Fuite de données pour Marriott : pas d’action civile en Californie
En mars 2020, la société Marriott a été victime d’une fuite de données touchant environ 5,2 millions de ses clients. Des personnes non autorisées avaient eu accès à des informations comprenant notamment les noms, prénoms, adresses électroniques, numéros de téléphone et année de naissance de clients. Néanmoins, aucun accès à des mots de passe ou des informations relatives à des cartes de crédit n’avait été constaté.
Plusieurs victimes de la fuite ont déposé une Class Action auprès du United States District Court for Central District of California (CDCA) en invoquant notamment une violation du California Consumer Privacy Act (CCPA).
Marriott s’est défendue en soutenant que les demandeurs n’avaient pas prouvé que la fuite concernait des données sensibles. Or, selon la jurisprudence et selon le CCPA, seul l’accès aux données sensibles permettrait aux victimes d’agir en justice.
Afin qu’un tribunal soit compétent, le demandeur doit prouver avoir subi un « préjudice de fait » (injury in fact). Tel est le cas s’il y a une atteinte à un intérêt juridiquement protégé. L’atteinte doit être concrète et individualisée ainsi que réelle ou imminente, et non spéculative ou hypothétique.
Dans l’arrêt Antman v. Uber Technologies, Inc., le Northern District of California a considéré que si les données volées ne comprenaient pas les numéros de sécurité sociale, les numéros de compte ou de carte de crédit, il n’y avait pas de risque crédible d’usurpation d’identité qui risquerait de causer un préjudice réel et immédiat. Le Southern District of California partage cette approche.
Le CDCA conclut que seule une fuite de données qui comprend des informations sensibles peut rendre vraisemblable un « préjudice de fait ». Dans le cas contraire, les victimes n’ont pas la qualité pour agir en justice.
En l’espèce, l’enquête de Marriott a permis de déterminer qu’il n’y a eu aucun accès non autorisé à des données sensibles. Conformément à la jurisprudence susmentionnée, le simple accès non autorisé à des données personnelles ne permet pas de prouver un « préjudice de fait ». Partant, le Central District of California rejette la demande.
Cet arrêt confirme que, pour l’instant, une simple atteinte au right to privacy ne constitue pas un injury in fact, et, partant, ne permet pas aux victimes de porter leur cas devant les tribunaux californiens. En effet, la jurisprudence californienne met l’accent sur le risque de vol d’identité suite à une fuite de données. Or les informations concernées par la fuite dans cette affaire sont des données qui sont en partie déjà librement accessibles. Ainsi, la fuite ne va pas créer un risque concret d’usurpation d’identité. Par ailleurs, le CCPA ne protège précisément pas les données qui sont déjà publiques (« “Personal information” does not include publicly available information »).
Le droit de l’Union européenne connaît une approche bien différente. Non seulement le RGPD protège toutes les données personnelles, mais son art. 82 permet aux victimes d’une « violation de données » d’obtenir réparation de leur dommage matériel et moral si des mesures de sécurités adéquates n’avaient pas été mises en place (cf. not. swissprivacy.law/19/). Elles n’ont ainsi pas besoin de prouver que la fuite concerne des données sensibles ou qu’elles ont été victimes d’un vol d’identité afin d’actionner le responsable du traitement.
En droit suisse, les victimes d’une fuite de données auront bien plus du mal à obtenir un dédommagement. En effet, notre droit ne connaît pas la notion de « dommage moral » au sens du RGPD (cf. not. swissprivacy.law/35/). De ce fait, la preuve de la survenance d’un dommage sera particulièrement difficile à apporter au regard de notre approche restrictive de la notion du dommage.
Proposition de citation : Célian Hirsch, Fuite de données pour Marriott : pas d’action civile en Californie, 31 janvier 2021 in www.swissprivacy.law/53
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.