mardi 1 février 2022

Le 10 novembre 2021, la Cour suprême du Royaume-Uni a rejeté à l’unanimité la tentative de M. Richard Lloyd d’engager une procédure représentative contre Google. Considéré par la Cour d’appel comme un champion de la protection des consommateurs, M. Lloyd a demandé des dommages-intérêts pour environ 4 millions d’utilisateurs d’Apple IPhone en vertu de l’article 13 de la loi de 1998 sur la protection des données (« la DPA 1998”) après le traitement illicite de leurs données. Il avait suggéré des dommages-intérêts uniformes à 750 £ par utilisateur, ce qui aurait valu à Google une facture de 3 milliards de £.

Table des matières hide
1 Fond
2 Réclamer des dommages-intérêts pour la classe représentative
3 Le plus petit dénominateur commun
4 Réclamer des dommages et intérêts pour perte de contrôle
5 Et ensuite ?

Fond

Fin 2011 et début 2012, Google avait secrètement suivi l’utilisation d’Internet par les utilisateurs grâce à l’utilisation de leur « cookie DoubleClick Ad ». Ce cookie permettait à Google de collecter des données sur les utilisateurs, telles que les sites visités, la date et l’heure d’accès et le temps passé sur chaque site. En utilisant leur adresse IP, les cookies pourraient même parfois suivre la localisation géographique approximative des utilisateurs.

Étant donné que Google est une société du Delaware, M. Lloyd a initialement demandé l’autorisation de la Haute Cour anglaise pour servir en dehors de la juridiction. Google a contesté cette demande pour deux motifs :

  1. Des dommages-intérêts ne peuvent être accordés en vertu de la DPA 1988 pour « perte de contrôle » de données sans preuve que cela a causé un préjudice financier ou une détresse ; et

    Publicité

  2. En tout état de cause, la demande n’est pas susceptible d’être poursuivie en tant qu’action représentative.

Au tribunal de grande instance[1], Warby J a refusé l’autorisation de signifier la procédure à Google, concluant que des dommages-intérêts pour la protection des données en vertu du DPA 1988 ne peuvent être accordés sans preuve que la violation a causé à l’individu un préjudice financier ou une détresse. Cependant, la cour d’appel[2] a renversé cette décision. L’arrêt de principe a été rendu par Sir Geoffrey Vos, qui a déclaré qu’une action représentative était le seul moyen d’obtenir un recours civil en réparation pour « l’utilisation abusive massive et délibérée de données personnelles sans consentement dans un but commercial ».

Devant la Cour suprême, Lord Leggatt a rendu le jugement, auquel Lord Reed, Lady Arden, Lord Sales et Lord Burrows ont souscrit. Ce faisant, ils ont accueilli l’appel de Google.

Réclamer des dommages-intérêts pour la classe représentative

Sauf dans le domaine du droit de la concurrence, le Parlement britannique n’a pas promulgué de législation permettant à un seul individu de demander réparation au nom d’une catégorie de personnes également touchées par l’acte répréhensible allégué. M. Lloyd a donc cherché à s’appuyer sur la partie 19.6(1) des règles de procédure civile :

Lorsque plusieurs personnes ont le même intérêt dans une réclamation (a) la réclamation peut être intentée ; ou (b) le tribunal peut ordonner que la demande soit poursuivie, par ou contre une ou plusieurs des personnes qui ont le même intérêt que les représentants de toute autre personne qui a cet intérêt.

Lord Leggatt a d’abord fourni une analyse approfondie des recours collectifs en droit anglais avec une explication de la jurisprudence précédente et le traitement des actions représentatives dans le Commonwealth.

Il a reconnu que le développement de la technologie numérique ajoute au potentiel de préjudice de masse, et qu’il est donc nécessaire de concilier l’inconvénient ou l’impossibilité de plaider plusieurs réclamations individuelles avec un inconvénient ou l’impossibilité similaire de faire de chaque demandeur potentiel une partie à une réclamation.

Il a ensuite expliqué que la possibilité de réclamer des dommages-intérêts dans les procédures représentatives est limitée par le principe compensatoire en vertu duquel les dommages-intérêts sont accordés de manière à placer les demandeurs dans la situation dans laquelle ils se seraient trouvés si le tort n’avait pas eu lieu. Pour ce faire, cela nécessite souvent des évaluations individualisées. Il n’était pas anodin que Warby J ait découvert que « … certaines personnes concernées étaient des « super utilisateurs » – de gros utilisateurs d’Internet. Ils auront été « victimes » de multiples manquements, avec des quantités considérables de [browser generated information] prises et utilisées tout au long de la Période pertinente. D’autres auront eu très peu d’activités sur Internet ».

M. Lloyd, en tant que représentant unique, ne partageait pas le même intérêt que toutes les personnes concernées par le manquement à l’obligation de Google et ne pouvait donc pas intenter une action représentative au nom des autres personnes concernées.

Le plus petit dénominateur commun

M. Lloyd avait également identifié un «préjudice minimum irréductible» subi par chaque membre du groupe qu’il cherchait à représenter et a soutenu que cela pourrait fournir la base sur laquelle des dommages-intérêts sont accordés. Ce seuil de « préjudice minimal irréductible » pourrait être satisfait si un individu avait eu accès à

un site Web participant au service de publicité DoubleClick de Google à une occasion.

Lord Leggatt a résumé le plus petit dénominateur commun comme « quelqu’un dont l’utilisation d’Internet – à l’exception d’une visite sur un seul site Web – n’a pas été suivie et rassemblée de manière illicite et qui n’a reçu aucune publicité ciblée à la suite de la réception du cookie DoubleClick Ad ». Sur cette base, cependant, rien ne prouverait que Google a collecté ou utilisé des données personnelles relatives à cette personne pour fonder une demande de dommages et intérêts.

Réclamer des dommages et intérêts pour perte de contrôle

Au lieu de démontrer les dommages matériels pour chaque individu, M. Lloyd a affirmé qu’un individu a le droit de recouvrer une indemnisation en vertu de l’article 13 DPA 1998 chaque fois qu’un responsable du traitement ne se conforme pas à l’une des exigences de la DPA 1998 en ce qui concerne les données personnelles de dont cet individu fait l’objet, à condition que la contravention ne soit pas anodine ou de minimis.

Article 13 de la loi sur la protection des données :

  • 13 (1) Une personne qui subit un dommage en raison d’une violation par un responsable du traitement de l’une quelconque des exigences de la présente loi a droit à une indemnisation du responsable du traitement pour ce dommage.

  • (2) Une personne qui souffre de détresse en raison d’une violation par un contrôleur de données de l’une des exigences de la présente loi a droit à une indemnisation de la part du contrôleur de données pour cette détresse si :

    • a) L’individu subit également un dommage du fait de la contravention, ou

    • (b) La contravention concerne le traitement de données à caractère personnel à des fins particulières.

Lors de l’analyse du libellé de la loi, Lord Leggatt a déclaré qu’il « établit une distinction entre le « dommage » subi par un individu et une « infraction » à une exigence de la loi par un responsable du traitement des données, et prévoit un droit à une indemnisation « pour ce dommage ». » seulement si le « dommage » survient « en raison » de la contravention.

Il s’est ensuite inspiré du droit de l’UE et de l’article 23 de la directive sur la protection des données, que la section 13 de la DPA de 1998 était censée mettre en œuvre, afin de déterminer si le terme « dommage » à l’article 23 pouvait être interprété comme s’étendant au-delà des dommages matériels et de la détresse. . Il a conclu qu’il n’y avait aucune raison d’accorder au terme « dommage » une interprétation plus large étant donné qu’aucune autorité n’avait été citée en faveur d’une telle interprétation, ni de manière générale dans le droit de l’UE ni dans le contexte spécifique de l’article 23, et qu’il n’avait pas été affirmé qu’un quelconque les lois l’avaient fait non plus.

Et ensuite ?

Cette affaire est sans aucun doute un coup dur pour les demandeurs qui cherchent à intenter des actions en dommages-intérêts en Angleterre et au Pays de Galles pour violation de la législation sur la protection des données. Alors que Lord Leggatt n’a considéré que les dispositions légales de la DPA 1998, qui ont été remplacées par la loi sur la protection des données de 2018 (« la DPA 2018”) suite à l’introduction du Règlement général sur la protection des données (le « RGPD”), à plusieurs égards, les dispositions de la DPA 2018 ne sont pas différentes du régime légal qu’elle a remplacé. Là encore, une distinction est faite dans le RGPD entre l’acte à l’origine du dommage et le dommage lui-même. À ces égards, bien que cela soit sujet à discussion, il ne serait pas déraisonnable de s’attendre à ce que les tribunaux britanniques adoptent une approche similaire dans le cadre de la nouvelle législation à l’approche adoptée dans la demande de M. Lloyd.

Alors que les membres du public deviennent plus conscients de leurs droits en matière de protection des données et que les litiges sur ce sujet sont en augmentation, cette affaire peut également endiguer la vague de recours collectifs et de réclamations pour violation mineure des données actuellement en cours, notamment parce qu’elle pourrait rendre des tiers financeurs et assureurs ATE plus prudents dans la prise en charge de tels cas. Même si les demandeurs s’efforcent de trouver un moyen de contourner la question de la classe représentative, cette affaire a également une incidence plus large sur les réclamations liées à la protection des données plus généralement, car elle démontre que des dommages-intérêts ne peuvent pas être réclamés pour perte de contrôle en général et que les réclamations doivent être non négligeables et fournir preuves réelles de dommages.

Lloyd contre Google rejoint un certain nombre de décisions judiciaires récentes sur la trivialité et d’autres causes d’action qui sont généralement invoquées en plus de la violation des lois sur la protection des données (voir, par exemple, notre propre blog sur Warren contre DSG Retail Ltd [2021] EWHC 2168 (QB) et Le blog sur la violation de données par inadvertance publié le 20 janvier 2022. Il faut espérer que, compte tenu de cette tendance dans les salles d’audience, les demandeurs commenceront à adopter une approche plus ciblée, réduisant le nombre de réclamations spéculatives ou insignifiantes et concentrant leur puissance de feu sur des violations plus pénibles ou flagrantes et là où il y a est quelque chose qui vaut vraiment la peine de se battre.

[1] Lloyd contre Google LLC [2018] EWHC 2599 (QB)

[2] Lloyd contre Google LLC [2019] EWCA Civ 1599a

Antonia Halliwell, avocate stagiaire chez Squire Patton Boggs, a contribué à cet article.

© Copyright 2022 Squire Patton Boggs (États-Unis) LLPRevue nationale de droit, volume XII, numéro 32

Rate this post
Publicité
Article précédent10 personnages d’anime qui correspondent au signe astrologique du Scorpion
Article suivantPerspectives du marché des écouteurs ANC sans fil 2022 et analyse d’ici 2029
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici