Parce qu'une impasse sur les droits d'action individuels rend la législation fédérale sur la protection de la vie privée peu susceptible d'être adoptée sans un droit d'action privé sous une forme ou une autre, notre rapport recommande un recours ciblé permettant aux individus de poursuivre en justice pour certaines violations de la législation de base sur la protection de la vie privée. Nous recommandons de concentrer ces affaires sur les violations qui affectent le plus directement la vie privée des individus en limitant généralement le recouvrement aux dommages réels, exigeant une responsabilité consciente ou imprudente accrue pour la plupart des dispositions légales et une norme délibérée ou répétée pour davantage de dispositions procédurales, et des filtres procéduraux supplémentaires. Cet article explique la logique et la mécanique de notre proposition.
Aucune question dans le débat sur la protection de la vie privée n'est aussi polarisée que celle de savoir si les individus devraient être en mesure d'intenter des poursuites pour violation de la vie privée. Les poursuites privées, en particulier les actions collectives de consommateurs, sont un anathème même pour les entreprises respectueuses de la vie privée, alors que pour de nombreux groupes de consommateurs, de protection de la vie privée et de droits civils, elles constituent des objectifs fondamentaux.
Ces positions polaires se reflètent dans les projets de loi sur la protection de la vie privée des dirigeants du Sénat et de la Commission du commerce de la Chambre publiés à la fin de l'année dernière, dont nous avons abordé deux dans notre premier article de cette série : la sénatrice démocrate Maria Cantwell Loi sur les droits à la vie privée des consommateurs en ligne (COPRA), projet du sénateur républicain Roger Wicker Loi sur la protection des données des consommateurs des États-Unis (USCDPA), et le House Energy & Commerce Committee’s projet de discussion du personnel bipartite .
L'USCDPA ne contient aucune disposition relative à un droit d'action privé. COPRA en a un (article 301 (c)), et il permet toutes les formes de réparation, y compris les dommages-intérêts punitifs, les frais de litige et les dommages-intérêts légaux de 100 $ à 1 000 $ par jour ou le montant des dommages réels, sans aucune limite procédurale ou substantielle. pour restreindre les revendications. Le sénateur républicain Jerry Moran et le sénateur démocrate Richard Blumenthal ont essayé et échoué à négocier une disposition plus limitée, alors Moran est allé de l'avant et a publié son propre projet de loi cette année sans droit individuel de poursuite. Pendant ce temps, le projet de discussion de la Chambre contient une disposition d'espace réservé sur un droit d'action privé qui ne se compose que de crochets.
Bien que les cadres de protection de la vie privée plus larges énoncés dans la COPRA et l'USCDPA soient prometteurs à de nombreux égards et que les parties prenantes s'entendent sur plusieurs aspects importants des propositions, il y a eu peu de discussions et aucun progrès depuis leur publication. En effet, les récents projets de loi sur la protection de la vie privée pour la recherche des contacts et les données de notification des coronavirus présentent des images miroir de l'écart entre la COPRA et l'USCDPA en ce qui concerne les droits d'action privés. Et tant que les protagonistes resteront dans leurs propres coins sur cette question, les progrès – que ce soit sur une législation spécifique à la pandémie ou une législation complète sur la protection de la vie privée – resteront probablement au point mort. Nous nous sommes efforcés de trouver une voie médiane sur cette question pour éviter les choix soit-ou qui autrement conduiraient à l'échec.
Tracer une voie à suivre nécessite d'identifier les besoins concrets de chaque côté de cette fracture et d'explorer s'il existe certaines formes de droit d'action avec lesquelles l'industrie pourrait vivre, et certaines limites avec lesquelles les organisations de défense pourraient vivre. Les avocats expriment deux raisons principales pour autoriser les poursuites privées. L'un, sans surprise, est de permettre aux individus de demander réparation pour les blessures résultant de violations des intérêts de la vie privée protégés par la loi. La seconde est de compléter l'application publique de la loi en ajoutant des individus comme multiplicateurs de force à la Federal Trade Commission et aux procureurs généraux des États. À leur tour, de nombreux représentants de l'industrie ne sont pas opposés à tous les litiges privés, mais sont généralement préoccupés par ce qu'ils considèrent comme des poursuites pour nuisances. À leur avis, il existe également un potentiel pour les recours collectifs et les multiplicateurs de dommages (comme les dommages-intérêts statutaires, les dommages-intérêts punitifs et les dommages multiples) pour augmenter la valeur de nuisance des poursuites, quel que soit leur bien-fondé. Chacune des positions des défenseurs et de l'industrie a une certaine force. Nous voyons force à chacun de ces intérêts.
Rares sont ceux qui contesteraient que certains types d'atteintes à la vie privée devraient donner lieu à indemnisation. Par exemple, la pornographie non consensuelle ou l'utilisation d'applications de traque ou de logiciels espions contre un ancien conjoint ou partenaire sexuel entrerait dans cette catégorie. De même, il n'est guère contesté que la perte financière, par exemple, résultant d'un vol d'identité, devrait pouvoir être récupérée, bien que la nature exacte et l'étendue du préjudice soient souvent débattues. Ce sont les types de blessures qui ont une histoire en common law et en droit statutaire depuis que Samuel Warren et Louis Brandeis ont écrit leur article de revue de droit fondamental, Le droit à la vie privée , en 1890.
Aujourd'hui, le paysage de la confidentialité aux États-Unis contient de nombreuses lois autorisant les poursuites individuelles. L'ancêtre des lois fédérales sur la protection de la vie privée, le Loi sur les rapports de crédit équitables (FCRA), permet aux individus de poursuivre les agences d'évaluation et de récupérer au moins 100 $ ou des dommages-intérêts réels, des dommages-intérêts punitifs en cas de violation volontaire ou intentionnelle, et des honoraires d'avocat raisonnables dans tous les cas. Ses progénitures, la Privacy Act, la Right to Financial Privacy Act, la Cable Communications Policy Act, la Electronic Communications Privacy Act, la Video Privacy Protection Act et la Telephone Consumer Protection Act, autorisent toutes des poursuites individuelles de diverses manières. Il existe également une histoire de lois étatiques avec des recours pour exprimer les droits à la vie privée ainsi que des délits de droit commun pour les atteintes aux intérêts de la vie privée. En outre, les 50 États ont adopté des lois sur les actes et pratiques déloyaux et trompeurs, dont beaucoup prévoient des poursuites individuelles.
Lorsque William Prosser a organisé les délits liés à la vie privée et le droit à la vie privée de Warren/Brandeis en quatre catégories principales, il y a plus de 50 ans, il c'est noté [l]a difficulté de mesurer les dommages. Cette difficulté persiste aujourd'hui et c'est l'une des raisons pour lesquelles bon nombre des lois fédérales énumérées précédemment prévoient des dommages-intérêts légaux avec des sommes ou des fourchettes spécifiques. Ceux-ci servent à défendre les intérêts de la vie privée en assurant un recouvrement pour un demandeur gagnant indépendamment des dommages réels.
Le Telephone Consumer Protection Act (TCPA) est particulièrement controversé à cet égard. Bien qu'il ait été promulgué pour lutter contre les appels automatisés nuisibles, il cible plus largement l'utilisation des numéroteurs automatiques et a donc empêché les entreprises légitimes de contacter leurs propres clients, créé une confusion quant à savoir si les réponses automatisées constituent une numérotation automatique et a conduit à des réclamations basées sur le traitement des demandes de non-appel. trop lentement. Le TCPA autorise un droit d'action privé pouvant aller jusqu'à 500 $ par violation, ce qui, selon certains observateurs, permet des réclamations de piège. En 2019, ce statut a produit le la plus haute indemnité de dommages-intérêts au procès en vertu d'une loi sur la protection de la vie privée — 925 millions de dollars — dans un recours collectif contre le distributeur à plusieurs niveaux ViSalus, Inc.
Tout le monde déteste les appels automatisés, mais même les défenseurs de la vie privée peuvent se demander s'ils constituent l'une des pires infractions à la vie privée. Le verdict du procès en Wakefield c. ViSalus, Inc. démontre comment les dommages-intérêts statutaires, multipliés par un grand nombre de membres du recours collectif, peuvent s'additionner. Une telle exposition attire l'attention des cadres supérieurs et des conseils d'administration, car elle peut être suffisante pour exiger la déclaration des risques de litige pour les dépôts de titres et les bilans. Les effets de ces multiplicateurs étaient une préoccupation majeure des entreprises avec lesquelles nous nous sommes entretenus sur cette question avant la rédaction de notre rapport.
Nos recommandations pour une disposition sur le droit d'action privé tentent d'équilibrer les intérêts identifiés ci-dessus. Bien que les litiges privés soient imparfaits pour l'application et l'élaboration des politiques, ils peuvent servir d'outil supplémentaire, et l'exposition au risque de litige focalise l'esprit collectif de la direction de l'entreprise. Le régime de responsabilité civile délictuelle fondé sur la diligence raisonnable a amélioré la santé et la sécurité des lieux de travail, des bâtiments, des véhicules, des médicaments et des produits de consommation. Le processus itératif d'arbitrage au cas par cas fait partie d'une approche plus large, souple et fondée sur les risques, de la protection de la vie privée qui fait partie intégrante de notre rapport.
Nous incorporons une approche à plusieurs niveaux à l'exécution privée en proposant des normes différentes pour chaque disposition. Nous recommandons trois niveaux de responsabilité différents, chacun exigeant une norme d'état d'esprit bien établie pour différentes catégories de violations de la loi sur la protection de la vie privée. Ces niveaux sont liés, en premier lieu, aux obligations de fond proposées qui recadrent les dispositions de la COPRA et de l'USCDPA en deux obligations plus larges applicables à toutes les entités couvertes par la loi fédérale sur la protection des renseignements personnels.
L'un est un devoir de loyauté qui obligerait les entités couvertes à mettre en œuvre des politiques et des pratiques raisonnables pour protéger la vie privée des individus, adaptées à la taille et à la complexité de l'entité couverte et au volume, à la nature et à l'utilisation prévue des données couvertes traitées ; limiter le traitement des données aux fins nécessaires [et] proportionnées, conformément à COPRA et à l'USCDPA ; et exiger la communication des pratiques en matière de données de manière juste et transparente. Le second est un devoir de diligence basé sur une section sur les pratiques préjudiciables en matière de données dans COPRA. Cela interdirait aux entités couvertes de traiter les données couvertes d'une manière qui causerait de manière raisonnablement prévisible les dommages énumérés. Ces préjudices comprennent les préjudices financiers, les intrusions dans la vie privée ou l'intimité hautement offensantes et inattendues pour une personne raisonnable, la discrimination en violation des lois fédérales anti-discrimination ou des lois anti-discrimination de tout État ou de toute subdivision politique de celui-ci applicables à l'entité couverte, et d'autres préjudices substantiels.
Les blessures couvertes par cette obligation de diligence sont de celles qui sont largement reconnues comme indemnisables en vertu du droit à la vie privée de common law, des lois sur la protection des consommateurs et des lois anti-discrimination. Ainsi, l'obligation ciblerait spécifiquement les types de blessures que nous suggérons qu'un droit d'action privé devrait raisonnablement protéger. Pour les violations du devoir de diligence, nous ne proposons donc pas de norme d'état d'esprit renforcée. En d'autres termes, les entités couvertes pourraient toujours être tenues pour responsables même si elles ne sont pas au courant d'une quelconque violation du devoir de diligence, mais elles ne seraient pas soumises à une disposition de responsabilité stricte (comme elles pourraient le faire en vertu de la disposition de COPRA sur les pratiques préjudiciables en matière de données), parce que le élément de prévisibilité raisonnable importe une norme de négligence.
Nous recommandons ensuite de traiter le devoir de loyauté et d'autres obligations de fond, y compris le consentement, la sécurité des données et les droits civils, selon une norme de mépris conscient ou téméraire pour la vie privée ou la sécurité des individus. Ici, l'objectif n'est pas d'autoriser une action en justice pour chaque violation de la sécurité des données ou défaut d'obtenir exprimer leur consentement avant de collecter des données sensibles mais, plutôt, de s'assurer que les mauvais acteurs ne sont pas à l'abri de poursuites.
Pour intenter des poursuites privées liées à des dispositions en dehors de celles-ci, nous recommandons d'exiger des plaignants qu'ils démontrent des violations délibérées ou répétées de la loi. Cela s'appliquerait aux dispositions affectant les droits individuels d'accès, de rectification, de suppression, de portabilité des données et d'autres recours ; nomination d'agents de la protection de la vie privée et de la sécurité ; conduite d'évaluations des risques; et des divulgations complètes de la confidentialité. Il s'agit de dispositions administratives qui sont importantes pour la responsabilisation et les pratiques de confidentialité efficaces, mais qui n'ont pas nécessairement un impact direct sur la protection de la vie privée d'un individu. La norme volontaire et répétée empêcherait les poursuites judiciaires pour violations sans impact réel sur les individus, mais aiderait à prévenir les schémas ou pratiques de violation de ces exigences de responsabilité ou d'autres manquements flagrants.
En dehors des cas de violations intentionnelles ou répétées de toute disposition, nous recommandons aux entités couvertes d'être protégées des dommages-intérêts légaux. Ainsi, pour les violations statutaires qui ne sont pas intentionnelles ou répétées, nous limiterons généralement le recouvrement aux dommages réels pour les blessures subies, plus les honoraires d'avocat et les frais de litige ainsi que toute réparation équitable qu'un tribunal accorde à sa discrétion. Des événements ponctuels peuvent affecter de nombreuses personnes, par exemple lorsqu'une organisation modifie ses politiques de confidentialité, il serait donc utile de préciser qu'une violation n'est pas considérée comme répétée uniquement du fait qu'elle affecte un grand nombre d'individus dans un court laps de temps. période de temps. Cela exclurait les dommages-intérêts statutaires pour des événements ponctuels tout en laissant la porte ouverte à l'obtention de dommages-intérêts statutaires pouvant aller jusqu'à 1 000 $ par jour pour les violations qui se poursuivent sur une certaine période de temps.
Comme indiqué ci-dessus, les questions relatives à la nature et à l'étendue des dommages sont depuis longtemps un problème dans les litiges relatifs à la protection de la vie privée. À l'ère de l'Internet, les tribunaux se sont penchés sur la question constitutionnelle de savoir si les plaignants satisfont aux exigences permanentes de l'article III de la Constitution, ce qui constituera également un facteur limitant pour une loi fédérale sur la protection de la vie privée. Par exemple, dans Spokeo, Inc. c. Robins (2016) , Robins a intenté un recours collectif en vertu de la FCRA, la première loi fédérale sur la protection de la vie privée, alléguant qu'un moteur de recherche de personnes affichait des informations personnelles incorrectes à son sujet. La Cour suprême a renvoyé l'affaire aux juridictions inférieures pour déterminer si les allégations de préjudice immatériel étaient à la fois suffisamment précises et concrètes pour présenter une affaire ou une controverse éligible aux fins de l'article III ; en détention provisoire, la Cour d'appel des États-Unis pour le neuvième circuit a conclu qu'ils l'avaient fait.
quand est-ce que darwin est allé aux galapagos
En discutant de ces exigences, le tribunal a noté que le préjudice concret doit être réel et non abstrait, mais aussi que la violation de droits intangibles tels que la liberté d'expression et le libre exercice de la religion peut s'appliquer. Bien que le tribunal ait statué que toutes les inexactitudes ou violations de procédure en vertu de la FCRA ne constituent pas un préjudice concret, il a reconnu que lorsqu'il s'agissait de déterminer si un préjudice intangible constitue un préjudice en fait, l'histoire et le jugement du Congrès sont instructifs. le Parlé Le tribunal a spécifiquement reconnu que le Congrès est bien placé pour identifier les dommages intangibles qui satisfont aux exigences minimales de l'article III. Cela invite le Congrès à articuler les atteintes à la vie privée. Cela peut aider à surmonter les obstacles, mais ne résoudra peut-être pas les défis liés à l'établissement des dommages.
Dans les litiges relatifs à la liberté d'expression et au libre exercice, le succès prend souvent la forme d'une injonction. Ici, la disponibilité des honoraires et des frais d'avocat peut alléger le fardeau et les désincitations à intenter un litige constitutionnel et créer une exposition pour les défendeurs. Permettre aux tribunaux d'attribuer des frais de litige et des honoraires d'avocat raisonnables pour les poursuites privées aurait le même objectif pour les affaires de confidentialité.
Basé principalement sur le Loi sur la protection des consommateurs du Massachusetts , nous recommandons une forme de préavis et une possibilité de guérison. Dans notre rapport, elle est liée à l'exercice d'un droit de recours proposé, mais elle pourrait être adoptée comme disposition indépendante. Cette loi exige qu'un demandeur donne d'abord à l'entreprise concernée un préavis de 30 jours de la réclamation et atteste de l'avis et de l'absence d'action avant d'intenter une action en justice pour actes ou pratiques déloyaux ou trompeurs. Exiger des individus qu'ils exercent le droit de recours leur donnerait un moyen simple de résoudre les réclamations, tout en permettant également aux entités couvertes d'éviter les litiges. Nous notons qu'il devrait y avoir une exception pour les situations, comme le harcèlement criminel, qui présentent un risque de blessure physique ou d'autre préjudice irréparable si une personne doit attendre une réponse à la demande de recours.
Bien que nous ne pensons pas qu'une loi sur la protection de la vie privée devrait être entravée par un changement si radical dans la répartition américaine des frais de litige au point de transférer les frais et les honoraires d'avocat à la partie perdante, nous intégrons une modeste disposition de transfert d'honoraires qui est compatible avec bien- droit américain accepté. Elle est calquée sur les offres de jugements en Règle 68 des Règles fédérales de procédure civile, qui permet à un défendeur civil de faire une offre qui, si elle est acceptée, peut être convertie en un jugement contre le défendeur ; s'il est rejeté, cependant, il peut déplacer la responsabilité des frais de litige si le demandeur ne parvient pas à récupérer plus que l'offre. Sur la base de ce modèle, nous proposons qu'une entité couverte répondant à une demande de recours puisse offrir de l'argent, et que cette offre fonctionne comme une offre de la Règle 68 si un plaignant récupère finalement moins que le montant de l'offre. Comme la Règle 68, cela servirait à promouvoir le règlement des réclamations.
La loi fédérale existante suggère également des moyens d'autoriser les recours collectifs tout en répondant à certaines des préoccupations de l'industrie concernant de tels cas. le Loi de 1995 sur la réforme du contentieux des titres privés (PSLRA) établit des exigences supplémentaires en matière de plaidoirie pour les litiges en valeurs mobilières qui servent à tenir la découverte à distance jusqu'à ce qu'un groupe soit approuvé. Il énonce également les procédures de sélection d'un demandeur principal parmi les représentants du groupe et décrit les avantages du groupe et les frais attendus dans les règlements du groupe. Ces procédures peuvent être adaptées au contentieux de la vie privée, en laissant de côté certaines dispositions sui generis aux affaires de valeurs mobilières. Étant donné que la LRTFP fait référence à la règle 23 des Règles fédérales de procédure civile, qui régit les recours collectifs, nous pensons qu'une telle disposition dans la législation sur la protection de la vie privée devrait conférer aux tribunaux fédéraux une compétence exclusive sur les recours collectifs ; la superposer aux procédures étatiques pourrait s'avérer excessivement compliquée.
Dans le même ordre d'idées, nous recommandons que le droit d'action fédéral soit le recours exclusif pour les actions reprochées dans toutes les poursuites privées. Cela empêcherait d'ajouter des réclamations étatiques plus étendues au dossier fédéral, forcerait l'élection de recours et empêcherait le contournement des limites de dommages en vertu de la loi fédérale sur la base des réclamations étatiques.
À moins d'un changement radical dans la composition du Congrès, il est peu probable que la question du droit d'action privé dans la législation fédérale sur la protection de la vie privée soit résolue avec un résultat soit-ou. En conséquence, l'adoption d'une législation de base complète exigera des choix. Étant donné les possibilités d'adapter un droit d'action privé, de tels choix ressembleraient probablement à ce que nous suggérons ici.