Drt 6903A Droit du commerce électronique

Présentation au sujet: "Drt 6903A Droit du commerce électronique"— Transcription de la présentation:

1 Drt 6903A Droit du commerce électronique
7 octobre 2009 Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité Eloïse Gratton

2 Responsabilités Hébergeur Moteur de recherche Transporteur
Conservation de données Éditeur Certification Blogueur Paiement Enchères Pourriels Vie privée

3 Responsabilité civile
Régime général du Code civil – art. 1457 3 conditions: Faute commise Dommage causé Lien établi entre la faute et le dommage

4 Responsabilité - hébergeur
Régime général d’exonération. Responsabilité possible dans le cas où : il a connaissance d’activités illicites de la part des personnes hébergées par lui; il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui; il n’a rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées.

5 Responsabilité - hébergeur
22 LCCJTI. « Le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci. Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité. »

6 Responsabilité – moteurs de recherche
Idem pour les référencements (moteurs de recherche) Art. 22 LCCJTI « (…) De même, le prestataire qui agit à titre d'intermédiaire pour offrir des services de référence à des documents technologiques, dont un index, des hyperliens, des répertoires ou des outils de recherche, n'est pas responsable des activités accomplies au moyen de ces services. Toutefois, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les services qu'il fournit servent à la réalisation d'une activité à caractère illicite et s'il ne cesse promptement de fournir ses services aux personnes qu'il sait être engagées dans cette activité. »

7 Responsabilité – moteurs de recherche
Flach Film et autres / Google France, Google Inc., Tribunal de commerce de Paris, 8e chambre, Jugement du 20 février 2008 Limites quant à l’exclusion de l’obligation de surveillance active. Dès lors qu’un titulaire de droits a signalé un contenu illicite dans une zone de stockage déterminée à un hébergeur, ce dernier aurait l’obligation de surveiller toute nouvelle apparition de ce contenu, dans n’importe quelle zone de stockage de son site.

8 Notion de “connaissance”
L’article de la loi française sur la confiance dans l’économie numérique (LCEN) prévoît un mécanisme de notification des intermédiaires. La connaissance des faits litigieux est présumée acquise lorsqu'il leur est notifié les éléments suivants : La date de la notification ; si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ; les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ; La description des faits litigieux et leur localisation précise ; les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ; La copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

9 Responsabilité - transporteur
Transporteur (art. 36 LCCJTI) Régime général d’exonération. Son rôle se limite à une action technique. Responsabilité possible dans le cas où : il est à l’origine de la transmission; il sélectionne ou modifie le document transmis; il sélectionne la personne qui transmet, reçoit ou a accès au document posant problème; il conserve le document plus longtemps que ne l’exige la transmission. 36. Le prestataire de services qui agit à titre d'intermédiaire pour fournir les services d'un réseau de communication exclusivement pour la transmission de documents technologiques sur ce réseau n'est pas responsable des actions accomplies par autrui au moyen des documents qu'il transmet ou qu'il conserve durant le cours normal de la transmission et pendant le temps nécessaire pour en assurer l'efficacité. Responsabilité. Il peut engager sa responsabilité, notamment s'il participe autrement à l'action d'autrui :  1° en étant à l'origine de la transmission du document ;  2° en sélectionnant ou en modifiant l'information du document ;  3° en sélectionnant la personne qui transmet le document, qui le reçoit ou qui y a accès ;  4° en conservant le document plus longtemps que nécessaire pour sa transmission.

10 Responsabilité - conservation
Conservation (art. 37 LCCJTI) Illustrations, deux situations principales : La fonction « cache » (ou antémémorisation) La conservation de documents nécessaires à l’utilisation de serveur à accès contrôlé, d’Intranet (notamment pour des raisons de sécurité). Régime général d’exonération. Un régime de responsabilité similaire au précédent s’applique aux prestataires de services de conservation. 37. Le prestataire de services qui agit à titre d'intermédiaire pour conserver sur un réseau de communication les documents technologiques que lui fournit son client et qui ne les conserve qu'à la seule fin d'assurer l'efficacité de leur transmission ultérieure aux personnes qui ont droit d'accès à l'information n'est pas responsable des actions accomplies par autrui par le biais de ces documents. Responsabilité. Il peut engager sa responsabilité, notamment s'il participe autrement à l'action d'autrui :  1° dans les cas visés au deuxième alinéa de l'article 36 ;  2° en ne respectant pas les conditions d'accès au document ;  3° en prenant des mesures pour empêcher la vérification de qui a eu accès au document ;  4° en ne retirant pas promptement du réseau ou en ne rendant pas l'accès au document impossible alors qu'il a de fait connaissance qu'un tel document a été retiré de là où il se trouvait initialement sur le réseau, du fait qu'il n'est pas possible aux personnes qui y ont droit d'y avoir accès ou du fait qu'une autorité compétente en a ordonné le retrait du réseau ou en a interdit l'accès.

11 Responsabilité - conservation
Responsabilité possible dans le cas où : dans l’une des quatre situations qui s’appliquent à la responsabilité du transmetteur; le prestataire ne respecte pas les conditions d’accès au document; le prestataire empêche la vérification de qui a eu accès au document; le prestataire ne retire pas promptement du réseau ou ne rend pas l’accès au document impossible alors qu’il avait connaissancequ’un tel document a été retiré de là où il se trouvait initialement;qu’il n’est pas possible aux personnes qui y ont droit d’y avoir accès;qu’une autorité compétente en a exigé le retrait.

12 Responsabilités - Éditeurs
Vieux comme la presse 1457 CCQ Faute Dommage Lien de causalité Responsabilité plus grande L’éditeur • Libre • d’accepter, de modifier, de retirer de l’information dans son média • Gay Alliance c. Vancouver Sun, [1979] 2 R.C.S.435 Libertés publiques—Refus du journal de publier une annonce pour promouvoir la vente d’abonnements à une publication pour homosexuels— La commission d’enquête a-t-elle erré en droit en concluant à l’absence de cause raisonnable pour refuser de publier l’annonce?— Human Rights Code de la Colombie-Britannique, 1973 (B.C.) (2e Sess.), chap. 119, art. 3, 18. Le Human Rights Code de la Colombie-Britannique prévoit, en partie, que nul ne doit priver une personne ou une classe de personnes de services habituellement offerts au public, si ce n’est pour une cause raisonnable. Le Code prescrit la création d’une Commission des droits de la personne et la nomination d’un directeur. Si le directeur ne peut trancher une plainte qui allègue une violation du Code, celui-ci prévoit la nomination d’une commission d’enquête. Si la commission est d’avis qu’une plainte est fondée, elle peut ordonner au contrevenant de cesser de violer le Code et lui ordonner de faire bénéficier la victime des droits, chances ou privilèges dont, de l’avis de la commission, elle a été privée. Appel de la décision de la commission d’enquête peut être interjeté devant la Cour suprême sur une question de droit ou de compétence ou sur une conclusion de fait essentielle pour établir sa compétence, si cette conclusion est manifestement erronée. Une plainte a été déposée au nom de l’Alliance appelante par un particulier qui allègue que l’intimé, le Vancouver Sun, a refusé, en contravention de l’art. 3 du Code, de publier dans la section des petites annonces du Sun une annonce pour promouvoir la vente d’abonnements au “Gay Tide”. Le Sun a informé l’Alliance par lettre que l’annonce était «inacceptable dans ce journal». Le Sun a refusé de publier l’annonce parce qu’elle visait à promouvoir la vente d’abonnements au “Gay Tide”. “Gay Tide” est une publication qui reflète les buts de l’Alliance, soit en arriver à une reconnaissance de la thèse que l’homosexualité est une forme d’expression sexuelle et émotionnelle valide et légitime qui n’est aucunement préjudiciable à la société ni à l’individu et qui est sur le même pied que l’hétérosexualité. Une commission d’enquête a été formée pour examiner la plainte de l’Alliance. Après avoir tenu une audience, la commission a conclu que l’art. 3 du Human Rights Code avait été violé. La commission a ordonné au Sun de mettre à la disposition de l’Alliance sa section des petites annonces. Un appel sur exposé de cause a alors été interjeté à la Cour suprême de la Colombie-Britannique conformément à l’art. 18 du Code. L’appel du Sun a été rejeté par le juge MacDonald, mais l’appel subséquent à la Cour d’appel a été accueilli à la majorité. L’Alliance se pourvoit donc devant cette Cour, sur autorisation. Arrêt (le juge en chef Laskin et les juges Dickson et Estey étant dissidents): Le pourvoi doit être rejeté. Les juges Martland, Ritchie, Spence, Pigeon, Beetz et Pratte: Le droit a reconnu la liberté de la presse de diffuser ses opinions et ses idées et de choisir ce qu’elle publie. Conséquemment, un journal a égalememt le droit de refuser de publier ce qui va à rencontre des vues qu’il exprime. Le service qui est habituellement offert au public est, dans le cas d’un journal qui accepte des annonces, assujetti au droit du journal d’en contrôler le contenu. En l’espèce, le Sun avait adopté une position sur le sujet controversé de l’homosexualité. Il ne désirait pas accepter une annonce qui cherchait à promouvoir la vente d’abonnements à une publication qui propage les idées de l’Alliance. Ce refus n’était pas fondé sur une particularité de la personne qui cherchait à faire publier cette annonce, mais sur le contenu même de l’annonce. La commission d’enquête a erré en droit en statuant que l’art. 3 s’applique aux circonstances de cette affaire. • Responsable • répond de tout ce qui est contenu dans son média • Rochette c. Tremblay et la Télévision de Québec Ltée,[1972] C.S., 275 Ainsi, dans Rochette c. Tremblay et la Télévision du Québec Ltée115, le tribunal conclut que le radiodiffuseur qui avait la possibilité de vérifier les propos d'un tiers avant leur diffusion et qui a omis de le faire, est responsable des dommages que pourraient causer ces propos. • Dès lors qu’il a eu une occasion raisonnable de vérifier

13 Responsabilités - Certification
Certification (47 LCCJTI et ss.) Obligations de l’autorité de certification : rédiger une politique de certification rendre publique la politique de certification; présenter des garanties d’impartialité; inscrire promptement sur le répertoire prévu à cet effet tout certificat invalide; assurer l’intégrité du certificat. Obligations du certifié : garder secret tout dispositif qui permet d’utiliser le certificat, toute utilisation de ce dernier étant présumée faite par lui; dévoiler à l’autorité de certification tout motif qui laisserait croire que le dispositif est compromis par un tiers; informer l’autorité de certification de tout changement à son statut. Obligations du tiers : vérifier l’identité des intervenants; vérifier au répertoire la mise en place par l’autorité de certification la validité du certificat. Certificat. 47. Un certificat peut servir à établir un ou plusieurs faits dont la confirmation de l'identité d'une personne, de l'identification d'une société, d'une association ou de l'État, de l'exactitude d'un identifiant d'un document ou d'un autre objet, de l'existence de certains attributs d'une personne, d'un document ou d'un autre objet ou encore du lien entre eux et un dispositif d'identification ou de localisation tangible ou logique. Certificat d'attribut. Un certificat d'attribut peut, à l'égard d'une personne, servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein d'une personne morale, d'une association, d'une société, de l'État ou dans le cadre d'un emploi. Il peut, à l'égard d'une association, d'une société ou d'un emplacement où l'État effectue ou reçoit une communication, établir leur localisation. À l'égard d'un document ou d'un autre objet, il peut servir à confirmer l'information permettant de l'identifier ou de le localiser ou de déterminer son usage ou le droit d'y avoir accès ou tout autre droit ou privilège afférent. Autorisation d'accès. L'accès au certificat d'attribut relatif à une personne doit être autorisé par celle-ci ou par une personne en autorité par rapport à elle.

14 Responsabilités - Certification
Répartition des responsabilités Responsabilité non démontrée – d’aucun. Les parties sont toutes responsables. Responsabilité partagée. Quelle que soit la répartition, elle est d’ordre public et ne peut être modifiée par contrat. 48. Un certificat peut être joint directement à un autre document utilisé pour effectuer une communication ou être accessible au moyen d'un répertoire lui-même accessible au public. Contenu. Le certificat doit au moins comprendre les renseignements suivants :  1° le nom distinctif du prestataire de services qui délivre le certificat ainsi que sa signature ;  2° la référence à l'énoncé de politique du prestataire de services de certification, y compris ses pratiques, sur lequel s'appuient les garanties qu'offre le certificat qu'il délivre ;  3° la version de certificat et le numéro de série du certificat ;  4° le début et la fin de sa période de validité ;  5° s'il s'agit d'un certificat confirmant l'identité d'une personne, l'identification d'une association, d'une société ou de l'État, leur nom distinctif ou, selon le cas, s'il s'agit d'un certificat confirmant l'exactitude de l'identifiant d'un objet, cet identifiant ;  6° s'il s'agit d'un certificat d'attribut, la désignation de l'attribut dont le certificat confirme l'existence et, au besoin, l'identification de la personne, de l'association, de la société, de l'État ou de l'objet auquel il est lié. Pseudonyme. Le nom distinctif d'une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu'il s'agit d'un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement. 2001, c. 32, a. 48. Personne autorisée à agir. 49. Le certificat confirmant l'identification d'une personne morale, d'une association, d'une société ou de l'État, lorsque l'un d'eux doit agir par l'intermédiaire d'une personne autorisée, doit indiquer qui agit ou, à défaut, la personne physique qui agit doit joindre un ou des certificats qui confirment ce fait. 2001, c. 32, a. 49. Répertoire. 50. Le répertoire qui a pour fonction d'identifier ou de localiser une personne ou un objet, de confirmer l'identification d'une association ou d'une société ou de localiser l'une d'elles, de confirmer l'identification de l'État ou de localiser un emplacement où celui-ci effectue ou reçoit communication, ou encore d'établir un lien entre l'un d'eux et un objet doit être constitué conformément aux normes ou standards techniques approuvés par un organisme reconnu visé à l'article 68. Accessibilité. Le répertoire doit être accessible au public, soit directement ou au moyen d'un dispositif de consultation sur place ou à distance, soit à l'aide d'une procédure d'accès, y compris par l'intermédiaire d'une personne, aux différents domaines d'un réseau susceptibles de confirmer la validité d'un identifiant, d'un certificat ou d'un autre renseignement qu'il comporte. Motif de suspension ou d'annulation. Toutefois, le motif pour lequel un certificat a pu être suspendu ou annulé n'est accessible que sur autorisation de la personne qui l'a suspendu ou annulé. 2001, c. 32, a. 50. § 2. —  Services de certification et de répertoire Prestataires de services. 51. Les services de certification et de répertoire peuvent être offerts par une personne ou par l'État. Définitions des services. Les services de certification comprennent la vérification de l'identité de personnes et la délivrance de certificats confirmant leur identité, l'identification d'une association, d'une société ou de l'État ou l'exactitude de l'identifiant d'un objet. Les services de répertoire comprennent l'inscription des certificats et des identifiants dans un répertoire accessible au public et la confirmation de la validité des certificats répertoriés ainsi que leur lien avec ce qu'ils confirment. Offre de services. Un prestataire de services peut offrir ces services en tout ou en partie. 2001, c. 32, a. 51. Énoncé de politique. 52. L'énoncé de politique d'un prestataire de services de certification ou de répertoire indique au moins :  1° ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, l'information dont l'exactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ;  2° la périodicité de la révision de l'information ainsi que la procédure de mise à jour ;  3° qui peut obtenir la délivrance d'un certificat ou faire inscrire de l'information au certificat ou au répertoire ;  4° les limites à l'utilisation d'un certificat et d'une inscription contenue au répertoire, dont celle relative à la valeur d'une transaction dans le cadre de laquelle ils peuvent être utilisés ;  5° l'information permettant de déterminer, au moment d'une communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ;  6° la façon d'obtenir de l'information additionnelle, lorsqu'elle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites d'utilisation d'un certificat ;  7° la politique relative à la confidentialité de l'information reçue ou communiquée par le prestataire ;  8° le traitement des plaintes ;  9° la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite. L'énoncé de politique du prestataire de services de certification ou de répertoire doit être accessible au public. 2001, c. 32, a. 52. Régime d'accréditation volontaire. 53. Le prestataire de services de certification peut adhérer à un régime d'accréditation volontaire. L'accréditation est accordée, eu égard aux exigences à satisfaire en vertu du paragraphe 3° de l'article 69, par une personne ou un organisme désigné par le gouvernement. Présomption. Les mêmes critères sont appliqués quelle que soit l'origine territoriale du prestataire. L'accréditation fait présumer que les certificats délivrés par le prestataire répondent aux exigences de la présente loi. 2001, c. 32, a. 53. Certificats délivrés sous les normes non québécoises. 54. Les certificats délivrés par un prestataire de services de certification en fonction d'autres normes que celles applicables au Québec peuvent être considérés équivalents aux certificats délivrés par un prestataire de services de certification accrédité. L'équivalence doit être constatée par la personne ou l'organisme désigné par le gouvernement pour conclure des ententes de reconnaissance mutuelle de tels certificats avec l'autorité désignée qui a établi ces normes. Il en est de même pour les services de répertoire. Registre de prestataires. Les prestataires accrédités ou dont les services sont reconnus équivalents à ceux d'un prestataire accrédité doivent être inscrits dans un registre accessible au public tenu par la personne ou l'organisme qui accrédite ou qui constate l'équivalence. 2001, c. 32, a. 54. Critères d'accréditation. 55. Pour la délivrance ou le renouvellement d'une accréditation, il est tenu compte, outre l'information contenue dans l'énoncé de politique proposé, au moins :  1° du fait que l'identité de la personne qui fait la demande est établie ;  2° de l'étendue de l'expertise, de l'infrastructure mise en place, des services offerts ainsi que de la régularité et l'étendue des audits effectués ;  3° de la disponibilité de garanties financières pour exercer l'activité ;  4° des garanties offertes quant à l'indépendance et à la probité du prestataire de services de certification ainsi que de la politique qu'il a établie pour garantir l'expertise et la probité des personnes qui les dispensent ;  5° des garanties d'intégrité, d'accessibilité et de sécurité des répertoires ou des certificats fournis ;  6° de l'applicabilité des politiques énoncées et, en cas de renouvellement, de leur application ainsi que du respect des autres obligations qui incombent à un prestataire de services. 2001, c. 32, a. 55. Garanties d'impartialité. 56. Le prestataire de services de certification doit présenter des garanties d'impartialité par rapport à la personne ou l'objet visé par la certification, même s'il n'est pas un tiers à leur égard. Intégrité du certificat. Il doit assurer l'intégrité du certificat qu'il délivre au cours de tout son cycle de vie, y compris en cas de modification, de suspension, d'annulation ou d'archivage, ou en cas de mise à jour d'un renseignement qu'il contient. Confirmation du lien. En outre, il doit être en mesure de confirmer le lien entre le dispositif d'identification ou de localisation, tangible ou logique, et la personne, l'association, la société, l'État ou l'objet identifié ou localisé au moyen du dispositif. Fausse représentation. Constitue une fausse représentation le fait de délivrer un document présenté comme étant un certificat confirmant l'identité d'une personne, l'identification d'une association, d'une société ou de l'État ou l'exactitude d'un identifiant d'un objet, alors qu'aucune vérification n'est faite par le prestataire de services ou pour lui ou que l'insuffisance de la vérification effectuée équivaut à une absence de vérification. 2001, c. 32, a. 56. Dispositif d'identification. 57. Lorsque la certification vise le titulaire d'un dispositif, tangible ou logique, permettant de l'identifier, de le localiser ou d'indiquer un de ses attributs et que ce dispositif comporte un élément secret, le titulaire est tenu d'en assurer la confidentialité. Lorsque cet élément doit lui être transmis, la transmission doit être faite de manière que seul le titulaire en soit informé. Utilisation restreinte. Le titulaire doit voir à ce que le dispositif ne soit pas utilisé sans autorisation. Toute utilisation est présumée faite par lui. 2001, c. 32, a. 57. Dispositif volé ou perdu. 58. Le titulaire qui a des motifs raisonnables de croire que le dispositif a été volé ou perdu ou que sa confidentialité est compromise doit aviser, dans les meilleurs délais :  1° la personne qu'il a autorisée à utiliser le dispositif ;  2° le tiers dont il peut raisonnablement croire qu'il agit en se fondant sur le fait que le dispositif a été utilisé par la personne qui en a le droit ;  3° le prestataire de services de certification pour que celui-ci puisse suspendre ou annuler le certificat lié au dispositif. Personne autorisée. Il en est de même pour la personne autorisée qui doit aviser le titulaire et les personnes visées aux paragraphes 2° et 3°. Interdiction. Il est interdit d'utiliser un dispositif, tangible ou logique, pour signer un document sachant que le certificat auquel le dispositif est lié est suspendu ou annulé. 2001, c. 32, a. 58. Modification de renseignements. 59. Celui qui fournit des renseignements afin d'obtenir pour lui-même la délivrance d'un certificat est tenu d'informer le prestataire de services de certification, dans les meilleurs délais, de toute modification de ces renseignements. Mandat ou contrat de service. Lorsque les renseignements sont fournis dans le cadre d'un mandat ou d'un contrat de service ou d'entreprise, celui pour qui le certificat a été délivré est tenu, subséquemment, de la même obligation d'information envers le prestataire de services de certification. 2001, c. 32, a. 59. Vérification du certificat. 60. Dans le cadre d'une communication au moyen d'un document technologique, la validité et la portée du certificat doivent préalablement être vérifiées, par la personne qui veut agir en se fondant sur le certificat, afin d'obtenir confirmation de l'identité ou de l'identification de toute partie à la communication ou de l'exactitude d'un identifiant d'un objet. Vérification d'un renseignement. De même, avant de se fonder sur un renseignement inscrit au certificat, il lui faut vérifier si le prestataire de services de certification confirme l'exactitude du renseignement. Vérification. La vérification peut être faite au répertoire ou à l'emplacement qui y est indiqué ou auprès du prestataire, au moyen d'un dispositif de consultation sur place ou à distance. 2001, c. 32, a. 60. Obligation de moyens. 61. Le prestataire de services de certification et de répertoire, le titulaire visé par le certificat et la personne qui agit en se fondant sur le certificat sont, à l'égard des obligations qui leur incombent en vertu de la présente loi, tenus à une obligation de moyens. 2001, c. 32, a. 61. Responsabilité en cas d'inexactitude ou d'invalidité. 62. Dans le cadre d'une transaction effectuée au moyen d'un document technologique appuyé d'un certificat approprié à la transaction, conformément aux paragraphes 4° et 6° du premier alinéa de l'article 52, chacune des personnes visées à l'article 61 est responsable de réparer le préjudice résultant de l'inexactitude ou de l'invalidité du certificat ou d'un renseignement contenu au répertoire, à moins de démontrer qu'elle n'a pas commis de faute dans l'exécution de ses obligations. Lorsque plus d'une d'entre elles sont responsables, l'obligation de réparer est conjointe ; si leur part de responsabilité ne peut être établie, elle est répartie à parts égales. De plus, en l'absence de faute de la part de toutes ces personnes, elles assument la réparation du préjudice conjointement et à parts égales. Exclusion. Aucune de ces personnes ne peut exclure la responsabilité qui lui incombe en vertu du présent article.

15 Responsabilité - Blogueur
Et que se passe-t-il avec le blogue? Qualification Qui contrôle? Vaillancourt c. Lagacé (2005) Modéré > éditeur (si possibilité raisonnable de vérifier) Non modéré -> hébergeur Et en droit comparé? Idem aux USA Différent en droit français Sauf exception (recommandation du Forum des droit sur Internet) blog / blogue • site Web personnel, d’entreprise, d’institution, d’association, • interactif ouvert aux contributions d’un ensemble de personnes • espace à l'image d'un journal de bord ou d'un journal intime « Blogue : Site Web évolutif, ayant la forme d’un journal personnel, daté, au contenu antéchronologique et régulièrement mis à jour, où l’internaute peut communiquer ses idées et ses impressions sur une multitude de sujets, en y publiant, à sa guise, des textes, informatifs ou intimistes, généralement courts, parfois enrichis d’hyperliens, qui appellent les commentaires du lecteur. »1 • le blogueueur y publie un texte, souvent enrichi d'hyperliens ou d’éléments multimédias et sur lequel d’autres peuvent généralement apporter des commentaires Responsabilité: qui répond de l’illégal ou du fautif ? • Celui qui a DÉCIDÉ de diffuser l’information • Dans un blogue… c’est qui ? – Celui qui y contribue – … le maître du blogue? Un facteur crucial : qui contrôle • Vaillancourt c. Lagacé, 2005, Can LII 29333 (QC C.S.) [Juge Claudine Roy] Il existe un lien étroit entre le contrôle exercé sur l’information présumément dommageable et la responsabilité qui en découle. Dans Vaillancourt c. Lagacé3, la Juge Claudine Roy conclut que les requérants en injonction n’ont pas établi une apparence de droit au sujet de propos tenus dans un blogue puisque : Aucune preuve n’indique qu’un ou plusieurs des défendeurs ont le contrôle sur les propos qui y sont tenus, ni qu’ils ont la capacité technique de supprimer certains commentaires. Cette décision confirme l’importance que prend le facteur du contrôle de l’information dans la détermination de la responsabilité qui peut en découler. Ainsi, plus grande est la discrétion de décider ce qui sera publié (ou transmis), plus grande est la responsabilité découlant d’une telle décision. Il est nécessaire de démontrer que les défendeurs ont le « contrôle » sur les propos qui sont tenus dans le bloque Mais il se peut que dans le futur ce soit le blogueur qui ait le fardeau de démontrer qu’il n’exerce pas de contrôle sur un message donné Bernard BRUN, « Le blogue: un équilibre délicat entre communication et responsabilité, » TI, 2007, ed. Yvon Blais, p. 81. Quelle qualification juridique ? • blogue non-modéré • assimilable à un intermédiaire…? blogue modéré • assimilable à un éditeur? L’approche du droit américain • Computer Decency Act, 47 U.S.C. s. 230(a)(1) • intention: encourager les fournisseurs de services internet à réguler et enlever le matériel offensant - sans crainte de supporter la responsabilité • Protection for « good samaritan » blocking and screening – No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider Une immunité « No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider. » conditions d’application de l’immunité de l’art. 230 (a) (1) • le défendeur doit être un fournisseur de services internet (ISP) ou un utilisateur d’un service informatique interactif (‘interactive computer service’) • les gestes reprochés au défendeur le sont au regard de ses fonctions d’éditeur (publisher) ou à titre de locuteur (speaker of information) • le message contesté doit être de l’information fournie par un tiers Interprétation jurisprudentielle • très favorable aux « provider » or « users », dont les maîtres de blogues • « If the trend toward affording broad immunity to Internet users continues, bloggers will have the ability to post even malicious third-party messages on their sites with impunity. » – Melissa A TROIANO, « The New Journalism? Why Traditional Defamation Laws Should Apply to Internet blogues », [2006] 55 Am. U.L.Rev., 1448, p. 1462. En droit français • La responsabilité incombe au « directeur de la publication » et - selon plusieurs- qu’il y ait ou non modération • Une recommandation du Forum des droits sur l’Internet: appliquer le régime de la responsabilité de l’hébergeur aux exploitants de forums de discussions- tels les blogues En droit québécois: quelle qualification? • Activité éditoriale • Régie par les principes de la responsabilité civile • Art 1457 CCQ Activité assimilable à celle d’un intermédiaire Art 22, Loi sur le cadre juridique des technologies de l’information Lorsqu’il serait démontré que le maître du blogue n’exerce pas de contrôle ?

16 Responsabilité - Blogueur
Blogue « OK Corral à Saint-Adèle » (Vincent Gautrais) Équilibre liberté d’expression / diffamation Arguments pour le blogueur Officier public Vérifier l’investigation du journalisme Autorise un droit réponse Arguments pour le maire 1457 CCQ Tendance jurisprudentielle au Québec Responsabilité des blogues quant aux commentaires Modération Non modération Rawdon (Municipalité) c. Solo, Leblanc et autres, 3151 (C.S.) 2009. C’est « Règlement de compte à OK Corral », mais cette fois, dans les Laurentides. Un conflit classique, presque banal, entre un maire et un journaliste qui serait passé totalement inaperçu n’eut été du fait que la blogosphère québécoise a su faire preuve de solidarité : suite à quelques propos supposément « illégaux » de blogueurs de Saint-Adèle envers certains représentants municipaux de ladite ville, une mise en demeure page 1 et page 2, leur a été adressé leur demandant de cesser 1) leurs activités de publication sur le sujet et 2) de restreindre les commentaires supposés contrevenir au droit. Sauf que, d’une chicane locale, l’affaire est devenue, depuis que le Québec est une Nation, « nationale »..., voire internationale. Michel Leblanc l’a bien mentionné, attention au marketing mal mesuré car le potentiel d’effet boomerang est grand. Certes, rien de bien nouveau dans le fait de créer un phénomène de contestation suite à l’envoi de documents légaux pour faire cesser des activités gênantes. En 2001, même sans blogue, la communauté virtuelle des admirateurs d’Harry Potter avait réussi à faire reculer les avocats de la Warner qui les avaient menacé à grand renfort de mises en demeure parce qu’ils utilisaient l’expression « Harry Potter » dans leurs URLs. D’ailleurs, tout comme dans cette affaire de 2001, après l’approche « dure », celle, plus conciliante suit, et ce, à l’égard de plusieurs des blogueurs qui ont repris l’affaire en ligne. Une attitude plus conciliante des demandeurs qui semble d’ailleurs de mise dans cette affaire. Mais, ceci est affaire de marketing et étant donné le coeur juridique du litige, j’aimerai dire deux mots, relativement à deux questions qui m’apparaissent ressortir de cette affaire. Équilibre liberté d’expression / diffamation La première porte sur la conciliation entre liberté d’expression et diffamation. Une bataille de principes fondamentaux forcément complexe sur laquelle il est difficile de donner un avis tranché. Désolé. D’autant plus difficile que la mise en demeure, du moins celle que nous avons trouvé, n’identifie nullement les propos en cause, ce qui peut surprendre et ce qui vient d’être apparemment corrigé. Car avant cela, en naviguant, vite vite, et sans rien connaître au fin mot de cette affaire immobilière qui semble être à la source de tout (et dont je ne veux rien savoir), je n’ai rien trouvé de particulièrement choquant. En fait, comme tout affaire juridique qui vise à établir un équilibre entre des droits contraires, surtout lorsqu’ils sont constitutionnels ou quasi-constitutionnels, il y a des arguments des deux côtés : A - Arguments des blogueurs : 1) Le maire est un officier public, une personne élue, et à ce titre, il est généralement admis que l’on puisse se permettre plus de lattitude dans la critique, même si ce n’est pas sans limite. Pierre Trudel, grand spécialiste de la question, cite un arrêt de la Cour d’appel Arthur c. Gravel [1] qui dit ceci : « Certes, les personnalités politiques doivent s’attendre à se faire critiquer parfois sévèrement, parfois même injustement. La démocratie est à ce prix, et la presse, qu’elle soit écrite ou parlée, a un rôle important à jouer en la matière. Les tribunaux [...] doivent donc éviter de museler indirectement la presse en se montrant trop sévères lorsqu’elle critique les personnalités politiques. Par contre, la simple participation d’une personne à la vie publique ne donne pas le droit de l’abreuver d’injures, de l’atteindre dans sa vie privée, lorsque les faits n’ont aucune relation avec l’accomplissement des devoirs de la charge. L’engagement en politique ne confère pas un permis de chasse à l’honneur et à la réputation d’une personnalité publique. Certes, là encore, une personnalité publique, et plus particulièrement une personnalité politique, doit se montrer plus tolérante. [...] » 2) Les faits en cause importe peu, ni si ce qui est dit est vrai ou pas ; le plus important est de savoir si les vérifications qui sont faites par le journaliste pour justifier ses prétentions sont présentes ou pas. Si celui-ci est capable de montrer que chacun de ses propos sont le fruit de recherches, d’analyse de documents, en d’autres mots, d’un certain professionnalisme, il s’agira d’un grand plus pour lui. Je sais que le terme est aussi large que le droit lui-même, mais il s’agira de vérifier la raisonnabilité du processus d’investigation. Plus précisément, et même s’il ne s’agit pas d’une « vraie » loi mais d’un code, l’on pourra vérifier si le Guide de déontologie de la Fédération professionnelle des journalistes du Québec a été respecté. A cet égard là, il faut sans doute distinguer le propos du journaliste et ceux des commentateurs, que l’on peut supposer être des non journalistes, et dont un plus grande tolérance est généralement admise. 3) Toujours dans ce processus, le blogueur en question, prend le soin d’offrir à son protagoniste la possibilité de s’expliquer sur son blogue. D’ailleurs, c’est ce qui semble s’opèrer depuis 24 heures où des droits de réponse du maire en question fleurissent sur les blogues qui s’intéressent à la cause. B - Arguments du maire : 1 L’atteinte à la réputation existe clairement, en se basant sur les trois éléments propres à la responsabilité civile : une faute, un dommage et un lien entre les 2. Là encore, face à la complexité de la question, je référerai à mon collègue Trudel. 2) Il existe peut être une tendance jurisprudentielle qui tend à sanctionner plus durement les « forts parleurs », ceux-ci devant notamment, parfois, prouver la raisonnabilité de leurs propos et non le contraire. Responsabilité des blogues quant aux commentaires Dans la mise en demeure précitée, il est également demandé de faire cesser les commentateurs qui auraient des mots hors de contrôle. Nous l’avons dit plus tôt, on ne va pas analyser les commentaires de la même manière que les propos du journaliste auteur du billet. En effet, en premier lieu, les commentateurs ne sont pas (on peut le supposer) des journalistes ; en second lieu, une plus grande tolérance est généralement laissée à des propos plus spontanés, moins réfléchis. Mais ne revenons pas sur la première question : la seconde est en effet de savoir quelle est la responsabilité du responsable du blogue suite à des commentaires publiés sur le site dont il est responsable, commentaires que nous présumons être illégaux. Aussi, surprenant que cela puisse paraître, il y a une disposition législative qui s’applique à cette situation, à savoir l’article 22 de la Loi concernant le cadre juridique des technologies de l’information. Cet article dispose ce qui suit : « 22. Le prestataire de services qui agit à titre d’intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n’est pas responsable des activités accomplies par l’utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci. Cependant, il peut engager sa responsabilité, notamment s’il a de fait connaissance que les documents conservés servent à la réalisation d’une activité à caractère illicite ou s’il a connaissance de circonstances qui la rendent apparente et qu’il n’agit pas promptement pour rendre l’accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité. (...) » En terme j’espère plus conviviaux, voici ce que j’ai pu écrire dans un guide d’explicitation de cette loi (Afin d’y voir clair - Guide relatif à la gestion des documents technologiques) (à la page 33) commandée par la Fondation du Barreau relativement à la responsabilité des hébergeurs : - Régime général d’exonération. Le rôle de l’hébergeur se limite à permettre une diffusion de pages Internet sans qu’aucun contrôle ne soit exercé, et ce, même s’il dispose de la possibilité de le faire.  Responsabilité possible dans le cas où : il a connaissance d’activités illicites de la part des personnes hébergées par lui ; notamment quand on le lui fait savoir en lui adressant une lettre ou un courriel ; il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui ; il n’a rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées. En effet, le blogue en cause, avec des commentaires non modérés, s’apparente selon moi, au regard de cette loi, à un hébergeur. Son responsable bénéficie donc a priori d’un statut de non responsabilité quant aux propos tenus par des commentateurs, et ce, même s’il risque de le devenir assez rapidement dès lors que l’un des trois situations précitées survient. Ainsi, en refusant de donner suite à la mise en demeure (la seconde identifiant apparemment les commentaires en cause), il pourrait donc se voir incriminé. Mais, ici, y a-t-il une « apparence d’activités illicites ». Sans que cela ne soit le fruit d’une recherche approfondie, au regard de ce qui m’a été communiqué, je ne crois pas. Vous l’imaginez bien, cette article 22 n’a, au meilleure de ma connaissance, pas encore donné lieu à jurisprudence et donc a fortiori, aucune jurisprudence sur la responsabilité des blogues n’est apparue au Québec. Notons que le Forum des droits Internet en France propose un guide sur les responsabilités liées aux blogues (aux blogs pour les français). Ils recommandent d’ailleurs (page 8) que les blogues soient considérés comme des hébergeurs, ce qui est déjà le cas au Québec. « Alternativement, dans sa Recommandation du 8 juillet 2003 sur la responsabilité des forums de discussion, le Forum des droits sur l’internet a proposé d’étendre le régime de la responsabilité spécifique des hébergeurs aux personnes exploitant des forums de discussion dans le cas où ces personnes ne procèdent pas à une exploitation éditoriale des contenus des messages postés ou n’initient pas de discussion sur des sujets particulièrement sensibles. Cette solution permettrait de soulager les propriétaires de forums de discussion comme de blogs en leur offrant un régime de responsabilité favorable » Très égoïstement, comme chercheur, nous espérons donc qu’une telle affaire aille devant les tribunaux (même pas celui de Saint-Adèle (il n’y en a pas) mais à Saint-Jérome) ; mais malheureusement, ce serait bien étonnant. [1] Arthur c. Gravel, [1991] R.J.Q (C.A.). Comme un éditeur ou un intermédiaire? Qui décide dans un blogue? • Le maître du blogue ou celui qui y intervient? • Critères de distinction entre éditeur et intermédiaire – Éditeur: un pouvoir de décision sur l’ensemble des contenus • Plus il y a de modération, plus on se rapproche d’un modèle « éditeur » – Intermédiaire: rôle passif - offrir un espace • Moins il y a de modération, plus on se positionne comme « hébergeur » Conclusion • Différences majeures entre le régime québécois et celui de la législation américaine • Les réflexes d’internet sont souvent conditionnés par les modèles américains • Mais les risques des blogues semblent plus importants en droit québécois [2] : Jugement de la cour supérieure de 09/07/2009, QCCS 3151, Rawdon (Municipalité) c. Leblanc (Solo) :

17 Responsabilité du paiement
Acheteur (consommateur) commerçant Émetteur de carte Émetteur de carte

18 Responsabilité du paiement
Banque Laurentienne du Canada c. Abdul-Wahab, 2001 IIJCan 151 (QC C.S.) [45]  Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant d’assumer le risque de la transaction, et non à l’institution financière avec laquelle il a signé une convention de services de paiement au point de vente.  En effet, les différentes étapes prévues au manuel d’exploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à l’endos de la carte.  Si ces trois étapes sont remplies et si un numéro d’autorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3]. [46]  En somme, quand le commerçant prend sur lui de modifier les méthodes d’exploitation, même lorsqu’il est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés. [1]               En cette ère de communications électroniques et de paiements par cartes de crédit, un nombre de plus en plus important de transactions commerciales se font à distance, acheteurs et vendeurs ne s’échangeant même pas une poignée de main. [2]               Lorsque l’acheteur utilise frauduleusement des numéros de cartes de crédit ne lui appartenant pas, que le marchand obtient une autorisation du Centre VISA pour les achats et que le banquier du commerçant verse ensuite dans son compte d’opérations le montant des achats, qui doit supporter la perte lorsque la fraude est découverte :  le marchand ou son banquier ?  Telle est la question. LES FAITS  [7]               Qussay Abdul-Wahab exploite depuis 1997 une entreprise personnelle de vente d’ordinateurs assemblés par lui, sous la raison sociale de «Ordinateurs Infomaniak».  Il vend aussi des pièces et fait des réparations. [8]               À l’époque pertinente, il est un client de la BLC où il a un compte commercial.  De plus, il a adhéré au «Services de paiement au point de vente», ce qui lui permet d’avoir un terminal VISA dans son commerce et de bénéficier de paiements électroniques dans son compte bancaire. [9]               Le 30 avril 2000, il déclare avoir reçu un appel d’un dénommé «Paul», qui se dit de Londres, R.U.  Celui-ci lui demande un prix  pour 50 Central Processing Units (CPU) Intel, dont il aurait un urgent besoin pour un projet à Londres. [10]            Le lendemain, 1er mai 2000, «Paul» rappelle et M. Abdul-Wabab lui demande 944,49 $ par unité, soit un total de 54 320 $, taxes incluses.  Le premier accepte et le deuxième prépare une facture, puis demande comment il sera payé.  [11]            Le mystérieux «Paul» répond qu’il paiera par carte de crédit, mais explique que sa compagnie, Clockwise, n’a pas accès à une carte permettant de régler la totalité de la commande.  Il offre cependant d’utiliser dix cartes différentes, auxquelles il propose d’imputer un dixième de la facture. [12]            M. Abdul-Wahab accepte cette façon de procéder.  Muni de la liste des dix numéros de cartes et de leur date d’expiration, toutes en mai 2001, il entre manuellement dans son terminal un premier numéro, la date d’expiration, puis une tranche de 5 432 $.  Lorsque l’autorisation est reçue, il refait l’exercice avec un autre numéro et ainsi de suite. [13]            Dans son témoignage, M. Abdul-Wahab admet que des autorisations ont été refusées et, que sur les instructions de «Paul», il a réutilisé des numéros de cartes de crédit déjà validées pour des tranches additionnelles de 5 432 $ ou moins, lorsqu’il y avait refus pour un tel montant additionnel, et ce jusqu’au plein montant de 54 320 $.  Le procédé a duré en tout environ quinze minutes, d’après les heures indiquées sur les relevés de l’imprimante. [14]            Le lendemain, conformément à la convention avec la BLC, le compte bancaire de M. Abdul-Wahab est crédité d’un montant de 54 320 $. [15]            M. Abdul-Wahab déclare avoir ensuite placé par Internet une commande pour les CPU auprès d’une entreprise de Hong Kong à laquelle il vire 38 000 $ le 4 mai, par transfert électronique.  Il ajoute n’avoir cependant jamais reçu le matériel et demandé à la  BLC de lui retourner le montant transféré, ce que cette dernière n’a pu faire, car l’argent était déjà disparu du compte où il avait été viré à Hong Kong. [16]            Le 5 mai 2000, Infomaniak achète dix CPU de Microtec, une entreprise montréalaise, au prix de 709 $ l’unité, plus taxes, pour un total de 8 155,27 $, payés comptant. [17]            Entre le 5 et le 7 de mai 2000, un dénommé «Garry Stone» se présente au magasin pour prendre livraison des dix CPU.  M. Abdul-Wahab qui ne le connaissait pas, ne lui demande aucune pièce d’identité, car «Paul» lui avait dit que Garry Stone passerait prendre la commande. [18]            M. Abdul-Wahab demande cependant à «Garry Stone» de signer les relevés de transactions VISA et la facture d’Infomaniak, des documents imprimés le 1er mai 2000, ce que ce dernier fait en apposant ce qui semble les lettres suivantes «Essop». [19]            Selon M. Abdul-Wahab, «Paul» se fait insistant et l’appelle régulièrement.  Devant cette situation et conscient que l’argent expédié à Hong Kong ne sera pas suivi de la livraison des unités, il commande le 10 mai, 40 CPU de Telda International, une entreprise de Ville St-Laurent.  Il fait avec cette entreprise, les arrangements nécessaires pour que les quarante CPU soient livrés par Fedex à Londres, aux soins de «Garry Stone, Cara House, 339 Seven Sisters’ Road, London, England».  La livraison est apparemment faite le 10 mai 2000 par Fedex.  Depuis, aucune trace de l’acheteur ou du matériel. [20]            Concurremment, Infomaniak émet une facture à Cara House, Londres, pour 40 CPU à 568 $ l’unité (la facture du 1er mai parlait pourtant de 944 $ par unité, avant taxes) pour un total de 22 720 $. [21]            Entre-temps, soit à compter du 9 mai 2000, la BLC est avisée par la Banque de Nouvelle-Zélande que certains des numéros utilisés l’ont été à l’insu des détenteurs des cartes correspondantes.  BLC entreprend alors des vérifications, demandant d’abord par la poste à Infomaniak de lui fournir copies des relevés de transactions.  La lettre de la BLC ne sera reçue qu'après le 10 mai 2000, donc après la livraison des 40 CPU. [22]            Dans les jours suivants, le même genre d’information sera reçu de la Banque de Nouvelle-Zélande à l’égard des autres numéros utilisés le 1er mai 2000. [23]            Un inspecteur du Centre VISA BLC se rend chez Infomaniak pour obtenir copies de la facture et recueillir la version des faits de M. Abdul-Wahab. [24]            Le 30 juin 2000, la BLC contre-passe les crédits accordés le 1er mai 2000 à M. Abdul-Wahab et débite son compte d’un montant de 54 320 $, ce qui le rend négatif à hauteur de 35 844,79 $.  Par la suite, elle demande verbalement à son client de rembourser cette somme, ce qu’il a refusé à ce jour. [25]            Le 31 janvier 2001, la BLC entreprend les présentes procédures contre M. Abdul-Wahab, lui réclamant le solde négatif de la marge de crédit, plus des intérêts de 21%, le taux apparemment chargé par la Banque dans tous les comptes où il y a un découvert. [26]            M. Abdul-Wahab rétorque par une défense/demande reconventionnelle où il réclame 54 320 $ à la Banque, plus des dommages pour troubles et inconvénients résultant des opérations effectuées par la BLC sur son compte bancaire, le tout totalisant 65 000 $. PRÉTENTIONS DES PARTIES [27]            L’avocat de la BLC invoque les termes de la convention relative aux services de paiement au point de vente intervenu entre les parties.  Il considère que sa cliente était en droit de débiter le montant de 54 320 $, même si des autorisations avaient été reçues du Centre VISA, car les paiements n’ont pas été faits conformément au manuel d’exploitation, le défendeur a tenté de dissimuler le montant total d’une même opération en le fractionnant et il a obtenu des crédits à partir d’opérations fictives ou a tenté de frauder.  Il invoque aussi une disposition de la convention prévoyant que la BLC peut refuser d’accorder un crédit dans toute circonstance considérée de bonne foi comme une raison valable.  [28]            L’avocat du défendeur fait valoir que le manuel d’exploitation n’interdit nullement les opérations à distance, sans présentation de la carte, car il n’en traite pas.  Pourtant cette pratique est de plus en plus répandue.  Selon lui, il revenait à la BLC de prévenir ses clients qu’en pareil cas, l’obtention d’un numéro d’autorisation n’était pas suffisant pour les protéger en cas de fraude.  Il soutient que la BLC a manqué à son obligation informationnelle, faute qui serait la cause du préjudice subi par son client, qui se croyant payé, a remis ou fait livrer le matériel commandé.  Il en conclut que la perte doit être assumée par la BLC et non par son client. [29]            L’avocat du défendeur ajoute que nous sommes en présence d’un contrat d’adhésion et que tout doute doit être interprété en faveur de son client. ANALYSE ET DÉCISION I.                     Circonstances de cette affaire : [30]            En l’instance, sept cartes de crédit ont été utilisées.  Elles avaient été émises par la Banque de Nouvelle-Zélande et expiraient toutes le même mois, soit mai 2001. [31]            La preuve indique aussi que les douze premiers chiffres des sept cartes utilisées sont identiques.  Ces chiffres correspondent en fait au numéro de la banque émettrice, la Banque de Nouvelle-Zélande, de même qu’à la catégorie de la carte, par exemple VISA OR. [32]            Il ressort de la preuve qu’il est possible d’un site Internet désigné «Credit Master», d'obtenir la séquence des numéros de cartes de crédit émises par une banque, en utilisant les chiffres correspondant à cette banque, puis ceux correspondant à une catégorie de cartes émises par cette banque.  Ainsi, le titulaire d’une carte VISA OR émise par une banque, utilisant les huit premiers chiffres indiqués sur sa carte, peut avoir accès à l’ensemble des numéros émis ou possibles des cartes VISA OR suivant la sienne.  En utilisant les numéros d’une carte émise assez récemment, il peut obtenir la séquence des cartes émises avant comme après la sienne et assumer qu’elles ont les mêmes dates d’expiration.  Selon l’inspecteur du Centre VISA BLC entendu par le tribunal, cela pourrait expliquer comment le fameux «Paul» a pu obtenir les dix numéros de cartes de crédit VISA Banque de Nouvelle-Zélande qu’il a communiqués à M. Abdul-Wahab. [33]            La preuve indique aussi que le numéro d’autorisation donné par le Centre VISA ne constitue qu’une vérification de la disponibilité du crédit pour le montant requis quant à la carte présentée.  L’ordinateur de VISA ne semble cependant pas faire de liens, même en la présence d’une dizaine de demandes d’autorisation pendant une période de quinze minutes pour des achats de 5 432 $ effectués par des Néo-Zélandais sur la rue MacKay à Montréal.  En d’autres mots, le système ne semble pas capable de recoupement. [34]            Par ailleurs, le tribunal s’interroge quant aux explications de M. Abdul-Wahab.  D’abord, il ne voit rien d’anormal à ce qu’un individu, qui ne dévoile que son prénom, l’appelle pour commander 50 CPU afin de compléter de toute urgence des installations à Londres.  Après tout, les CPU ne sont pas fabriqués par Infomaniak, mais par Intel, et sont facilement disponibles partout dans le monde.  L’explication de M. Abdul-Wahab à l’effet que la sollicitation de «Paul» soit le résultat de l’existence de son site Internet est peu convaincante.  [35]            Ensuite, il affirme que le dénommé «Paul» était prêt à payer 944 $ pour chaque CPU, que M. Abdul-Wahab peut acheter sur le marché libre à Montréal pour 709 $ dans un cas, et 568 $ dans l’autre.  Un acheteur, fut-il pressé, est-il prêt à payer près du double pour une pièce facilement disponible ailleurs? [36]            De plus, M. Abdul-Wahab n’aurait-il pas dû s’interroger lorsqu’un acheteur dont il ne connaît pas l’identité, lui propose d’acquitter une facture de plus de 54 000 $ au moyen de dix cartes de crédit différentes, sous prétexte qu’il n'en possède pas une permettant d’en acquitter la totalité d’un seul trait?  Ne doit-on pas se poser des questions lorsqu’un numéro de carte de crédit est refusé et que son interlocuteur propose alors de réutiliser des cartes déjà approuvées pour une autre tranche de 5 432 $, puis, si cette nouvelle opération est refusée, lui propose de continuer pour des tranches moindres? [37]            Finalement, comment se fait-il que M. Abdul-Wahab, malgré le fait que l’enquêteur VISA l’ait incité fortement à porter plainte à la police à deux ou trois reprises, ne soit pas en mesure, lorsque interrogé devant le tribunal, de dire s’il a effectivement déposé une plainte ou non? [38]            En l’instance, il ressort de la preuve deux possibilités.  M. Abdul-Wahab a participé à une fraude ou a adopté un comportement que l’on pourrait qualifier d’extrême insouciance, équivalant à négligence grossière. II.                  La convention entre les parties : [39]            L’article 8 de la convention relative aux services de paiement au point de vente intervenue entre les parties contient les dispositions suivantes : 8.      Refus de facture ou de note de crédit :  Vous (BLC) pouvez refuser de créditer le compte, ou vous pouvez le débiter, du montant total ou du montant net, selon le cas, d’une facture établie pour une opération Achat dans les cas suivants (vous avez le droit d’opposer votre refus même si nous avons obtenu l’autorisation de l’émetteur pour le montant de l’achat ou avons satisfait aux conditions de cette convention) : a)        l’opération Achat pour laquelle la facture a été établie n’a pas été exécutée en conformité avec l’article 4[1] ou avec les méthodes d’exploitation; (…) n)      il peut être établi que nous avons tenté de réduire ou de dissimuler le montant total d’une même opération en utilisant plusieurs factures (opération fractionnée); o)      nous nous sommes fait créditer par vous  des factures portant sur des opérations fictives, ou nous avons tenté de le faire ou nous avons autrement fraudé ou tenté de le faire; s)      toute autre circonstance que vous considérez de bonne foi comme une raison valable pour refuser de créditer le compte désigné (ou pour le débiter) du montant total (ou du montant net) de la facture. [40]            Que le comportement de M. Abdul-Wahab soit qualifié de participation à fraude ou négligence grossière, il a manqué à son obligation de bonne foi dans l’exécution du contrat intervenu entre lui et la BLC, le tout contrairement à l’art. 1375 C.c.Q. qui se lit : 1375.   La bonne foi doit gouverner la conduite des parties, tant au moment de la naissance de l'obligation qu'à celui de son exécution ou de son extinction. [41]            Un tel manquement constitue une circonstance permettant à la BLC de refuser le crédit au défendeur, conformément à l’art. 8 s) de la convention. [42]            De plus, la preuve révèle que même si la facture totale était de 54 320 $, il a été convenu entre «Paul» et le défendeur, de fractionner cette facture en dix opérations distinctes, afin d’en cacher la réalité au Centre VISA.  Cela constitue une violation de l’art. 8 n) de la convention.  [43]            Finalement, la preuve indique que les opérations ont été faites non conformément au manuel d’exploitation et aux méthodes d’exploitation prescrites par la BLC.  Or, comme l’indique l’art. 8 a) de la convention, si l’opération Achat n’est pas exécutée conformément aux méthodes d’exploitation prescrites, la BLC peut refuser le crédit.  En l’instance, les méthodes d’exploitation n’ont pas été suivies et la BLC est donc justifiée de refuser le crédit conformément à l’art. 8 a) de la convention. [44]            Le tribunal s’empresse d’ajouter que la BLC ou toute autre institution financière ne pourrait de bonne foi refuser de donner le crédit d’une transaction à un commerçant, sous prétexte que la méthode d’exploitation n’a pas été suivie rigoureusement, lorsque le client, détenteur de la carte dont le numéro a été utilisé, est prêt à honorer le débit porté à son compte. [45]            Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant d’assumer le risque de la transaction, et non à l’institution financière avec laquelle il a signé une convention de services de paiement au point de vente.  En effet, les différentes étapes prévues au manuel d’exploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à l’endos de la carte.  Si ces trois étapes sont remplies et si un numéro d’autorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3]. [46]            En somme, quand le commerçant prend sur lui de modifier les méthodes d’exploitation, même lorsqu’il est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés. [47]            En conclusion, l’action de la Banque sera accueillie quant au montant en capital réclamé et la défense et demande reconventionnelle rejetée. III.                 [54]            PAR TOUS CES MOTIFS, LE TRIBUNAL : ACCUEILLE l’action de la demanderesse; CONDAMNE le défendeur à payer à la demanderesse la somme de 35 844,79 $ avec intérêt au taux légal plus l’indemnité additionnelle à compter du 30 juin 2000; LE TOUT avec dépens.

19 Responsabilité du paiement
Canada Inc. c. Banque Laurentienne du Canada, 2003 IIJCan (QC C.S.) [32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate. [33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision.  Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant. [34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait.  Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif. [1] Le Tribunal est saisi d'une action de la demanderesse Canada Inc. (La Compagnie) qui réclame à la défenderesse Banque Laurentienne du Canada (Banque Laurentienne) des dommages au montant de $ suite à la reprise de possession du terminal Visa utilisé par La Compagnie dans le cadre de l'exploitation de son entreprise, un atelier de mécanique automobile. [2] La Compagnie soutient que cette reprise constitue un abus de droit et, qu'en plus, elle a été effectuée de façon abusive et de mauvaise foi. [3] Les dommages réclamés sont: - Perte de revenus d'affaire : $ - Dommages pour atteinte à la réputation: 7 500$ [4] Banque Laurentienne répond qu'en raison des faits et gestes de La Compagnie, elle était en droit de mettre fin à la convention d'utilisation d'un terminal Visa (pièce P-1) sur remise d'un avis écrit et sans autre préavis, et de reprendre immédiatement l'appareil. Banque Laurentienne ajoute que La Compagnie n'a pas subi, ni prouvé, les dommages réclamés. Les questions en litige au présent dossier sont donc les suivantes: 6.1. Faute: Banque Laurentienne a-t-elle commis une faute en décidant de mettre fin à la convention (pièce P-1) ou dans le cours de la mise à exécution de cette décision? 6.2. Dommages: La compagnie a-t-elle subi des dommages suite au retrait du terminal Visa et, si oui, quels sont ces dommages? 6.3. Lien de causalité: Existe-t-il un lien de cause à effet entre les gestes posés par Banque Laurentienne Les faits pertinents [8] La Compagnie exploite un atelier de mécanique automobile situé sur la rue Bernard ouest à Montréal. [9] Depuis plusieurs années, La Compagnie accepte le paiement par carte de crédit: ces opérations se font manuellement seulement. [10] Afin d'effectuer des opérations en ligne avec Visa, La Compagnie signe avec Banque Laurentienne, le 2 avril 1997, une convention d'utilisation d'un terminal Visa (pièce P-1). Le «Operating Manual» et le «Visa Merchant Guide» (pièce D-1) complètent la convention et fournissent à La Compagnie toutes les informations pertinentes aux opérations courantes. S'y retrouvent, notamment, la description des procédures à suivre pour l'émission d'une note de crédit et le numéro de téléphone pour informations additionnelles, au besoin. [13] Au fil des mois, dans le cadre de l'usage du terminal, La Compagnie commet diverses erreurs ou accrocs aux engagements souscrits, par exemple: erreurs lors de l'inscription des sommes dues sans correction par crédit approprié, usage du terminal au bénéfice d'une autre entreprise exploitée (Flamingo Party) par Angelo De Sazzo («De Sazzo»), transactions téléphoniques acceptées sans autorisation et hors la connaissance de Banque Laurentienne, usage du terminal pour générer des liquidités en l'absence de services rendus et usage manuel du terminal sans avoir la carte de crédit en main. [14] Ainsi, La Compagnie effectue une transaction au montant inscrit de 1 400$, pour Flamingo Party, suite à une commande téléphonique, alors que l'achat n'est que de 74$. La détentrice de la carte de crédit se plaint. Plutôt que d'accorder immédiatement un crédit sur la carte, La Compagnie rembourse par mandat poste et remise en argent. La préposée de La Compagnie qui a effectué la transaction soutient qu'elle ignorait comment faire un crédit: il ne lui est pas passé par la tête de téléphoner à Banque Laurentienne pour obtenir l'information, alors qu'une ligne dédiée aux marchands existe à cette fin, ni de regarder dans le manuel d'opération du terminal. Le remboursement n'étant pas effectué sur le champ, La Compagnie a entre-temps bénéficié des liquidités que lui a procurées cette transaction alors que le crédit disponible à la cliente était réduit d'autant. [15] À diverses reprises au fil des mois, Banque Laurentienne demande des précisions, certaines explications et l'envoi de pièces justificatives (exemple: factures). La collaboration de La Compagnie est mitigée et les explications peu satisfaisantes. [16] Certaines transactions, acceptées par La Compagnie, résultent de l'usage de cartes de crédit volées. Le tout donne lieu à un litige entre La Compagnie et Banque Laurentienne. Banque Laurentienne a débité le compte de La Compagnie de la somme que représentent ces transactions. La Compagnie poursuit Banque Laurentienne en Cour du Québec, petites créances. Principalement en raison de l'autorisation automatique accordée par le terminal lors des transactions, le juge Claude Pothier donne raison à La Compagnie et condamne Banque Laurentienne à lui rembourser 1 735,34$ (pièce P-2). [17] Malgré tous ces incidents, Banque Laurentienne fait encore preuve de tolérance à l'automne 1998. [18] Le 17 décembre 1998, un nouvel incident: c'est la goutte qui fait déborder le vase. Suite à plusieurs tentatives refusées impliquant diverses cartes de crédit de la belle-soeur de De Sazzo, une transaction de 1 500$ est finalement acceptée. Les versions obtenues quant à la nature de la transaction varient: prêt de la belle-soeur pour le paiement des assurances du commerce ou travaux de mécanique réalisés sur la voiture accidentée de celle-ci (pièce D-13). Jamais La Compagnie ne remettra à Banque Laurentienne une facture pour ces prétendus services rendus. [19] Banque Laurentienne explique qu'une collaboration de tous les instants entre le marchand autorisé et le centre de crédit est requise. Sans cette collaboration, les risques financiers sont inacceptables. Ces risques existent du seul fait de l'accès au terminal qui permet des transactions automatisées. Faute de collaboration, le retrait du terminal s'impose. [20] Le 22 décembre 1998, ayant conclu qu'elle n'a pas la collaboration de La Compagnie et qu'elle est à risque, Banque Laurentienne décide de mettre fin à la convention. [21] Une lettre à cette effet (pièce P-3) est rédigée, signée et remise à Guy McDuff, enquêteur à l'emploi de Banque Laurentienne, pour exécution de la décision. McDuff se présente à l'établissement de La Compagnie, remet la lettre à De Sazzo, principal actionnaire de La Compagnie, reprend le terminal et quitte l'établissement. Absence de faute [30] La décision de retirer le terminal n'est pas fautive. [31] La Compagnie a fait défaut de respecter les conditions d'utilisation malgré les engagements souscrits à la convention (pièces P-1 et D-1). [32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate. [33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision. Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant. [34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait. Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif. [35] Banque Laurentienne n'a pas commis de faute dans la mise à exécution de sa décision. [36] Le Tribunal préfère la version des faits communiquée par McDuff à celle des De Sazzo. Absence de preuve de dommages et de lien de causalité [38] Aucune crédibilité ne peut être accordée aux chiffres proposés. [39] Il n'y a aucune preuve que le retrait du terminal ait affecté négativement les ventes de l'entreprise ou sa réputation. [40] Le Tribunal n'a d'autre choix que de conclure à absence de dommages et de lien de causalité.

20 Responsabilité - Enchères
Des risques très lourds Le non paiement de l’acheteur La non fourniture du bien acheté Solution utilisant un intermédiaire Solution technique quant à l’identification La non authenticité du produit vendu La vente de produits interdits Affaires Yahoo en France Solutions techniques Solutions contractuelles Le dopage des prix (comme dans les enchères traditionnelles) Le contrôle de la capacité des acteurs La responsabilité de l’organisateur de l’enchère Paiements…

21 Responsabilité - Enchères
Encadrement légal des « vraies » enchères 1757 CcQ et s. Ex: 1760 et anonymat des vendeurs Similaires dans d’autres pays La responsabilité des intermédiaires Les limites à la concurrence Commentaires : les limites du droit et les voies «non-juridiques » 1757. La vente aux enchères est celle par laquelle un bien est offert en vente à plusieurs personnes par l'entremise d'un tiers, l'encanteur, et est déclaré adjugé au plus offrant et dernier enchérisseur. 1758. La vente aux enchères est volontaire ou forcée; en ce dernier cas, la vente est alors soumise aux règles prévues au Code de procédure civile, ainsi qu'aux règles du présent sous-paragraphe, s'il n'y a pas incompatibilité. 1759. Le vendeur peut fixer une mise à prix ou d'autres conditions à la vente. Celles-ci ne sont, néanmoins, opposables à l'adjudicataire que si l'encanteur les a communiquées aux personnes présentes avant de recevoir les enchères. 1760. Le vendeur peut refuser de divulguer son identité lors des enchères, mais si celle-ci n'est pas divulguée à l'adjudicataire, l'encanteur est tenu personnellement de toutes les obligations du vendeur. 1761. L'enchérisseur ne peut, en aucun temps, retirer son enchère. 1762. La vente aux enchères est parfaite par l'adjudication du bien, par l'encanteur, au dernier enchérisseur. L'inscription, au registre de l'encanteur, du nom de l'adjudicataire et de son enchère fait preuve de la vente, mais, à défaut d'inscription, la preuve testimoniale est admise. 1763. Le vendeur et l'adjudicataire d'un immeuble doivent passer l'acte de vente dans les 10 jours de la demande de l'une des parties. 1765. Le défaut de l'acheteur de payer le prix, selon les conditions de la vente, permet à l'encanteur, outre les recours ordinaires du vendeur, de revendre le bien à la folle enchère, selon l'usage et après un avis suffisant. Le fol enchérisseur ne peut, alors, enchérir de nouveau et il est tenu, le cas échéant, de payer la différence entre le prix de son adjudication et le prix moindre de la revente, sans qu'il puisse réclamer l'excédent. Il est aussi, en cas de vente forcée, responsable envers le vendeur, le saisi et les créanciers qui ont obtenu un jugement, des intérêts, des frais et des dommages-intérêts résultant de son défaut. 1766. L'adjudicataire dont le droit de propriété sur un bien acquis lors d'une vente aux enchères est atteint à la suite d'une saisie exercée par un créancier du vendeur, peut recouvrer du vendeur le prix qu'il a payé, avec les intérêts et les frais; il peut aussi recouvrer des créanciers du vendeur le prix qui leur a été remis, avec intérêts, sous réserve de se faire opposer le bénéfice de discussion. La responsabilité de l’intermédiaire en droit québécois • La nécessité d’une faute • L’exclusion de l’obligation de surveillance active …mais ne doivent pas empêcher la personne responsable de l'accès aux documents d'exercer ses fonctions, conformément à la loi, notamment en ce qui a trait à la confidentialité. empêcher les autorités responsables d'exercer leurs fonctions, conformément à la loi, relativement à la sécurité publique ou à la prévention, à la détection, à la preuve ou à la poursuite d'infractions Les conditions de la responsabilité selon l’art. 22 • La connaissance de fait • que les services qu’il fournit servent à la réalisation d’une activité à caractère illicite

22 Responsabilité des intermédiaires
Hendrickson c. eBay (septembre 2001) Savoir si application du « Safe Harbour » du DMCA (art. 512) Faits: Le plaignant dispose d’un droit d’auteur sur un DVD vendu sur eBay Lettre du plaignant de faire un « cease and desist » (20/12/00) Lettre de eBay pour précision en conformité du DMCA (info sur l’œuvre copiée) Lien au DMCA Formulaire selon VeRO (Verified Rights Owners) Lettre 2 de eBay pour précision Identifier l’œuvre Affidavit (statement) Plaignant ne joint pas VeRO Information jamais donnée à eBay Hendrickson v. Ebay Inc. 165 F. Supp. 2d 1082, 60 U.S.P.Q.2d (BNA) 1335 (C.D. Cal. 2001) This case involves a matter of first impression in the federal courts: whether one of the "safe harbor" provisions of the Digital Millennium Copyright Act ("DMCA") affords protection to the operator of the popular Internet auction web service, when a copyright owner seeks to hold the operator secondarily [*1084] liable for copyright infringement by its sellers. * * * Eligibility for Limitations Generally A party seeking the benefit of the limitations on liability in Title II must qualify as a “service provider.” For purposes of the first limitation, relating to transitory communications, “service provider” is defined in section 512(k)(1)(A) as “an entity offering the transmission, routing, or providing of connections for digital online communications, between or among points specified by a user, of material of the user’s choosing, without modification to the content of the material as sent or received.” For purposes of the other three limitations, “service provider” is more broadly defined in section 512(k)(l)(B) as “a provider of online services or network access, or the operator of facilities therefor.” In addition, to be eligible for any of the limitations, a service provider must meet two overall conditions: (1) it must adopt and reasonably implement a policy of terminating in appropriate circumstances the accounts of subscribers who are repeat infringers; and (2) it must accommodate and not interfere with “standard technical measures.” (Section 512(i)). “Standard technical measures” are defined as measures that copyright owners use to identify or protect copyrighted works, that have been developed pursuant to a broad consensus of copyright owners and service providers in an open, fair and voluntary multi-industry process, are available to anyone on reasonable nondiscriminatory terms, and do not impose substantial costs or burdens on service providers.

23 Responsabilité des intermédiaires
Hendrickson c. eBay (suite) Procédures: Action le 17 janvier 2001 sur la base de contrefaçon Deuxième action le 12 février 2001 pour continuer de vendre lesdites copies et ajouts de défendeurs Troisième action le 13 avril 2001, ajoutant des défendeurs Rejet d’une injonction le 30 avril 2001 Demande de jugement en « fastrack » le 27 juillet 2001

24 Responsabilité des intermédiaires
Hendrickson c. eBay (suite) Décision: Pas d’infraction directe…. mais contribution indirecte Application du DMCA? DMCA pour assurer le développement du CE Protéger les ISP de responsabilités eBay est un ISP OUI (512(k)(1)(B)) 512 (c) limite la responsabilité « for infringement of copyright by reason of the storage at the direction of a user of a material that resides on a system or network controlled or operated by or for the service provider. » Conditions: Pas de connaissance actuelle Pas de bénéfice pécuniaire A agit avec diligence pour enlever l’œuvre en question

25 Responsabilité des intermédiaires
Hendrickson c. eBay (suite) Connaissance NON Bénéfice NON Ne pas décourager les tentatives de monitoring VeRO Pas une vraie vente aux enchères (pas de contrôle) Sur cette question d’agissement prompt le plaignant doit envoyer une notification écrite incluant 6 éléments : Une signature Identification de l’œuvre contrefaite NON Information pour identifier la localisation de l’œuvre Information pour permettre à l’ISP d’aviser le contrefacteur Affidavit de la bonne foi du plaignant NON Affidavit de la véracité des faits demandés

26 Responsabilité des intermédiaires
Tyffany c. eBay (2008) (U.S.) Infractions possibles envisagées: les différents véhicules associés au droit d’auteur  NON l’usage non autorisée de la marque de commerce ; NON concurrence illégale ; NON négligence dans le contrôle des vendeurs ; NON etc NON Efforts jugés suffisants: le système VeRO ; les NOCIs (Notice of Claimed Infringement) qui y sont associés ; ses différents investissements dans le contrôle de la fraude ; la suspension de vendeur frauduleux ; ses pages éducatives sur le droit d’auteur notamment ; etc. In a decision that surely will be cited many times in coming years, Judge Richard Sullivan today sided with eBay in his decision [sixty-six page PDF] in the Tiffany v. eBay trademark trial. In so doing, the judge confirmed that trademark law is about consumer protection, not about squelching speech, and also rejected an attempt by Tiffany radically to expand the reach of contributory infringement. First, the judge squarely rejected Tiffany's direct infringement claim. Tiffany noted that eBay had, for a time, "actively advertised the availability of Tiffany merchandise," both on eBay's own website and using sponsored links on Google and Yahoo!. The judge's reaction was, in a nutshell, "so what?" The judge rightly concluded that there isn't any reasonable way to describe the fact that people are selling Tiffany goods without saying "Tiffany." So long as you don't confuse consumers about the source of goods and/or suggest a mark owner endorses your activity, you're free to use a trademark accurately to describe products made by the trademark owner - here, to describe Tiffany jewelry as, um, "Tiffany jewelry." But what if consumers are confused in another way, because it isn't Tiffany jewelry? What if it's fake? Tiffany argued that eBay should be held liable for sales of counterfeit Tiffany goods on the eBay site because eBay had been put on notice that such sales were (according to Tiffany) rampant on the site. Leaving aside the question of how extensive the sale of counterfeit goods actually is on eBay (the judge pointed out a number of problems with Tiffany's evidence), generalized notice of infringement - notice that there's "infringement in the air," as opposed to notice of a specific instance of claimed infringement - shouldn't magically shift the burden of policing for counterfeits from Tiffany to eBay. And the evidence showed that eBay quickly takes down listings when Tiffany sends specific notices that the goods being sold are not genuine. Happily, the judge recognized as much and rejected Tiffany's "infringement in the air" theory. He pointed to a 1946 decision in which Coca-Cola had tried to argue that Snow Crest Beverages should be held liable, under a theory of contributory infringement, for the fact that some bartenders were using its Polar Cola in "rum and Coke" cocktails. "The [1946] court reasoned that if it imputed knowledge to the defendant based on Coca-Cola's blanket demand, the court would be expanding Coca-Cola's property right in its trademark, allowing Coca-Cola to secure a monopoly over the entire mixed drink trade." Judge Sullivan concluded that just as Snow Crest shouldn't be held liable based on generalized notice of what others might be doing with its product, eBay shouldn't be held liable based on generalized notice that some of its users (or even many of its users) were selling counterfeit Tiffany goods on its site: Significantly, Tiffany has not alleged, nor does the evidence support a conclusion, that all of the Tiffany merchandise sold through eBay is counterfeit. . . . [T]he doctrine of contributory trademark infringement should not be used to require defendants to refuse to provide a product or service to those who merely might infringe the trademark. . . . Were Tiffany to prevail on its argument that generalized statements of infringement were sufficient to impute knowledge to eBay of any and all infringing acts, Tiffany’s rights in its mark would dramatically expand, potentially stifling legitimate sales of Tiffany goods on eBay. . . . * * * The Court is not unsympathetic to Tiffany and other rights owners who have invested enormous resources in developing their brands, only to see them illicitly and efficiently exploited by others on the Internet. Nevertheless, the law is clear: it is the trademark owner's burden to police its mark, and companies like eBay cannot be held liable for trademark infringement based solely on their generalized knowledge that trademark infringement might be occurring on their websites. (Emphasis added.) This decision sends a clear signal to intermediaries worried about their liability for their users' potentially infringing activity: it is not your job to police all potential infringement on your site. That is a good thing for free speech of all kinds. When platform providers are concerned about being held liable for the alleged misdeeds of their users, their reaction is to remove anything that might be infringing. As a result, wide swaths of creative and lawful conduct are wiped from the Internet, like dolphins caught in a tuna driftnet. We're pleased Judge Sullivan resisted Tiffany's urging to shift its policing burden onto eBay, so that the dolphins can live to swim another day.

27 Responsabilité des intermédiaires

28 Responsabilité des intermédiaires
Hermès c. eBay (2008) (France) Éditeur? NON C’est éditer que le contenant et non le contenu (Cédric Manara) Hébergeur? NON LOI « mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes de signaux, d’écrits, d’images, de sons ou de messages de toute nature qui n’ont pas le caractère d’une correspondance privée » (LCEN, art. 1) JUGE « les sociétés eBay doivent être considérées comme des éditeurs de services de communication en ligne à objet courtage » JUGE « les sociétés eBay engagent donc leur responsabilité à l’égard de la société Hermès International pour ne pas satisfaire pleinement à leur obligation de veiller à l’absence d’utilisation répréhensible de son site au sens de l’article L du Code de la propriété intellectuelle » MANARA Entre la responsabilité de l’éditeur et celle de l’hébergeur, c’est donc… une troisième voie qui a été adoptée. Le droit commun s’applique aux activités économiques et sociales qui prennent place sur internet, activités qui sont possibles parce que les plateformes au moyen desquelles elles s’exercent sont protégées par le droit. Avec cette décision, les fondations sont consolidées, la responsabilité civile est honorée. A propos de la décision du TGI de Troyes, 4 juin 2008, Hermès International c/ eBay et autres A l’image des faits – un titulaire de droits recherchait la responsabilité d’une plateforme Internet au titre d’une participation à des actes de contrefaçon –, retenir que « dans la gestion de son service de courtage en ligne, les sociétés eBay assument deux rôles différents hébergeurs et éditeurs de services » n’a, à vrai dire, rien de très novateur (1). En effet, tant la jurisprudence antérieure (2), qui confirme depuis quelques mois que les plateformes Internet peuvent être considérées comme des personnes « qui assurent même à titre gratuit par des services de communication au public en ligne, le stockage de signaux, décrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (3), que certains commentateurs (4) qui avaient, il y a de cela quelques semaines, soulevé la possibilité de qualifier les plateformes Internet d’éditeur de service de communication au public en ligne, permettaient d’envisager l’hypothèse d’un cumul de qualification. Pourtant, si la qualité d’hébergeur, bénéficiant d’une définition explicite au sein l’article 6-I-2 de la LCEN, est facilement identifiable, l’absence de définition expresse de l’activité correspondant à l’édition de services de communications au public en ligne rend l’appréhension de cette notion plus difficile et nécessite un détour par l’article 1-IV al.4 qui définit la communication au public en ligne. Les éditeurs de services de communication au public en ligne seraient, par conséquent, les personnes éditant un service de « transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privées, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur ». Néanmoins, si cette qualification duale emporte l’adhésion et, si la recherche du régime de responsabilité correspondant à la qualité d’hébergeur ne pose guère de difficultés (5) - ce dernier étant adossé au sein de l’article 6-I-2 à la définition de l’hébergeur -, il n’en va pas de même de celle d’éditeur de services de communications au public en ligne. En effet, la LCEN ne fait référence à cette activité que dans le but de lui imputer quelques obligations relatives à son identification (art. 6-III de la LCEN) sans renvoyer à un quelconque régime de responsabilité. Partant, le Tribunal tente de résoudre cette difficulté en usant de la technique du faisceau d’indices. Cette démarche le conduit, dans un premier temps, à rejeter expressément le régime de responsabilité éditoriale du fait des contenus communiqués, établissant ainsi, pour la première fois à notre connaissance, une frontière, entre l’édition de contenus (6) et l’édition de services, interprétation qui ne peut, d’ailleurs, que satisfaire le positiviste. Néanmoins, il faut avouer que la suite de la décision met un terme, de manière quelque peu abrupte, aux réjouissances. En effet, selon le tribunal, cette qualification duale permet d’imputer au défendeur, « en tant que société de courtage éditrices de services de commerce », un défaut de vigilance en s’appuy ant sur le fait que, « les sociétés eBay ne sont pas dispensées de veiller dans la mesure de leurs moyens, à ce que leur site internet soit utilisé à des fins répréhensibles ». Or, cette obligation de « (sur)veillance », toute de moyen soit-elle, est critiquable d’un triple point de vue. En premier lieu, il paraît difficile de retenir la qualité d’hébergeur tout en imposant, fusse au titre d’un cumul de qualification, une telle obligation. L’article 6-I-7 de la LCEN n’enseigne-t-il pas que les personnes répondant à la qualité d’hébergeur ne sont aucunement soumises à une « obligation générale de surveiller les informations qu’elles transmettent ou stockent » ? Ensuite, même si l’on se place au niveau de la seule qualité de courtier, il reste que cet intermédiaire, qui est certes « tenu de d’assurer l’exactitude des renseignements relatifs à l’opération envisagée (prix, délais…) ; […] en faute si la solvabilité du contractant qu’il a permis de trouver était, à l’évidence, douteuse », ne peut, cependant, être tenu « garant de la qualité de marchandises qui sont l’objet de la transaction, ni responsable de la bonne exécution du contrat qu’il a permis de conclure »(7). Or, le reproche formulé par le Tribunal à l’encontre des sociétés eBay consiste, semble-t-il, dans le manque d’information sur le caractère contrefaisant ou non des marchandises échangées par son intermédiaire, soit à se porter garant de leur qualité. Enfin, et surtout, il semble qu’un régime de responsabilité spécial édicté par la LCEN soit susceptible de définir les conditions de mise en jeu de la responsabilité des éditeurs de services de communications au public en ligne. En effet, il résulte de la définition retenue ci-dessus que cette activité consiste en la transmission de contenus. Or, le régime de responsabilité résultant d’une telle activité est régi par l’article 9 de la LCEN selon lequel « toute personne assurant une activité de transmission de contenu sur un réseau de communications électroniques (8) ou (9) de fourniture d’accès à un réseau de communications électroniques ne peut voir sa responsabilité civile ou pénale engagée à raison de ces contenus que dans les cas où soit elle est à l’origine de la demande de transmission litigieuse, soit elle sélectionne le destinataire de la transmission, soit elle sélectionne ou modifie les contenus faisant l’objet de la transmission ». Sauf à considérer, en optant pour une interprétation aux forceps, que l’obligation de moyen imputée par le Tribunal à la société eBay trouve sa source dans la notion « d’origine de demande transmission litigieuse », il semble difficile de sanctionner les coutiers aux enchères en ligne, qualifiés d’éditeur de services, au titre d’un fait générateur absent des hypothèses visées par l’article 9 de la LCEN. Le « Web Troyes » (à propos de la décision Hermès – eBay) Au commencement, il y eut internet, espace dont on crut qu’il était sans bornes, lieu des expériences et des excès. Vint le web 2.0, et l’explosion des sites « communautaires », rassemblant leurs membres autour d’activités diverses, comme le partage de photos ou de vidéos, la réalisation d’opérations de vente ou de revente. EBay est un de ces sites, qui est aussi l’un de ceux qui a le plus de succès dans le monde. Voici le temps de ce qu’on pourrait appeler le « Web Troyes », tant est déjà important le retentissement de la décision judiciaire rendue le 4 juin dans le chef-lieu de l’Aube (TGI Troyes, 4 juin 2008, [commentaire fait sous réserve de la fidélité de la reproduction de la décision]), qui pourrait aussi influencer le devenir juridique des plateformes électroniques. Les plateformes forment la « couche » supérieure des réseaux de communication, et constituent des espaces virtuels permettant le développement des activités humaines les plus diverses (sur la question, J. Zittrain, The generative internet, Harvard Law Review, 2006, Vol. 119, p. 1974). Toute décision qui touche une plateforme très fréquentée, « lieu privé ouvert au public » (l’expression est du TGI Melun, 8 nov. 2005, à propos d’un forum), a nécessairement un impact social. Poser la question du régime juridique applicable à une plateforme amène aussi à soulever celle du cadre dans lequel se déroulent les activités électroniques des internautes. Une plateforme est-elle un hébergeur ou un éditeur ? C’est le refrain du droit du commerce électronique ces derniers mois. La société Hermès International a obtenu la condamnation des sociétés eBay France et eBay International AG, dont il est jugé qu’elles ont ensemble engagé leur responsabilité à l’égard de la première (La responsabilité de la société française est retenue parce qu’elle est titulaire du nom « ebay.fr », ce qui n’est pas cohérent avec la jurisprudence de la Cour de cassation en matière de responsabilité découlant de l’usage d’un nom de domaine. Cet aspect de la décision ne sera pas commenté ici). L’affaire était née du constat de la vente par un particulier de plusieurs sacs à main contrefaits sur la partie française du site d’eBay. Fortifiant la jurisprudence se construisant depuis plusieurs mois (V. en dernier lieu à propos d’une plateforme de partage de vidéos, TGI Paris, 15 avril 2008, D AJ. 1341, obs. A. Astaix), les juges font une exacte caractérisation de l’activité menée sur le site. Certes eBay ordonne les annonces, impose une structure de présentation par cadres, met en avant telle ou telle catégorie d’objets vendus… mais opérer de tels choix, c’est n’éditer que le contenant, pas le contenu : ce contenu reste fourni et mis en ligne par l’utilisateur. Le fameux article 6.I.2 de la loi n° du 21 juin 2004 pour la confiance dans l’économie numérique relatif au régime de responsabilité des hébergeurs ne parle ni de « contenu » ni d’« utilisateur » mais « de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Par nature, les objets physiques qui font l’objet de transactions sur eBay n’entrent pas dans cette définition légale. C’est au moyen d’un service de communication au public par voie électronique – une plateforme, au niveau inférieur – que des échanges économiques vont naître, grâce au courtage – des activités, au niveau supérieur. Si ces activités naissent d’une plateforme, elles en sont distinctes. En énonçant que « les sociétés eBay doivent être considérées comme des éditeurs de services de communication en ligne à objet courtage » (sic), les juges entremêlent ces deux niveaux, pour dire que ces sociétés « assument deux rôles différents hébergeur et éditeur de services ». Entre ces deux formules, ils écrivent qu’il s’agit de « sociétés de courtage éditrices de services de commerce »… ce qui ne contribue pas à la clarté de la décision. Reprenons : la communication en ligne étant la « mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes de signaux, d’écrits, d’images, de sons ou de messages de toute nature qui n’ont pas le caractère d’une correspondance privée » (LCEN, art. 1), le courtage ne peut entrer dans cette catégorie. C’est au moyen d’un service de communication en ligne qu’eBay se donne « pour seule mission de rapprocher les parties, et d’essayer de faire en sorte qu’elles parviennent à un accord » (définition du courtage donnée par J. Huet, Traité de droit civil. Les principaux contrats spéciaux, LGDJ, 2001, 2ème éd., n° ). C’est donc cette (seule) activité de courtier que va examiner le juge. Il va estimer que certains des dispositifs de détection d’objets contrefaisants mis en place ont trouvé leur limite, qu’eBay doit exiger des vendeurs la fourniture d’informations précises permettant d’authentifier un produit (telles qu’un numéro de série), et être plus proactif dans les avertissements donnés aux utilisateurs. Ce faisant, une faute est commise, dit le tribunal : « les sociétés eBay engagent donc leur responsabilité à l’égard de la société Hermès International pour ne pas satisfaire pleinement à leur obligation de veiller à l’absence d’utilisation répréhensible de son site au sens de l’article L du Code de la propriété intellectuelle ». Malgré l’évocation de ce dernier texte, et celle qui précède du statut « d’éditeur », c’est bien de la responsabilité de droit commun dont il s’agit ici : les juges ont estimé que le courtier a commis, dans l’exercice de cette activité, une faute causant un préjudice à un tiers. Dès lors, il est incompréhensible que dans son dispositif le tribunal dise que « la société eBay France et la société de droit suisse eBay International AG ont commis des actes de contrefaçon » des marques de la demanderesse, car c’est de responsabilité délictuelle dont il était question dans les   motifs ! Entre la responsabilité de l’éditeur et celle de l’hébergeur, c’est donc… une troisième voie qui a été adoptée. Le droit commun s’applique aux activités économiques et sociales qui prennent place sur internet, activités qui sont possibles parce que les plateformes au moyen desquelles elles s’exercent sont protégées par le droit. Avec cette décision, les fondations sont consolidées, la responsabilité civile est honorée. Cédric Manara Professeur associé, EDHEC Business School Edit le 30 juin 2008 : la cour d'appel de Reims a rendu le 25 juin une ordonnance qui suspend en partie l'exécution provisoire du jugement du TGI Troyes du 4 juin dernier.

29 Responsabilité des intermédiaires
L’Oréal c. eBay Tribunal de commerce de Bruxelles (31 juillet 2008) (Belgique) "les seules activités d'eBay critiquées par Lancôme sont celles par lesquelles eBay héberge (ou affiche) les annonces de vente émanant des candidats vendeurs" (…) "ce sont donc bien les activités d'hébergement auxquelles se livre eBay qui sont critiquées par Lancôme" "ce ne sont pas des catégories d'intermédiaires, ni davantage des types d'informations qui peuvent prétendre à l'exonération de responsabilité qu'elle prévoit, mais bien et uniquement des intermédiaires et prestataires de service, lorsqu'ils peuvent faire valoir qu'ils fournissent tel ou tel service entrant dans la définition de ceux se trouvant exemptés" "s'agissant des annonces de ventes postées sur le site eBay par des candidats vendeurs, eBay les accueille en fournissant un service d'hébergement, pour lequel eBay bénéfice d'une exemption de responsabilité". "le statut particulier réservé par la directive et la loi aux fournisseurs de services d'hébergement s'oppose" (…) “à ce qu'une illicéité lui est notifiée, eBay doit prendre des mesures pour éviter que pareille illicéité ne se reproduise".

30 Limites à la concurrence: le « deep-linking » et l’affaire eBay c
Limites à la concurrence: le « deep-linking » et l’affaire eBay c. Bidder’s Edge Faits: Le second prend des informations du premier et les range par catégories Pas de mention la page initiale Appel en cours de Bidder Edge Décision qui donne raison à eBay Amici Curiae de plusieurs professeurs américains sur la base L’argumentation sur la base du Trespass est non pertinente Contraire à la compétition sur Internet Nature même de l’internet que de permettre ceci Devoir de balancer l’intérêt du public à être informé Réduire frais d’information pour l’acheteur Réduire les frais de publicité Augmente la comparaison de l’acheteur Menace de l’efficacité les échanges de prix

31 Responsabilité - pourriels
Loi sur la protection du commerce électronique (« LPCE ») Objectifs: empêcher l’envoi au Canada de pourriels sous leurs formes les plus dangereuses, telles que l’usurpation d’identité, l’hameçonnage et les logiciels espions;  contribuer à décourager les polluposteurs de sévir au Canada; combattre les logiciels espions en interdisant l’installation de logiciels informatiques sans le consentement du propriétaire de l’ordinateur. Art. 6(1): « Il est interdit d’envoyer à une adresse électronique un message électronique commercial, de l’y faire envoyer ou de permettre qu’il y soit envoyé, sauf si : a) la personne à qui le message est envoyé a consenti expressément ou tacitement à le recevoir; b) le message est conforme [aux exigences réglementaires] ». Consentement restrictif…. Autres restrictions visant l’installation de logiciels

32 Responsabilité - pourriels
Loi sur la protection du commerce électronique (« LPCE ») Sanctions administratives Violation des dispositions décrites ci-dessus fera l’objet de « sanctions administratives pécuniaires » pouvant atteindre 1 million de dollars dans le cas d’une personne physique, ou 10 millions de dollars dans le cas d’une personne morale. Cette responsabilité s’étendrait aussi aux employeurs, aux administrateurs, aux dirigeants ou aux représentants d’une société. Régime de dommages-intérêts pouvant se traduire par une ordonnance de verser « une somme maximale de 200 $ à l’égard de chaque contravention de la disposition en cause, jusqu’à concurrence de 1 000 000 $ par jour pour l’ensemble des contraventions ». Cette responsabilité s’étendrait aussi aux employeurs, aux dirigeants et aux administrateurs d’une société.

33 Responsabilité - pourriels
Loi sur la protection du commerce électronique (« LPCE ») Sanctions administratives Nouveau droit privé d’action pour toute personne qui prétend être touchée par les actes ou omissions qui constituent une contravention à l’article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques, qui met en cause une collecte ou une utilisation d’information visée aux paragraphes 7.1(2) ou (3) de cette loi. Critique de Morgan: « Il semble que ce droit pourrait maintenant exposer les entreprises canadiennes à de nouvelles responsabilités étendues à l’égard de l’utilisation ou de la communication de renseignements personnels faite sans en informer les personnes ou obtenir leur consentement. Les dirigeants, administrateurs et employeurs pourraient aussi être éventuellement responsables des actes de leurs employés. »

34 Responsabilité – Vie privée
Proaction des détenteurs de RP Industrie Canada , «Working Together to Prevent Identity Theft», (2005) Option I – Truncate (partially blank out) payment card numbers Option II – Verify the identity of persons and organizations accessing credit reports Option III – Do not disclose social insurance numbers (SINs) on credit reports or use them as a unique identifier for consumers Option IV – Allow consumers to place freezes on their credit reports Option V – Require organizations that store personal information to notify individuals and credit bureaus in cases of security breaches Option VI – Require credit bureaus to place fraud alerts on consumers’ credit reports incases of security breaches or upon the request of an identity theft victim Option VII – Require credit lenders to disclose details of fraudulent debts to victims Option VIII – Require credit bureaus to block information about fraudulent debts appearing on a consumer’s credit report Option IX - Make organizations liable for damages Option X – Inform victims of their rights Voir INDUSTRY CANADA, «Working Together to Prevent Identity Theft», juin 2005, disponible à qui proposait 10 recommandations (plusieurs sont déjà suivies par plusieurs joueurs sérieux: Trois remarques sur ces recommandations: 1) L’avantage de ces recommandations est qu’elles ne sont pas “propriétaires” comme «l’infocard». 2) Elles sont plus contraignantes que «l’infocard» et donc plus libérales;ce qui apparaît conforme à la tendance dégagée par le Ministre Bernier qui, si je puis dire, déréglemente plus vite que son ombre. 3) l’infocard m’apparaît être montrée comme une solution unique ce qui, évidemment, est une erreur. La sécurité repose sur tout le monde et notamment banques, gestionnaires des informations de crédits, commerçants et aussi consommateurs. Et puis, pourquoi avoir laissé tombé les recommandations proposées par Industrie Canada en juin 2005 (sous un ancien gouvernement) « Working Together to Prevent Identity Theft », où l’on demandait notamment de s’assurer que les banques et autres organismes détenteurs de renseignements personnels sensibles soient plus transparents quant à leurs mesures de sécurité. Sur le fait que la sécurité n’est pas principalement technologique (mais davantage organisationnelle et éventuellement juridique), ce n’est pas de moi, mais de Bruce Schneier dans, notamment, « Secret and Lies » qui a prétendu : « If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology »

35 Vie privée et confidentialité
Obligation de sécurité!

36 Obligation de sécurité
Cadre Légal au Québec Loi concernant le cadre juridique des TI 25. « La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. » Loi sur la protection des renseignements personnels dans le secteur privé 10. « Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.  » Dispositions pénales Amende. 91. Quiconque recueille, détient, communique à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à une disposition des sections II, III ou IV de la présente loi est passible d'une amende de 1 000 $ à 10 000 $ et, en cas de récidive, d'une amende de 10 000 $ à 20 000 $. Toutefois, dans le cas d'une contravention à l'article 17, l'amende est de 5 000 $ à 50 000 $ et, en cas de récidive, de 10 000 $ à 100 000 $. 92.1. Quiconque entrave le déroulement d'une enquête ou d'une inspection en communiquant des renseignements faux ou inexacts ou autrement, commet une infraction et est passible d'une amende de 1 000 $ à 10 000 $ et, en cas de récidive, de 2 000 $ à 20 000 $. Personne morale. 93. Si une personne morale commet une infraction prévue par la présente loi, l'administrateur, le dirigeant ou le représentant de cette personne morale qui a prescrit ou autorisé l'accomplissement de l'acte ou de l'omission qui constitue l'infraction ou qui y a consenti est partie à l'infraction et passible de la peine qui y est prévue.

37 Bris de sécurité….. 1) Comment prévenir les bris de sécurité informatique 2) Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués

38 1) Comment prévenir les bris de sécurité informatique
Verizon Business RISK Team a fait un rapport en 2009, intitulé « 2009 Data Breach Investigations Report » (285 million records were compromised in 2008). Accès en ligne. Qui est derrière les bris? Sources externes: 74% Sources internes: 20% Partenaires d’affaires: 32% Implique plusieurs parties: 38% Comment les bris surviennents: Erreurs significatives: 67% Hacking: 64% Logiciel espions: 38%

39 Apprendre des erreurs des autres
Analyse de cas récents: TJX / Winners and HomeSense TJX et Visa a informé certains commissaires à la vie privée canadiens d’un bris informatique affectant 45 millions d’utilisateurs de cartes de crédit en janvier 2007 Lors de leur enquête, les commissaires ont mentionné: avoir un problème avec la collecte de données inutiles dans ce cas et aussi leur conservation excessive l’importance de mettre à jour tout système informatique que les coûts de réparation d’une brèche dépassent largement les coûts pour le maintien adéquat d’un système La leçon à retenir: Ne jamais collecter de renseignements inutiles ou en maintenir inutilement dans son système

40 Certains cas de 2008: Février: Une copie de sauvegarde non encryptée contenant les informations de 4.5 million clients de la Banque de New York Mellon sont perdues après être envoyé en entreposage Mars: Un bris de sécurité chez Sony Playstation Network a exposé les informations des comptes et mots de passe de plusieurs de ses clients Avril: Un bris de séurité informatique au niveau du réseau du RCMP dû à 4 virus a compromis certains éléments de preuve dans un dossier criminel important d’un réseau de vol automobiles Mai: Un bris de sécurité au niveau du serveur de l’Université de Oklahoma a exposé les noms, adresses et numéros d’assurance sociale de étudiants et employés qui avaient acheté des permits de stationnement les 6 dernières années Banque Melon (NY): Au décut croyait que 4.5 millions affectés et puis se sont rétractés suite à l’enquête. Bank's February 27 loss of six to 10 unencrypted tapes, while it was transferring back-up tapes that contained names, addresses, birth dates and Social Security numbers. "The vast dimensions of this data breach affect not only hundreds of thousands of individuals and businesses in Connecticut, but millions across our nation," The bank's chief risk officer, said the bank is reviewing its security policies and procedures, and will offer affected individuals comprehensive fraud protection, including free credit monitoring. Sony Playstation Network: Un bris de sécurité a peut-être exposé les infos personnelles: infos des comptes d’usagers et mots de passe. Sony playstation a donc afficher sur son site que les renseignements personnels de ses abonnés de certains services ont peut-être été divulgués à des tiers non autorisés. Pas de détails sur le nombre de bris ou utilisateurs affectés. Ne crois pas que les numéros de carte de crédit ont été divulgués car n’affiche pas les numéros au complet. Demande à ses utilisateurs de rentrer dans leur compte, vérifier que tout est intact et sinon, le mentionner à Sony. RCMP: Preuve pour un procès de plusieurs millions reliés à un réseau national de vols de voitures a été affectée (« may » have been tampered ») suite à un bris de sécurité informatique. Un employé du RCMP qui utilisait un ordi contenant les éléments de preuve s’est connecté sur le web et a téléchargédes logiciels, vidéos et des fichiers de musique. Il a aussi fait du chat et dating services. AU moins 4 virus ont infecté son ordinateur (Zombie network) qui envoie du spam aux autres ordinateurs et qui ouvre une « porte arrière » permettant à l’ordinateur d’être contrôlé par une personne de l’extérieur (copier, modifier les fichiers sur l’ordi, etc..) Probablement que les éléments de preuve pas altérés mais pas certains à 100%. L’employé s’est fait imposé des mesures disciplinaires…. Université Oklahoma: A informé les détenteurs de permis en mai même si le bris a été découvert en mars. Excuse pour ce délai: 2 mois pour faire leur enquête. Leur enquête d.montre que le bris résulte probablement d’un tiers qui a accédé à leur serveur pour entreproser et faire la distribution de contenu illégal, et ne peut pas garantir que les renseignements des étudiants n’ont pas été accédés. Demande aux détenteurs de permis de vérifier leurs comptes et achats sur leurs cartes de crédit.

41 Certains cas de 2009: Janvier: Un virus a été introduit dans le système de Heartland Payment Systems afin de collecter les numéros de carte de crédit lorsque transmis sur Internet, affectant potentiellement individus Juillet: Un virus s’est inflitré dans le système de facturation enligne de Hydro Toronto obtenant des informations de clients Juillet: Un virus informatique affecte plus de sites transactionnels faisant affaires avec le fournisseur d’infrastructure Network Solutions expose les données financières de clients Été: Mozilla a dû fermer ses portes temporairement après qu’uns brèche informatique est intervenue chez GatewayCDI qui est en charge du « back end » de son magasin virtuel Heartland Payment Systems: Record du plus gros bris? (TJX – 45 Millions) Compagnie de New Jersey dans le domaine du « processing » de paiements cartes de crédit et débit. Intrus ont réussi à rentrer dans le système informatique et et ont « planted » un logiciel espion afin de voler les informations financières (nos cartes de crédit) des utilisateurs. Visa et MC ont alerté Heartland d’activités douteuses ce qui a forcé la compagnie à faite plusieurs enquêtes de types « forensics » qui l’ont mené à découvrir les intrusions dans son système. Heartland dit que ne croit pas que les nos de marchands, données des détenteurs de cartes comme NAS ou PIN (personal identification numbers) ou nos de téléphones ont été divulgués. Ne dit pas combien de temps les intrus avaient accès au système. Comme Heartland « process » 100 millions de transactions par mois, possible que ce soit de cet ordre là ou plus. Les intrus ont probablement accéder aux numéros derrière les cartes… Cela a forcé plusieurs marchands en ligne comme Canadian Tire Financial Services (qui gère la 2e plus grosse franchise de MC au Canada) à annuler puis ré-émettre MC. « Heartland was validated as Payment Card Industry Dat Security Standard (PCI DSS) compliant in April 30, 2008 according to Visa, but their PCI status is currently under review »). PCI assesor = Trustwave. CONSÉQUENCE? En 2005, CardSystems Solution avait eu un bris affectant 40 millions de compte et Visa et AX ont arrêté de faire affaires avec eux… L’action de Heartland a perdu 8% la journée de l’annonce… Hydro Toronto: Les dossiers ont été accédés enligne: nom, numéro de compte et adresse des clients de Hydro, pas d’informations financières clients devaient recevoir des lettres les informant, (TOUS les clients, pas seulement ceux affectés). Crainte que qqun prétendant d’être Hydro les contacterait pour obtenir info sadditionnelles alors ont informé clients qu’ils ne feraient jamais cela. Network Solutions: Forensic investigations revealed that the data breaches took place between 12 March and 8 June 2009. "At this point we have no reports or other reasons to believe any credit card information has been misused," the company said. The breach affects only US merchants, but demonstrates that all e-commerce firms must check the security of third-party service providers thoroughly. Network Solutions has moved quickly to avert a public relations disaster by helping affected merchants notify their customers. The web hosting firm has also used social networking tools to alert merchants and their customers and set up a website to keep merchants informed and updated. A posting on the site emphasised that the data breach affected only Network Solutions' e-commerce customers. Customers of Network Solutions that have other products, such as domains, accounts, hosting and online marketing, were not impacted by this event," it said. Mozilla: Magasin musique enligne. Mozilla qui s’est rendu compte du bris. Ils se sont entendus que les clients de Mozilla qui ont été impliqués seraient contacté directement par GatewayCDI.

42 Maintien d’un système adéquat
Les responsabilités associées aux documents technologiques confidentiels Principe: Un document confidentiel ne peut être accessible qu’aux personnes qui y sont autorisées et la personne le détenant a l’obligation d’assurer un degré de sécurité adéquat Conditions légales: Élaborer une politique de vie privée Avoir un intérêt sérieux et légitime pour constituer un dossier Ne recueillir que les renseignements nécessaires à la finalité recherchée Permettre aux individus (sauf exceptions) l’accès, la correction ou le retrait de leurs renseignements Interdire leur transmission (sauf consentement de l’intéressé)

43 Adoption de politiques
Adoption de politiques: (i) en matière de protection de renseignements personnels; et (ii) en matière de sécurité La politique en matière de sécurité doit traiter des éléments suivants: Gestion des mots de passe Verrouillage des ordinateurs, portables, blackberrys et téléphones cellulaires Conservation de documents contenant des renseignements confidentiels ou personnels Communications électroniques et envoi et réception de documents par télécopieur Destruction de documents contenant des renseignements confidentiels ou personnels

44 Maintien d’un système adéquat
Les responsabilités découlant de l’obligation de sécurité Conditions légales relatives à la sécurité: Mettre en place des mesures de sécurité qui soient proportionnelles et appropriées aux circonstances Empêcher que l’accès à des documents technologiques puisse nuire à la confidentialité de certaines informations S’assurer en cas de transmission que l’opération est documentée et que les destinataires ont aussi une encadrement sécuritaire adéquat Solutions: Mettre en place une entente de sécurité détaillant: La mise en place de moyens physiques, organisationnels et technologiques L’information et sensibilisation du personnel

45 Formation du personnel
Sensibiliser le personnel aux questions de sécurité des renseignements personnels et confidentiels; Les informer: de toutes politiques de l’entreprise à ce sujet (politique en matière de protection de renseignements personnels et en matière de sécurité); des procédures à suivre en cas de bris de sécurité: Qui contacter dans l’entreprise? Divulguer le bris aux individus concernés ou non? Réprimande en cas de non suivi d’un bris? Question de la réprimande: RCMP, preuve pour un procès de plusieurs millions reliés à un réseau national de vols de voitures a été affectée (« may » have been tampered ») suite à un bris de sécurité informatique. Un employé du RCMP qui utilisait un ordi contenant les éléments de preuve s’est connecté sur le web et a téléchargédes logiciels, vidéos et des fichiers de musique. Il a aussi fait du chat et dating services. AU moins 4 virus ont infecté son ordinateur (Zombie network) qui envoie du spam aux autres ordinateurs et qui ouvre une « porte arrière » permettant à l’ordinateur d’être contrôlé par une personne de l’extérieur (copier, modifier les fichiers sur l’ordi, etc..) Probablement que les éléments de preuve pas altérés mais pas certains à 100%. L’employé s’est fait imposé des mesures disciplinaires…. Les mesures de sécurité à adopter lors de l’utilisation de télécopieur: Télécopieur doit être placé dans un endroit sécuritaire non accessible par tous Limiter l’accès aux employés autorisés L’utilisateur du télécopieur doit, quand il envoie une télécopie: Vérifier si la télécopie contient des renseignements personnels ou confidentiels S’assurer que la transmission est urgente Indiquer sur la télécopie que cette dernière contient des renseignements personnels Remplir un formulaire contenant le nom, adresse et numéro de téléphone du destinataire et le numéro de téléphone de l’expéditeur L’utilisateur du télécopieur doit, quand il envoie une télécopie (suite) : S’assurer après avoir composer le numéro de télécopie qu’il contient pas d’erreurs et vérifier le rapport de transmission une fois la télécopie envoyée Obtenir le consentement du destinataire autorisé à recevoir l’information S’assurer que le destinataire est à proximité de son télécopieur quand la télécopie est envoyé Contacter le destinataire pour s’assurer que le document a été reçu

46 Communications électroniques
Guide publié par la Commission de l’Accès à l’Information Mesures de sécurité à adopter pour les courriels électroniques: Utiliser les modifications proposées par les fournisseurs de logiciels Utiliser un anti-virus à jour Utiliser de la cryptographie Gestion des mots de passe Agir en conformité avec les droits d’accès des individus concernés Établir des politiques de rétention Adopter une politique d’utilisation de courriel au sein de l’entreprise

47 Destruction de documents
Guide relatif à la destruction de documents contenant des renseignements personnels : Déchiquetage des documents papier. Si trop grand volume, mettre dans salle verrouillée jusqu’à ce que les documents soient détruits. Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure: Le processus utilisé pour la destruction L’obligation d’exécuter une entente d’impartition avant de transférer les obligations au tiers Les pénalités en cas de non respect des dispositions

48 Destruction de documents (suite)
Guide relatif à la destruction de documents contenant des renseignements personnels : Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure (suite): Employés pertinents exécutent une entente de confidentialité Un engagement de garder les documents confidentiels dans un endroit verouillé avec accès limité Autoriser l’accès à ses locaux durant l’entente Engagement de préparer un rapport de destruction

49 Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués:
Commissariat à la vie privée du Canada « Principales étapes à suivre par les organisations en cas d’atteintes a la vie privée » But Le présent document a pour but de fournir des directives aux organisations du secteur privé, petites et grandes, en cas d'atteinte à la vie privée. Les organisations devraient prendre des mesures préventives en se dotant de politiques et de garanties procédurales raisonnables, et en offrant la formation nécessaire. Les présentes lignes directrices visent à aider les organisations à prendre les mesures appropriées en cas d'atteinte à la vie privée et à offrir des directives sur la façon d’évaluer s’il convient de notifier les personnes concernées. Certaines étapes pourraient être omises ou combinées. Qu’est-ce qu’une atteinte à la vie privée? Une atteinte à la vie privée suppose l’accès non autorisé à des renseignements personnels ou la collecte, l'utilisation ou la communication non autorisée de tels renseignements. Ces activités sont « non autorisées » lorsqu’elles contreviennent aux lois applicables en matière de protection des renseignements personnels, telles que la LPRPDÉ, ou aux lois provinciales similaires en matière de protection des renseignements personnels. Certains des cas les plus courants d'atteinte à la vie privée surviennent lorsque des renseignements personnels de clients, de patients ou d’employés, sont volés, perdus ou communiqués par erreur (p. ex., lorsqu’un ordinateur renfermant des renseignements personnels est volé ou que des renseignements personnels sont accidentellement transmis par courriel aux mauvaises personnes). Une atteinte à la vie privée peut également découler d’une erreur de procédure ou d’une défaillance opérationnelle. Quatre principales étapes à suivre en cas d'atteinte à la vie privée

50 Étape 1 : Découverte du bris
Immédiatement prendre les mesures suivantes pour limiter la brèche dans les renseignements personnels : Désigner une personne qualifiée pour la tenue de l’enquête initiale; Déterminer s'il est nécessaire de mettre sur pied une équipe composée de représentants des secteurs concernés de l’entreprise; Déterminer qui doit être mis au courant de l’incident à l’interne et à l’externe; Ne pas nuire à la capacité d’enquêter sur l’incident. Vous devez prendre sans tarder des mesures sensées pour limiter la brèche dans les renseignements personnels, telles que suit : • Limiter immédiatement la brèche dans les renseignements personnels (p. ex., mettre fin à la pratique non autorisée, récupérer les dossiers, éteindre le système qui fait l'objet de la brèche, révoquer ou changer les codes d’accès informatiques ou corriger les lacunes des systèmes de sécurité matériels ou électroniques). • Désigner une personne qualifiée pour la tenue de l’enquête initiale. Cette personne devrait avoir la latitude voulue au sein de l’organisation pour mener l’enquête initiale et formuler des recommandations. Une enquête plus minutieuse pourrait être réalisée subséquemment, au besoin. • Déterminer s'il est nécessaire de mettre sur pied une équipe composée de représentants des secteurs concernés de l’entreprise. • Déterminer qui doit être mis au courant de l’incident à l’interne et, éventuellement, à l’externe, à cette étape préliminaire. Remonter l’échelle à l’interne, au besoin, et aviser la personne responsable de la conformité aux mesures de protection des renseignements personnels au sein de votre organisation. • Si la brèche dans les renseignements personnels procède d’un vol ou de toute autre activité criminelle, la police doit en être avisée. • Ne pas nuire à la capacité d’enquêter sur l’incident. Prendre garde de ne pas détruire des éléments de preuve qui pourraient servir à déterminer la cause de l’incident ou vous permettre de prendre les mesures correctives qui s’imposent.

51 Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée
1- Évaluation des renseignements personnels en cause Les renseignements sont‑ils sensibles? Quel sont les préjudices prévisibles pour les personnes concernées?     Quel est le contexte lié aux renseignements personnels en cause? Les renseignements personnels sont‑ils convenablement encodés, dépersonnalisés ou difficiles d’accès? Comment les renseignements personnels peuvent‑ils être utilisés? L’information peut‑elle servir à des fins frauduleuses ou autrement préjudiciables? Évaluer les risques associés à la brèche dans les renseignements personnels en tenant compte des facteurs suivants : • Quels éléments de données sont en cause? • Dans quelle mesure les renseignements sont-ils sensibles? En général, plus les renseignements sont sensibles, plus les risques de préjudice sont élevés pour les personnes. Certains renseignements personnels sont plus sensibles que d’autres (p. ex., les renseignements sur la santé, les pièces d’identité émises par le gouvernement, comme les numéros d’assurance sociale, de permis de conduire et de carte d’assurance-maladie, ainsi que les numéros de comptes financiers, comme les numéros de cartes de crédit ou de débit, lesquels peuvent servir au vol d’identité). Une combinaison de renseignements personnels est généralement plus sensible qu’un renseignement personnel pris isolément. Toutefois, la nature sensible des renseignements n’est pas le seul critère à prendre en considération lorsqu’on évalue les risques; il faut également tenir compte des préjudices prévisibles pour les personnes concernées. • Quel est le contexte lié aux renseignements personnels en cause? Par exemple, il se peut que la liste d’un livreur de journaux comportant des noms d’abonnés ne soit pas de nature sensible. Toutefois, l’information concernant des abonnés qui ont demandé une interruption de service pendant leurs vacances pourrait s’avérer sensible. De la même façon, les renseignements accessibles au public, tels que ceux contenus dans un annuaire téléphonique public, pourraient être moins sensibles. • Les renseignements personnels sont-ils convenablement encodés, dépersonnalisés ou difficiles d’accès? • Comment les renseignements personnels peuvent-ils être utilisés? L’information peut-elle servir à des fins frauduleuses ou autrement préjudiciables? Certains types de renseignements confidentiels sont plus vulnérables lorsqu’ils sont utilisés en combinaison avec le nom, l’adresse et la date de naissance d’une personne compte tenu des risques plus élevés de vol d’identité. Une évaluation du type de renseignements personnels en cause vous aidera à déterminer les mesures à prendre, les personnes à aviser, y compris le(s) commissaire(s) à la protection de la vie privée approprié(s) et la manière dont les personnes concernées, le cas échéant, devraient être notifiées. Il n’est peut-être pas nécessaire de notifier les personnes concernées lorsque, par exemple, un ordinateur portatif renfermant des renseignements convenablement encodés a été volé puis retrouvé et que l’enquête a révélé que l’on n’a pas touché aux renseignements.

52 Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée
2- Cause et étendue de la brèche dans les renseignements personnels Déterminer la cause de la brèche dans les renseignements personnels; Y a‑t‑il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? Quelle a été l’étendue de l’accès non autorisé aux renseignements personnels? L’information a‑t‑elle été perdue ou volée et a-t-elle été retrouvée? Quelles mesures ont été prises pour atténuer les préjudices? S’agit‑il d’un problème systémique ou d’un incident isolé? (ii) Cause et étendue de la brèche dans les renseignements personnels • Dans la mesure du possible, déterminer la cause de la brèche dans les renseignements personnels. • Y a-t-il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? • Quelle a été l’étendue de l’accès non autorisé aux renseignements personnels ou de la collecte, de l’utilisation ou de la communication non autorisée de tels renseignements, y compris le nombre et la nature des destinataires probables et la mesure dans laquelle l’accès non autorisé à ces renseignements personnels, leur utilisation ou leur communication risquent de se poursuivre, y compris par l’entremise de médias de masse ou en ligne? • L’information a-t-elle été perdue ou volée? Si elle a été volée, peut-on déterminer si l’information était la cible du vol? • Les renseignements personnels ont-ils été retrouvés? • Quelles mesures ont déjà été prises pour atténuer les préjudices? • S’agit-il d’un problème systémique ou d’un incident isolé?

53 Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée
3- Personnes concernées par la brèche dans les renseignements personnels Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche? 4- Préjudices prévisibles découlant de la brèche Tenir compte: des attentes raisonnables des concernés du destinataire de l’information (ex: Y a‑t‑il un lien entre les destinataires non autorisés et les personnes visées par les renseignements?) du préjudice pour personnes concernées et pour l’organisation du préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public (iii) Personnes concernées par la brèche dans les renseignements personnels • Quelle est la quantité de renseignements personnels compromis par la brèche? • Quelles personnes sont concernées par la brèche (employés, entrepreneurs, membres du public, clients, fournisseurs de services, autres organisations)? (iv) Préjudices prévisibles découlant de la brèche dans les renseignements personnels • Prendre en considération les attentes raisonnables des personnes concernées. Par exemple, beaucoup de personnes estimeraient que la perte d’une liste d’abonnés à une publication spécialisée traitant de questions délicates pourrait présenter davantage de risques que la perte d’une liste d’abonnés à un journal national. • Qui est le destinataire de l’information? Y a-t-il un lien entre les destinataires non autorisés et les personnes visées par les renseignements? Par exemple, les renseignements ont-ils été communiqués à une personne inconnue ou soupçonnée d’être mêlée à des activités criminelles, ce qui laisserait présager une utilisation inappropriée des renseignements personnels? Ou le destinataire est-il une personne connue, digne de confiance et susceptible, selon toute vraisemblance, de rendre les renseignements sans les communiquer ou les utiliser? • Quel préjudice la brèche dans les renseignements personnels pourrait-elle causer aux personnes concernées? Exemples : o risques pour la sécurité (p. ex., la sécurité physique); o vol d’identité; o pertes financières; o pertes commerciales ou perte de possibilités d’emploi; o humiliation, atteinte à la réputation ou détérioration des relations. • Quel préjudice la brèche dans les renseignements personnels pourrait-elle causer à l’organisation concernée? Exemples : o perte de confiance en l'organisation; o perte de biens; o risques financiers; o actions en justice (c.-à-d., poursuites en recours collectif). • Quel préjudice la notification de la brèche dans les renseignements personnels pourrait-elle causer au public? Exemples : o risques pour la santé publique; o risques pour la sécurité publique.

54 Étape 3 : Notification Notifier ou non? : Évaluer les risques de préjudice pour les personnes concernées et leur possibilité de prendre des mesures pour se protéger. Qui doit notifier: L’organisation qui entretient un rapport direct avec le client. Notification par une tierce partie dans certains cas Quand notifier : Le plus tôt possible après l’évaluation de l’incident, sans compromettre la tenue de l’enquête. Comment notifier : Notifier directement les personnes concernées. S’assurer que la méthode choisie pour notifier n’accroît pas le risque de préjudice.   Autres personnes à notifier : Commissaires à la protection de la vie privée, policiers, assureurs, compagnies émettrices de cartes de crédit, etc. Notifier ou non? Stratégie: Hydro Toronto, Les dossiers ont été accédés enligne: nom, numéro de compte et adresse des clients de Hydro, pas d’informations financières clients devaient recevoir des lettres les informant, (TOUS les clients, pas seulement ceux affectés). Crainte que qqun prétendant d’être Hydro les contacterait pour obtenir info sadditionnelles alors ont informé clients qu’ils ne feraient jamais cela. Qui doit notifer: Généralement, c’est à l’organisation qui entretient un rapport direct avec le client ou l’employé qu’il incombe de notifier les personnes concernées, y compris lorsque la brèche s’est produite chez un tiers fournisseur de services embauché à contrat pour tenir à jour ou traiter les renseignements personnels. Cependant, la notification par une tierce partie pourrait convenir davantage dans certaines circonstances. Par exemple, advenant une brèche dans les renseignements personnels concernant des cartes de crédit chez un marchand détaillant, la compagnie émettrice de cartes de crédit pourrait notifier elle-même les personnes concernées puisque le marchand pourrait ne pas avoir les coordonnées de ces personnes. Dans l’affaire de Mozilla magasin musique enligne. Mozilla qui s’est rendu compte du bris. Ils se sont entendus que les clients de Mozilla qui ont été impliqués seraient contacté directement par GatewayCDI. (Bris survenu au nievau du fournisseur de service de back end). Quand notifier: Les personnes concernées par l’incident devraient être notifiées le plus tôt possible après l’évaluation de l’incident. Cependant, si des responsables de l’application de la loi sont saisis de l’affaire, il conviendrait de leur demander si la notification devrait être différée pour ne pas compromettre la tenue de l’enquête. Dans l’affaire Université Oklahoma: A informé les détenteurs de permis en mai même si le bris a été découvert en mars. Excuse pour ce délai: 2 mois pour faire leur enquête. Leur enquête d.montre que le bris résulte probablement d’un tiers qui a accédé à leur serveur pour entreproser et faire la distribution de contenu illégal, et ne peut pas garantir que les renseignements des étudiants n’ont pas été accédés. Demande aux détenteurs de permis de vérifier leurs comptes et achats sur leurs cartes de crédit. Comment notifier: Il est préférable de notifier directement les personnes concernées (par téléphone, courrier, courriel ou en personne). On ne devrait généralement recourir à la notification indirecte (au moyen de sites Web, d’avis publics, de médias) que si la notification directe est susceptible de causer davantage de préjudices, que les coûts afférents sont excessifs ou que les coordonnées actuelles des personnes concernées sont inconnues. Il pourrait être approprié, dans certains cas, d’utiliser plusieurs méthodes de notification. Demandez-vous également si la méthode choisie pour notifier pourrait accroître le risque de préjudice (p. ex., en renseignant le voleur d’un ordinateur portatif sur la valeur de l'information contenue dans l'ordinateur). Sony playstation a donc afficher sur son site que les renseignements personnels de ses abonnés de certains services ont peut-être été divulgués à des tiers non autorisés. Network Solutions: Network Solutions has moved quickly to avert a public relations disaster by helping affected merchants notify their customers. The web hosting firm has also used social networking tools to alert merchants and their customers and set up a website to keep merchants informed and updated. A posting on the site emphasised that the data breach affected only Network Solutions' e-commerce customers. Customers of Network Solutions that have other products, such as domains, accounts, hosting and online marketing, were not impacted by this event," it said.

55 Étape 3 : Notification Libellé de la notification
Aperçu de l’incident et le moment où il s’est produit; Description des renseignements personnels en cause; Sommaire des mesures que l’organisation a prises pour contrôler les préjudices; Ce que l’organisation compte faire pour aider les personnes et les mesures que ces dernières peuvent prendre pour éviter ou réduire les risques de préjudice; Les sources de renseignements visant à aider les personnes à se protéger contre le vol d’identité; Les coordonnées d’un individu ou service de l’organisation qui peut répondre aux questions. Mention de toute communication au sujet du bris avec un commissaire à la protection de la vie privée et les coordonnées du commissaire. (iv) Autres personnes à notifier • Commissaires à la protection de la vie privée : Les organisations sont priées de signaler les cas concrets d'atteinte à la vie privée au bureau du commissaire à la protection de la vie privée approprié afin qu’il puisse répondre aux demandes de renseignements du public et à toute plainte éventuelle. Le/la commissaire pourrait également fournir aux organisations des conseils utiles pour faire face à ces situations. Par ailleurs, cette mesure pourrait contribuer à accroître la compréhension du public à l’égard des cas d'atteinte à la vie privée et à renforcer leur confiance en votre organisation. Les facteurs suivants devraient être pris en compte pour décider s’il convient de signaler une brèche dans les renseignements personnels à d’autres commissaires : o toute loi applicable pouvant exiger de notifier; o les renseignements personnels en cause sont-ils visés par une loi en matière de protection des renseignements personnels; o le type de renseignements personnels en cause, y compris ce qui suit : • les renseignements communiqués peuvent-ils être utilisés pour commettre un vol d’identité; • y a-t-il un risque raisonnable de préjudice découlant de la brèche dans la protection des données, y compris des pertes non financières; o le nombre de personnes concernées par la brèche; o les personnes concernées ont-elles été notifiées; o peut-on s’attendre raisonnablement à ce que le bureau du commissaire à la protection de la vie privée reçoive des plaintes ou des demandes de renseignements concernant la brèche. Que vous décidiez ou non qu’il est dans votre devoir de notifier les personnes concernées, il conviendrait de vous demander si les autorités ou les organisations suivantes devraient également être informées de la brèche, pourvu que de telles notifications soient conformes à la LPRPDÉ ou aux lois provinciales similaires en matière de protection des renseignements personnels : • Les policiers : en cas de vols ou d’activités criminelles présumés. • Les compagnies d’assurances ou autres : s'il est exigé de les notifier en vertu des obligations contractuelles. • Les ordres professionnels ou d’autres organismes de réglementation : si les normes professionnelles ou d’application de la réglementation l’exigent. • Les compagnies émettrices de cartes de crédit, les établissements financiers ou les agences d’évaluation du crédit : si leur aide est requise pour communiquer avec les personnes concernées ou pour atténuer les préjudices. • Autres parties internes ou externes qui n’ont pas déjà été notifiées : o les entrepreneurs de tierce partie ou les autres parties qui pourraient être concernés; o les unités opérationnelles internes qui n’ont pas été préalablement avisées de l’incident, p. ex. les Relations gouvernementales, les Communications, les Relations avec les médias et les cadres supérieurs; o les syndicats ou d’autres unités de négociation. Les organisations devraient évaluer les répercussions éventuelles que l’incident et la décision de notifier pourraient avoir sur des tierces parties, et prendre des mesures en conséquence. Par exemple, des tierces parties pourraient être touchées si des personnes annulent leur carte de crédit ou si des institutions financières émettent de nouvelles cartes.

56 Étape 4 : Prévention de futures atteintes à la vie privée
Enquêter sur les causes de l’incident et réfléchir à la nécessité d’élaborer un plan de prévention. Le plan de prévention pourrait prévoir ce qui suit : une vérification de la sécurité physique et technique; un examen des politiques et des procédures et tout changement témoignant des leçons tirées de l’enquête et subséquemment; un examen des pratiques de formation des employés; un examen des partenaires de la prestation de services; une vérification à la fin du processus pour déterminer si le plan de prévention a été mis en œuvre avec succès. (iii) Quel devrait être le libellé de la notification Le libellé de la notification variera selon la nature de l’incident et la méthode choisie pour notifier. La notification devraient faire part des renseignements suivants, s’il y a lieu : (…) • Ce que l’organisation compte faire pour aider les personnes et les mesures que ces dernières peuvent prendre pour éviter ou réduire les risques de préjudice ou pour se protéger davantage. Les actions possibles incluent des arrangements pour la surveillance du crédit et d’autres outils de prévention des fraudes, de l’information sur la façon de changer de numéro d’assurance sociale (NAS), d’assurance maladie ou de permis de conduire. Par exemple, pour obtenir un nouveau numéro d’assurance sociale, veuillez consulter le site suivant : • Les sources de renseignements visant à aider les personnes à se protéger contre le vol d’identité (p. ex., les conseils offerts sur le site Web du Commissariat à la protection de la vie privée à et sur le site Web d’Industrie Canada à Prenez garde de ne pas inclure de renseignements personnels superflus afin d’éviter toute autre communication non autorisée de renseignements personnels. Étape 4: - ex., les politiques sur la sécurité, les politiques sur la conservation des dossiers et la collecte de renseignements, etc.) - . ex., négociants, détaillants, etc.)

57 Ne pas oublier que: Lois étrangères (ex. certains États américiains) peuvent nécessiter une notification pour leurs résidants, peu importe la juridiction où se trouvent ces informations. Les individus peuvent s’attendre à recevoir une notification même si la loi n’oblige pas une telle notification (Ex: Disparition de dossiers personnels appartenant à des clients de la banque CIBC enjanvier 2007) Est-ce que l’obligation légale en matière de responsabilité civile (1457 C.c.Q.) peut s’appliquer? Deux lois canadiennes en matière de santé obligent à notifier La loi fédérale LPRPDE pourrait être amendée pour inclure cette obligation prochainement révision aux 5 ans commentaire récent de Jennifer Stoddard suite au bris de l’affaire Heartland Breach Notification Requirements Canada, unlike several states of the United States, has not generally adopted statutory provisions setting out notification requirements applicable when a security breach of personal information occurs. This being said, failure to notify such breaches may still, under certain circumstances, amount to a civil cause of action, provided that there exists a causal link between the fault and the damage suffered by the plaintiff. As well, various privacy commissioners in Canada have created breach notification guidelines which would be considered best practices[1]. [1] See, for example, (federal), (British Columbia) and (Alberta).