La loi californienne sur la protection de la vie privée des consommateurs (CCPA) est entrée en vigueur le 1er janvier 2020 et n'a pas manqué de faire parler d'elle.

À l'instar des prospecteurs attirés par la Californie en 1948 dans l'espoir d'y faire fortune, des avocats ont déposé au moins 19 recours collectifs au cours des cinq premiers mois de l'année 2020, alléguant des violations de la loi sur la protection des consommateurs.

Le filon

Pourquoi tant de recours collectifs ont-ils été déposés si rapidement ? Parce que la CCPA a considérablement augmenté les conséquences potentielles d'une violation de données en permettant aux consommateurs californiens de réclamer des dommages-intérêts légaux compris entre 100 et 750 dollars par consommateur et par incident ou des dommages réels, le montant le plus élevé étant retenu.

La possibilité d'obtenir des dommages-intérêts légaux est une incitation puissante. Bien que les consommateurs aient déjà le droit d'intenter une action en justice en vertu de la loi californienne sur les violations de données, il leur est souvent difficile de prouver les dommages réels causés par la violation de données. Les dommages-intérêts légaux éliminent cet obstacle.

TAP Workflow Automation pour les besoins de votre entreprise

La solution flexible, intuitive et sans code pour les utilisateurs professionnels.

Obtenir le guide

Les dommages-intérêts légaux peuvent s'accumuler rapidement. Si, par exemple, les dommages-intérêts prévus par la CCPA étaient appliqués aux violations de données signalées sur le site web du procureur général de Californie pour les années 2014 à 2016, les défendeurs auraient pu prétendre à des dommages-intérêts totaux de 37,5 milliards de dollars (calculés à raison de 750 dollars par consommateur et par violation).¹ Il s'agit là d'une motivation importante.

Essayer de devenir riche

Les plaintes déposées dans le cadre des recours collectifs intentés en vertu de la loi sur la protection des données sont également dignes du Far West. Bien que la CCPA limite techniquement les actions privées aux réclamations découlant de la violation d'informations personnelles sensibles résultant du fait que l'entreprise n'a pas mis en œuvre et maintenu des pratiques de sécurité raisonnables, les premières actions intentées jusqu'à présent vont au-delà, ce qui montre que les avocats des plaignants sont prêts à tester les limites de la CCPA. Les actions en justice intentées par les consommateurs en vertu de la loi sur la protection des consommateurs se répartissent généralement en deux catégories :

  • les cas de violation de données (accès non autorisé et exfiltration, vol ou divulgation d'informations personnelles sensibles en raison de l'incapacité de l'entreprise à mettre en œuvre et à maintenir des pratiques de sécurité raisonnables). Ces plaintes sont expressément autorisées par le CCPA.
  • Les affaires alléguant des violations des procédures de la CCPA relatives à la confidentialité des données. Dansces affaires, les plaignants allèguent que l'entreprise n'a pas respecté une exigence procédurale de la CCPA (telle que l'absence de notification des informations personnelles collectées et des tiers avec lesquels ces informations sont partagées, ou l'absence de droit pour les consommateurs de refuser la vente de ces informations), et s'appuient sur cette allégation pour faire valoir des violations de la CCPA et d'autres lois, telles que les lois californiennes sur la concurrence déloyale, d'autres lois sur la protection des consommateurs et des réclamations de common law. Ces types de plaintes visent généralement à obtenir des dommages-intérêts réels et des mesures d'injonction. Il reste à voir si ces types de réclamations survivront à une motion de rejet, étant donné que la CCPA stipule expressément qu'aucune de ses dispositions ne doit être interprétée comme servant de base à un droit d'action privé en vertu d'une autre loi.

La revendication d'un droit de propriété

Les entreprises peuvent prendre quatre mesures pour réduire le risque d'être la cible d'une action collective de la CCPA et de dommages-intérêts légaux :

1. Réduire les données au minimum. Si vous n'avez pas besoin de ces données et que vous n'êtes pas tenu de les conserver, débarrassez-vous-en. Elles ne peuvent pas faire l'objet d'une violation si elles ne se trouvent pas sur votre système. (N'oubliez pas, cependant, que la Californie et d'autres États ont des lois sur l'élimination des données qui exigent que les dossiers contenant des informations personnelles soient éliminés de manière sécurisée).

2 Chiffrer les données sensibles. Le droit privé d'action en cas de violation de données et les dommages-intérêts prévus par la loi ne s'appliquent qu'à la violation d'informations personnelles sensibles non cryptées et non expurgées.

3. Mettre en œuvre et maintenir des procédures de sécurité raisonnables. L'ACCP exige que la violation se soit produite "à la suite d'un manquement de l'entreprise à son obligation de mettre en œuvre et de maintenir des procédures et pratiques de sécurité raisonnables". Bien que l'ACCP ne définisse pas les "procédures de sécurité raisonnables", il existe de nombreux cadres de sécurité reconnus.

4. Remédier au problème. La CCPA exige qu'un plaignant demandant des dommages-intérêts légaux adresse à l'entreprise une notification écrite de 30 jours indiquant les dispositions spécifiques de la CCPA qui, selon le consommateur, ont été violées. Si l'entreprise remédie à la violation dans les 30 jours et fournit au consommateur une déclaration écrite indiquant qu'il a été remédié à la violation et qu'il n'y aura plus de violation, le consommateur ne peut pas intenter d'action en dommages-intérêts. Bien entendu, la CCPA ne définit pas ce que signifie "remédier" à une violation.

Quelle que soit la signification du terme "guérir", celui-ci pourrait devenir plus difficile à appliquer si une nouvelle loi californienne surle droit à la vie privée- le California Privacy Rights Act -est approuvée par les électeurs californiens en novembre 2020. La CPRA a été rédigée par l'auteur de la CCPA et est souvent qualifiée de "CCPA 2.0". En effet, la CPRA stipule expressément que la mise en œuvre et le maintien de procédures et de pratiques de sécurité raisonnables après une violation ne constituent pas une mesure corrective à l'égard de cette violation. Si les électeurs approuvent l'ACPR (et les premiers sondages indiquent un taux d'approbation de 90 %), l'ACPR entrera en vigueur le 1er janvier 2023.

Ce n'est qu'un début

Les recours collectifs de consommateurs ne sont que la première étape dans le cadre de l'application de la loi sur la protection des consommateurs. En outre, à partir du 1er juillet 2020, le procureur général de Californie pourra engager des actions de mise en application, et le bureau du procureur général a clairement indiqué que les procédures de mise en application incluront des événements qui se sont produits dès janvier 2020.

Le bureau du procureur général peut demander des sanctions civiles allant jusqu'à 2 500 dollars pour chaque violation et jusqu'à 7 500 dollars pour chaque violation intentionnelle de la loi sur la protection des données. Pour avoir une idée de l'ampleur de ces chiffres, si la pénalité de 7 500 dollars était appliquée par consommateur et par incident pour les violations de données signalées par le bureau du procureur général pour 2014 - 2016, le résultat serait de 375 milliards de dollars en risque total d'application de la loi par le bureau du procureur général.²

Cela va être une course effrénée.

¹Source: Estimation de Dominique Shelton Leipzig, associé, Privacy & Security et coprésident, Ad Tech Privacy & Data management, Perkins Coie, LLP dans une vidéo de 7 minutes publiée sur Data Breach Today (11 mars 2020).

²Id.

[bctt tweet="Insert quote here" via="no"]