swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Fuite de données pour Marriott : pas d’action civile en Californie

Célian Hirsch, le 31 janvier 2021
En droit cali­for­nien, seule une fuite de données qui concerne des infor­ma­tions sensibles permet aux victimes de saisir les tribu­naux compé­tents. Une simple atteinte au right to privacy est insuffisante.

United States District Court for Central District of California, Arifur Rahman V. Marriott International, Inc. Et Al (Case No. SA CV 20–00654-DOC-KES), January 12 2021

En mars 2020, la société Marriott a été victime d’une fuite de données touchant envi­ron 5,2 millions de ses clients. Des personnes non auto­ri­sées avaient eu accès à des infor­ma­tions compre­nant notam­ment les noms, prénoms, adresses élec­tro­niques, numé­ros de télé­phone et année de nais­sance de clients. Néanmoins, aucun accès à des mots de passe ou des infor­ma­tions rela­tives à des cartes de crédit n’avait été constaté.

Plusieurs victimes de la fuite ont déposé une Class Action auprès du United States District Court for Central District of California (CDCA) en invo­quant notam­ment une viola­tion du California Consumer Privacy Act (CCPA).

Marriott s’est défen­due en soute­nant que les deman­deurs n’avaient pas prouvé que la fuite concer­nait des données sensibles. Or, selon la juris­pru­dence et selon le CCPA, seul l’ac­cès aux données sensibles permet­trait aux victimes d’agir en justice.

Afin qu’un tribu­nal soit compé­tent, le deman­deur doit prou­ver avoir subi un « préju­dice de fait » (injury in fact). Tel est le cas s’il y a une atteinte à un inté­rêt juri­di­que­ment protégé. L’atteinte doit être concrète et indi­vi­dua­li­sée ainsi que réelle ou immi­nente, et non spécu­la­tive ou hypothétique.

Dans l’ar­rêt Antman v. Uber Technologies, Inc., le Northern District of California a consi­déré que si les données volées ne compre­naient pas les numé­ros de sécu­rité sociale, les numé­ros de compte ou de carte de crédit, il n’y avait pas de risque crédible d’usur­pa­tion d’iden­tité qui risque­rait de causer un préju­dice réel et immé­diat. Le Southern District of California partage cette approche.

Le CDCA conclut que seule une fuite de données qui comprend des infor­ma­tions sensibles peut rendre vrai­sem­blable un « préju­dice de fait ». Dans le cas contraire, les victimes n’ont pas la qualité pour agir en justice.

En l’es­pèce, l’en­quête de Marriott a permis de déter­mi­ner qu’il n’y a eu aucun accès non auto­risé à des données sensibles. Conformément à la juris­pru­dence susmen­tion­née, le simple accès non auto­risé à des données person­nelles ne permet pas de prou­ver un « préju­dice de fait ». Partant, le Central District of California rejette la demande.

Cet arrêt confirme que, pour l’ins­tant, une simple atteinte au right to privacy ne consti­tue pas un injury in fact, et, partant, ne permet pas aux victimes de porter leur cas devant les tribu­naux cali­for­niens. En effet, la juris­pru­dence cali­for­nienne met l’ac­cent sur le risque de vol d’iden­tité suite à une fuite de données. Or les infor­ma­tions concer­nées par la fuite dans cette affaire sont des données qui sont en partie déjà libre­ment acces­sibles. Ainsi, la fuite ne va pas créer un risque concret d’usur­pa­tion d’iden­tité. Par ailleurs, le CCPA ne protège préci­sé­ment pas les données qui sont déjà publiques (« “Personal infor­ma­tion” does not include publi­cly avai­lable infor­ma­tion »).

Le droit de l’Union euro­péenne connaît une approche bien diffé­rente. Non seule­ment le RGPD protège toutes les données person­nelles, mais son art. 82 permet aux victimes d’une « viola­tion de données » d’ob­te­nir répa­ra­tion de leur dommage maté­riel et moral si des mesures de sécu­ri­tés adéquates n’avaient pas été mises en place (cf. not. swiss​pri​vacy​.law/​19/). Elles n’ont ainsi pas besoin de prou­ver que la fuite concerne des données sensibles ou qu’elles ont été victimes d’un vol d’iden­tité afin d’ac­tion­ner le respon­sable du traitement.

En droit suisse, les victimes d’une fuite de données auront bien plus du mal à obte­nir un dédom­ma­ge­ment. En effet, notre droit ne connaît pas la notion de « dommage moral » au sens du RGPD (cf. not. swiss​pri​vacy​.law/​35/). De ce fait, la preuve de la surve­nance d’un dommage sera parti­cu­liè­re­ment diffi­cile à appor­ter au regard de notre approche restric­tive de la notion du dommage.



Proposition de citation : Célian Hirsch, Fuite de données pour Marriott : pas d’action civile en Californie, 31 janvier 2021 in www.swissprivacy.law/53


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Condamnation de Marriott pour une fuite de données
  • La proposition de règlement EHDS : nouvel instrument de l'Union à fort potentiel
  • Prélèvement de l’impôt ecclésiastique, prédication et baptême – protection des données
  • Protection des données et intelligence artificielle : une gouvernance indispensable
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law