Google fait face à un nouveau procès de type recours collectif au Royaume-Uni en relation avec un scandale de données sur la santé qui a éclaté en 2016, lorsqu’il est apparu que sa division AI, DeepMind, avait reçu des données sur plus d’un million de patients dans le cadre d’un projet de développement d’applications par le Royal Free NHS Trust à Londres – à l’insu ou sans le consentement des patients.
Le Trust a ensuite été sanctionné par l’organisme de surveillance de la protection des données du Royaume-Uni qui a constaté, à la mi-2017, qu’il avait enfreint la loi britannique sur la protection des données lorsqu’il a signé l’accord de partage de données de 2015 avec DeepMind. Cependant, la société de technologie – qui avait été engagée par le Trust pour aider à développer un wrapper d’application pour un algorithme du NHS afin d’alerter les cliniciens des premiers signes de lésion rénale aiguë (alias l’application Streams) – a évité la sanction puisque le Trust avait été directement responsable de lui transmettant les données des patients.
Il est donc intéressant que ce litige privé vise Google et DeepMind Technologies, plusieurs années plus tard. (Bien que, si une réclamation en dommages-intérêts contre l’une des sociétés les plus précieuses au monde prévaut, il y aura probablement beaucoup plus d’avantages par rapport aux litiges visant une fiducie de soins de santé financée par l’État.)
Mishcon de Reya, le cabinet d’avocats qui a été engagé pour représenter le seul demandeur nommé, un homme appelé Andrew Prismall – qui dit qu’il intente la poursuite au nom d’environ 1,6 million de personnes dont les dossiers ont été transmis à DeepMind – a déclaré que le litige demanderait des dommages-intérêts pour l’utilisation illégale des dossiers médicaux confidentiels des patients. La plainte est portée devant la Haute Cour de justice d’Angleterre et du Pays de Galles.
Le cabinet d’avocats a également confirmé que le Royal Free n’était pas poursuivi.
« La réclamation concerne l’utilisation abusive d’informations privées par Google et DeepMind. C’est de droit commun », nous a dit une porte-parole de Mishcon de Reya. « Nous pouvons également confirmer qu’il s’agit d’une demande de dommages-intérêts. »
Une plainte similaire, annoncée en septembre dernier, a été abandonnée, selon la porte-parole – qui a confirmé : « Il s’agit d’une nouvelle plainte pour utilisation abusive d’informations privées.
Dans une déclaration sur les raisons pour lesquelles il poursuit Google/DeepMind, Prismall a déclaré : « J’espère que cette affaire pourra aboutir à une issue et une clôture équitables pour les nombreux patients dont les dossiers confidentiels ont été – à l’insu des patients – obtenus et utilisés par ces grandes entreprises technologiques. .”
« Cette affirmation est particulièrement importante car elle devrait fournir des éclaircissements indispensables sur les paramètres appropriés dans lesquels les entreprises technologiques peuvent être autorisées à accéder et à utiliser des informations de santé privées », a ajouté Ben Lasserson, associé chez Mishcon de Reya, dans un autre déclaration de soutien.
Le cabinet note que le litige est financé par un accord de financement de litige avec Litigation Capital Management Ltd, une entité basée à Sydney, en Australie, qu’il décrit comme un gestionnaire d’actifs alternatifs spécialisé dans les solutions de financement des litiges à l’échelle internationale.
Google a été contacté pour commenter la nouvelle combinaison, mais au moment de la rédaction de cet article, le géant de l’adtech n’avait pas répondu.
Il y a eu une augmentation des litiges de type recours collectif visant les géants de la technologie pour utilisation abusive des données en Europe, bien qu’un certain nombre se soient concentrés sur la tentative de porter plainte en vertu de la loi sur la protection des données.
L’un de ces cas, un recours collectif de longue date au Royaume-Uni contre Google lié à un dépassement historique des paramètres de confidentialité des utilisateurs de Safari, a échoué devant la Cour suprême du Royaume-Uni l’année dernière. Cependant, Prismall poursuit (maintenant) en dommages-intérêts en vertu du délit civil d’utilisation abusive d’informations privées, de sorte que l’échec de cette affaire britannique antérieure n’a pas nécessairement une grande pertinence ici.
Cela semble expliquer pourquoi la poursuite précédente a été abandonnée et une nouvelle déposée, cependant. « JEIl est exact que la plainte précédente a été déposée sur la base d’une violation de la loi sur la protection des données et que la nouvelle plainte est déposée pour utilisation abusive d’informations privées », nous a déclaré la porte-parole de Mishcon de Reya lorsque nous avons posé des questions à ce sujet.
Alors que le scandale des données des patients DeepMind NHS peut sembler être une (très) vieille nouvelle, il y avait beaucoup de critiques sur la réponse réglementaire à l’époque – car le Trust lui-même n’a fait face à rien de plus qu’à une atteinte à sa réputation.
Il n’a pas été, par exemple, ordonné de dire à DeepMind de supprimer les données des patients – et DeepMind a pu conclure des accords avec d’autres NHS Trusts pour déployer l’application bien qu’elle ait été développée sans base légale valable pour utiliser les données des patients dans la première place.
Et alors que DeepMind s’était défendu contre les problèmes de confidentialité attachés à son parent adtech Google, affirmant que ce dernier n’aurait pas accès aux données médicales sensibles après l’éclatement du scandale, il a ensuite cédé sa division santé à Google, en 2018, c’est-à-dire le géant adtech a directement pris en charge le rôle de fournir et de prendre en charge l’application pour les NHS Trusts et de traiter les données des patients… (C’est peut-être la raison pour laquelle Google et DeepMind Technologies sont nommés dans la poursuite.)
Il y avait aussi la question du protocole d’accord signé entre DeepMind et le Royal Free qui énonçait un plan quinquennal pour construire des modèles d’IA utilisant les données des patients du NHS. Bien que DeepMind ait toujours affirmé qu’aucune donnée de patient n’avait été traitée pour l’IA.
Dans une autre tournure de la saga l’été dernier, Google a annoncé qu’il fermerait l’application Streams – qui, à l’époque, était encore utilisée par le Royal Free NHS Trust. Le Trust a affirmé qu’il continuerait à utiliser l’application malgré l’annonce par Google de son intention de la mettre hors service, ce qui soulève des questions sur la sécurité des données des patients une fois le support (par exemple, les correctifs de sécurité) retiré par Google.
Alors que le géant de la technologie espérait peut-être mettre toute la saga derrière lui en fermant discrètement Streams, il devra désormais soit se défendre devant les tribunaux, générant une nouvelle publicité pour le scandale d’utilisation abusive des données du NHS en 2015 – soit proposer de régler afin de faire le costume s’en aller tranquillement. (Et les bailleurs de fonds du contentieux sont, vraisemblablement, reniflant suffisamment d’opportunités dans les deux sens.)
La réaction contre les géants de la technologie qui dominent le marché continue d’alimenter d’autres types de recours collectifs. Plus tôt cette année, par exemple, une importante poursuite a été intentée contre la société mère de Facebook, Meta, réclamant des milliards de dommages et intérêts pour abus présumé du droit britannique de la concurrence. Mais le jury ne sait pas quelles actions représentatives – ou si – les actions représentatives ciblant les habitudes de traitement des données des géants de la technologie prévaudront.