United States District Court for Central District of California, Arifur Rahman V. Marriott International, Inc. Et Al (Case No. SA CV 20–00654-DOC-KES), January 12 2021

En mars 2020, la société Marriott a été victime d’une fuite de données touchant envi­ron 5,2 millions de ses clients. Des personnes non auto­ri­sées avaient eu accès à des infor­ma­tions compre­nant notam­ment les noms, prénoms, adresses élec­tro­niques, numé­ros de télé­phone et année de nais­sance de clients. Néanmoins, aucun accès à des mots de passe ou des infor­ma­tions rela­tives à des cartes de crédit n’avait été constaté.

Plusieurs victimes de la fuite ont déposé une Class Action auprès du United States District Court for Central District of California (CDCA) en invo­quant notam­ment une viola­tion du California Consumer Privacy Act (CCPA).

Marriott s’est défen­due en soute­nant que les deman­deurs n’avaient pas prouvé que la fuite concer­nait des données sensibles. Or, selon la juris­pru­dence et selon le CCPA, seul l’ac­cès aux données sensibles permet­trait aux victimes d’agir en justice.

Afin qu’un tribu­nal soit compé­tent, le deman­deur doit prou­ver avoir subi un « préju­dice de fait » (injury in fact). Tel est le cas s’il y a une atteinte à un inté­rêt juri­di­que­ment protégé. L’atteinte doit être concrète et indi­vi­dua­li­sée ainsi que réelle ou immi­nente, et non spécu­la­tive ou hypothétique.

Dans l’ar­rêt Antman v. Uber Technologies, Inc., le Northern District of California a consi­déré que si les données volées ne compre­naient pas les numé­ros de sécu­rité sociale, les numé­ros de compte ou de carte de crédit, il n’y avait pas de risque crédible d’usur­pa­tion d’iden­tité qui risque­rait de causer un préju­dice réel et immé­diat. Le Southern District of California partage cette approche.

Le CDCA conclut que seule une fuite de données qui comprend des infor­ma­tions sensibles peut rendre vrai­sem­blable un « préju­dice de fait ». Dans le cas contraire, les victimes n’ont pas la qualité pour agir en justice.

En l’es­pèce, l’en­quête de Marriott a permis de déter­mi­ner qu’il n’y a eu aucun accès non auto­risé à des données sensibles. Conformément à la juris­pru­dence susmen­tion­née, le simple accès non auto­risé à des données person­nelles ne permet pas de prou­ver un « préju­dice de fait ». Partant, le Central District of California rejette la demande.

Cet arrêt confirme que, pour l’ins­tant, une simple atteinte au right to privacy ne consti­tue pas un injury in fact, et, partant, ne permet pas aux victimes de porter leur cas devant les tribu­naux cali­for­niens. En effet, la juris­pru­dence cali­for­nienne met l’ac­cent sur le risque de vol d’iden­tité suite à une fuite de données. Or les infor­ma­tions concer­nées par la fuite dans cette affaire sont des données qui sont en partie déjà libre­ment acces­sibles. Ainsi, la fuite ne va pas créer un risque concret d’usur­pa­tion d’iden­tité. Par ailleurs, le CCPA ne protège préci­sé­ment pas les données qui sont déjà publiques (« “Personal infor­ma­tion” does not include publi­cly avai­lable infor­ma­tion »).

Le droit de l’Union euro­péenne connaît une approche bien diffé­rente. Non seule­ment le RGPD protège toutes les données person­nelles, mais son art. 82 permet aux victimes d’une « viola­tion de données » d’ob­te­nir répa­ra­tion de leur dommage maté­riel et moral si des mesures de sécu­ri­tés adéquates n’avaient pas été mises en place (cf. not. swiss​pri​vacy​.law/​19/). Elles n’ont ainsi pas besoin de prou­ver que la fuite concerne des données sensibles ou qu’elles ont été victimes d’un vol d’iden­tité afin d’ac­tion­ner le respon­sable du traitement.

En droit suisse, les victimes d’une fuite de données auront bien plus du mal à obte­nir un dédom­ma­ge­ment. En effet, notre droit ne connaît pas la notion de « dommage moral » au sens du RGPD (cf. not. swiss​pri​vacy​.law/​35/). De ce fait, la preuve de la surve­nance d’un dommage sera parti­cu­liè­re­ment diffi­cile à appor­ter au regard de notre approche restric­tive de la notion du dommage.