Dans la législation sur la protection des renseignements personnels, un droit d'action privé n'est pas une proposition tout ou rien

Étant donné que l'impasse sur les droits d'action individuels rend improbable la législation fédérale sur la protection des renseignements personnels sans un droit d'action privé sous une forme ou une autre, notre rapport recommande un recours ciblé permettant aux individus de poursuivre pour certaines violations de la législation de base sur la protection des renseignements personnels. Nous recommandons de concentrer ces cas sur les violations qui affectent le plus directement la vie privée des individus en limitant généralement le recouvrement à des «dommages réels», exigeant une responsabilité «consciente ou téméraire» accrue pour la plupart des dispositions légales et une norme «volontaire ou répétée» pour des dispositions plus procédurales, et filtres procéduraux supplémentaires. Ce billet explique la justification et la mécanique de notre proposition.

Le Golfe sur les droits privés d'action

Aucun problème dans le débat sur la vie privée n'est aussi polarisé que celui de savoir si les individus devraient pouvoir intenter des poursuites pour violation de la vie privée. Les poursuites privées – en particulier les recours collectifs des consommateurs – sont un anathème même pour les entreprises respectueuses de la vie privée, tandis que pour de nombreux groupes de consommateurs, de protection de la vie privée et de droits civils, elles constituent des objectifs fondamentaux.

Ces positions polaires sont reflétées dans les projets de loi sur la protection de la vie privée des dirigeants du Sénat et du Comité du commerce de la Chambre publiés à la fin de l'année dernière, dont deux que nous avons abordés dans notre première pièce de cette série: la loi COPRA (Consumer Online Privacy Rights Act) du sénateur démocrate Maria Cantwell, le républicain Sen Le projet de loi américain sur la confidentialité des données des consommateurs (USCDPA) de Roger Wicker et le «projet de discussion bipartite du personnel de la House Energy & Commerce Committee».

L'USCDPA ne contient aucune disposition prévoyant un droit d'action privé. COPRA en a un (article 301 (c)), et il permet toutes les formes de réparation — y compris les dommages-intérêts punitifs, les frais de contentieux et les dommages-intérêts statutaires de 100 $ à 1 000 $ par jour ou le montant des dommages réels — sans aucune limite procédurale ou substantielle pour restreindre les revendications. Le sénateur républicain Jerry Moran et le sénateur démocrate Richard Blumenthal ont essayé et échoué à négocier une disposition plus limitée, alors Moran est allé de l'avant et a publié son propre projet de loi cette année sans droit individuel de poursuivre. Pendant ce temps, le projet de discussion de la Chambre contient une disposition d'espace réservé sur un droit d'action privé qui se compose uniquement de crochets.

Bien que les cadres de protection de la vie privée plus larges définis dans la COPRA et l'USCDPA soient prometteurs à bien des égards et que les parties prenantes s'accordent sur plusieurs aspects importants des propositions, il y a eu peu de discussions et aucun progrès depuis leur publication. En effet, les récents projets de loi sur la protection de la vie privée pour les données de traçage et de notification des contacts avec les coronavirus présentent des images miroir de l'écart au sein de la COPRA et de l'USCDPA en ce qui concerne les droits d'action privés. Et tant que les protagonistes resteront dans leurs propres coins sur cette question, les progrès – que ce soit sur une législation spécifique à une pandémie ou une législation complète sur la vie privée – resteront probablement au point mort. Nous avons cherché à trouver une voie médiane sur cette question pour éviter les choix ou qui, autrement, conduiraient à l'échec.

Intérêts concurrents en jeu

Pour tracer la voie à suivre, il faut identifier les besoins concrets de chaque côté de cette fracture et explorer s'il existe des formes de droit d'action avec lesquelles l'industrie pourrait vivre, et certaines limites avec lesquelles les organisations de défense des droits pourraient vivre. Les avocats plaident deux raisons principales pour autoriser les poursuites privées. L'une, sans surprise, consiste à permettre aux individus de demander réparation pour les blessures résultant de violations des droits à la vie privée légalement protégés. La seconde consiste à compléter l'application publique de la loi en ajoutant des individus comme multiplicateurs de force à la Federal Trade Commission et aux procureurs généraux des États. À leur tour, de nombreux représentants de l'industrie ne sont pas opposés à tous les litiges privés, mais sont généralement préoccupés par ce qu'ils considèrent comme des poursuites pour nuisance. À leur avis, il existe également un potentiel de recours collectifs et de multiplicateurs de dommages (comme les dommages-intérêts statutaires, les dommages-intérêts punitifs et les dommages multiples) pour augmenter la valeur de nuisance des poursuites indépendamment de leurs mérites. Chacune des positions des défenseurs et de l'industrie a une certaine force. Nous voyons la force de chacun de ces intérêts.

Peu de personnes contesteraient le fait que certains types d'atteintes à la vie privée devraient être indemnisables. Par exemple, la pornographie non consensuelle ou l'utilisation d'applications de traque ou de logiciels espions contre un ancien conjoint ou partenaire sexuel tomberaient dans cette catégorie. De même, il est incontestable que la perte financière – par exemple, en raison du vol d'identité – devrait pouvoir être récupérée, bien que la nature exacte et l'étendue du préjudice soient souvent débattues. Ce sont les types de blessures qui ont des antécédents en common law et en droit statutaire depuis que Samuel Warren et Louis Brandeis ont écrit leur article sur le droit fondamental, «Le droit à la vie privée», en 1890.

Aujourd'hui, le paysage de la confidentialité aux États-Unis contient de nombreuses lois autorisant des poursuites individuelles. L'ancêtre des lois fédérales sur la protection de la vie privée, le Fair Credit Reporting Act (FCRA), permet aux particuliers de poursuivre les agences d'évaluation et de récupérer au moins 100 $ ou des dommages réels, des dommages-intérêts punitifs en cas de violations «intentionnelles ou intentionnelles» et des honoraires d'avocat raisonnables dans tous les cas. . Sa progéniture – la Loi sur la protection des renseignements personnels, la Loi sur le droit à la vie privée financière, la Loi sur la politique de communication par câble, la Loi sur la confidentialité des communications électroniques, la Loi sur la protection de la confidentialité des vidéos et la Loi sur la protection des consommateurs par téléphone – permettent toutes des poursuites individuelles de diverses façons. Il existe également un historique de lois étatiques prévoyant des recours pour exprimer le droit à la vie privée ainsi que des délits de droit commun en cas d'atteinte à la vie privée. En outre, les 50 États ont adopté des lois sur les actes et pratiques déloyaux et trompeurs, dont beaucoup prévoient des poursuites individuelles.

Lorsque William Prosser a organisé les délits contre la vie privée et le «droit à la vie privée» de Warren / Brandeis en quatre catégories principales, il y a plus de 50 ans, il a noté «(t) la difficulté de mesurer les dommages». Cette difficulté persiste aujourd'hui et est l'une des raisons pour lesquelles bon nombre des lois fédérales précédemment énumérées comprennent des dommages-intérêts statutaires avec des sommes ou des fourchettes spécifiques. Celles-ci servent à défendre les intérêts de la vie privée en assurant un recouvrement pour un demandeur en vigueur indépendamment des dommages réels.

La Loi sur la protection des consommateurs par téléphone (TCPA) est particulièrement controversée à cet égard. Bien qu'adopté pour lutter contre les appels automatisés pestilentiels, il cible l'utilisation des numéroteurs automatiques de manière plus large et a donc empêché les entreprises légitimes de contacter leurs propres clients, créé une confusion quant à savoir si les réponses automatisées constituent la numérotation automatique et a conduit à des réclamations basées sur le traitement des demandes de non-appel. trop lentement. Le TCPA autorise un droit d'action privé pouvant aller jusqu'à 500 $ par violation, ce qui, selon certains observateurs, autorise des allégations de «piège». En 2019, cette loi a produit l'indemnité de dommages-intérêts la plus élevée en vertu d'une loi sur la protection des renseignements personnels – 925 millions de dollars – dans le cadre d'un recours collectif contre le spécialiste du marketing à plusieurs niveaux ViSalus, Inc.

Tout le monde déteste les appels automatisés, mais même les défenseurs de la vie privée peuvent se demander s'ils constituent l'une des pires atteintes à la vie privée. Le verdict du procès Wakefield c. ViSalus, Inc. démontre comment les dommages-intérêts légaux, multipliés par un grand nombre de membres du recours collectif, peuvent s'additionner. Une exposition comme celle-ci attire l'attention des C-suites et des conseils d'administration car elle peut être suffisante pour exiger la communication d'informations sur les risques de litige pour les dépôts de titres et les bilans. Les effets de ces multiplicateurs étaient une préoccupation majeure des entreprises avec lesquelles nous nous sommes entretenus sur cette question avant la rédaction de notre rapport.

Nos recommandations pour une disposition relative au droit d'action privé tentent d'équilibrer les intérêts identifiés ci-dessus. Bien que les litiges privés soient imparfaits pour l'application et l'élaboration des politiques, ils peuvent servir d'outil supplémentaire et l'exposition au risque de litige concentre l'esprit collectif de la gestion d'entreprise. Le système de responsabilité délictuelle de droit commun fondé sur des soins raisonnables a amélioré la santé et la sécurité des lieux de travail, des bâtiments, des véhicules, des drogues et des produits de consommation. Le processus itératif de décision au cas par cas fait partie d'une approche plus large, flexible et fondée sur les risques pour protéger la vie privée qui fait partie intégrante de notre rapport.

Droits substantiels étagés

Nous incorporons une approche à plusieurs niveaux de l'application privée en proposant des normes différentes pour chaque disposition. Nous recommandons trois niveaux de responsabilité différents, chacun nécessitant une norme d'état d'esprit bien établie pour différentes catégories de violations de la loi sur la confidentialité. Ces niveaux sont liés, en premier lieu, aux obligations de fond proposées qui recadrent les dispositions de la COPRA et de l'USCDPA en deux obligations plus larges applicables à toutes les entités couvertes par la loi fédérale sur la protection des renseignements personnels.

L'un est un «devoir de loyauté» qui obligerait les entités couvertes à mettre en œuvre des politiques et des pratiques raisonnables pour protéger la vie privée des individus «adaptées à la taille et à la complexité de l'entité couverte et au volume, à la nature et à l'utilisation prévue des données couvertes traitées»; limiter le traitement des données à des fins «nécessaires (et) proportionnées», conformément à la COPRA et à l'USCDPA; et exiger la communication des pratiques en matière de données «de manière équitable et transparente». Le second est un «devoir de diligence» basé sur une section «pratiques de données nuisibles» dans COPRA. Cela interdirait aux entités couvertes de traiter les données couvertes de manière à «causer de manière raisonnablement prévisible» les dommages énumérés. Ces préjudices comprennent les préjudices financiers, les intrusions dans la vie privée ou l'intimité «hautement offensantes et inattendues pour une personne raisonnable», la discrimination «en violation des lois fédérales antidiscrimination ou des lois antidiscrimination de tout État ou de sa subdivision politique applicables à l'entité couverte», et autres « préjudice substantiel. « 

Les blessures couvertes par cette obligation de diligence sont largement reconnues comme indemnisables en vertu du droit de la vie privée en common law, des lois sur la protection des consommateurs et des lois contre la discrimination. Ainsi, l'obligation viserait spécifiquement les types de blessures que nous suggérons qu'un droit d'action privé devrait raisonnablement protéger. Par conséquent, pour les violations de l'obligation de diligence, nous ne proposons aucune norme d'état d'esprit renforcée. En d'autres termes, les entités couvertes pourraient toujours être tenues responsables même si elles ne sont au courant d'aucune violation de l'obligation de diligence, mais elles ne seraient pas soumises à une clause de responsabilité stricte (comme elles le pourraient en vertu de la disposition COPRA sur les pratiques néfastes en matière de données), car l'élément de prévisibilité raisonnable importe une norme de négligence.

Nous recommandons ensuite de traiter le devoir de loyauté et les autres obligations de fond – y compris le consentement, la sécurité des données et les droits civils – selon une norme de «méconnaissance consciente ou téméraire de la vie privée ou de la sécurité des individus». Ici, le but n'est pas de permettre une poursuite pour chaque violation de la sécurité des données ou l'échec à obtenir affirmative exprimer son consentement avant de collecter des données sensibles, mais plutôt pour s'assurer que les mauvais acteurs ne sont pas à l'abri des poursuites.

Pour intenter des poursuites privées liées à des dispositions en dehors de celles-ci, nous recommandons d'exiger des plaignants qu'ils démontrent des violations «délibérées ou répétées» de la loi. Cela s'appliquerait aux dispositions affectant les droits individuels d'accès, de correction, de suppression, de portabilité des données et d'autres recours; nomination d'agents de protection de la vie privée et de sécurité; réalisation d'évaluations des risques; et des divulgations de confidentialité complètes. Ce sont des dispositions administratives qui sont importantes pour la reddition de comptes et les pratiques efficaces de protection de la vie privée, mais qui n’ont pas nécessairement un impact direct sur la protection de la vie privée d’une personne. La norme «volontaire et répétée» empêcherait les poursuites «contrevenantes» pour des violations sans impact réel sur les individus, mais aiderait à prévenir les schémas ou pratiques de violation de ces exigences de responsabilité ou tout autre mépris flagrant.

Niveaux de dommages

En dehors des cas de violations «volontaires ou répétées» de toute disposition, nous recommandons que les entités couvertes soient protégées des dommages-intérêts légaux. Ainsi, pour les violations statutaires qui ne sont pas «volontaires ou répétées», nous limiterions généralement le recouvrement aux dommages réels pour les blessures subies, plus les honoraires d'avocat et les frais de justice ainsi que toute réparation équitable qu'un tribunal accorde à sa discrétion. Les événements ponctuels peuvent affecter de nombreuses personnes, par exemple lorsqu'une organisation modifie ses politiques de confidentialité, il serait donc utile de préciser qu'une violation n'est pas considérée comme répétée «uniquement en raison du fait qu'elle affecte un grand nombre de personnes au sein d'un courte période.  » Cela exclurait les dommages-intérêts statutaires pour des événements ponctuels tout en laissant la porte ouverte pour obtenir des dommages-intérêts pouvant aller jusqu'à 1 000 $ par jour pour des violations qui se poursuivent sur une certaine période.

Comme discuté ci-dessus, les questions sur la nature et l'étendue des dommages sont depuis longtemps un problème dans les litiges relatifs à la vie privée. À l'ère en ligne, les tribunaux se sont penchés sur la question constitutionnelle de savoir si les plaignants remplissent les conditions requises en vertu de l'article III de la Constitution – qui fonctionnera également comme un facteur limitant à une loi fédérale sur la protection des renseignements personnels. Par exemple, dans Spokeo, Inc. c. Robins (2016), Robins a intenté un recours collectif en vertu de la FCRA – la première loi fédérale sur la confidentialité – alléguant qu'un «moteur de recherche de personnes» affichait des informations personnelles incorrectes à son sujet. La Cour suprême a renvoyé l'affaire devant les juridictions inférieures afin de déterminer si les allégations de préjudice immatériel étaient à la fois «suffisamment détaillées» et «concrètes» pour présenter une affaire ou une controverse éligible aux fins de l'article III; en détention provisoire, la Cour d'appel des États-Unis pour le neuvième circuit a conclu que c'était le cas.

En discutant de ces exigences, la Cour a noté que le préjudice «concret» doit être «réel et non abstrait», mais aussi que la violation des droits «intangibles» tels que la liberté d'expression et le libre exercice de la religion peut s'appliquer. Bien que le tribunal ait statué que toutes les inexactitudes ou violations de procédure en vertu de la FCRA ne constituent pas un préjudice concret, il a reconnu qu'en examinant «si un préjudice immatériel constitue en fait un préjudice, l'histoire et le jugement du Congrès sont instructifs». le Spokeo Le tribunal a spécifiquement reconnu que «le Congrès est bien placé pour identifier les dommages intangibles qui satisfont aux exigences minimales de l'article III.» Cela invite le Congrès à articuler les atteintes à la vie privée. Cela peut aider à surmonter les obstacles, mais peut ne pas résoudre les problèmes liés à l'établissement des dommages.

Dans les litiges relatifs à la liberté d'expression et au libre exercice, le succès prend souvent la forme d'une injonction. Ici, la disponibilité des honoraires et des frais d'avocat peut alléger les charges et les désincitations à introduire des litiges constitutionnels et créer une exposition pour les défendeurs. Permettre aux tribunaux d’accorder des frais de procédure raisonnables et des honoraires d’avocat pour des poursuites privées servirait le même objectif pour les affaires de confidentialité.

Filtres procéduraux

Sur la base principalement du Massachusetts Consumer Protection Act, nous recommandons une forme d'avis et la possibilité de guérir. Dans notre rapport, il est lié à l'exercice d'un «droit de recours» proposé, mais il pourrait être adopté en tant que disposition indépendante. Cette loi exige qu'un demandeur donne d'abord à l'entreprise concernée un avis de 30 jours de la réclamation et atteste de l'avis et de l'omission d'agir avant d'intenter une poursuite pour actes ou pratiques déloyaux ou trompeurs. Obliger les individus à exercer leur droit de recours leur donnerait un moyen simple de résoudre les réclamations, tout en permettant aux entités couvertes de mettre un terme aux litiges. Nous notons qu'il devrait y avoir une exception pour les situations, telles que le harcèlement criminel, qui présentent un risque de blessure physique ou autre préjudice irréparable si une personne doit attendre une réponse à la demande de recours.

Bien que nous ne pensons pas qu'une loi sur la protection des renseignements personnels devrait être gênée par un changement si spectaculaire dans la répartition américaine des frais de justice au point de transférer les frais et les honoraires d'avocat à la partie perdante, nous incorporons une modeste disposition de transfert des honoraires qui est compatible avec les accepté la loi américaine. Il s'inspire des offres de jugements de l'article 68 des Règles fédérales de procédure civile, qui permet à un prévenu civil de faire une offre qui, si elle est acceptée, peut être transformée en jugement contre le défendeur; s'il est rejeté, cependant, il peut déplacer la responsabilité des frais de justice si le demandeur ne récupère pas plus que l'offre. Sur la base de ce modèle, nous proposons qu'une entité couverte répondant à une demande de recours puisse offrir de l'argent et que cette offre fonctionne comme une offre en vertu de la règle 68 si un demandeur récupère finalement moins que le montant de l'offre. Comme la règle 68, cela servirait à promouvoir le règlement des revendications.

La loi fédérale en vigueur suggère également des moyens d’autoriser les recours collectifs tout en répondant à certaines des préoccupations de l’industrie concernant de tels cas. La Private Securities Litigation Reform Act of 1995 (PSLRA) établit des exigences supplémentaires en matière de plaidoirie pour les litiges en valeurs mobilières qui servent à empêcher la découverte jusqu'à ce qu'une catégorie soit approuvée. Il décrit également les procédures de sélection d'un demandeur principal parmi les représentants de classe et décrit les avantages de classe et les frais attendus dans les règlements de classe. Ces procédures peuvent être adaptées aux litiges relatifs à la vie privée, en laissant de côté certaines dispositions qui sont sui generis pour les affaires de valeurs mobilières. Étant donné que la LRTFP se réfère à la règle 23 des Règles fédérales de procédure civile — qui régit les recours collectifs — nous pensons qu'une telle disposition dans la législation sur la protection des renseignements personnels devrait conférer aux tribunaux fédéraux une compétence exclusive sur les recours collectifs; le superposer aux procédures étatiques pourrait s'avérer excessivement compliqué.

Dans la même veine, nous recommandons que le droit d'action fédéral soit le recours exclusif pour les actions incriminées dans toutes les poursuites privées. Cela empêcherait l'ajout de revendications étatiques plus étendues dans le dossier fédéral, et forcerait l'élection de recours et empêcherait le contournement des limites de dommages en vertu de la loi fédérale sur la base des revendications étatiques.

Une voie à suivre?

À moins d'un changement radical dans la composition du Congrès, il est peu probable que la question du droit d'action privée dans la législation fédérale sur la protection des renseignements personnels soit résolue avec un résultat soit. En conséquence, la promulgation d'une législation de référence complète nécessitera des choix. Étant donné les options de personnalisation d'un droit d'action privé, ces choix ressembleraient probablement à ce que nous proposons ici.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *