Décision américaine Omni Medsci et le danger d’employer le mauvais verbe, conjugué au mauvais temps, dans une cession de P.I.

Un tribunal américain se prononçait récemment, dans Omni Medsci, Inc. v. Apple Inc., quant au fait qu’une cession de propriété intellectuelle (de la «P.I.») peut bien n’avoir d’effet juridique que si on a employé le bon verbe, conjugué au présent. Bien que cela puisse surprendre compte tenu de l’abandon généralisé du formalisme, il demeure bien des situations en droit où il faut appeler un chat, un chat, si on espère parvenir au but recherché.

En effet, l’arrêt récent de l’United States Court of Appeals vient rejeter le recours en contrefaçon de brevet logé par une société nommée Omni Medsci, Inc. («Omni»), parce qu’elle n’était tout simplement pas propriétaire de ce brevet. Pas de brevet, pas de recours -évidemment!

L’explication de ce dérapage inhabituel dans l’affaire Omni découle d’un examen attentif des dispositions du contrat d’emploi d’un chercheur universitaire qui était l’inventeur initial de l’invention visée. En l’occurrence, le point de départ de la chaine de propriété de la P.I. en question débutait dans les mains d’un chercheur employé par l’University of Michigan (l’«Université»). Bien que le contrat d’emploi du chercheur contenait bien une clause traitant des inventions éventuelles de ce salarié à l’Université, on espérait parvenir à cette fin par une tournure de phrase disons malencontreuse.

La clause en question prévoyait que les brevets résultant du travail de l’employé «seraient la propriété de l’Université» (en anglais, «shall be the property of the University»), en évitant (pour une raison ou une autre), d’employer un verbe actif, tel «céder» ou «transférer», des verbes qu’on emploi pourtant normalement pour signifier qu’une partie exprime sa volonté de transférer dès maintenant la propriété d’intangibles à autrui. À défaut d’un tel verbe, peut-on quand même conclure à une cession? Après tout, on comprend ce que la clause essayait de dire, non? Non, justement, de dire essentiellement le tribunal d’appel.

Puisqu’on avait opté pour le verbe «être» qu’on avait de surcroit conjugué au futur, le tribunal conclu qu’on était pas ici en présence d’une véritable cession, ni d’un transfert immédiat de propriété. Au plus, à la lecture de cette clause, le tribunal conclu qu’au plus on est plutôt en présence d’une sorte de promesse d’éventuellement céder la P.I. visée à l’Université. Pour le tribunal, on doit tracer une distinction entre ce genre de langage vague conjugué au future («shall be…») et des formulation généralement acceptées telles «assigns», «agrees to assign» ou «does hereby grant title to…», etc. Pour les juges,  un tel énoncé dans un contrat se résume à un énoncé d’intention à venir, sans plus.

Bref, eh non, juridiquement parler d’une situation à venir («shall be…») n’égal pas à dire qu’une partie prend la décision maintenant de faire quelque chose qui produira des effets immédiats. À défaut de cession dans le contrat d’emploi du chercheur en question, la P.I. demeurait dans ses mains et l’Université ne pouvait donc pas l’avoir ensuite transférée à Omni. Échec et mat.

Ce genre de jurisprudence s’avère un bon rappel du fait que, bien que le droit se soit largement éloigné du formalisme (en Occident, du moins), eh oui il demeure des ingrédients essentiels dans la rédaction de contrats, incluant ceux censés transférer des droits de P.I. entre deux parties. À défaut de clarté parfaite dans un document de transfert de P.I., l’entité qui espérait mettre le grapin sur un intangible pourra se retrouver avec le bec à l’eau si le document supposé transférer l’actif en question n’a pas été préparé adéquatement. Bien qu’il soit vrai que c’est l’intention qui prime généralement, lorsqu’on interprète un contrat, même cette intention peut s’avérer difficile à confirmer si la rédaction d’une clause clé s’avère déficiente, en utilisant pas le verbe approprié, tel que conjugué au présent.

En résumé, si vous voulez transférer un actif, dites-le sans détour ni entourloupette de langage dans votre contrat!

Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Dérapage technologique: quand on oblige l’employé à installer une appli de géolocalisation sur son propre appareil

Les médias rapportent cette semaine une histoire intéressante au sujet d’entreprises exigeant que leurs employés installent une appli de géolocalisation sur leur appareil mobile afin de pouvoir suivre certains de leurs déplacements pendant leur journée de travail.

L’histoire en question se passe en Alberta, où une employée prétend que son congédiement récent découle de son refus d’installer l’application Blip que son employeur exigeait qu’elle utilise dorénavant. Cette application permet aux employeurs de créer une zone géorepérable (c’est un mot, ok, je note), en étant ensuite avisés quand un usager sort du périmètre.

Cette affaire soulève des problèmes intéressants relatifs à ce qu’on peut imposer à un individu, notamment dans le contexte d’un emploi, en particulier par rapport à ses données et à son propre appareil, sans parler de la collecte et de l’utilisation de données personnelles liées à son déplacement. Dans la mesure où c’est l’employé qui achète et paie pour l’utilisation de son appareil, un employeur peut-il réellement lui imposer d’installer puis d’activer une appli spécifique au seul bénéfice de l’entreprise? Quand un employé est salarié et n’a aucune possibilité de refuser (sans s’exposer à des sanctions), peut-on réellement parler de consentement? Évidemment pas, d’où le malaise qu’on peut ressentir à la lecture de telles histoires.

D’ailleurs, même si une application comme Blip ne permet pas de localiser l’employé à l’intérieur de la zone et est plutôt simplement pratique pour l’employeur afin d’aider son système de paie (par rapport aux heures travaillées sur place), cela ne signifie pas qu’on soit nécessairement en droit d’exiger l’utilisation de telles applis, du moins pas de cette façon, ni n’importe comment. Oui, un employeur peut très bien demander à son personnel de «pointer» au début et à la fin de son quart de travail (avec une carte et un horodateur), ce qui ne s’étend cependant pas automatiquement à pousser la chose jusqu’à exiger qu’un salarié installe une balise sur son propre appareil. Il s’agit d’un bon exemple de «dérapage technologique» qui tend à survenir quand on innove, en présumant que le contexte qui existait auparavant demeure le même malgré l’évolution de la techno dans un cas précis.

D’ailleurs, de façon générale (au Québec, comme dans plusieurs autres provinces canadiennes), les employeurs devraient généralement réserver l’utilisation de technologies de surveillance pour les cas problèmes, en évitant de mettre en œuvre des systèmes de ce type sans avoir de réel besoin dépassant le fait que cela s’avère pratique pour eux.

Quand un problème particulier se pointe, c’est une chose, mais imposer le port d’une balise à tous les employés sans bonne raison, surtout de la façon dont cela semble s’être fait ici, a certainement de quoi déranger. De plus, offrir à un salarié d’installer volontairement une appli qui lui évitera de devoir pointer manuellement, c’est une chose, lui en imposer une sur son propre appareil, qui générera et utilisera des renseignements personnels, une tout autre.