or personal data) that extends to any identifier that can be combined with other information in such a way as to create a profile. In the French case, a company the name of which is omitted from the judgement (“Company”), used Analytics to perform an analysis of its website’s Internet traffic. The information collected included:</p> <ul> <li>A visitor's identifier (the identifier of the Analytics visitor cookie, i.e. the Analytics customer ID);</li> <li>For visitors who logged into the website through a user account, an internal company identifier;</li> <li>The order identifiers, if any; and</li> <li>An IP address.</li> </ul> <p>The CNIL held that because they could be combined with other information, such as the address of the website visited, metadata relating to the browser and operating system, the time and data relating to the visit to the website, and the IP address, the identifiers provided a certain level of identification of an individual and thus qualified as personal information. Specifically, the French data protection authority stated:</p> <p style="padding-left: 30px;">“When several elements are combined, they can make it possible to individually identify visitors to the […] website, on which Google Analytics is implemented. It is not required to know the actual visitor's name or (physical) address since, in accordance with recital 26 of the GDPR, such singling out of individuals is sufficient to make the visitor identifiable”.</p> <p>The CNIL also specified that universal unique identifiers (“UUIDs”) do not qualify as pseudonymized data for the purposes of the GDPR and therefore are not, in and of themselves, privacy enhancing techniques.</p> <h3>Insufficiency of Standard Contractual Clauses</h3> <p>As with Schrems II, the crux of the present case rests with the fact that Analytics transfers the personal information it collects from the French company’s site to the United States for storage. The GDPR only permits transfers of personal information from the EU to a third party if <strong>either</strong> the third party (i) is governed by laws of a country that the EU has deemed adequate – such as is the case with Canada – <strong>or</strong> (ii) has implemented any number of other measures, such as standard contractual clauses (“SCCs”), containing an adequate level of protection for personal information transiting from the EU to an entity in another country.</p> <p>Because U.S. legislation has not been deemed adequate, the EU and the U.S. successively implemented two special arrangements – the Safe Harbour and the Privacy Shield – that were intended to allow personal information to flow between entities in these two jurisdictions. These mechanisms were struck down, in 2016 and in 2020 respectively, by the European Court of Justice (“ECJ”) on the ground that they failed to provide adequate personal information protection. Although on March 25, 2022, the EU and U.S. announced another agreement in principle allowing for cross-border personal information transfers, ever since the ruling in Schrems II, these transfers have grown increasingly complicated from a compliance angle.</p> <p>It is against this backdrop that the CNIL and other European data protection authorities found Analytics’ personal information protection to be non-compliant with the GDPR. The CNIL held Analytics’ transfer of Europeans’ personal information to, and its storage in, the U.S. to be non-compliant with the GDPR because the information cannot effectively be protected from U.S. intelligence disclosure requests. According to the CNIL, Google LLC qualifies as a provider of electronic communication services and as such is subject to <em>Foreign Intelligence Surveillance Act</em> (“FISA”) requests. Such a request in incompatible with the personal information protection offered by the GDPR for two reasons:</p> <ul> <li>A FISA information request is not limited to what is strictly necessary and therefore violates the collection minimization requirement; and</li> <li>FISA proceedings are secret, thereby denying an effective remedy to the subjects of such a request.</li> </ul> <p>This denial of an effective remedy runs counter to the rights protected by the <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://ec.europa.eu/info/aid-development-cooperation-fundamental-rights/your-rights-eu/eu-charter-fundamental-rights_en"><em>EU Charter of Fundamental Rights</em></a>.</p> <p>Furthermore, although the European Data Protection Board agreed in 2021 that if an entity adopted “supplemental measures” to protect personal information, such an entity could potentially share the information in question with a US entity, the CNIL held that the supplemental contractual, organizational, and technical measures Analytics had implemented were insufficient to protect against a FISA request. In particular, it found that:</p> <ul> <li>The contractual and organizational measure that consisted in <strong>disclosing</strong> the fact that personal information could be subject to a U.S. government request was not the same as <strong>protecting</strong> the information against such a request.</li> <li>The technical measures proposed – i.e., (i) securing data in transit between data centres, (ii) protecting communications between users and websites, or (iii) “on-site security” – did not in fact address the issue of preventing or reducing the possibilities of access by U.S. intelligence services.</li> <li>The encryption of data at rest in the U.S. was not a form of protection because, as the CNIL stated, “Google LLC as data importer nonetheless has an obligation to grant access or to turn over imported personal data in their possession, including any cryptographic keys necessary to render the data intelligible […]. In other words: As long as Google LLC has the possibility to access the data of natural persons in clear text, such technical measure cannot be deemed effective in the present case.”</li> </ul> <h3>Consent as a fallback</h3> <p>The third point the CNIL decision emphasizes is that in the absence of explicit consent to the transfer of personal information to the U.S., a company cannot rely on the GDPR consent exception to personal information transfers. The French data protection authority is clear that a user’s consent to storing cookies is not to be mistaken with a user’s explicit consent to have their personal information transferred to the U.S. after being provided appropriate notice including information about the risks involved and the measures that an individual can take to reduce these. Consent to transfer must be explicit, express, and informed.</p> <h2>Conclusion</h2> <p>The European data protection authorities’ decisions in response to NOYB’s challenge of Analytics’ data transfer practices are further proof that the European Union requires clear and effective personal information protection measures to be implemented before personal information can be transferred to the United States. The standard data protection claims of “encrypting data in transit” or disclosing that personal information is subject to U.S. government agency requests will not be accepted as substitutes for genuine protection.</p>06-Apr-2022 03:16:00{6D8D0EC7-D4B3-4506-935A-210E7C77A83F}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/nouvelle-legislation-sur-la-protection-des-renseignements-personnels-du-quebec-son-incidence-sur-les-entreprisesVanessa Coiteuxhttps://stikeman.com/fr-ca/equipe/c/vanessa-coiteuxGeneviève Paradishttps://stikeman.com/fr-ca/equipe/p/genevieve-paradisDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleActualités - Sociétés et droit commercialProtection des renseignements personnels et cybersécuritéNouvelle législation sur la protection des renseignements personnels du Québec : son incidence sur les entreprises<p><strong>Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté le projet de loi 64, <a rel="noopener noreferrer" rel="noopener noreferrer" href="http://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html" target="_blank"><em>Loi modernisant des dispositions législatives en matière de protection des renseignements personnels</em></a>. Cette nouvelle Loi introduit des changements importants en matière de protection des renseignements personnels dans les secteurs privé et public au Québec.</strong></p> <p>Nous avons résumé les dispositions importantes découlant de cette Loi qui toucheront les entreprises faisant des affaires au Québec. Ces nouvelles exigences et sanctions qui entreront en vigueur de façon progressive soit le 22 septembre 2022, le 22 septembre 2023 ou le 22 septembre 2024, viseront trois domaines en particulier : la gouvernance, <span>les opérations</span>, et les droits des personnes concernées.</p> <p>Veuillez <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://emarketing.stikeman.com/reaction/emsdocuments/20220328_Protection_vie_privee_et_entreprises_faisant_ affaires_au_Quebec-Adoption_projet_loi_64.pdf" target="_blank">cliquer ici pour lire ou télécharger notre analyse</a>.</p>01-Apr-2022 05:26:00{278264AE-B12A-496B-9677-F8EF3E4910B6}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/exigences-de-gouvernance-des-donnees-imposees-aux-fournisseurs-de-services-de-sante-et-de-services-sociaux-au-quebecDanielle Miller Olofssonhttps://stikeman.com/fr-ca/equipe/m/danielle-miller-olofssonDroit canadien des technologies et de la propriété intellectuelleProtection des renseignements personnels et cybersécuritéExigences de gouvernance des données imposées aux fournisseurs de services de santé et de services sociaux au Québec<p><strong>Le 3 décembre 2021, le ministre de la Santé et des Services sociaux du Québec a présenté le projet de loi 19, <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="http://m.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-19-42-2.html"><em>Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives</em></a> (le « projet de loi 19 »). Les quatre objectifs du projet de loi sont les suivants : (i) protéger les renseignements de santé et de services sociaux (les « RSSS »), (ii) permettre l’accès aux RSSS; (iii) améliorer la qualité des services offerts aux Québécois; (iv) permettre une gestion des services de santé et des services sociaux basée sur la connaissance des besoins. </strong></p> <p>Le projet de loi 19 constitue un changement appréciable, non seulement parce qu’il s’harmonise avec la législation sur la protection des renseignements personnels sur la santé des autres provinces canadiennes, mais aussi parce qu’il apporte transparence et simplification à un corpus législatif devenu de plus en plus opaque. Toutefois, il impose d’importantes obligations de conformité aux organismes du secteur de la santé et des services sociaux (les « OSSS ») qui exercent leurs activités au Québec. Bien que l’Assemblée nationale commence l’examen du projet de loi 19 et que celui-ci pourrait par conséquent faire l’objet de révision, les OSSS doivent néanmoins être au courant des changements qui y sont proposés et des sanctions prévues en cas d’infraction à ses dispositions.</p> <p>Les paragraphes qui suivent résument les exigences de gouvernance des RSSS proposées dans le projet de loi 19.</p> <h2>Définition large des RSSS</h2> <p>Le projet de loi 19 définit les RSSS comme « tout renseignement détenu par un organisme du secteur de la santé et des services sociaux qui concerne une personne, qu’il permette ou non de l’identifier, et qui répond à l’une des caractéristiques suivantes :</p> <ul> <li>il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux;</li> <li>il concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant, orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;</li> <li>il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des organismes qui les ont offerts;</li> <li>il a été obtenu dans l’exercice d’une fonction prévue par la <em>Loi sur la santé publique</em>;</li> <li>toute autre caractéristique déterminée par règlement du gouvernement. »</li> </ul> <p>La définition comprend également tout renseignement permettant d’identifier une personne comme son nom, sa date de naissance, ses coordonnées ou son numéro d’assurance maladie lorsqu’il est accolé à un renseignement susmentionné ou lorsqu’il est fourni en vue d’inscrire la personne dans un établissement ou à un programme visé.</p> <h2>Définition inclusive des OSSS</h2> <p>Outre le Ministère de la Santé et des Services Sociaux (le « ministère »), le projet de loi 19 comprend les organismes ou entités suivantes dans sa liste des OSSS :</p> <ul> <li>la Commissaire à la santé et au bien-être;</li> <li>la Commission sur les soins de fin de vie;</li> <li>la Corporation d’urgences-santé;</li> <li>Héma-Québec;</li> <li>l’Institut national d’excellence en santé et en services sociaux;</li> <li>l’Institut national de santé publique du Québec;</li> <li>la Régie de l’assurance maladie du Québec;</li> <li>un organisme qui assure la coordination des dons d’organes ou de tissus désigné par le ministère.</li> <li>une personne ou une société qui exploite un cabinet privé de professionnel au sens de la <em>Loi sur les services de santé et les services sociaux</em> (chapitre S-4.2);</li> <li>une personne ou une société qui exploite un centre médical spécialisé au sens de la <em>Loi sur les services de santé et les services sociaux</em>;</li> <li>un centre de communication santé visé par la <em>Loi sur les services préhospitaliers d’urgence</em> (chapitre S-6.2);</li> <li>une personne ou une société qui exploite un centre de procréation assistée au sens de la <em>Loi sur les activités cliniques et de recherche en matière de procréation assistée</em> (chapitre A-5.01);</li> <li>une personne ou une société qui exploite un laboratoire au sens de la <em>Loi sur les laboratoires médicaux et sur la conservation des organes et des tissus</em> (chapitre L-0.2);</li> <li>une résidence privée pour aînés visée à l’article 346.0.1 de la <em>Loi sur les services de santé et les services sociaux</em>;</li> <li>une ressource intermédiaire ou une ressource de type familial au sens de la <em>Loi sur les services de santé et les services sociaux</em>;</li> <li>une ressource offrant de l’hébergement visée à l’article 346.0.21 de la <em>Loi sur les services de santé et les services sociaux</em>;</li> <li>un titulaire de permis d’entreprise de services funéraires délivré conformément à la <em>Loi sur les activités funéraires</em> (chapitre A-5.02);</li> <li>un titulaire de permis d’exploitation de services ambulanciers délivré conformément à la <em>Loi sur les services préhospitaliers d’urgence</em>;</li> <li>une maison de soins palliatifs au sens de la <em>Loi concernant les soins de fin de vie</em> (chapitre S-32.0001).</li> </ul> <h2>Exigences de gouvernance</h2> <p>Si une entité est admissible à titre d’OSSS, le projet de loi 19 exige qu’elle se conforme aux exigences de gouvernance suivantes en matière de traitement des RSSS :</p> <ul> <li><strong>Mécanismes de protection de la sécurité </strong>: Les OSSS doivent prendre des mesures de protection raisonnables des RSSS compte tenu de la sensibilité de ceux-ci, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur support et de leur format.</li> <li><strong>Exactitude </strong>: Les OSSS doivent s’assurer que les RSSS sont à jour et complets pour servir aux fins auxquelles ils ont été recueillis ou sont utilisés. Par exemple, les renseignements de santé utilisés dans le cadre du traitement continu d’un patient nécessiteront un plus haut niveau d’exactitude que les coordonnées utilisées pour les activités de marketing.</li> <li><strong>Imputabilité </strong>: Il incombe à la personne « ayant la plus haute autorité » à l’OSSS d’assurer la conformité au projet de loi 19. Cette responsabilité peut être déléguée par écrit. Le titre de la personne responsable de la conformité auprès de l’OSSS doit être publié sur le site Internet de l’OSSS ou être accessible au public.</li> <li><strong>Restrictions d’accès </strong>: Les OSSS doivent journaliser l’ensemble des accès aux RSSS qu’ils détiennent accordés aux membres de leur personnel et à leurs professionnels qui exercent leur profession au sein de l’OSSS, de même que l’ensemble des utilisations de ces RSSS. Un rapport annuel de ces utilisations et accès doit être transmis au ministre de la Santé et des Services sociaux.</li> <li><strong>Transparence </strong>: Les OSSS doivent adopter une politique de gouvernance et la publier sur leur site Internet ou la rendre accessible au public par tout autre moyen approprié. Le contenu exact de cette politique de gouvernance sera défini par le ministre, mais décrira, entre autres : <ul> <li>les rôles et les responsabilités des membres du personnel et des professionnels qui exercent leur profession au sein de l’OSSS relativement au cycle de vie des RSSS;</li> <li>les catégories de personnes qui peuvent avoir accès aux RSSS dans l’exercice de leurs fonctions;</li> <li>les mécanismes de journalisation et les mesures de sécurité propres à assurer la protection des RSSS;</li> <li>un calendrier de mise à jour des produits ou des services technologiques que l’OSSS utilise;</li> <li>un processus de traitement des incidents liés aux données;</li> <li>un processus de traitement des plaintes;</li> <li>une description des activités de formation et de sensibilisation des membres du personnel en matière de protection des RSSS.</li> </ul> </li> </ul> <p>Les OSSS sont également tenus de fournir leur politique de gouvernance à leurs employés et professionnels et de dispenser de la formation s’y rapportant.</p> <p><strong>Évaluation des facteurs relatifs à la vie privée </strong>(« EFVP ») : L’OSSS doit réaliser une EFVP chaque fois qu’il envisage de procéder à l’acquisition, au développement et à la refonte de produits ou de services technologiques ou de prestation électronique de services, lorsque le projet implique la collecte, l’utilisation, la conservation ou la destruction de RSSS. L’EFVP doit être proportionnée à la sensibilité des renseignements visés, à la finalité de leur utilisation, à leur quantité, à leur répartition, à leur support et à leur format. L’OSSS doit également s’assurer que les RSSS recueillis auprès d’une personne sous forme numérique puissent être accessibles à cette dernière dans un format technologique structuré et couramment utilisé. La refonte de la législation visant le secteur privé du Québec prévoit également l’obligation de réaliser une EFVP, non seulement lorsque l’acquisition et la mise à jour de produits technologiques sont envisagées, mais aussi lorsque des renseignements personnels doivent être transférés hors des frontières provinciales.</p> <p>Les OSSS doivent également tenir un registre des produits ou services technologiques qu’ils utilisent et le publier sur leurs sites Internet ou le rendre accessible au public par tout autre moyen approprié.</p> <p><strong>Incidents </strong>: Les OSSS qui croient que des RSSS ont été compromis doivent aviser le ministre de la Santé et des Services sociaux, la Commission d’accès à l’information (la commission de protection de la vie privée du Québec; « CAI ») et les personnes dont le RSSS est touché, s’ils ont des raisons de croire à un risque de préjudice sérieux. Les OSSS doivent également tenir un registre des incidents dont la teneur doit être établie par un règlement du gouvernement.</p> <p><strong>Utilisation à certaines fins </strong>: Finalement, les OSSS doivent détruire un RSSS lorsque les fins auxquelles celui-ci a été recueilli sont accomplies. Un règlement du gouvernement qui n’a pas encore été publié déterminera la période minimale pendant laquelle un RSSS peut être conservé.</p> <p><strong>Sanctions.</strong></p> <p>Le projet de loi 19 prévoit les sanctions pécuniaires administratives suivantes :</p> <ul> <li>une amende comprise entre 1 000 $ et 10 000 $ dans le cas d’une personne physique ou entre 3 000 $ et 30 000 $ dans les autres cas, à quiconque, selon le cas : <ul> <li>recueille, utilise, conserve ou détruit des renseignements de santé ou de services sociaux ou y accède en contravention à la loi proposée;</li> <li>refuse de permettre ou entrave l’accès à un renseignement accessible en vertu de la loi proposée, notamment en détruisant, en modifiant ou en cachant le renseignement ou en retardant indûment sa transmission;</li> <li>entrave l’exercice des fonctions du gestionnaire des autorisations d’accès aux RSSS ou d’un responsable de la protection des RSSS;</li> <li>omet de déclarer, s’il est tenu de le faire, un incident lié aux données au ministre ou à la CAI;</li> <li>est en défaut de respecter les conditions prévues à une autorisation d’accès aux RSSS délivrée à un chercheur ou à un autre organisme.</li> </ul> </li> <li>une amende comprise entre 5 000 $ et 100 000 $ dans le cas d’une personne physique ou entre 15 000 $ et 150 000 $ dans les autres cas, à quiconque, selon le cas : <ul> <li>permet l’accès à un renseignement auquel l’accès devrait être interdit en vertu de la loi proposée;</li> <li>procède ou tente de procéder sans autorisation à l’identification d’une personne physique à partir de renseignements dépersonnalisés ou à partir de renseignements anonymisés;</li> <li>utilise un produit ou un service technologique qui n’a pas été certifié par un règlement du gouvernement dans les cas où la certification est obligatoire;</li> <li>ne se conforme pas aux exigences de gouvernance décrites précédemment;</li> <li>entrave le déroulement d’une enquête ou d’une inspection de la CAI ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, en omettant de lui transmettre des renseignements qu’elle requiert ou autrement;</li> <li>ne donne pas suite, dans le délai fixé, à une demande transmise par la CAI;</li> <li>contrevient à une ordonnance de la CAI.</li> </ul> </li> </ul> <p>Il faut noter que la CAI peut également intenter des poursuites pénales pour contravention au projet de loi 19. De telles poursuites se prescrivent par cinq ans à compter de la perpétration de l’infraction.</p> <h2>Conclusion</h2> <p>Bien que certaines dispositions du projet de loi 19 puissent être modifiées avant le vote sur sa version définitive, le projet de loi signale aux OSSS qui exercent des activités au Québec qu’elles seront tenues de se conformer à des normes de gouvernance des RSSS relativement strictes. Pareilles normes existent déjà dans d’autres provinces canadiennes.</p>17-Mar-2022 06:36:00{3C3A424C-B2C1-435D-9054-B7F4886CA41A}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/sciences-de-la-vie-2022-une-foire-aux-questions-sur-le-droit-canadienSara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleDroit canadien des technologies et de la propriété intellectuelleSciences de la vie 2022 : une foire aux questions sur le droit canadien<p>Deux membres de notre <a href="/fr-ca/expertise/sciences-vie-soins-sante" target="_blank">groupe Sciences de la vie et soins de santé</a> ont récemment rédigé le <a href="/-/media/files/kh-general/life-sciences-2022.ashx">chapitre canadien</a> (en anglais seulement) du guide <em>Life Sciences 2022</em>, publié par <em>Lexology – Getting The Deal Through</em>. Ce chapitre donne un excellent aperçu de ce domaine du droit qui évolue rapidement, notamment des sujets suivants :</p> <ul> <li>Organisation et financement des soins de santé</li> <li>Services de soins de santé</li> <li>Publicité</li> <li>Protection des données, protection de la vie privée et numérisation dans les soins de santé</li> <li>Collaboration</li> <li>Questions de concurrence</li> <li>Tarification et remboursement</li> <li>Faits nouveaux et tendances clés</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de ce <a href="/-/media/files/kh-general/life-sciences-2022.ashx">chapitre de 19 pages</a> (en anglais seulement).</p>15-Dec-2021 02:52:00{6CBE381E-E223-4FB9-8779-C6B818C88290}https://stikeman.com/fr-ca/savoir/droit-assurances/le-bsif-publie-un-projet-de-ligne-directrice-b-13-portant-sur-la-gestion-du-risque-lie-aux-technologies-et-le-cyberrisqueAndrew S. Cunninghamhttps://stikeman.com/fr-ca/equipe/c/andrew-s-cunninghamStuart S. Carruthershttps://stikeman.com/fr-ca/equipe/c/stuart-s-carruthersActualités - Droit des assurancesDroit canadien des technologies et de la propriété intellectuelleActualités - Services financiersLe BSIF publie un projet de ligne directrice B-13 portant sur la gestion du risque lié aux technologies et le cyberrisque<p><strong>Le 9 novembre 2021, le Bureau du surintendant des institutions financières du Canada (le « BSIF ») a <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b13-let.aspx" target="_blank">lancé une consultation publique</a> sur le projet de <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b13.aspx" target="_blank">ligne directrice B-13 : Gestion du risque lié aux technologies et du cyberrisque</a> récemment publié. La ligne directrice proposée vise à compléter les lignes directrices existantes <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/gl-ld/Pages/e21.aspx" target="_blank">E-21</a> (Gestion du risque opérationnel) et <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b10.aspx" target="_blank">B-10</a> (Impartition d’activités, de fonctions et de méthodes commerciales), ainsi que la <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.stikeman.com/fr-ca/savoir/droit-assurances/le-bsif-resserre-ses-exigences-de-signalement-des-incidents-lies-a-la-technologie-et-a-la-cybersecurite-applicables-aux-iff" target="_blank">politique sur le signalement des incidents liés à la technologie et à la cybersécurité</a> du BSIF, y compris son outil d’<a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/fra/fi-if/in-ai/Pages/cbrsk.aspx" target="_blank">autoévaluation en matière de cybersécurité</a>.</strong></p> <p><strong><em>Ce billet est disponible en anglais seulement.</em></strong></p> <p><strong>On November 9, 2021, Canada’s Office of the Superintendent of Financial Institutions (“OSFI”) <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b13-let.aspx" target="_blank">launched a public consultation</a> on the newly released draft version of <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b13.aspx" target="_blank">Guideline B-13: Technology and Cyber Risk Management</a>. The proposed Guideline is designed to complement existing Guidelines <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/e21.aspx" target="_blank">E-21</a> (Operational Risk Management) and <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b10.aspx" target="_blank">B-10</a> (Outsourcing of Business Activities, Functions and Processes) as well as OSFI’s <a href="https://stikeman.com/fr-ca/savoir/droit-assurances/le-bsif-resserre-ses-exigences-de-signalement-des-incidents-lies-a-la-technologie-et-a-la-cybersecurite-applicables-aux-iff" target="_blank">Technology and Cyber Incident Reporting Policy</a>, including its <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/in-ai/Pages/cbrsk.aspx" target="_blank">Cyber Security Self-Assessment</a> tool.</strong></p> <p>Comments on the draft version of Guideline B-13 will be accepted until <strong>February 9, 2022</strong>. The draft version is based in part on feedback received in response to OSFI’s <a href="https://stikeman.com/fr-ca/savoir/services-financiers/risques-pour-le-secteur-financier-dans-un-monde-numerique-le-bsif-resume-les-principaux-enjeux" target="_blank">2020 discussion paper on technology and related risks</a>. OSFI’s <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b13-let.aspx" target="_blank">responses to specific feedback items</a> were included with the November 9 announcement.</p> <p>Relatedly, OSFI is also expecting to shortly release for comment a draft of a significantly updated and expanded version of Guideline B-10, which will include guidance respecting cloud service providers, in addition to providers of other outsourced services, and OSFI is consulting with federally regulated financial institutions (FRFIs) on operational resilience more generally.</p> <h2>Overall Approach of Guideline B-13</h2> <p>Draft Guideline B-13 takes what OSFI calls a “layered approach”. In other words, its high-level expectations apply to all FRFIs but the more granular recommendations focus on “providing sufficiently clear guidance to institutions that may benefit from it”. This approach recognizes that larger FRFIs, such as the major banks, may already have systems in place that fully address OSFI’s high-level expectations. Like most recent OSFI guidance, the Guideline is principles-based, but also includes more than 20 pages of extensive and detailed operational and governance expectations, which will be challenging for smaller institutions to comply with. However, it indicates, as customary, that FRFIs should implement the expectations in a manner commensurate with the FRFI’s particular size; nature, scope and complexity of operations; and risk profile. OSFI’s expectations are technology-neutral “anticipating the need for FRFIs to compete effectively and take full advantage of digital innovation”.</p> <p>The uppermost layer of the Guideline, which applies most generally, are five “outcomes” that are expected with respect to the five “domains” that the Guideline addresses. These are as follows:</p> <table> <tbody> <tr> <td style="width: 181px;"> <p><strong>Domain</strong></p> </td> <td style="width: 313px;"> <p><strong>Outcome</strong></p> </td> </tr> <tr> <td style="width: 181px;"> <p>Technology and Cyber Governance and Risk Management</p> </td> <td style="width: 313px;"> <p>Technology and cyber risks are governed through clear accountabilities and structures, and comprehensive strategies and frameworks.</p> </td> </tr> <tr> <td style="width: 181px;"> <p>Technology Operations</p> </td> <td style="width: 313px;"> <p>A technology environment that is stable, scalable and resilient. The environment is kept current and supported by robust and sustainable technology operating processes.</p> </td> </tr> <tr> <td style="width: 181px;"> <p>Cyber Security</p> </td> <td style="width: 313px;"> <p>A secure technology posture that maintains the confidentiality, integrity and availability of the FRFI’s technology assets.</p> </td> </tr> <tr> <td style="width: 181px;"> <p>Third-party Provider Technology and Cyber Risk</p> </td> <td style="width: 313px;"> <p>Reliable and secure technology and cyber operations from third-party providers.</p> </td> </tr> <tr> <td style="width: 181px;"> <p>Technology Resilience</p> </td> <td style="width: 313px;"> <p>Technology services are delivered, as expected, through disruption.</p> </td> </tr> </tbody> </table> <p>A second “layer” in the document consists of 18 “principles” that are scattered throughout the document, summarizing key points made in the detailed text, which constitutes the third and final “layer”.</p> <p>Our summary below is divided into five sections, reflecting the five “domains” that are considered in the Guideline.</p> <h2>1. Technology and Cyber Governance and Risk Management</h2> <p>The first section of the Guideline deals with <strong>governance and risk management</strong>. OSFI expects the FRFI’s organizational structure to be designed to manage technology and cyber risks, with clear roles and responsibilities and adequate training and resources. Senior officers with stature and visibility in the FRFI’s organization should be appointed to lead these efforts. Specific titles are not mandated, but these individuals would typically hold positions such as Chief Technology Officer (“CTO”), Chief Information Officer (“CIO”), Chief Information Security Officer (“CISO”) and/or Head of Information Technology.</p> <p>In addition, according to the Guideline each FRFI should develop:</p> <ul> <li>a <strong>strategic technology and cyber plan</strong> that aligns with its overall business plan and which is supported by the tools and processes necessary for its implementation; and</li> <li>a <strong>technology and cyber risk management framework (“RMF”)</strong> that aligns with the FRFI’s overall risk management plan. The RMF should include policies and processes as well as reporting and accountability standards, as outlined in the Guideline.</li> </ul> <h2>2. Technology Operations</h2> <p>The Guideline includes <strong>extensive operational recommendations</strong> relating to technology architecture, systems development life cycles, asset and project management, service management/monitoring and management of incidents, changes and patches. As noted above, the specific recommendations are intended as guidance and do not necessarily require organizations to change existing practices that achieve the same outcomes.</p> <h3>Technology architecture and service monitoring</h3> <p>The FRFI’s systems infrastructure should be <strong>carefully designed for availability, scalability, security and resilience</strong> in the context of the business functions and services that they support. The importance of designing systems that can evolve in response to changes in the business is also emphasized.</p> <p>The Guideline also recommends that internal technology service performance – including service desk and operations/network management, among others – be measured and monitored through the use of performance indicators and service targets.</p> <h3>Systems development life cycle (“SDLC”) framework</h3> <p>The FRFI’s technology architecture should be <strong>integrated into a SDLC framework</strong> that is structured so that new systems are never adopted without appropriate security and risk assessments. Controls recommended by the Guideline include (among others):</p> <ul> <li>peer code reviews;</li> <li>security scanning of code;</li> <li>privileged access management and key management;</li> <li>data integrity/confidentiality protection;</li> <li>removal of unnecessary services and programs; and</li> <li>authentication, authorization, security logging and monitoring.</li> </ul> <p>The Guideline also recommends an extensive <strong>change management plan</strong> for both planned and emergency situations. Such a plan should include safeguards designed to ensure that authority over the change process is distributed among multiple individuals and that all changes are traceable. Patches should also be applied in accordance with these change management processes.</p> <h3>Technology asset and project management</h3> <p>Asset management is one of the key operational functions identified in the Guideline, which includes <strong>extensive recommendations for technology inventories</strong>. Technology assets should be categorized in terms of their critical importance to the business and significant interdependencies among assets should be noted.</p> <p>The Guideline emphasizes the importance of <strong>recording all asset categories</strong>, including:</p> <ul> <li>the FRFI’s own assets, whether owned, leased or otherwise;</li> <li>any employee assets that are used for business purposes, e.g. under “bring your own device” (“BYOD”) policies; and</li> <li>assets owned by third parties, contractors, consultants, etc., that are used to provide services to the FRFI.</li> </ul> <p>All forms of technology should be continuously monitored to ensure upgrades and patches are installed while obsolete and unsupported technology is removed or replaced.</p> <p>The Guideline also recommends effective project management processes to ensure that technology projects are achieved within the FRFI’s risk tolerance.</p> <h3>Incident and problem management</h3> <p>FRFIs should implement <strong>technology incident management standards</strong> that will allow them to detect, manage, resolve and report on incidents while simultaneously minimizing their impacts. These standards would generally include:</p> <ul> <li>defining and documenting roles and responsibilities;</li> <li>establishing early warning indicators;</li> <li>classifying incidents according to priority;</li> <li>developing response procedures that mitigate incident impacts, including communications strategies;</li> <li>performing stress tests on incident response plans; and</li> <li>establishing and testing incident management strategies with third-party providers such as crisis communications agencies.</li> </ul> <p>In addition, <strong>post-incident reviews</strong> should be incorporated into the process in order to improve future incident response.</p> <h2>3. Cyber Security</h2> <p>The longest section of Guideline B-13 deals with cyber security. This section is divided into four subsections that focus respectively on (i) identifying, (ii) defending, (iii) detecting and (iv) responding to/recovering from cyber security risks and breaches.</p> <h3>Identifying security risks and breaches</h3> <p>The FRFI should identify risks, including through <strong>intelligence-led threat assessment and testing</strong> that enables technology vulnerabilities to be ranked by severity, with additional attention to cumulative risks (in which an incident engages multiple vulnerabilities simultaneously). Risks can also be identified through participation in industry-wide information-sharing forums. The FRFI’s cyber risk profile should be constantly monitored and reported on.</p> <p>Related to this is the <strong>identification of security breaches</strong>, including through periodic scans of data environments to detect changes and deviations that may indicate unauthorized access. Enabling and encouraging employees, customers and third parties to report suspicious activities is another recommended step, which may require an enhancement of employee education in the data security area.</p> <h3>Defending the business against security risks</h3> <p>The Guideline emphasizes preventative measures, recommending that the FRFI adopt <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://en.wikipedia.org/wiki/Secure_by_design" target="_blank"><strong>“secure-by-design</strong></a><strong>” practices</strong> throughout its operations and implement a process to convert detection controls into prevention controls. This includes adopting strong cryptographic technologies with secured encryption keys as part of a general program to control and regularly reassess access permissions, as well as strictly enforcing security configuration baselines (with detection and remediation of unapproved deviations).</p> <p>Cyber security controls should be layered and designed to contain any cyber attack that may occur. Recognizing that <strong>data protection is critical at all points in the data life cycle</strong>, the Guideline recommends that FRFIs should:</p> <ul> <li>implement risk-based data protection controls for data residing in all environments under its direct control (including development, testing, production and backup) as well as in those under third-party control (including Cloud Service Providers (“CSPs”));</li> <li>protect backup data from ransomware and other cyber attacks;</li> <li>establish multi-layered controls for encrypting data at rest, in transit and in use; and</li> <li>implement risk-based data loss prevention strategies, focusing on high-risk cases.</li> </ul> <p>When security vulnerabilities are discovered, they should be remediated according to pre-established timelines for various risk levels (e.g., a “critical” vulnerability should be remediated within 48 hours). The Guideline recommends that progress of remediation processes be formally monitored against the defined timelines.</p> <p>In general, <strong>the FRFI is expected to safeguard its networks by minimizing their “attack surface”</strong>. External facing application services and network infrastructure should have additional layers of security and be regularly and rigorously tested. The Guideline also recommends additional security for hosts, endpoints and mobile devices. In addition, network infrastructure and other technology assets should be protected by physical access controls and processes.</p> <h3>Detecting security issues</h3> <p>According to the Guideline, the FRFI should implement and maintain <strong>continuous and centralized security event logging</strong> with retention periods sufficient to support future forensic investigations. In addition to written rules and policies, this should include:</p> <ul> <li>monitoring tools that are regularly updated to reflect the latest threat intelligence; and</li> <li>advanced behaviour-based detection of anomalies in user and entity behaviour.</li> </ul> <p>To ensure an effective response to urgent cyber security alerts, the Guideline recommends that the FRFI pre-assign roles and responsibilities in such situations in order to be fully prepared to respond when they occur.</p> <h3>Responding, recovering and learning</h3> <p>The FRFI is expected to implement protocols that integrate the cybersecurity incident responses of its technology, security, crisis management and communications functions. These should include:</p> <ul> <li>a “cyber incident taxonomy” that standardizes the terminology used in responding to, managing and reporting on cyber security incidents;</li> <li>the establishment of a cyber incident response team; and</li> <li>where aspects of cyber security are outsourced, clearly defined escalation thresholds for notification of FRFI management.</li> </ul> <p>At the recovery phase, the Guideline recommends forensic investigations to determine ongoing material risks from an incident and, for high-severity incidents, detailed assessments designed to quantify economic and other impacts as well as to identify lessons learned and possible remedial actions.</p> <h2>4. Third-Party Provider Technology and Cyber Risk</h2> <p>This section of the Guideline is intended to be read in conjunction with <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b10.aspx" target="_blank">Guideline B-10</a> (Outsourcing of Business Activities, Functions and Processes). The Guideline recommends the implementation of <strong>technology and cyber risk agreements between the FRFI and its CSP and/or other Third-Party Providers (“TPPs”)</strong>. In addition, it recommends that the FRFI establish mechanisms to ensure compliance by its TPPs with the technology and cyber standards that were developed in with the Guideline. These include close monitoring of a TPP’s access to the FRFI’s systems and ensuring that the FRFI has access to any of its information in the possession of the TPP, as well as ensuring that the FRFI’s standards for data protection, change management and security incident logging are applied to FRFI assets on a TPP platform.</p> <p>The Guideline recommends specific requirements <strong>to ensure that the FRFI’s use of cloud computing is consistent with its stated risk profile</strong>. These include augmenting the FRFI’s existing controls and standards with cloud-specific provisions relating to data protection, management of vulnerabilities, cryptographic key management and others. Furthermore, in designing and implementing a cloud-based solution, the FRFI should ensure that applications and data are easily portable between CSPs in order to ensure that the FRFI can switch to a superior cloud environment if necessary.</p> <h2>5. Technology Resilience</h2> <p>The FRFI is expected to develop, implement and maintain an <strong>Enterprise Disaster Recovery Framework (“EDRF”)</strong> that, in conjunction with its business continuity plan, serves as a guide to recovery from a major technology disruption. The EDRF should establish, at a minimum:</p> <ul> <li>responsibility for the availability and recovery of technology services;</li> <li>a process for identifying and analyzing technology services and key dependencies required to operate within the FRFI’s risk tolerance;</li> <li>procedures for the timely restoration of technology services to an acceptable level when a disruption occurs; and</li> <li>data backup strategy, policy and processes (backup frequency, storage, destruction and testing).</li> </ul> <p>“Key dependencies” include information security requirements for stored data (e.g. encryption) and the location of technology assets (e.g. of backup sites, service providers, etc.).</p> <p>Finally, <strong>OSFI will expect the FRFI to test its EDRF</strong> against “severe but plausible” scenarios incorporating:</p> <ul> <li>new and emerging risks or threats;</li> <li>material changes to business objectives or technologies;</li> <li>the FRFI’s incident history and any known technology complexities or weaknesses.</li> </ul> <p>Disaster recovery scenarios should test the FRFI’s backup and recovery processes to confirm that it can meet its predefined requirements in the context of key dependencies and the FRFI’s onsite and outsourced technologies.</p> <h2>Conclusion</h2> <p>As noted above, comments on Guideline B-13 will be accepted until February 9, 2022. They may be submitted to <a rel="noopener noreferrer" rel="noopener noreferrer" href="mailto:Tech.Cyber@osfi-bsif.gc.ca" target="_blank"><strong>Tech.Cyber@osfi-bsif.gc.ca</strong></a>. </p>26-Nov-2021 03:56:00{6974613F-8AAB-4F61-8E5F-3351E2453DAD}https://stikeman.com/fr-ca/savoir/services-financiers/les-technologies-financieres-au-canada-aspects-juridiques-et-reglementaires-d-une-industrie-en-croissanceAlix d'Anglejan-Chatillonhttps://stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillonRamandeep K. Grewalhttps://stikeman.com/fr-ca/equipe/g/ramandeep-k-grewalDavid Elderhttps://stikeman.com/fr-ca/equipe/e/david-elderShawn Smithhttps://stikeman.com/fr-ca/equipe/s/shawn-smithÉric Lévesquehttps://stikeman.com/fr-ca/equipe/l/eric-levesqueActualités - Services financiersDroit canadien des technologies et de la propriété intellectuelleLes technologies financières au Canada : Aspects juridiques et réglementaires d'une industrie en croissance<p>Cinq avocats de notre cabinet ont récemment rédigé le chapitre sur les <a href="/-/media/files/kh-general/fintech-2022--canada.ashx">technologies financières au Canada</a> (en anglais seulement), dans le cadre de la série <em><a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.lexology.com/gtdt" target="_blank">Getting the Deal Through</a></em> de <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.lexology.com/gtdt" target="_blank">Lexology</a>, publiée par Law Business Research. Le chapitre donne un excellent aperçu de ce domaine du droit qui évolue rapidement et aborde notamment les sujets suivants :</p> <ul> <li>Innovation, environnement et initiatives;</li> <li>Réglementation canadienne et transfrontalière des produits et services de technologie financière;</li> <li>Obligations de conformité;</li> <li>Conclusion et caractère exécutoire des conventions de prêt;</li> <li>Recours à l’intelligence artificielle;</li> <li>Protection des données et cybersécurité;</li> <li>Lignes directrices en matière d’impartition;</li> <li>Droits de propriété intellectuelle;</li> <li>Lignes directrices et incitatifs fiscaux;</li> <li>Faits nouveaux et tendances émergentes.</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/fintech-2022--canada.ashx">publication de 14 pages</a> (en anglais seulement).</p>20-Oct-2021 02:56:00{5E28308D-50CE-4F4A-A5D7-AC7E9DCD79E0}https://stikeman.com/fr-ca/savoir/droit-canadien-valeurs-mobilieres/reglementation-de-la-monnaie-virtuelle-au-canada-ou-en-sommes-nous-en-2021-et-que-nous-reserve-l-avenirAlix d'Anglejan-Chatillonhttps://stikeman.com/fr-ca/equipe/d/alix-d-anglejan-chatillonRamandeep K. Grewalhttps://stikeman.com/fr-ca/equipe/g/ramandeep-k-grewalÉric Lévesquehttps://stikeman.com/fr-ca/equipe/l/eric-levesqueChristian Vieirahttps://stikeman.com/fr-ca/equipe/v/christian-vieiraDroit canadien des valeurs mobilièresDroit canadien des technologies et de la propriété intellectuelleActualités - Services financiersLe point fiscalRéglementation de la monnaie virtuelle au Canada : où en sommes-nous en 2021 et que nous réserve l’avenir?<p>Quatre avocats de Stikeman Elliott ont récemment corédigé le <a href="/-/media/files/kh-general/the-virtual-currency-regulation-review-2021.ashx">chapitre canadien</a> (en anglais seulement) de <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://thelawreviews.co.uk/title/the-virtual-currency-regulation-review/canada" target="_blank"><em>The Virtual Currency Regulation Review</em></a> (4<sup>e</sup> éd.), publiée par <a rel="noopener noreferrer" rel="noopener noreferrer" href="https://www.lbresearch.com/" target="_blank">Law Business Research Ltd.</a> Ce chapitre offre un excellent aperçu pratique des développements juridiques et réglementaires récents, tout en envisageant les tendances attendues en matière de monnaie virtuelle.</p> <p>Parmi les sujets abordés figurent les suivants :</p> <ul> <li>Application des lois sur les valeurs mobilières canadiennes aux monnaies virtuelles;</li> <li>Obligations relatives aux émissions de monnaie virtuelle et aux prospectus connexes au Canada;</li> <li>Incidences de la réglementation sur les intermédiaires;</li> <li>Plateformes d’échange et autres plateformes;</li> <li>Gestion d’actifs et fonds d’investissement;</li> <li>Lutte contre le blanchiment d’argent;</li> <li>Réglementation applicable aux mineurs de monnaie;</li> <li>Mesures d’exécution en droit civil et sanctions en droit criminel;</li> <li>Traitement fiscal des monnaies virtuelles;</li> <li>Imposition des mineurs de monnaie virtuelle et des employés rémunérés en monnaie virtuelle.</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/the-virtual-currency-regulation-review-2021.ashx">publication de 32 pages</a> (en anglais seulement).</p> <p>Les auteurs tiennent à remercier <a href="{CB74A7F3-145D-43BD-B241-EC320A128CA1}?item=web%3a%7b149FED54-2750-4B9F-888F-BB02903203F5%7d%40fr-CA" target="_blank">Chelsea Angel</a>, étudiante en droit de notre bureau de Toronto, pour sa contribution à ce chapitre.</p>07-Oct-2021 04:02:00{2701B749-82CD-43E2-9B59-F6BE3C86F0C0}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/droits-de-propriete-intellectuelle-et-relation-employeur-employe-en-2021-une-foire-aux-questions-sur-le-droit-canadienRyan Sheahanhttps://stikeman.com/fr-ca/equipe/s/ryan-sheahanDroit canadien des technologies et de la propriété intellectuelleDroit canadien de l'emploi, du travail et des régimes de retraiteDroits de propriété intellectuelle et relation employeur-employé en 2021 : une foire aux questions sur le droit canadien<p>Ryan Sheahan, conseiller juridique au sein du <a href="/fr-ca/expertise/propriete-intellectuelle" target="_blank">groupe Propriété intellectuelle</a> de Stikeman Elliott et agent de brevets inscrit, a récemment mis à jour son chapitre portant sur <a href="/-/media/files/kh-general/21-0684-practical-law-ip.ashx">les droits de propriété intellectuelle dans le contexte de l’emploi au Canada</a> (en anglais seulement) pour la publication <em><a rel="noopener noreferrer" rel="noopener noreferrer" href="https://uk.practicallaw.thomsonreuters.com/Document/I1a86cb98e6c411e8a5b3e3d9e23d7429/View/FullText.html?contextData=(sc.Default)&transitionType=Default&firstPage=true" target="_blank">Practical Law</a></em> de Thomson Reuters. Ce chapitre fournit un excellent aperçu, du point de vue canadien, des enjeux juridiques et commerciaux dont il faut tenir compte lors de la rédaction d’une clause de propriété intellectuelle dans un contrat de travail :</p> <ul> <li>Utilité de la clause de propriété intellectuelle;</li> <li>Propriété des inventions;</li> <li>Droit d’auteur sur le produit issu du travail de l’employé;</li> <li>Contrôle sur les marques de commerce créées par l’employé;</li> <li>Cession des droits de propriété intellectuelle;</li> <li>Questions de confidentialité;</li> <li>Droits moraux dans la législation canadienne;</li> <li>Obligation d’indemniser les employés;</li> <li>Obligation de collaboration de l’employé au litige portant sur la propriété intellectuelle de l’employeur.</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de cette <a href="/-/media/files/kh-general/21-0684-practical-law-ip.ashx">publication de 22 pages</a> (en anglais seulement).</p>22-Sep-2021 03:19:00{142D65EF-51A5-4F17-B826-669FFBCEB8A8}https://stikeman.com/fr-ca/savoir/droit-assurances/le-bsif-resserre-ses-exigences-de-signalement-des-incidents-lies-a-la-technologie-et-a-la-cybersecurite-applicables-aux-iffShawn Smithhttps://stikeman.com/fr-ca/equipe/s/shawn-smithAndrew S. Cunninghamhttps://stikeman.com/fr-ca/equipe/c/andrew-s-cunninghamStuart S. Carruthershttps://stikeman.com/fr-ca/equipe/c/stuart-s-carruthersActualités - Droit des assurancesDroit canadien des technologies et de la propriété intellectuelleActualités - Services financiersLe BSIF resserre ses exigences de signalement des incidents liés à la technologie et à la cybersécurité applicables aux IFF<p><strong>Le 13 août 2021, le Bureau du surintendant des institutions financières du Canada (BSIF) a <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/osfi-bsif/med/Pages/TCSIR-nr.aspx">annoncé</a> de nouvelles <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/adv-prv/Pages/TCSIR.aspx?utm_source=osfi-bsif&utm_medium=email&utm_campaign=advisory">exigences de signalement</a> des incidents liés à la technologie et à la cybersécurité visant les institutions financières fédérales (IFF). Les incidents auxquels la politique s’applique ne sont plus assujettis à un seuil d’importance relative exprès et doivent dorénavant être déclarés dans les 24 heures. Le défaut de signaler entraîne des conséquences précises. En outre, le BSIF a mis à jour l’<a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/fi-if/in-ai/Pages/cbrsk.aspx">autoévaluation en matière de cybersécurité</a> applicable aux IFF. Cette approche plus stricte reflète la préoccupation croissante du BSIF à l’égard de l’incidence éventuelle des incidents de cybercriminalité et des incidents technologiques sur le secteur financier.</strong></p> <h2>Incidents à signaler</h2> <p>La version à jour du préavis sur le signalement des incidents liés à la technologie et à la cybersécurité (le « nouveau préavis ») remplace le <a href="https://stikeman.com/fr-ca/savoir/droit-canadien-valeurs-mobilieres/Le-BSIF-donne-de-nouvelles-instructions-sur-la-technologie-et-la-cybersecurite" target="_blank">préavis du BSIF</a> qui était en vigueur depuis le 31 mars 2019 (le « préavis de 2019 »). Le nouveau préavis définit l’« incident lié à la technologie ou à la cybersécurité » comme suit :</p> <p>Un incident qui a ou pourrait avoir des conséquences sur les activités d'une IFF, y compris sur les plans de la confidentialité, de l'intégrité ou de la disponibilité de ses systèmes ou de ses renseignements.</p> <p>La réserve explicite quant à l’importance relative du préavis de 2019 n’a pas été retenue dans le nouveau préavis, qui recommande plutôt ce qui suit :</p> <ul> <li>« Les IFF doivent <strong>définir les niveaux de priorité et de gravité</strong> des incidents dans leur cadre de gestion des incidents » (le nouveau préavis ne définit pas d’attentes en ce qui concerne ces cadres).</li> <li>Les IFF devraient <strong>consulter leurs chargés de surveillance </strong>si elles ne sont pas certaines de devoir signaler un incident.</li> </ul> <p>En règle générale, le nouveau préavis diminue le seuil de signalement tout en élargissant la portée des incidents à signaler, comme il est exposé ci-après. Étant donné que le critère antérieur de l’importance relative n’est plus applicable, presque tout incident qui touche les systèmes d’une IFF pourrait éventuellement déclencher l’obligation de signalement.</p> <h3>Caractéristiques des incidents à signaler</h3> <p>Le nouveau préavis dispose que les incidents à signaler pourraient avoir l’une des caractéristiques suivantes (veuillez noter que le BSIF ne prétend pas que les exemples donnés illustrent les situations possibles de manière exhaustive) :</p> <ul> <li>des conséquences importantes pour les autres IFF ou pour le système financier canadien en général;</li> <li>des répercussions sur les systèmes des IFF touchant les règlements, la confirmation ou les paiements sur les marchés financiers ou sur les services de paiement;</li> <li>des répercussions sur les activités, les infrastructures, les données ou les systèmes des IFF (par ex., sur la confidentialité, l'intégrité ou la disponibilité des données des clients, entre autres);</li> <li>un effet perturbateur sur les systèmes ou les activités (par ex., des pannes de services publics ou de centres de données ou la « perte ou la dégradation de la connectivité »);</li> <li>des répercussions opérationnelles sur les systèmes, les infrastructures ou les données essentiels;</li> <li>l’activation des équipes ou des plans de reprise après sinistre ou la déclaration de sinistre par un fournisseur externe ayant des répercussions sur l'IFF;</li> <li>des répercussions opérationnelles pour les utilisateurs internes ayant une incidence sur les clients externes ou les activités opérationnelles;</li> <li>des répercussions croissantes sur les clients externes susceptibles d’attirer l’attention des médias et d’avoir un effet négatif sur la réputation de l’IFF;</li> <li>des répercussions sur un tiers ayant des conséquences pour l'IFF;</li> <li>l’activation de l'équipe ou des protocoles de riposte aux incidents liés à la technologie et à la cybersécurité d'une IFF;</li> <li>ils ont été signalés au conseil d'administration ou à la haute direction;</li> <li>ils ont été signalés à un autre organisme fédéral ou au Commissariat à la protection de la vie privée, aux forces de l’ordre ou à d’autres organismes de surveillance ou de réglementation n’importe où dans le monde;</li> <li>l’IFF a « requis l'intervention d'un conseiller interne ou externe »;</li> <li>ils sont survenus à une IFF et une réclamation d'assurance contre le cyberrisque s’y rapportant a été soumise;</li> <li>leur niveau de gravité a été évalué à 1 ou 2 (niveau de gravité élevé ou critique) à l’interne;</li> <li>ils ne respectent pas les seuils internes de tolérance au risque ou de propension à prendre des risques.</li> </ul> <p>Toutefois, même si un incident ne présente pas ces caractéristiques (ou si l’IFF hésite quant à la marche à suivre), il est « conseillé » de le signaler au BSIF à titre de précaution.</p> <p>L’Annexe I du nouveau préavis énumère quatre scénarios de signalement, apparemment semblables à ceux du préavis de 2019, à titre d’exemples d’incidents à signaler : l’attaque robotisée de prise de contrôle des comptes, la défaillance technologique au centre de données, la compromission des données ou systèmes utilisés par un tiers important et les attaques d’extorsion par DDoS.</p> <h2>Exigences de signalement</h2> <p>Le nouveau préavis fait la différence entre les exigences de signalement « initial » et celles qui s’appliquent ultérieurement.</p> <h3>Exigences de signalement initial</h3> <p>Le changement majeur a consisté à réduire le délai de signalement pour le faire passer de 72 heures à 24 heures, même si le BSIF préfère toujours que le signalement ait lieu le plus rapidement possible. Le nouveau préavis ne mentionne pas à quel moment le délai réduit à 24 heures commence à courir, même si (comme il est mentionné ci-après) il prévoit clairement que les signalements devront parfois être faits avant que le BSIF ait contrôlé tous les renseignements requis. Dans le préavis de 2019, il est indiqué que le délai de 72 heures commence à courir lorsque le BSIF a établi que l’incident devait être signalé.</p> <p>Les incidents doivent être déclarés au chargé de surveillance concerné et à la Division du risque lié aux technologies dans le formulaire de signalement et de résolution d'un incident, même si tous les renseignements à leur propos ne sont pas connus. Le formulaire est reproduit à l’Annexe II du <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/fi-if/rg-ro/gdn-ort/adv-prv/Pages/TCSIR.aspx?utm_source=osfi-bsif&utm_medium=email&utm_campaign=advisory">nouveau préavis</a>.</p> <p>Il faut noter que le délai de signalement de 24 heures est plus court que la période correspondante de l’article 10.1 de la <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lc-2000-c-5/derniere/lc-2000-c-5.html">LPRPDE</a>, qui exige que la déclaration soit faite « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ». Toutefois, le BSIF continue d’être responsable de la conformité à l’obligation prescrite par la LPRPDE.</p> <h3>Exigences de signalement subséquent</h3> <p>Les exigences de signalement subséquent sont plus clémentes. Quelle qu’en soit la forme, le signalement devrait être « périodique » (p. ex., tous les jours), bien que le BSIF puisse établir des exigences plus précises dans des cas particuliers. Les mises à jour périodiques devraient se poursuivre jusqu’à ce que l’incident soit maîtrisé ou résolu et elles devraient inclure des mesures et des plans de redressement à court et à long terme. Un examen postérieur à l'incident, y compris des « leçons apprises » devrait être présenté au moment voulu.</p> <h3>Défaut de signalement</h3> <p>Le défaut de signaler un incident peut désormais entraîner des conséquences précises, comme une surveillance accrue, par ex., un suivi renforcé des activités de l’IFF, son inscription sur la liste de surveillance ou son classement à un stade d'intervention (entre autres conséquences éventuelles).</p> <h2>Autoévaluation en matière de cybersécurité</h2> <p>L’autoévaluation en matière de cybersécurité (l’« autoévaluation ») aide les IFF à repérer les domaines de vulnérabilité éventuels aux cyberincidents et aborde à la fois la prévention des incidents et l'intervention en cas d’incident. Les modifications de la <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/fi-if/in-ai/Pages/cbrsk.aspx">version révisée</a> ont été conçues en partie pour rendre compte de la croissance rapide de la numérisation des services financiers. Même si elle n’est pas obligatoire, l’autoévaluation s’ajoutera aux consignes à venir du BSIF sur les saines pratiques de gestion du risque lié aux technologies et du cyberrisque, dont il est question dans le <a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.osfi-bsif.gc.ca/fra/fi-if/in-ai/Pages/prupol-let.aspx">plan à court terme relatif aux politiques prudentielles</a> publié le 6 mai 2021.</p> <p>L’autoévaluation comprend 90 « énoncés de contrôle » comme « L'IFF passe régulièrement en revue la stratégie et le cadre de cyberrisque pour s'assurer de la conformité aux exigences juridiques et réglementaires » (n<sup>o</sup> 3). Les énoncés de contrôle sont répartis entre les catégories suivantes :</p> <ul> <li>Planification et stratégie</li> <li>Politiques</li> <li>Gestion du risque</li> <li>Environnement opérationnel</li> <li>Gestion de l’actif</li> <li>Évaluation du risque</li> <li>Gestion de l'identité et contrôle de l'accès</li> <li>Sécurité du réseau</li> <li>Sécurité des données</li> <li>Gestion des vulnérabilités</li> <li>Gestion du changement et de la configuration</li> <li>Suivi et consignation</li> <li>Analyse comparative, examens et évaluations</li> <li>Mise au point de logiciels sécurisés</li> <li>Gestion des incidents</li> <li>Mise à l'essai et planification</li> <li>Amélioration continue</li> <li>Éducation en matière de sécurité</li> <li>Gouvernance et gestion</li> <li>Fournisseurs de services infonuagiques</li> </ul> <p>Lorsqu’elle remplira l’autoévaluation, l’IFF attribuera à chaque énoncé de contrôle une note sur une échelle de 0 à 5 représentative de la « maturité de la cybersécurité ». Les données produites par cet exercice aideront l’IFF à concentrer sa future planification de la cybersécurité sur les domaines dont les lacunes devront être corrigées le plus urgemment.</p> <h2>Prochaines étapes</h2> <p>Les mesures que les IFF devraient envisager compte tenu du nouveau préavis sont les suivantes (entre autres) :</p> <ul> <li>évaluer les répercussions sur leurs procédures internes des modifications apportées aux normes de déclaration dans le nouveau préavis;</li> <li>examiner et (si nécessaire) mettre à jour les conventions de prestation de services et d’impartition en vue d’assurer leur conformité aux nouvelles obligations;</li> <li>effectuer une autoévaluation en matière de cybersécurité fondée sur le nouveau formulaire.</li> </ul>01-Sep-2021 07:55:00{A8943FDB-669F-4E7E-8146-DCF14C3AA8A5}https://stikeman.com/fr-ca/savoir/societes-droit-commercial/la-revolution-des-soins-de-sante-l-incidence-de-la-telesante-et-de-la-telemedecine-au-canadaSara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleActualités - Sociétés et droit commercialDroit canadien des technologies et de la propriété intellectuelleLa révolution des soins de santé : l’incidence de la télésanté et de la télémédecine au Canada<p><strong>Deux membres de notre groupe Sciences de la vie et soins de santé, Sara Zborovski et Ian Trimble, ont rédigé dernièrement l’article suivant sur la transition accélérée vers des soins de santé numériques et à distance. L’article a été publié en partenariat avec Lexpert et avec l’aide de <a href="{CB74A7F3-145D-43BD-B241-EC320A128CA1}?item=web%3a%7b46577F16-A1FF-4139-8486-28CE56D78231%7d%40fr-CA" target="_blank">Devyn Olin</a>, étudiante en droit.</strong></p> <p>Même avant la pandémie de COVID-19, les plateformes de télésanté gagnaient en popularité. Au cours des dernières années, nous avons observé une augmentation des types de services de santé offerts par téléphone et en ligne, qui ciblent un éventail croissant de patients. La télésanté est devenue le parcours de soins de santé des particuliers qui vivent dans des régions éloignées sans accès facile à un médecin de première ligne et une solution de rechange importante pour ceux qui cherchent à obtenir un traitement d’une autre personne que leur médecin de première ligne, notamment d’un spécialiste et, enfin, pour ceux qui préfèrent obtenir des services de soins de santé dans le confort de leur foyer.</p> <p>Pour continuer la lecture, cliquez <a rel="noopener noreferrer" target="_blank" href="https://www.lexpert.ca/legal-insights/healthcare-revolution-examining-the-impact-of-telehealth-telemedicine-in-canada/356985">ici</a>.</p>14-Jun-2021 04:36:00{2B1823F1-9081-4F95-BD38-8A793F4A091E}https://stikeman.com/fr-ca/savoir/droit-canadien-fusions-acquisitions/l-assurance-des-declarations-et-garanties-dans-les-operations-de-fusions-et-acquisitions-du-secteur-des-technologies-au-canadaAlethea Auhttps://stikeman.com/fr-ca/equipe/a/alethea-auShawn C.D. Neylanhttps://stikeman.com/fr-ca/equipe/n/shawn-c-d-neylanDroit canadien des fusions et acquisitionsDroit canadien des technologies et de la propriété intellectuelleL’assurance des déclarations et garanties dans les opérations de fusions et acquisitions du secteur des technologies au Canada : quels sont les risques que recherchent les assureurs? Partie II : droit commercial et sanctions commerciales<p><strong>L’assurance des déclarations et garanties (l’« ADG ») constitue un outil de plus en plus important de gestion du risque transactionnel lié aux fusions et acquisitions du secteur des technologies. Dans le deuxième billet de cette série de trois, nous abordons le droit commercial et les sanctions internationales. Deux risques liés à ce domaine du droit, qui peuvent donner lieu à des sanctions criminelles, ont été mis en évidence dans le cadre d’opérations récentes visant des sociétés de technologie.</strong></p> <h2>Risques élevés des produits de cryptologie</h2> <p>Le profil de risque de la société cible relativement à la conformité au droit commercial et aux sanctions est plus élevé lorsque :</p> <ul> <li>son offre de produits comprend la cryptologie,</li> <li>la technologie ou les biens ont été transférés hors du territoire d’attache de la cible.</li> </ul> <p>La main-d’œuvre des sociétés de technologie tend par nature à être mobile et n’est pas nécessairement dépendante du lieu où est situé le siège social de la cible. Par conséquent, les équipes de développement peuvent toutes être physiquement installées ensemble dans un autre territoire ou être composées de membres d’une équipe installés dans divers territoires. Les clients ont eux aussi tendance à être établis dans de nombreux territoires.</p> <p>Une politique qui démontre une reconnaissance des enjeux de conformité liés à l’accès aux biens ou aux technologies cryptologiques (et à d’autres biens ou technologies contrôlés) et à leur transfert hors du territoire d’attache de la cible, ainsi qu’aux processus mis en œuvre pour traiter ce type de risque pourrait (en fonction de son efficacité) servir à procurer une garantie à l’acheteur et à l’assureur qui offre de l’ADG dans le cadre d’une opération de fusion et acquisition. Les divulgations accidentelles qui ne tiennent pas compte de ces enjeux de conformité, ou même le défaut évident d’envisager ces enjeux lorsque la question est posée dans le cadre du processus de diligence pourraient entraîner des exclusions ou des limitations de garantie d’ADG et mener à des négociations portant sur la répartition de ces risques entre le vendeur et l’acheteur, au moyen de la création d’une indemnité distincte qui sera accordée par le vendeur.</p> <h2>Risques de violation des sanctions économiques</h2> <p>Les ventes aux entités étrangères et aux étrangers (et les investissements que ceux-ci effectuent) constituent un autre domaine potentiellement problématique auquel les sociétés de technologie ne s’intéressent pas toujours. Cette tendance se confirme particulièrement à la phase de démarrage lorsque les sociétés sont d’abord axées sur la collecte de capitaux et la croissance. À mesure qu’elles se rapprochent de l’étape de la sortie, les cibles devraient être prêtes à envisager que le contrôle diligent de l’acheteur puisse inclure une enquête de conformité aux lois sur les sanctions économiques canadiennes, notamment les suivantes :</p> <ul> <li><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lc-1992-c-17/132065/lc-1992-c-17.html"><em>Loi sur les mesures économiques spéciales</em></a><em>;</em></li> <li><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lrc-1985-c-u-2/32108/lrc-1985-c-u-2.html"><em>Loi sur les Nations Unies</em></a><em>;</em></li> <li><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lc-2011-c-10/87501/lc-2011-c-10.html"><em>Loi sur le blocage des biens de dirigeants étrangers corrompus</em></a><em>;</em></li> <li><a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lc-2017-c--21/derniere/lc-2017-c--21.html"><em>Loi de Sergueï Magnitski</em></a><em>; </em></li> <li><em>Code criminel</em> (<a rel="noopener noreferrer" rel="noopener noreferrer" target="_blank" href="https://www.canlii.org/fr/ca/legis/lois/lrc-1985-c-c-46/derniere/lrc-1985-c-c-46.html">dispositions antiterroristes</a>)<em>. </em></li> </ul> <p>Les acheteurs chercheront à s’assurer que les ventes de l’entreprise et les investissements dans les activités par la cible ne concernent aucune entité sanctionnée aux termes de cette législation. </p> <p>À l’instar des contraventions aux lois sur la conformité des exportations liées à la cryptologie, il est difficile dans le cadre de l’échéancier d’une opération usuelle de quantifier les dommages qui pourraient en découler, outre les amendes éventuellement imposées en raison d’une contravention aux lois susmentionnées. Les coûts d’une enquête interne et les coûts de déclaration peuvent être très élevés. Par conséquent, les assureurs qui offrent de l’ADG sont souvent réticents à prendre en charge ces risques.</p> <h2><strong>Prochaine étape</strong></h2> <p>Dans le troisième et dernier billet de la série, nous aborderons les risques liés à l’impôt. Cliquez <a href="https://stikeman.com/fr-ca/savoir/droit-canadien-fusions-acquisitions/l-assurance-des-declarations-et-garanties-dans-les-operations-de-fusions-et-acquisitions-du-secteur-des-technologies" target="_blank">ici</a> pour voir le billet précédent de la série qui portait sur les risques liés à la technologie.</p>10-Jun-2021 07:21:00{E2039272-3EA5-4DCC-BF0C-5AAEB4DF3D04}https://stikeman.com/fr-ca/savoir/droit-canadien-fusions-acquisitions/l-assurance-des-declarations-et-garanties-dans-les-operations-de-fusions-et-acquisitions-du-secteur-des-technologiesAlethea Auhttps://stikeman.com/fr-ca/equipe/a/alethea-auDroit canadien des fusions et acquisitionsDroit canadien des technologies et de la propriété intellectuelleL’assurance des déclarations et garanties dans les opérations de fusions et acquisitions du secteur des technologies au Canada : quels sont les risques que recherchent les assureurs? Partie I : cybersécurité et confidentialité<p><strong>L’assurance des déclarations et garanties (l’« ADG ») constitue un outil de plus en plus important de gestion du risque transactionnel lié aux fusions et acquisitions du secteur des technologies. Dans le premier billet de cette série de trois, nous abordons les types de risques liés à la cybersécurité et à la confidentialité auxquels les assureurs qui offrent de l’ADG s’intéressent généralement dans le cadre d’une opération technologique. Les risques liés (i) à la conformité au droit commercial et aux sanctions commerciales et (ii) à l’impôt seront abordés dans des billets ultérieurs. </strong></p> <p><em>Ce billet a été rédigé en collaboration avec Cathy Qi d’AIG Canada.</em></p> <p>Afin de se situer, il faut commencer par résumer les conditions actuelles du marché des fusions et acquisitions au Canada. À mesure que la pandémie évolue, notre nouvelle réalité nous donne souvent l’impression de vivre « Un jour sans fin ». Toutefois, il y a du bon pour les praticiens en fusions et acquisitions technologiques : après le flottement de la période initiale et les confinements en « yoyo », le marché s’est stabilisé rapidement et a adopté un rythme plus régulier pour le restant de l’année 2020. Cette tendance devrait vraisemblablement se poursuivre en 2021, sous l’influence de facteurs comme :</p> <ul> <li>Le montant élevé des réserves de capital-investissement (« dry powder »);</li> <li>L’activité croissante provenant des bureaux de gestion de patrimoine;</li> <li>L’intérêt renouvelé pour les fusions et acquisitions chez les acheteurs de sociétés;</li> <li>L’incertitude constante qui entraîne des retraits et sorties supplémentaires et contribue à l’activité en fusions et acquisitions.<a href="#_ftn1" name="_ftnref1"><sup>[1]</sup></a></li> </ul> <h2>Assurance des déclarations et garanties</h2> <p>L’assurance des déclarations et garanties (l’« ADG ») est désormais largement acceptée en tant qu’outil de gestion utile du risque transactionnel. Les fusions et acquisitions technologiques ne font pas exception à la règle. D’après notre expérience, les assureurs qui offrent de l’ADG dans le cadre d’opérations technologiques ont tendance à accorder la priorité à quelques domaines de risque clés, parmi lesquels la cybersécurité et la confidentialité.</p> <p>Parallèlement, l’acheteur – généralement l’assuré visé par la police d’ADG – pourrait également accorder la priorité à ces mêmes domaines afin de contribuer : (i) à éviter les exclusions et les limites de garantie applicables à l’ADG qui découlent de l’absence de diligence dans ces domaines et (ii) à établir une répartition appropriée des risques entre lui et le vendeur lorsque ces risques entraîneront probablement des exclusions et des limites de garantie de l’ADG.</p> <h3>Cybersécurité et confidentialité</h3> <p>Il n’est pas surprenant que la cybersécurité et la confidentialité figurent en tête de liste. Les assureurs qui offrent de l’ADG s’attendent à ce que les cibles de tous les secteurs subissent des contrôles diligents robustes en matière de cybersécurité et de confidentialité. En ce qui concerne les cibles du secteur technologique, ces domaines de risque sont presque toujours classés parmi ceux qui font l’objet d’un contrôle renforcé de la part des assureurs qui offrent de l’ADG – particulièrement si la cible recueille, entrepose, manipule et par ailleurs traite des renseignements confidentiels (notamment des renseignements personnels) ou dépend fortement de fournisseurs d’infrastructure à la demande (« IaaS ») et de logiciels à la demande (« SaaS »).</p> <p>Les assureurs qui offrent de l’ADG ont généralement tendance à examiner certains des facteurs suivants lorsqu’ils envisagent d’accorder une garantie dans le secteur technologique :</p> <ul> <li>Les protections de cybersécurité contre les cyberattaques et les attaques de rançongiciels;</li> <li>La nature des activités exercées par la cible (par ex. les activités interentreprises ou le commerce de détail);</li> <li>Le territoire dans lequel la cible exerce ses activités et le contexte réglementaire applicable (les facteurs de risque pourraient être amplifiés pour les cibles dont les activités sont assujetties aux lois et règlements de nombreux territoires);</li> <li>Le type de données que la cible recueille, entrepose et manipule, notamment lorsque les données sont des renseignements sensibles ou personnels (y compris des renseignements personnels sur la santé, des informations financières, etc.);</li> <li>La disponibilité et l’essai des plans de continuité des activités / de reprise après sinistre;</li> <li>Les antécédents d’accès non autorisé aux données de la cible (notamment les atteintes à la vie privée, les cyberincidents et les avis donnés aux autorités responsables de la protection de la vie privée et aux autres autorités compétentes), ainsi que la réaction à ces incidents;</li> <li>Les plaintes ou les règlements importants en matière de confidentialité;</li> <li>Les enquêtes ou les ordonnances réglementaires portant sur la cybersécurité ou la confidentialité;</li> <li>La garantie d’assurance de base (par ex. cybersécurité et assurance responsabilité professionnelle).</li> </ul> <h4>Services continus</h4> <p>En ce qui concerne les sociétés de technologie qui fournissent un service continu (SaaS ou IaaS, etc.), l’intégrité et la disponibilité de ce service sont d’une importance cruciale. Par conséquent, les assureurs qui offrent de l’ADG accordent la priorité :</p> <ul> <li>à la sécurité de l’environnement dans lequel ce service est fourni;</li> <li>aux politiques et aux pratiques mises en œuvre par l’entreprise afin de protéger cet environnement conçu en vue d’assurer la sécurité, l’intégrité et la disponibilité continue de ce service.</li> </ul> <h4>Portée de la couverture</h4> <p>Les assureurs qui offrent de l’ADG s’en remettent aux sociétés cibles pour l’obtention d’une couverture suffisante (compte tenu du montant et de la portée de l’assurance cybersécurité) de leurs activités commerciales et ils ne garantissent généralement que les pertes assurées découlant de la violation des déclarations liées à la confidentialité et à la cybersécurité, selon un montant et une portée qui n’excèdent pas l’assurance en cours. Si la couverture est considérée suffisante pour garantir les exigences opérationnelles de la cible et permettre au vendeur de faire les déclarations sur la confidentialité et sur la cybersécurité qui sont nécessaires à la vente de l’entreprise à l’acheteur, alors la prise en charge de la violation de ces déclarations par l’assureur qui offre de l’ADG pourrait avoir la même portée. Au cas où la limite de garantie de l’assurance cybersécurité en cours n’est pas considérée suffisante (le niveau jugé suffisant dépendra de l’entreprise de la cible et variera en fonction de l’opération), les assureurs qui offrent de l’ADG pourraient décider (i) de fournir une garantie, le cas échéant, seulement après que le seuil des pertes garanties (en excédent de la limite de garantie de la police d’assurance cybersécurité en cours) a été atteint par l’assuré ou (ii) de limiter la garantie à un montant précis applicable aux questions de cybersécurité visées par la garantie.</p> <h4>Renseignements personnels</h4> <p>Comme il a été mentionné précédemment, les types de données traitées par la cible ont une importance cruciale pour les assureurs qui offrent de l’ADG. Ces assureurs posent généralement des questions détaillées aux acheteurs sur le caractère sensible des renseignements personnels traités par la cible. Ils excluront probablement les renseignements personnels sur la santé de la couverture au motif que les violations de la cybersécurité liées à ces renseignements pourraient créer des risques importants ou compliquer l’évaluation des risques.</p> <h2>Prochaine étape</h2> <p>Dans le deuxième billet de la série, nous aborderons les risques liés à la conformité au droit commercial et aux sanctions commerciales.</p> <hr /> <p><a href="#_ftnref1" name="_ftn1"><sup>[1]</sup></a> <em>Rapport spécial sur les fusions et acquisitions canadiennes de </em><em>Crosbie & Company—M&A Outlook for 2021, 8 janvier 2021.</em></p>07-Apr-2021 07:56:00{57CBCEE7-3CF1-4DBB-B6FC-A647AE73B9A2}https://stikeman.com/fr-ca/savoir/droit-canadien-valeurs-mobilieres/pape-et-regroupements-dans-les-technos-en-2021-que-nous-reserve-la-montee-du-marcheJared Bachynskihttps://stikeman.com/fr-ca/equipe/b/jared-bachynskiDroit canadien des valeurs mobilièresDroit canadien des fusions et acquisitionsDroit canadien des technologies et de la propriété intellectuellePAPE et regroupements dans les technos en 2021 : Que nous réserve la montée du marché?<p><strong>L’associé de Stikeman Elliott <a href="/fr-ca/equipe/b/jared-bachynski">Jared Bachynski</a> s’est entretenu dernièrement avec Lexpert à propos des PAPE et des regroupements dans le secteur des technologies à mesure que le marché poursuit son essor en 2021. Spécialiste du financement des entreprises établi à Vancouver et particulièrement intéressé par les entreprises technologiques, M<sup>e</sup> Bachynski a une vue détaillée sur les tendances et les occasions actuelles.</strong></p> <p>La foire aux questions de Lexpert, qui est affichée <a rel="noopener noreferrer" href="https://www.lexpert.ca/article-print/canadian-tech-investment-update-ipos-and-mandas-continue-upward-trend/?p=13%7C54%7C118&sitecode=DIR" target="_blank">ici</a>, aborde les questions suivantes :</p> <ul> <li>De quelle manière le marché en croissance des PAPE influe-t-il sur le secteur canadien des technologies?</li> <li>Comment l’entreprise de technologie en démarrage qui cherche à faire un PAPE devrait-elle aborder l’évaluation?</li> <li>Les regroupements dans le secteur des technologies emprunteront-ils principalement des voies transactionnelles classiques ou seront-ils davantage réalisés au moyen de sociétés d'acquisition à vocation spécifique (SAVS)?</li> <li>Comment les sociétés technologiques canadiennes peuvent-elles attirer l’investissement étranger et quels enjeux particuliers les fusions et acquisitions transfrontalières soulèvent-elles?</li> <li>Des règles particulières s’appliquent-elles aux entreprises de sous-secteurs hautement cycliques?</li> <li>Comment les sociétés de capital-investissement nouvellement arrivées dans le secteur des technologies devraient-elles se positionner?</li> <li>Quelles sont les perspectives des cryptomonnaies dans la période potentiellement inflationniste qui suivra la pandémie de COVID-19?</li> </ul> <p>Dans la perspective d’une année 2021 chargée, au cours de laquelle nous collaborerons avec des clients axés sur la technologie au Canada, aux États-Unis et à l’étranger, nous espérons que cet aperçu vous sera utile.</p>01-Mar-2021 09:54:00{915C8A7B-2DF0-46D6-ACE6-983AA3541558}https://stikeman.com/fr-ca/savoir/droit-canadien-technologies-propriete-intellectuelle/questions-juridiques-cles-en-sciences-de-la-vie-foire-aux-questions-sur-le-droit-canadienSara Zborovskihttps://stikeman.com/fr-ca/equipe/z/sara-zborovskiIan Trimblehttps://stikeman.com/fr-ca/equipe/t/ian-trimbleDroit canadien des technologies et de la propriété intellectuelleActualités - Sociétés et droit commercialQuestions juridiques clés en sciences de la vie : foire aux questions sur le droit canadien<p>Deux membres de notre groupe Sciences de la vie et soins de santé ont rédigé dernièrement le <a href="/-/media/files/kh-general/lexology-getting-the-deal-through---life-sciences-in-2021.ashx">chapitre canadien</a> (en anglais seulement) du guide Life Sciences de 2021, publié par <a rel="noopener noreferrer" href="https://www.lexology.com/gtdt" target="_blank" rel="noopener noreferrer"><em>Lexology –</em> <em>Getting The Deal Through</em></a>. Cette publication offre un excellent aperçu de ce domaine du droit en rapide évolution, y compris des sujets suivants :</p> <ul> <li>Organisation et financement des soins de santé</li> <li>Services de soins de santé</li> <li>Publicité</li> <li>Protection des données, protection de la vie privée et numérisation dans les soins de santé</li> <li>Collaboration</li> <li>Questions de concurrence</li> <li>Tarification et remboursement</li> <li>Tendances et faits nouveaux</li> </ul> <p>Nous sommes heureux de rendre possible le téléchargement de ce <a href="/-/media/files/kh-general/lexology-getting-the-deal-through---life-sciences-in-2021.ashx">chapitre de 12-pages</a> <span style="text-align: left; color: rgb(19, 19, 19); letter-spacing: normal; text-decoration: none; background-color: transparent;">(en anglais seulement)</span>.</p>27-Jan-2021 02:34:00