Chaque semaine, nos experts livrent leurs avis, leurs opinions sur des sujets, des thématiques qui les touchent, les interpellent. Aujourd’hui, Vanessa Henri, avocate en cybersécurité et gouvernance des données, fait ses prédictions en matière de réglementation pour 2023.
Les deux dernières années ont été mouvementées dans le secteur technologique, et la capitalisation des entreprises dans ce domaine a fait l’objet d’une attention médiatisée : de la saga de l’acquisition du réseau social Twitter par Elon Musk, aux licenciements massifs à la suite de pertes de valeurs boursières, en passant même par la faillite du géant de la cryptomonnaie, FTX. Au Québec, on se rappellera également la faillite de Celsius. En parallèle, les attaques informatiques n’ont cessé de s’enchainer, éclaboussant plusieurs compagnies et coûtant des milliers de dollars à l’économie alors que les paiements de rançons à des cybercriminels atteignent un nouveau sommet.
Derrière cette tempête, l’innovation bat toutefois son plein. Le télétravail n’est que le dernier exemple de la place qu’occupe la technologie dans nos vies. Il ne faut donc pas être surpris si le droit de la technologie est en pleine effervescence. À l’intersection de l’ingénierie et du droit se forment des courants juridiques à surveiller. Parmi ceux-ci, les 5 suivants ont retenu notre attention :
Responsabilité pour les produits
Les objets connectés, en commençant par nos cellulaires intelligents, occupent une grande partie de notre quotidien. Toutefois, ils introduisent également des risques pour notre vie privée et notre sécurité. En octobre 2020, 10.8 millions d’attaques ont affectées les objets connectés. Aux États-Unis, deux états ont déjà adopté des lois imposant des mesures de sécurité aux fabricants.
Que ce soit pour imposer des exigences de développement, comme les chargeurs USB-C en Europe, ou bien pour imposer des normes de sécurité à l’égard du développement, le législateur a définitivement l’œil sur les produits technologiques. Par ailleurs, il ne serait pas surprenant de voir des organismes de règlementation, comme la Commission d’accès à l’information, utiliser leurs pouvoirs d’enquête pour forcer la divulgation de secrets commerciaux sur les produits, tel que des codes sources, afin de pouvoir valider la conformité du design.
Responsabilité des dirigeants
Aux États-Unis, l’arrestation de l’ancien chef de la sécurité de Uber pour donner suite aux évènements de 2016 ayant mené au vol de renseignements personnels de plusieurs millions de consommateurs a attiré l’attention sur la responsabilité des dirigeants à l’égard de la cybersécurité et de la protection de la vie privée. La responsabilité juridique des dirigeants n’est pas un nouveau concept, mais son application dans le cadre technologique se dessine rapidement, notamment avec la loi sur la protection des renseignements personnels qui prévoit, à son article 93, la responsabilité des dirigeants. Entrepreneurs, soyez vigilants!
« Les entreprises dans le secteur de la cryptomonnaie et de l’intelligence artificielle seront particulièrement touchées par ces changements visant à rassurer les consommateurs. »
Réglementation des technologies émergentes
Nouvelle technologie ne veut pas dire absence de loi. Par exemple, le Code civil du Québec est clair quant à la responsabilité extracontractuelle des entreprises en cas de comportement déraisonnable. Il est toutefois possible d’adopter des lois afin de répondre à des problématiques technologiques particulière, comme l’intelligence artificielle. C’est d’ailleurs un des objectifs du projet de loi fédéral C-27. Nous prévoyons toutefois l’adoption de plusieurs règles de pratiques et lignes directrices en sus de ces lois. Les entreprises dans le secteur de la cryptomonnaie et de l’intelligence artificielle seront particulièrement touchées par ces changements visant à rassurer les consommateurs.
Propriété intellectuelle et données ouvertes
Les objets connectés et les technologies émergentes convergent dans le cadre d’écosystèmes comme les villes intelligentes, mais la propriété des données qui en résulte, et la gestion transparente et responsable des données, demeure un défi juridique. Les discussions académiques sur les fiducies de données et les méthodes de gestion responsable devront éventuellement passer de la théorie à l’action dans les écosystèmes connectés.
Divulgation responsable et rétroingénierie
Bien que le Gouvernement du Québec ait récemment adopté une plateforme de divulgation responsable des vulnérabilités en matière de cybersécurité, il n’en demeure pas moins que les recherchistes en cybersécurité bénéficient de peu de protection. La plupart des compagnies interdisent la rétroingénierie de leurs produits, même pour des fins de découverte des vulnérabilités. Afin de protéger les lanceurs d’alerte en matière de cybersécurité, l’état du droit va certainement évoluer.
Il convient de prendre en compte, dans le cadre de ces prédictions, les courants juridiques déjà bien amorcés, notamment la multiplication des lois en matière de protection des renseignements personnels et de cybersécurité. Au Québec, la deuxième phase de la loi 64 entre en vigueur dès septembre 2023, obligeant les entreprises à adopter des mesures proactives, notamment des évaluations des facteurs relatifs à la vie privée. Au fédéral, le projet de loi C-27 aurait également pour effet de créer un tribunal des données, et le projet de loi C-26, si adopté, rendrait obligatoire le signalement d’incidents de sécurité. Cette obligation existe déjà au fédéral en matière de vie privée, mais ce projet de loi suggère le rapport de tous les incidents afin d’informer un programme de connaissance de la menace.
Ces changements juridiques vont continuer de mener à une prolifération des poursuites judiciaires, incluant les recours collectifs. Aux États-Unis, un recours collectif a notamment été déposé en août 2022 contre Oracle, le géant des logiciels, alléguant que la compagnie aurait emmagasinée une quantité gigantesque de renseignements personnels qui auraient par la suite été vendus à des tierces parties.
Vous l’aurez compris, les risques juridiques se multiplient en matière de développement technologique. Bien que cela puisse être perçu comme un obstacle nous y voyons une opportunité d’affaires : ces lois visent à maintenir la confiance nécessaire des consommateurs, mais en adoptant des pratiques proactives, notamment dans le design des produits, les entreprises pourront y voir des opportunités de rivaliser avec des compétiteurs qui n’ont pas été aussi bienveillants.
Crédit Image à la Une : Getty
