En novembre 2021, la Cour suprême du Royaume-Uni a rendu un jugement très attendu en Lloyd contre Google.[1] Dans son jugement unanime, la Cour suprême a rejeté la demande de M. Lloyd, refusant de lui permettre de procéder par voie d’action représentative (c’est-à-dire, opt-out class action) en vertu du droit procédural anglais. La plainte avait été déposée au nom de plus de quatre millions d’utilisateurs d’iPhone pour des violations présumées de la législation sur la protection des données par Google. Étant donné que la demande n’a jamais dépassé ce stade préliminaire, qui portait uniquement sur la question de savoir si le mécanisme procédural de la demande était viable, la décision n’a pas examiné le bien-fondé de la demande sous-jacente.

le Lloyd limite considérablement la capacité de groupes d’individus à poursuivre les responsables du traitement et les sous-traitants pour violation des lois sur la protection des données en Angleterre et au Pays de Galles. Bien que cette décision puisse être une évolution malvenue pour les personnes concernées (et les bailleurs de fonds qui ont investi beaucoup de temps et d’argent dans le soutien de ces types de réclamations), elle peut être bien accueillie par les entreprises qui traitent de grandes quantités de données personnelles.

La décision de la Cour suprême reposait sur le fait que M. Lloyd avait demandé une indemnisation d’un montant uniforme pour chaque personne concernée (750 £), ce qui a été jugé incorrect dans les circonstances et donc incompatible avec la procédure civile anglaise qui régit le représentant régime du demandeur (à savoir la règle 19 des règles de procédure civile (« CPR 19 »)). Le mécanisme du parti représentatif en vertu du CPR 19 exige que le représentant ait le «même intérêt» que les autres personnes qu’ils représentent. Alors que le mécanisme est fréquemment utilisé dans d’autres types de litiges, par exemple, des réclamations introduites par des groupes d’actionnaires et de créanciers, ou des bénéficiaires d’une fiducie, il n’a jamais été utilisé dans une demande de réparation de masse en vertu de la législation sur la protection des données, comme M. Lloyd avait tenté de le faire. faire. La question clé était donc de savoir si M. Lloyd avait le même intérêt que les quatre millions d’utilisateurs d’iPhone concernés, en ce qui concerne le type et l’ampleur des dommages subis.

La Cour suprême a jugé qu’il ne l’avait pas fait. Elle a privilégié une approche de « preuve individualisée » qui impliquerait une évaluation sur mesure des dommages pour chaque personne affectée sur la base de plusieurs facteurs distincts. Dans ce cas, ces facteurs comprenaient : (i) la période pendant laquelle Google a suivi l’activité de navigation de l’utilisateur ; (ii) quelle quantité de données a été traitée (iii) si certaines de ces données étaient de nature sensible ou privée ; (iv) ce que Google a fait de ces informations et (v) si Google a obtenu un avantage commercial d’une telle utilisation. La mesure dans laquelle les dommages pourraient varier d’un individu à l’autre et les évaluations longues et compliquées qui devraient être entreprises pour déterminer l’indemnisation de chaque individu rendaient la demande de M. Lloyd totalement inadaptée à une action représentative en vertu de l’article 19 du CPR.

Quant à savoir où cela laisse les demandeurs potentiels cherchant réparation pour les violations de données, le chemin vers la justice est maintenant beaucoup plus incertain, mais la porte n’a pas été fermement fermée sur de tels cas. La Cour suprême n’a pas dit que les réclamations pour violation de données ne peuvent pas être intentées en tant qu’actions représentatives, juste que beaucoup ne sont probablement pas en mesure de passer par ce mécanisme. Une voie suggérée par le tribunal impliquerait une approche bifurquée, dans laquelle la demande procède d’abord comme une action représentative afin d’établir la responsabilité, qui est ensuite suivie d’actions distinctes par les individus (ou d’une seule action de suivi intentée par le groupe sur une base « opt-in » dans laquelle il n’y a pas de représentant et toutes les personnes sont parties à l’action). Cependant, cela est reconnu comme étant difficile à gérer dans la pratique (et très peu attrayant pour les bailleurs de fonds des litiges).

Publicité

Il est possible que l’action représentative CPR 19 puisse fonctionner dans certains types de réclamations où le dommage est identique pour chaque personne concernée – par exemple, résultant d’une violation de données due à un piratage d’une base de données client dans laquelle exactement le même type de données pour chaque client est compromis (comme les informations de contact et les détails de la carte de crédit). Certaines parties et certains bailleurs de fonds peuvent chercher à intenter des poursuites dans des juridictions autres que le Royaume-Uni – les Pays-Bas disposent d’un mécanisme efficace de recours collectif pour les recours judiciaires (c’est-à-dire les réclamations « WAMCA ») et sont déjà utilisés en relation avec le RGPD. Il peut également être ouvert aux particuliers de poursuivre des réclamations aux États-Unis (s’il existe un lien juridictionnel approprié, tel que le contrôleur de données qui y est basé). Bien qu’un citoyen anglais (M. Elliott) ait récemment vu son recours collectif GDPR contre PubMatic Inc. rejeté en Californie,[2] d’autres pourraient chercher à poursuivre des revendications similaires aux États-Unis maintenant que le Royaume-Uni n’est plus une option viable pour de telles actions.

Il est probable qu’une ou plusieurs de ces voies seront testées devant les tribunaux compétents au cours de l’année à venir. Bien qu’il n’y ait aucune certitude que toute action réussira, il est certain que les parties, les avocats et les bailleurs de fonds concentreront leurs efforts sur la découverte des moyens par lesquels de telles actions peuvent être menées à l’avenir (le cas échéant).

_______________

[1] Lloyd contre Google LLC [2021] UK SC 50
[2] Elliott c. Pubmatic, Inc. (4:21-cv-01497), Tribunal du district nord de Californie

Rate this post
Publicité
Article précédentEpic Games Store a ajouté 34 millions de comptes l’année dernière • Fr.techtribune
Article suivant10 séries animées d’horreur où vous ne voyez jamais vraiment la menace
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici