L'élargissement du paysage des actions de classe pour violation des données

Au cours de la dernière décennie, le nombre de recours collectifs en violation de données déposés devant les tribunaux fédéraux et des États a augmenté de façon spectaculaire.Selon un rapport de 2023 de BakerHostetler, les litiges ont augmenté de plus de 50% entre 2020 et 2023 seulement, avec plus de 1 200 nouveaux cas déposés en 2022. Des infractions de grande envergure – comme celles de Equifax[, Marriott[, T-Mobile[ et SolalWinds – ont catalysé des vagues de poursuites qui regroupent des milliers, voire des millions de plaignants.

Les groupes de défense des droits et les cabinets d'avocats surveillent maintenant activement les notifications d'infractions et organisent rapidement les dépôts de masse de délits. Résultat : pratiquement toutes les violations importantes d'informations personnelles identifiables (PII) ou d'informations de santé protégées (PHI) déclenchent une plainte en matière de recours collectif dans les jours ou semaines suivant la divulgation publique.

Pourquoi la surgélation? Vulnérabilités spécifiques à l'industrie

Le ministère de la Santé et des Services sociaux a signalé que les infractions aux données de santé touchant 500 personnes ou plus ont augmenté de 60 % entre 2020 et 2023. Les actions collectives dans ce secteur impliquent souvent des allégations de violations de la loi HIPAA, de manquement à l'obligation fiduciaire et de négligence. De même, le secteur des services financiers est exposé à une exposition accrue en raison de la sensibilité des données bancaires et d'investissement, tandis que le secteur de l'éducation, où les écoles collectent tout des chiffres de la sécurité sociale aux dossiers d'invalidité, a vu tripler les poursuites liées aux infractions depuis 2019.

Théories juridiques communes et allégations

Les recours collectifs en cas de violation de données reposent généralement sur plusieurs théories juridiques fondamentales.

  • Négligence — La revendication la plus courante, alléguant l'absence de mise en œuvre de mesures de sécurité raisonnables et normalisées dans l'industrie. Les tribunaux se tournent souvent vers le cadre de cybersécurité du NIST ou les lignes directrices de la Commission fédérale du commerce en matière de sécurité des données pour définir la norme de diligence.
  • Violation des lois sur la protection des données — Les infractions à des lois telles que la California Consumer Privacy Act (CCPA), l'Illinois Biometric Information Privacy Act (BIPA) ou la New York SHIELD Act peuvent déclencher des dommages-intérêts et des honoraires d'avocats, ce qui les rend particulièrement attrayants pour les entreprises demanderesses.
  • La représentation et la fraude[ — Les allégations selon lesquelles une entreprise a des politiques de confidentialité ou des représentations de sécurité étaient trompeuses. Par exemple, si un site Web se vante de chiffrer --de grade bancaire --mais ne parvient pas à chiffrer certaines bases de données, les demandeurs peuvent soutenir une incitation frauduleuse.
  • Violation de l'obligation fiduciaire[ — En particulier dans les services de santé ou financiers, lorsqu'il existe une relation particulière entre l'entité et la personne concernée. Les tribunaux de Doe c. Beth Israel Deaconess Medical Center (1er Cir. 2023) ont reconnu une obligation fiduciaire de confidentialité pour les données sur les patients.
  • Approfondissement injustifié[ — Allégations selon lesquelles la société a bénéficié de la collecte de données mais n'a pas investi adéquatement dans sa protection. Par exemple, les demandeurs dans le 2023 En ce qui concerne Snap Inc. Data Breach Litigation[ ont soutenu que Snap a profité des données de l'utilisateur tout en s'abstenant sciemment de la sécurité.
  • Invasion de la vie privée et intrusion lors de l'isolement[ — Commune dans les cas impliquant l'exposition de données sensibles telles que les dossiers médicaux, l'orientation sexuelle ou les numéros de comptes financiers. En ce qui concerne TikTok, Inc. Litiges en matière de protection des données (N.D. Ill. 2024) est en cours d'examen en se fondant sur les allégations selon lesquelles les pratiques de collecte de données de l'application ont pénétré dans les sphères privées des utilisateurs.

De nombreuses plaintes portent également sur des plaintes en vertu de lois de protection des consommateurs (par exemple, New York General Business Law § 349, California Unfair Competition Law). Toutefois, les plaignants privés ont souvent du mal à présenter directement des plaintes en vertu de la Federal Trade Commission Act (article 5); les tribunaux exigent généralement une action antérieure de la FTC pour établir une violation.

Évolution des normes de qualité et de préjudice

L'un des faits les plus importants est l'interprétation évolutive de l'article III, en particulier après la décision de la Cour suprême des États-Unis dans Spokeo, Inc. c. Robins (2016). La Cour a jugé qu'un demandeur doit démontrer un préjudice concret et spécifique en fait, et non pas simplement une violation de procédure.

De nombreuses juridictions d'appel fédérales reconnaissent maintenant que le risque accru de préjudice futur – comme une vulnérabilité accrue au phishing ou à la fraude – suffit à conférer la qualité, même en l'absence d'un usage abusif réel des données volées. Le neuvième circuit dans In re: Zappos.com, Inc. Customer Data Security Breach Litigation[ (2019) a jugé que le temps et les dépenses que les consommateurs encourent pour surveiller leur crédit constituent un dommage concret. Le septième circuit dans Lewert c. P.F. Chang="s China Bistro, Inc. (2016) a également constaté que le vol de données de cartes de paiement à lui seul crée un dommage cognizable.

Perte économique et évaluation des données

Les tribunaux sont de plus en plus disposés à accepter que la perte de la valeur des renseignements personnels — mesurée par ce que les pirates paient sur le réseau sombre ou ce que les consommateurs auraient exigé de partager avec leurs données — puisse constituer un préjudice. Les témoignages d'experts sur l'évaluation des données sont devenus un élément essentiel des batailles de certification de classe. Par exemple, dans In re: VTech Data Breach Litigation[ (N.D. Ill. 2022), des économistes ont estimé que les renseignements personnels identifiables des enfants avaient une valeur par dossier de 100 $ à 200 $ sur le marché noir, soutenant les allégations selon lesquelles les parents ont subi un préjudice économique en raison de la valeur réduite de leurs données.

Impact des lois sur la protection de la vie privée de l'État

Les lois sur la protection des renseignements personnels au niveau de l'État sont devenues des instruments puissants pour les recours collectifs en matière de violation de données.California Consumer Privacy Act (CCPA), à compter de 2020, comprend un droit d'action privé pour les infractions de données résultant d'une entreprise, faute de maintenir une sécurité raisonnable.Les dommages-intérêts légaux vont de 100 $ à 750 $ par consommateur par incident (ou dommages-intérêts réels, selon la plus élevée des deux), et ces montants se regroupent rapidement en une exposition de plusieurs millions de dollars.

De même, la Loi sur la protection des renseignements biométriques (LPRPDÉ) a provoqué une inondation de recours collectifs contre des entreprises qui recueillent des données biométriques sans le consentement approprié — et bon nombre de ces poursuites découlent de violations de données biométriques. La LPRPDÉ prévoit des dommages-intérêts liquidés de 1 000 $ pour des violations par négligence et de 5 000 $ pour des violations intentionnelles ou imprudentes, par infraction, par personne. Dans Rosenbach c. Six Flags Entertainment Corp. (Ill. 2019), la Cour suprême de l'Illinois a statué qu'un demandeur n'a pas besoin d'alléguer un préjudice réel au-delà d'une violation technique, faisant de BIPA l'une des lois les plus favorables au demandeur dans la nation.

D'autres États, dont Virginia (VCDPA), [Colorado[ (CPA), et Connecticut[ (CTDPA)—ont adopté des lois globales sur la protection de la vie privée qui prévoient des droits d'action privés pour les défaillances de sécurité, bien que beaucoup incluent une période de guérison ou imposent des exigences plus étroites.

Établissements à noter et tendances

Les montants de règlement dans les recours collectifs relatifs aux violations de données ont atteint des niveaux records ces dernières années. Le Equifax de règlement de violation de données[ (2017-2022) demeure le plus important, avec un recouvrement total d'environ 1,5 milliard de dollars, y compris la compensation pour les consommateurs, les services de surveillance du crédit et les honoraires des avocats. Plus récemment, le T‐Règlement de violation de données mobiles[ (2021) était évalué à 350 millions de dollars, le Facebook/Cambridge Analytica (2022) a atteint 725 millions de dollars et le Modification de règlement de santé devrait dépasser 500 millions de dollars.

Plusieurs tendances façonnent la dynamique des établissements :

  • La remise en état de la sécurité des cybersécurités dans le cadre du règlement :[ Les tribunaux exigent de plus en plus des défendeurs qu'ils mettent en oeuvre des améliorations de sécurité spécifiques, comme l'authentification multifacteurs, le chiffrement ou des vérifications indépendantes, dans le cadre de l'entente de règlement.
  • La surveillance du crédit comme remède principal:[ De nombreux règlements offrent une surveillance gratuite du crédit, une protection contre le vol d'identité et des paiements en espèces pour les pertes documentées.Bien que les critiques soutiennent que la surveillance est souvent sous-utilisée, elle demeure la forme la plus courante de redressement.
  • Procureurs]Tarifs sous contrôle: Les tribunaux accordent une attention plus grande au caractère raisonnable des demandes de droits, en particulier dans les règlements de coupons de -où les membres de la catégorie ne reçoivent que des titres de surveillance ou de faible valeur. En ce qui concerne les litiges relatifs à la violation des données de Rite Aid Corp. (P.E. 2023), le juge a réduit la demande de droits de 30 % à 20 % du fonds de règlement de 10 millions de dollars après avoir jugé que les avantages accordés aux membres de la catégorie étaient modestes.
  • Les taux d'opt-out et l'avis de classe : Avec l'augmentation des plateformes d'avis numériques et des campagnes sur les médias sociaux, les taux d'opt-out ont augmenté dans certains cas très médiatisés, obligeant les défendeurs à réévaluer l'exposition.

Incidences sur la cybersécurité et la gestion des risques de l'entreprise

Les organisations investissent maintenant davantage dans les mesures de cybersécurité pour éviter les responsabilités légales. La perspective d'une exposition aux recours collectifs a poussé de nombreux conseils à considérer la sécurité des données comme un risque d'entreprise de premier ordre.

  • Mise en oeuvre de plans d'intervention en cas d'incident robustes :[ Les entreprises qui peuvent démontrer une détection rapide, un confinement et une notification des infractions sont mieux placées pour se défendre contre les allégations de négligence.La préparation préalable à la violation, y compris les exercices de table et les essais de pénétration par des tiers, est maintenant standard.
  • Les assureurs excluent maintenant généralement la couverture de certains types d'attaques (p. ex. attaques d'État-nation, clauses de péril de guerre) ou exigent des contrôles de sécurité minimum.Les entreprises doivent examiner attentivement leur couverture et s'assurer qu'elles satisfont aux exigences de souscription. GAO=2023 fait état des défis du marché de la cyberassurance note que les primes moyennes ont augmenté de plus de 30 % en 2022.
  • Renforcer la transparence et la communication avec les consommateurs:[ Des notifications précoces et claires d'infractions peuvent contribuer à atténuer le préjudice de réputation et réduire la probabilité qu'un recours collectif soit certifié. Certains États exigent maintenant une notification dans les 30 jours, et la SEC a déjà produit des informations importantes d'infraction qui ont probablement accru l'exposition aux recours collectifs pour des entreprises comme MGM Resorts[ et Clorox.
  • L'adoption de principes de confidentialité par conception :[ L'intégration de la minimisation des données, de la limitation des fins et de contrôles d'accès solides dans le développement de produits peut réduire le volume de données sensibles exposées en cas de violation, réduisant ainsi la responsabilité potentielle.
  • Gestion des fournisseurs de services de sécurité : Les infractions aux droits de propriété intellectuelle demeurent un vecteur de premier plan pour les actions collectives.Les entreprises doivent vérifier leurs fournisseurs et exiger contractuellement une indemnisation pour les coûts liés aux infractions.

En plus des mesures défensives, les entreprises devraient conserver des avocats expérimentés de l'extérieur ayant une connaissance spécialisée des litiges relatifs à la violation des données.La stratégie de pré-condamnation – y compris la préservation des preuves, l'évitement de la spoliation et la gestion des déclarations publiques – peut influencer de façon significative le résultat d'un recours collectif.

L'avenir du litige relatif aux atteintes aux données

En ce qui concerne l'avenir, plusieurs facteurs influeront sur la trajectoire des actions de classe en violation des données. L'utilisation croissante de l'intelligence artificielle et l'apprentissage automatique par les attaquants et les défenseurs créeront de nouvelles questions sur la prévisibilité et le caractère raisonnable des mesures de sécurité. Les tribunaux peuvent devoir décider si la dépendance à l'égard des outils de sécurité axés sur l'IA répond aux normes de soins ou si les entreprises doivent également maintenir la surveillance humaine.

Bien que la loi américaine sur la protection des données (ADPPA) ait été bloquée au Congrès, la poursuite de l'élan pourrait aboutir à une norme fédérale uniforme qui prévienne les lois des États, ce qui réduirait potentiellement le patchwork des droits d'action privés. Toutefois, toute loi fédérale devrait inclure un droit d'action privé pour les violations de données, étant donné la préoccupation bipartite. Le projet de loi aurait permis des dommages-intérêts législatifs de 1 000 $ par consommateur par violation, comme la LCPAC.

Par exemple, si une violation expose des données biométriques utilisées pour créer des imitations numériques réalistes, le préjudice peut être profond mais difficile à quantifier. Les tribunaux se pencheront sur la façon de valoriser ces blessures intangibles. Le recours collectif de 2023 McKenna c. OpenAI, Inc. (N.D. Cal.) soulève des questions sur la question de savoir si les données de formation utilisées pour alimenter ChatGPT, dont certaines auraient été rayées des bases de données défectueuses, ont causé un préjudice à la vie privée.

Enfin, l'environnement réglementaire mondial continue d'influencer les litiges aux États-Unis. Les amendes lourdes du RGPD et l'interprétation expansive des réclamations en dommages par la Cour européenne de justice (p. ex. )OT c. Poste Italiane S.p.A. (2023), qui considèrent que la crainte d'abus constitue un dommage non matériel, ont inspiré des arguments similaires devant les tribunaux américains.

Conclusion:[ Le domaine des recours collectifs pour atteinte à la sécurité des données est dynamique et complexe.Les entreprises doivent rester informées de l'évolution des normes juridiques et investir de façon proactive dans la cybersécurité afin d'atténuer le risque d'atteinte à la sécurité et les conséquences juridiques potentiellement dévastatrices qui en découlent.Les entreprises qui considèrent la protection des données comme un impératif central de l'entreprise, plutôt que comme un simple fardeau de conformité aux TI, seront les mieux placées pour naviguer dans ce contexte difficile.