IT.CAN Newsletter/Bulletin
May 11, 2017/11 mai 2017

Alberta law provides civil remedies for cyberbullying victims

Tort regarding non-consensual distribution of intimate images supplements recent criminal amendments

The Alberta legislature has passed a bill to provide civil remedies for victims of the non-consensual distribution of intimate images. Bill 202, Protecting Victims of Non-Consensual Distribution of Intimate Images Act, creates a new civil cause of action for what has become known “revenge porn” or non-consensual pornography. When the law comes into effect, in August 2017, it will be actionable in the province, without proof of harm, for anyone to distribute “an intimate image of another person knowing that the person depicted in the image did not consent to the distribution, or is reckless as to whether or not that person consented to the distribution”. The statute builds upon the criminal provisions for such actions added to the Criminal Code in Bill C-13 and closely follows the similar statute in Manitoba, the Intimate Image Protection Act.

An “intimate image” is defined as an image or video in which the person depicted is nude or includes the breasts, genitals or anal region, or depicts explicit activity. It is further defined with reference to the expectation of privacy that existed at the time the image was created or distributed:

  1. which was recorded in circumstances that gave rise to a reasonable expectation of privacy in respect of that image, and
  2. if the image has been distributed, in which the person depicted in the image retained a reasonable expectation of privacy at the time it was distributed;

Importantly, that expectation of privacy is not necessarily lost if the image was taken by another person or was given to another person where it was not to be further distributed:

Expectation of privacy

5 In an action for the distribution of an intimate image without consent, the person depicted in the image does not lose the expectation of privacy in respect of the image if that person

(a) consented to another person recording the images, or

(b) provided the image to another person,

in circumstances where that other person knew or ought reasonably to have known that the image was not distributed to any other person.

The bill also contains a public interest defence, which is similar to that found in the Criminal Code for other pornography and obscenity offences. Also of note, if the defendant in an action under the new law is a child, the statute specifically deems that the parent of the defendant will not be jointly and severally liable unless the parent “directly participated” in the distribution of the image.

BC Information Commissioner orders disclosure of email correspondence between CEO and a director of crown corporation

Director argued they were personal and outside the scope of the access to info law

The Office of the Information & Privacy Commissioner of British Columbia (OIPC) has ordered the British Columbia Lottery Corporation (BCLC) to release a range of email messages that were sent between the former CEO of the BCLC and one of its directors. The OIPC also found, in Order F17-20, that the BCLC had not improperly collected the director’s personal information.

In April 2010, a journalist made a very broad request for records under the province’s Freedom of Information and Protection of Privacy Act (FIPPA):

Please provide any copies of records sent between [the director] and British Columbia Lotteries Corp. board members, the Crown corporation‘s president and chief executive officer or its vice-presidents from December 10, 2005 onward.

The director was given notice as an affected third party and he objected to the disclosure of a range of emails between himself and the BCLC’s CEO. In the first round of adjudication before the OIPC, the director argued that certain of the emails were not within the BCLC’s legal custody and control. The OIPC declined to consider this issue and the director sought judicial review. The court sent the question back to the OIPC for consideration.

The OIPC’s adjudicator found, after considering relevant indicators of control (below), that the emails were under BCLC’s control for the purposes of ss. 3 and 4 of FIPPA. This is a key consideration as the statute only applies to records under the custody or control of a public body. If the records are not within the public body’s custody or control, the statute does not apply and the journalist would have no right of access. In this particular case, the adjudicator determined the question of “control” would dispose of the matter. The relevant indicators of control recited by the adjudicator include (from paragraph 26):

… whether: the record was created by an officer or employee in the course of carrying out his or her duties; the public body has statutory or contractual control over the records; the public body has possession of the records; the public body has relied on the records; the records are integrated within the public body‘s other records; the public body has the authority to regulate the use and disposition of the records; the content of the record relates to the public body‘s mandate and functions. The list of indicators is not exhaustive and not all will apply in every case.

The director claimed that the CEO (who was both a colleague and a friend) used his BCLC email account for his personal correspondence, in addition to his work correspondence and the emails between then were not created in the context of the CEO’s duties at BCLC. The adjudicator found that while the director did not view these exchanges as official communication, the CEO was not explicit in stating that he was only communicating with the director as a friend – additionally, the content of these emails were found to be related to matters arising out of the CEO’s duties. The overall purpose was the undertaking of BCLC business. In addition, the CEO created and received emails in the course of carrying out his duties at BCLC, the BCLC had statutory control over the emails in question and authority over the content, use and disposition of the emails.

As a further objection, the director argued that the records contained his personal information and should be withheld on that basis. The adjudicator found that some of the information in the director’s emails was “contact information” and therefore, could not be read as “personal information”. Some of the information, however, related to personal comments about family, friends and health so would fall into the category of “personal information”.

The director also argued that the BCLC had improperly collected his personal information: he did not volunteer his personal information to BCLC and that the CEO initiated the email correspondence which allowed BCLC to actively collect the director’s personal information. The adjudicator considered the meaning of “to collect” in the context of the statute (which also refers to “obtained or compiled” in other sections):

[79] Section 26 circumscribes public bodies in their acquisition of personal information, recognizing that in many situations individuals have no choice but to provide their personal information to obtain benefits or services. For example, if an individual wants a driver‘s licence or medical care, he or she is compelled to give personal information to the respective public body. Public bodies have control over this process. The term “collect” should thus, in my view, be interpreted narrowly to cover situations in which public bodies actively solicit personal information they need in order to provide those benefits or services. Thus, in my view, a public body “collects” information when it makes a conscious decision, or forms an intention, to actively seek or solicit personal information. [emphasis added]

The adjudicator did not accept the director’s argument that the BCLC actively collected his correspondence, concluding at paragraph 82 that:

…the director was under no compulsion to communicate with the CEO. … The director also voluntarily provided his personal information to the CEO when seeking the CEO’s assistance with his business matters. … I therefore find that BCLC did not “collect” the director’s personal information in the emails.

In the end, the adjudicator ordered the BCLC to disclose the emails with some redactions of personal information.

Cybersecurity for Business

Canadian Chamber of Commerce releases consultation report into cyber-security for Canadian businesses

On 31 March 2017 the Canadian Chamber of Commerce published Cyber Security in Canada: Practical Solutions to a Growing Problem. The goal of the report was to bring to the attention of Canadian businesses the significant and growing risks that stem from cyber-attacks of various kinds, to promote cyber-security as an important risk management practice, and to call for a federal government strategy to address all of this in the interest of protecting and promoting Canadian business interests. The report was generated by way of survey and round-table dialogue with Canadian businesses and stakeholders, as well as research and generation of data related to cyber-security, primarily drawn from the US.

In defining the problem of cyber-security, the report opens by noting the various threats posed by various forms of cyber-attack:

The most obvious impact of cybercrime is the direct costs to business, such as financial loss due to fraud, loss recovery, loss of business (churn), reputational damage, infrastructure, training, monitoring and the potential for a conviction for a Personal Information Protection and Electronic Documents Act (PIPEDA) compliance failure, which can be up to $100,000 per record. But other societal costs, which can be more complicated to place a value on, include increased consumer prices, job losses, IP and innovation crises, loss of confidence, damage to critical infrastructure and breach of national security.

The report provides an array of interesting facts and figures, including that Canada’s annual GDP is $1.83 trillion and the internet accounts for about 3.6% of economic activity, and that Canada loses approximately $3.7 billion to cybercrime each year. The number of businesses experiencing loss from cybercrime is increasing, particularly as regards ransomware, data breaches and denial of service attacks. There is particular concern about small to medium enterprises (SMEs)

The report’s “legislative health check” notes that most Canadian businesses surveyed were unaware of or did not understand their responsibilities under PIPEDA, including that:

  • Only 56% of reporting companies indicated that they were aware/compliant with schedule I of PIPEDA (which sets out an organization’s responsibly to protect personal information); and
  • Only 18% of respondents were aware if their organizations personal data was stored within Canada or elsewhere.

The report ends with a number of suggestions for strategies to be employed by government, or by government working in partnership with industry, including:

  • Transparency in sharing known vulnerabilities that could impact companies, even if these are being exploited to protect national security;
  • Maintaining critical infrastructure;
  • Establishing a clear path to responsible government departments, possibly by way of a “cyber czar”
  • Developing a “Secure Canada” approach to privacy and security
  • Developing a national cyber policy framework
  • Develop a cyber security baseline framework in cooperation with other G20 countries
  • Promote cyber education among Canadians
  • Promote an industry-led certification program and incentivize security innovation
  • Encourage readiness for the onset of quantum computing.

(with a contribution from Shreya Bose)

Security but no Lawful Access?

Commons Standing Committee report on national security indicates Spencer challenge not forthcoming

In early May 2017 the House of Commons Standing Committee on Public Safety and National Security released its ninth report, entitled Protecting Canadians and Their Rights: A New Roadmap for National Security. The report provides the Committee’s findings in its usual oversight capacity for Canada’s national security framework, particularly the work of the Canadian Security Intelligence Service (CSIS), and also includes the Committee’s consideration of Bill C-22, the proposed Act to Establish the National Security and Intelligence Committee of Parliamentarians. Buried in the report’s 41 recommendations, however, was the following:

Recommendation 39

That at this time, and following the Supreme Court of Canada’s decision in R. v. Spencer, no changes to the lawful access regime for subscriber information and encrypted information be made, but that the House of Commons Standing Committee on Public Safety and National Security continue to study such rapidly evolving technological issues related to cyber security.

As many readers will know, there have been recent rumblings in government and among Canadian police authorities to attempt to craft laws which might temper the impact of the Spencer decision and allow some forms of warrantless access to user information. As Professor Geist writes, however, the Committee’s recommendation “presumably reflects current government thinking on the issue. If so, it suggests that the government has no immediate plans to reform lawful access.”

Manque de place sur la clé USB : demande de révision en matière d’accès rejetée

Dans le cadre d’une demande de révision en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, la demanderesse veut obtenir les 2493 pages en format PDF, et ce, gratuitement. Elle aurait pu les obtenir sauf si leur reproduction soulève des difficultés pratiques sérieuses, en raison de leur forme.

Or, la preuve démontre que l’organisme n’a pas comme tel refusé de communiquer à la demanderesse ces mêmes documents en format PDF, comme elle le souhaite et comme l’article 23 de la Loi concernant le cadre juridique des technologies de l’information lui en donne le droit, dans la mesure où cela est possible. Mais la preuve démontre que l’organisme a tenté de numériser ces mêmes pages et les enregistrer sur une clé USB, ce qui a été impossible, puisque cette clé n’a pas la capacité suffisante pour contenir toutes ces pages. Il s’agit de difficultés pratiques sérieuses qui doivent être prises en considération et l’organisme en a fait la preuve à la satisfaction de la Commission. Vu l’impossibilité pour l’organisme à communiquer à la demanderesse les 2493 pages en format PDF, il appartient donc à celle-ci d’acquitter le montant de 200 $ pour pouvoir obtenir les 2 493 pages sur support papier. La décision de l’organisme doit être maintenue et la demande de révision de la demanderesse rejetée.

Contrat de réfection d’un site web : obligation de résultat

La demanderesse cherche à recouvrer les dommages qu’elle estime attribuables au résultat inacceptable de la réfection de son site Web qui a été confiée au défendeur. Le défendeur conteste la réclamation en alléguant avoir fait le travail tel que requis et conformément à l’entente entre les parties. Il invoque en outre qu’il a toujours été disponible pour répondre promptement aux besoins de la cliente.

Le Tribunal indique qu’il s’agit d’un contrat de service par lequel une personne s'engage envers une autre personne à réaliser un service moyennant un prix que le client s'oblige à lui payer. Le prestataire de service a le libre choix des moyens d’exécution du contrat et il n’existe entre lui et le client aucun lien de subordination quant à son exécution. Cependant, il est tenu d’agir au mieux des intérêts de son client avec prudence et diligence. Le prestataire de service est aussi tenu, suivant la nature de l’ouvrage à réaliser ou du service à fournir, d’agir conformément aux usages et règles de son art et de s’assurer, le cas échéant, que l’ouvrage réalisé ou le service fourni est conforme au contrat

Lorsqu’il est tenu au résultat, le prestataire de service ne peut se dégager de sa responsabilité qu’en prouvant la force majeure. La preuve a démontré qu’il n’a pas pu livrer ce qui avait été convenu et nécessaire aux besoins de la demanderesse. La plate-forme Flash, bien que fonctionnelle à l’époque du contrat, était de plus en plus abandonnée de sorte qu’il était risqué de recommander à un client de refaire son site sur cette plate-forme. Le défendeur connaissait ou aurait dû connaître l’évolution de l’industrie et mettre en garde la demanderesse contre cet inconvénient. À plus forte raison, à cause du fait que le commerce en ligne devait de plus en plus être compatible et visible sur les appareils mobiles. Il est établi que le résultat du travail fourni par le défendeur n’est pas à la hauteur des attentes de la demanderesse et non plus des obligations de résultat qu’il avait contractées. Il avait l’obligation de conseiller adéquatement et objectivement sa cliente et de lui installer un site Web qui serait au moins aussi efficace si pas plus que le site ancien.

Malgré ces inconvénients et les irritants causés aux clients ainsi qu’à la demanderesse, il reste que le défendeur a effectué un travail qui a été approuvé et dont le résultat est encore fonctionnel. On ne peut pas dire que le travail du défendeur est totalement inutile. Par conséquent, la demanderesse est mal venue de demander le remboursement de la totalité de l’argent pour un service dont le résultat continue à lui être utile et pour un site Web qui est encore utilisé. La demanderesse a le droit d’être compensée pour la brièveté de la durée utile de ce site Web à cause de la perte de popularité de la plate-forme Flash plus que pour les inconvénients qui découlent du changement et les quelques problèmes à corriger.

Dépôt en preuve de profil Facebook d’une travailleuse

L’employeur dépose au Tribunal administratif du travail (le Tribunal) une requête en révision d’une décision déclarant irrecevables les extraits du profil Facebook de la travailleuse que l’employeur désirait déposer en preuve. Dans sa requête, la procureure de l’employeur soumet essentiellement que le premier juge administratif a commis des erreurs dans l’appréciation de la preuve en inférant, du seul témoignage de la travailleuse, que l’employeur avait obtenu les extraits du compte Facebook par des moyens frauduleux et par un subterfuge.

D’abord, la procureure de l’employeur allègue que le premier juge administratif commet une erreur de droit en appliquant les critères édictés par la Cour d’appel dans l’affaire Bridgestone [(1999 CanLII 13295 (QC CA), qui précise que la surveillance hors des lieux de travail peut être admise si elle est justifiée par des motifs rationnels et conduite par des moyens raisonnables] car ceux-ci ont été élaborés dans le cas particulier d’une filature alors que l’expectative de vie privée n’est pas la même dans les réseaux sociaux. Pour le Tribunal, ces arguments auraient dû être soulevés devant le premier juge administratif. En aucun temps la procureure de l’employeur n’a expressément plaidé devant le premier juge administratif que les enseignements de la Cour d’appel dans l’affaire Bridgestone ne trouvaient application et qu’il fallait donc les écarter, ni que le compte Facebook de la travailleuse à l’époque pertinente avait un caractère public. Le Tribunal rappelle que le recours en révision ou en révocation n’est pas un appel déguisé ni l’occasion pour une partie de bonifier sa preuve ou de peaufiner ses arguments. Le premier juge administratif n’a pas commis d’erreur de droit et son raisonnement constitue une issue possible. En décidant d’appliquer les critères élaborés dans l’affaire Bridgestone, il ne se démarque pas d’une jurisprudence unanime ni ne se dissocie d’un raisonnement juridique jusqu’alors bien établi, car il s’agit d’un reflet de l’état de la jurisprudence applicable en pareille matière.

L’employeur allègue aussi que le premier juge administratif a commis une erreur manifeste de droit en concluant à l’utilisation par l’employeur d’un subterfuge et de moyens frauduleux, le tout par présomptions de fait, alors que la preuve était contradictoire et la version de la travailleuse, non corroborée. Mais le Tribunal retient que le premier juge administratif a clairement identifié comme motif au soutien de sa décision que la non-divulgation de l’identité de la source de l’employeur privait la travailleuse de son droit à une défense pleine et entière. Il a d’ailleurs expressément demandé à la procureure de l’employeur comment la travailleuse pouvait remplir son fardeau de démontrer que les extraits du compte Facebook avaient été obtenus de manière illicite si elle ne connaissait pas l’identité de la personne délatrice. Une preuve, dont le dépôt se fait en violation du droit pour une partie à une défense pleine et entière peut être considérée comme n’étant pas de nature à servir les intérêts de la justice. Par conséquent, la requête en révision ou en révocation de l’employeur est rejetée

E-réputation et régulation des opinions sur Internet

Dans un univers caractérisé par la recherche de l’attention, la généralisation des activités ludiques et transactionnelles dans les réseaux accentue l’importance de la régulation des systèmes d’information sur la réputation (reputational systems). La régulation des systèmes de e-réputation doit procurer un équilibre entre, d’une part, la nécessité de protéger la réputation des personnes et, d’autre part, le besoin d’informations crédibles pour assurer les prises de décisions. On entend par « régulation » l’ensemble des processus juridiques ou techniques par lesquels le comportement des divers acteurs agissant dans le réseau est maintenu et ajusté en conformité avec des règles ou des normes. La régulation peut résulter des lois adoptées par les États. Elle découle aussi des autres normativités qui génèrent des contraintes, des risques ou des occasions dans l’environnement d’Internet. Les ressources en ligne diffusant des informations sur les personnes et sur les entreprises tiennent un rôle névralgique dans la structuration des enjeux relatifs à la réputation. Leur fonction dans le déroulement des transactions en ligne est devenue déterminante. Le cadre juridique de l’e-réputation doit assurer à la fois la protection de la réputation des personnes et l’intégrité des processus transactionnels, ceux-ci reposant de plus en plus sur la crédibilité et la confiance des différents acteurs. Ils sont tributaires de la disponibilité et de la qualité de l’information. Dans ce texte, il est fait état des notions et enjeux fondamentaux relatifs à l’e-réputation. Les principaux mécanismes de gestion des enjeux et risques des sites de notation sont ensuite présentés.

  • Pierre TRUDEL, « E-réputation et régulation des opinions sur Internet » dans Francine Charest, Christophe Alcantara, Alain Lavigne et Charles Moumouni (dir.), E-réputation et influenceurs dans les médias sociaux, Québec, PUQ, 2017, 364 p. aux pages 95 à 108.

Travail salarié et technologies de l’information

Désormais, une connexion Internet et l'équipement approprié suffisent pour effectuer sa prestation de travail en dehors du lieu habituel de travail : chez soi, dans un café, dans un bureau satellite, et ce, à travers le monde. Les salariées effectuant du télétravail ont moins de flexibilité que les travailleuses autonomes pour déterminer, par exemple, le lieu où la prestation de travail sera réellement effectuée en raison du lien de subordination qui persiste entre celles-ci et leur employeur. Il n'en demeure pas moins que ces salariées télétravailleuses bénéficient de nombreux avantages à l'égard notamment de leur horaire, de l'économie de temps de déplacement et de la conciliation travail-famille. Toutefois, ce mode atypique d'exercice de la prestation de travail chamboule considérablement l'application du régime législatif en matière de relations de travail : comment s'exercera réellement la subordination juridique de l'employeur qui se trouve à distance? Comment l'employeur s'assurera-t-il de respecter ses obligations en matière de santé et sécurité du travail ? Comment une association de salariées survivra-t-elle à l'éloignement géographique existant entre les salariées ? Comment la vie privée des salariées sera-t-elle préservée ? Cette analyse évoque certaines pistes de réponses à ces questions.

  • Anne Julie COUTURE et Marianne ROUTHIER-CARON, « Qui dit nouvelles technologies, dit nouvelle ère pour le droit du travail », dans Développements récents en droit du travail (2017), Service de la formation continue du Barreau du Québec, EYB20172481.

Enjeux juridiques des FinTechs

En mobilisant des technologies novatrices et conviviales, les FinTechs perturbent un marché traditionnellement restreint aux institutions financières établies en offrant aux consommateurs canadiens une nouvelle forme d'accessibilité aux services financiers de façon efficace et à bon coût. Cependant, la réglementation actuelle en matière de droit bancaire, de droit des valeurs mobilières, de distribution de produits et de services financiers, d'assurances, de protection des renseignements personnels et de protection du consommateur crée certains enjeux et défis liés à l'intégration des FinTechs dans le marché des services financiers. Évidemment, cette réglementation est appelée à évoluer grandement au cours des prochaines années. Cet article vise donc à exposer les enjeux et les défis reliés aux FinTechs au plan réglementaire, de même qu'à souligner certains éléments que devraient garder à l'esprit les intervenants qui assistent les FinTechs et les institutions financières dans la réalisation de projets technologiques. Il se veut principalement un guide des principaux enjeux à prendre en compte dans ces divers secteurs afin de mieux naviguer dans l'environnement réglementaire québécois.

  • Sylvie BOURDEAU, Nicolas FAUCHER et Charles Alexandre BROSSEAU, « Les FinTechs : quels sont les enjeux juridiques ? », Développements récents en droit bancaire (2017), Service de la formation continue du Barreau du Québec, EYB2017DEV2463.

Le droit du paiement virtuel

Traditionnellement, les modes de paiement étaient sous la tutelle des banques, tant pour l'émission et la négociation d'effets de commerce que pour l'émission de cartes de crédit ou de débit. L'ouverture d'Internet aux relations commerciales a pavé la voie à l'arrivée de nouveaux prestataires commerciaux de services de paiement, appelés FinTech. Les Google, Apple, Facebook et Amazon – surnommés GAFA – peuvent maintenant jouer sur le même terrain que les banques, mais tout en étant assujettis à des règles différentes, que ce soit pour la constitution de l'entreprise, la composition du conseil d'administration, les pouvoirs et les obligations, ainsi que l'assurance des produits déposés dans des comptes. À ce premier problème se juxtapose la question d'orientation politique suivante : est-ce que les règles entre les émetteurs et les usagers doivent être contraignantes ou présentées sous la forme de normes et de codes de conduite ? Pour favoriser l'essor du commerce électronique, la confiance en une monnaie et la convergence qu'elle engendre doivent encourager le développement soit d'une unité de compte propre à Internet, soit d'un mécanisme de transfert de fonds intrinsèque au cyberespace. Ce texte présente d'abord le contexte de la réglementation canadienne en matière de paiement de consommation, puis le paiement mobile (et sans contact) et, enfin, la monnaie virtuelle.

À signaler :