En raison de la pandémie de COVID-19, la connexion à distance est devenue une véritable ligne de sauvetage permettant d’assurer la poursuite des activités d’une entreprise. Ce faisant, les politiques relatives au mode de fonctionnement « prenez vos appareils personnels » (« PAP ») devraient être une priorité pour les employeurs et les employés. Bien que les différentes entreprises puissent aborder le mode PAP d’un point de vue différent, chacune d’entre elles devrait néanmoins disposer d’une stratégie en la matière.
Or, les entreprises reconnaissent maintenant que le mode de fonctionnement PAP est devenu la nouvelle « norme ». Toutefois, certaines d’entre elles ne sont pas conscientes des risques que peut présenter l’utilisation des appareils mobiles par leurs employés. Pour gérer ces risques, les entreprises devraient examiner, mettre à jour et réviser en conséquence leurs politiques en matière de connexion à distance, de sécurité et autres enjeux pertinents en la matière, en réponse à l’utilisation accrue des appareils mobiles personnels donnant accès aux technologies de l’information d’une entreprise. Si ce n’est pas déjà fait, le temps est venu d’adopter des procédures et des politiques régissant l’utilisation des appareils mobiles personnels pour les activités professionnelles.
Lors de tels examens, il importe que les entreprises ne négligent pas les risques en matière de PI spécifiques et uniques aux appareils mobiles personnels et aux moyens d’accès à distance. Pour aider les entreprises à mettre en place de telles stratégies d’atténuation des risques en matière de PI, nous avons dressé une liste de considérations clés en la matière. Le présent bulletin vise à offrir quelques suggestions et lignes directrices sur la manière de gérer et de réduire stratégiquement les risques en matière de PI.
Il ne s’agit plus seulement de courrier électronique
Les téléphones intelligents, les tablettes, les PC et les ordinateurs portables sont maintenant utilisés non seulement à des fins personnelles, mais pour le travail aussi. Les logiciels et les applications couramment utilisés pour le traitement de texte, les tableurs et les présentations multimédias permettent de travailler à l’extérieur du bureau. Par conséquent, les employés peuvent utiliser leur propre matériel informatique et leurs propres logiciels, sans doute achetés pour un usage personnel, à des fins commerciales. Les employés peuvent aussi créer et diffuser des renseignements qui échappent aux protections normalement mises en place sur le lieu de travail (p. ex. accès restreint, pare-feu, etc.). Les employés sont donc en mesure de créer, d’utiliser et de communiquer des renseignements sur de multiples plateformes, ce qui pose un certain nombre de questions quant à la propriété et à la divulgation de la PI.
Les fournisseurs de logiciels accordent généralement une licence d’utilisation de leurs produits à différents prix et/ou les assortissent de différentes restrictions selon la nature de la licence. Par exemple, le même programme de traitement de texte peut être offert avec une licence pour étudiants au prix de 50 $, avec une licence pour la maison au prix de 100 $, avec une licence pour petites entreprises au prix de 250 $ et avec une licence pour sites d’entreprise permettant l’installation sur 10 postes de travail au prix de 5 000 $.
Dans chaque cas, la licence définit les utilisations permises du même logiciel. L’utilisation non autorisée du logiciel peut constituer une violation de la licence et du droit d’auteur. La contravention à une condition de la licence accordée à l’employé par le fournisseur de logiciels peut aussi toucher l’employeur, puisqu’en vertu des dispositions de la Loi sur le droit d’auteur du Canada, l’employeur pourrait éventuellement « autoriser » l’employé à y contrevenir.
Pratiquement toutes les entreprises produisent, possèdent et utilisent également une vaste gamme d’actifs et de ressources créés à l’interne et susceptibles d’être protégés à titre de secret commercial et/ou en vertu de lois canadiennes sur la PI comme la Loi sur le droit d’auteur et la Loi sur les brevets. Ces actifs peuvent comprendre des logiciels, des plans de marketing, des bases de données, des manuels d’utilisation, des guides à l’intention des employés, du matériel audiovisuel destiné à l’usage dans les médias sociaux ou à la diffusion traditionnelle, du matériel Web et des photos.
Les employés peuvent créer, utiliser et diffuser ce matériel au moyen de leurs appareils personnels. Dans un contexte de PAP, les actifs de l’entreprise peuvent donc circuler en marge de son pare-feu et être stockés sur les appareils personnels des employés ou sur des serveurs n’appartenant pas à l’entreprise. À titre d’exemple, dans le cas du stockage dans les nuages, la possibilité de perdre le contrôle de la publication ou de la diffusion de secrets commerciaux est particulièrement accrue.
Quels sont les risques en matière de propriété intellectuelle si ces facteurs ne sont pas pris en compte?
Si un employé effectue du travail pour son employeur à l’aide d’un logiciel personnel qu’il utilise sous licence à des fins non commerciales, l’employé contrevient aux conditions de la licence afférente au logiciel et est potentiellement responsable d’atteinte au droit d’auteur. Si l’employeur sait que l’employé utilise un programme pour effectuer des tâches professionnelles sur son appareil personnel et que cet appareil n’est pas visé par sa propre licence pour le logiciel, l’on pourrait conclure que l’employeur a « autorisé » l’atteinte. Au Canada, le fournisseur de logiciel pourrait décider de recouvrer des dommages‑intérêts prévus par la loi se situant entre 500 $ et 20 000 $ par « œuvre ».
Pour les œuvres protégées par droit d’auteur (p. ex. un logiciel), le premier titulaire du droit d’auteur à l’égard du matériel produit par un employé dans l’exercice de ses fonctions est, par défaut, l’employeur – peu importe l’endroit et la façon dont le matériel a été produit. Toutefois, cette disposition comporte une lacune, puisqu’elle ne s’applique pas aux entrepreneurs indépendants.
Cependant, dans le contexte d’une invention susceptible d’être protégée par brevet, l’employé se rapproche davantage d’un entrepreneur indépendant. Sauf convention écrite contraire et l’embauche de l’employé à des fins spécifiques d’invention, l’invention développée par l’employé appartient à l’employé et non pas à l’employeur.
Hormis les questions de propriété, le fait que l’employé puisse facilement divulguer de manière prématurée une invention susceptible de brevet ou d’autres renseignements confidentiels de l’employeur peut avoir un effet négatif sur les actifs de l’entreprise. Si un employé divulgue l’invention, cela pourrait entraîner, d’une part, le risque de ne plus pouvoir obtenir une protection par brevet et, d’autre part, de ne plus pouvoir protéger un secret commercial. Il suffit d’imaginer ce qui arriverait au propriétaire de la formule d’une boisson gazeuse populaire si cette formule était divulguée dans les médias sociaux.
Que peuvent faire les entreprises pour atténuer les risques en matière de PI?
Les entreprises devraient élaborer et mettre en œuvre une politique clairement rédigée et facile à comprendre en matière de PAP pour identifier et atténuer les risques potentiels en matière de PI. Une fois la politique élaborée, elle devrait par la suite être intégrée dans les pratiques et procédures relatives aux activités quotidiennes de l’entreprise. Les entreprises devraient également tout mettre en œuvre pour communiquer efficacement cette politique aux membres de leur direction, à leurs employés et aux entrepreneurs indépendants. Une fois la politique élaborée, elle devrait être mise à jour régulièrement, puisque la technologie continuera vraisemblablement d’évoluer au fil du temps et pourrait présenter de nouveaux risques qui n’avaient pas été envisagés antérieurement.
Grâce à une politique conçue et mise en œuvre de manière efficace, les entreprises peuvent réduire les risques en PI associés au PAP. À tout le moins, une politique efficace sur le PAP devrait comprendre les éléments suivants :
- prévoir la remise aux employés de copies dûment licenciées des logiciels s’ils utilisent leurs appareils à des fins professionnelles;
- exiger des employés qu’ils soumettent leurs appareils à des vérifications périodiques et indiquer quand et comment signaler et suivre les appareils lorsqu’ils sont utilisés, perdus ou volés;
- établir des lignes directrices claires régissant les cas et la manière dont les appareils peuvent être vidés de leurs données (p. ex. en cas de cessation d’emploi, de perte ou de vol de l’appareil) et les modalités relatives à la sauvegarde de données personnelles (p. ex. photos, musique, vidéos, etc.);
- définir ce que constitue une « utilisation acceptable » du point de vue de l’entreprise, élaborer une liste de logiciels et d’applications approuvés et une liste de logiciels et d’applications interdits et indiquer si la technologie sera utilisée aux fins de l’application de la politique;
- établir des directives visant à répondre aux préoccupations en matière de confidentialité et de respect de la vie privée ainsi qu’aux besoins d’exécution efficace de chacune;
- établir une directive sur la sécurité applicable à tous les appareils (p. ex. mots de passe pour l’ouverture d’une session, écrans verrouillés, etc.);
- établir une méthode recommandée de stockage du contenu (infonuagique ou appareil); et
- préciser la propriété des œuvres protégées par droit d’auteur, des inventions susceptibles de brevetage (p. ex. applications logicielles particulières) ou des données et faire signer par les employés et les entrepreneurs des conventions écrites de cession en ce sens.
Les entreprises doivent relever et gérer les risques en PI associés au mode de fonctionnement PAP. Grâce à une gestion efficace des risques en PI, les entreprises peuvent éviter les pertes potentielles, les maux de tête et les coûts liés à l’usage inapproprié des appareils mobiles, qui sont par ailleurs omniprésents (p. ex. les coûts possibles liés à l’« autorisation » d’atteinte aux droits de PI). Les coûts relatifs à l’absence d’outils efficaces de gestion des risques en PI sont trop importants pour ne pas en tenir compte.
