Getty Images | Imaginima
L’Illinois a modifié sa loi sur la confidentialité des informations biométriques (BIPA) afin de limiter considérablement les sanctions financières auxquelles sont confrontées les entreprises qui obtiennent ou vendent illégalement des identifiants biométriques tels que des scanners oculaires, des scanners faciaux, des empreintes digitales et des empreintes vocales.
La loi de 2008 obligeait les entreprises à obtenir un consentement écrit pour la collecte ou l’utilisation de données biométriques et permettait aux victimes de réclamer des dommages et intérêts de 1 000 $ pour chaque violation par négligence et de 5 000 $ pour chaque violation intentionnelle ou imprudente. Mais un amendement adopté vendredi stipule que plusieurs violations liées aux données biométriques d’une seule personne ne seront comptabilisées que comme une seule violation.
L’amendement, approuvé par l’Assemblée législative de l’Illinois en mai et signé par le gouverneur JB Pritzker le 2 août, prévoit qu’« une entité privée qui collecte ou divulgue plus d’une fois l’identifiant biométrique d’une personne ou les informations biométriques de la même personne en violation de la loi a commis une seule violation pour laquelle la personne lésée a droit, au plus, à un seul dédommagement. »
Comme le rapporte Reuters, « les modifications apportées à la loi annulent effectivement une décision de la Cour suprême de l’Illinois de 2023 selon laquelle les entreprises pourraient être tenues responsables à chaque fois qu’elles utilisent à mauvais escient les informations privées d’une personne et pas seulement la première fois ». Cette décision a été rendue dans le cadre d’un projet de recours collectif intenté contre la chaîne de restaurants White Castle par un employé.
Le changement réduit le risque de gros règlements
La modification de la loi sur la protection de la vie privée « réduira considérablement les dommages potentiels et diminuera la valeur du règlement des réclamations BIPA. L’amendement prévoit également qu’une signature électronique satisfait aux exigences écrites pour la divulgation », a écrit hier Alan Friel, avocat de Squire Patton Boggs, dans la National Law Review.
En 2020, Facebook a accepté un règlement de 650 millions de dollars après avoir été poursuivi en justice par des utilisateurs qui ont allégué des violations de la loi de l’Illinois. Les membres du groupe de règlement ont reçu plus de 400 $ chacun.
La loi de l’Illinois est unique en ce qu’elle permet aux particuliers d’engager des poursuites en dommages et intérêts, a écrit Friel. « Le Colorado a récemment promulgué une loi sur la biométrie de type BIPA, mais comme d’autres États, à l’exception de l’Illinois, elle ne dispose pas d’un droit d’action en matière de confidentialité et ne peut être appliquée que par l’État », a-t-il écrit. « Cependant, les États s’emploient activement à faire respecter leurs lois sur la confidentialité, comme l’illustre un récent règlement conclu au Texas avec une société de médias sociaux pour des réclamations relatives au consentement biométrique qui incluaient le paiement d’une pénalité civile à neuf chiffres. »
Friel faisait référence à l’accord de Meta, propriétaire de Facebook, pour un règlement de 1,4 milliard de dollars avec le procureur général du Texas, Ken Paxton. Le procureur général du Texas a allégué que Meta avait » illégalement capturé[ed] les données biométriques de millions de Texans sans obtenir leur consentement éclairé comme l’exige la loi du Texas. » L’accusation portait sur l’utilisation par Facebook de la reconnaissance faciale pour une fonctionnalité qui facilite le marquage des personnes sur les photos.
La Fondation pour les technologies de l’information et l’innovation, un groupe de recherche financé par diverses sociétés, a déclaré que le changement apporté à la BIPA « améliore légèrement une mauvaise loi ».
« La BIPA est un parfait exemple de législation sur la protection de la vie privée qui va trop loin », a déclaré Ash Johnson, responsable principal de la politique de l’ITIF. « Avec des amendes élevées pour des infractions même mineures et un droit d’action privé qui est devenu incontrôlable, avec de multiples règlements à l’amiable de plusieurs millions de dollars. Cela a conduit les entreprises à limiter la technologie disponible pour les consommateurs de l’Illinois, voire à se retirer complètement de l’État. »