Archives mensuelles : avril 2021

Un tribunal américain permet au FBI de colmater les brèches de centaines de serveurs Exchange

Publié le par

On rapportait hier qu’un tribunal du Texas aurait rendu une ordonnance permettant aux forces de l’ordre d’accéder à des serveurs de courriels d’entreprises compromis par des pirates informatiques liés à l’état chinois. Le but: fermer des portes laissées déverrouillées par les attaques récentes d’envergure contre des serveurs Exchange.

Comme on s’en souviendra, des criminels ciblent depuis mars des serveurs affectés de quatre vulnérabilités permettant à des attaquants de les pénétrer et d’en piller les courriels et l’information, etc. Les intrusions résultantes ont notamment permis à des pirates de découvrir les secrets d’entreprises emmagasinés dans leurs serveurs Exchange et de déployer des rançongiciels.

Depuis, bien que Microsoft a déployé des correctifs logiciels, beaucoup d’entreprises tardent à appliquer ces correctifs, sans parler du fait que même une fois ces brèches colmatées, il est trop tard pour des centaines de réseaux d’entreprises déjà pénétrés et dans lesquels les pirates ont eu le temps d’installer des portes dérobées (ou «backdoors»). Si un malfrat vole vos clés de maison et a le temps d’en faire des doubles, êtes-vous toujours en sécurité chez vous une fois vos propres clés récupérées? Évidemment pas.

Devant ce fléau, le département américain de la Justice aurait obtenu qu’on autorise le FBI à accéder aux serveurs touchés par les vulnérabilités en question, par Internet, en donnant une commande de nettoyage aux serveurs qu’on sait infectés. Les forces de l’ordre expriment récemment leur désir d’étendre ainsi la gamme des outils à leur disposition afin de composer avec de pareils problèmes de cybersécurité.  

Eh non, la classification de Nice n’est pas ce qui compte en évaluant la confusion entre deux marques de commerce

Publié le par

Je tombais récemment sur une décision qui m’avait échappé l’an dernier : Obsidian Group Inc. c. Canada (Procureur général) (2020 CF 586) laquelle vient notamment confirmer qu’en matière de marques de commerce, au Canada, la classification de Nice (de produits et services) ne s’avère pas déterminante dans l’analyse de la confusion entre deux marques en présence. Eh oui, la classe dans laquelle ont été placés les produits ou services en association avec telle ou telle marque n’est tout simplement pas ce qui importe, du moins au moment d’évaluer le risque de confusion.

Comme on s’en souviendra, le Canada exige dorénavant que les demandes d’enregistrement de marques de commerce, au Canada, placent chacun des types de produits/services visés dans l’une des 45 classes de la classification créée par l’Arrangement de Nice, un traité auquel le Canada adhérait il y a deux ans. Depuis, toutes les nouvelles demandes doivent utiliser cette classification, les enregistrements existants étant en phase d’être aussi modifiés afin de l’utiliser. Cela dit, la jurisprudence vient s’harmoniser à celle de nombreux États étrangers, en minimisant l’importance réelle qu’a cette fameuse classification.

À ce sujet, ce qu’il faut comprendre, c’est que le paragraphe 6(2) de la Loi sur les marques de commerce prévoit qu’afin d’établir l’existence de confusion possible, la règle est la suivante:

L’emploi d’une marque de commerce crée de la confusion avec une autre marque de commerce lorsque l’emploi des deux marques de commerce dans la même région serait susceptible de faire conclure que les produits liés à ces marques de commerce sont fabriqués, vendus, donnés à bail ou loués, ou que les services liés à ces marques sont loués ou exécutés, par la même personne, que ces produits ou services soient ou non de la même catégorie générale ou figurent ou non dans la même classe de la classification de Nice.

Ainsi, bien qu’on puisse être tenté de ramener l’analyse de confusion à un exercice purement mécanique (de comparaison des classes de produits et services en présence), la Cour fédérale vient clairement rappeler dans cette décision que, comme c’est habituellement le cas à l’étranger, ce n’est pas la classe qui prime, du moins quand vient le temps de déterminer si deux marques portent à confusion l’une avec l’autre. Comme cela a toujours été le cas, c’est bien sur la liste des produits et services qu’il faut tabler, plutôt que de tenter d’accorder trop d’importance à la classe de Nice dans laquelle ils peuvent être insérés. Pour la Cour fédérale: « (…) ces classifications de Nice ne constituent pas des éléments fiables ou probants qui permettent d’établir l’existence d’une similitude ou de différences entre les produits et les services, et ce, même si elle en tenait compte.»

Ainsi, bien que la classification puisse s’avérer utile à certaines fins, le raisonnement du Bureau des marques, de la Commission des oppositions ou d’un tribunal ne devrait pas généralement se limiter à conclure qu’il existe ou n’existe pas de risque de confusion en se basant simplement sur les classes couvertes par les enregistrements de marques en présence.

L’important, c’est la liste des produits et services spécifiques qu’on couvre, pas le chiffre de la classe. Par exemple, bien que tous deux soient placés dans la classe 35, on peut aisément comprendre que des services de recrutement de personnel, d’une part, et des services de vente au détail de vêtements, d’autre part, ne se prêteraient pas aisément à de la confusion entre deux marques.

Dérapage technologique: quand on oblige l’employé à installer une appli de géolocalisation sur son propre appareil

Publié le par

Les médias rapportent cette semaine une histoire intéressante au sujet d’entreprises exigeant que leurs employés installent une appli de géolocalisation sur leur appareil mobile afin de pouvoir suivre certains de leurs déplacements pendant leur journée de travail.

L’histoire en question se passe en Alberta, où une employée prétend que son congédiement récent découle de son refus d’installer l’application Blip que son employeur exigeait qu’elle utilise dorénavant. Cette application permet aux employeurs de créer une zone géorepérable (c’est un mot, ok, je note), en étant ensuite avisés quand un usager sort du périmètre.

Cette affaire soulève des problèmes intéressants relatifs à ce qu’on peut imposer à un individu, notamment dans le contexte d’un emploi, en particulier par rapport à ses données et à son propre appareil, sans parler de la collecte et de l’utilisation de données personnelles liées à son déplacement. Dans la mesure où c’est l’employé qui achète et paie pour l’utilisation de son appareil, un employeur peut-il réellement lui imposer d’installer puis d’activer une appli spécifique au seul bénéfice de l’entreprise? Quand un employé est salarié et n’a aucune possibilité de refuser (sans s’exposer à des sanctions), peut-on réellement parler de consentement? Évidemment pas, d’où le malaise qu’on peut ressentir à la lecture de telles histoires.

D’ailleurs, même si une application comme Blip ne permet pas de localiser l’employé à l’intérieur de la zone et est plutôt simplement pratique pour l’employeur afin d’aider son système de paie (par rapport aux heures travaillées sur place), cela ne signifie pas qu’on soit nécessairement en droit d’exiger l’utilisation de telles applis, du moins pas de cette façon, ni n’importe comment. Oui, un employeur peut très bien demander à son personnel de «pointer» au début et à la fin de son quart de travail (avec une carte et un horodateur), ce qui ne s’étend cependant pas automatiquement à pousser la chose jusqu’à exiger qu’un salarié installe une balise sur son propre appareil. Il s’agit d’un bon exemple de «dérapage technologique» qui tend à survenir quand on innove, en présumant que le contexte qui existait auparavant demeure le même malgré l’évolution de la techno dans un cas précis.

D’ailleurs, de façon générale (au Québec, comme dans plusieurs autres provinces canadiennes), les employeurs devraient généralement réserver l’utilisation de technologies de surveillance pour les cas problèmes, en évitant de mettre en œuvre des systèmes de ce type sans avoir de réel besoin dépassant le fait que cela s’avère pratique pour eux.

Quand un problème particulier se pointe, c’est une chose, mais imposer le port d’une balise à tous les employés sans bonne raison, surtout de la façon dont cela semble s’être fait ici, a certainement de quoi déranger. De plus, offrir à un salarié d’installer volontairement une appli qui lui évitera de devoir pointer manuellement, c’est une chose, lui en imposer une sur son propre appareil, qui générera et utilisera des renseignements personnels, une tout autre.