Google a prévalu contre un autre recours collectif britannique en matière de protection de la vie privée après qu’un tribunal de Londres a rejeté une action en justice intentée l’année dernière contre le géant de la technologie et sa division AI, DeepMind, qui avaient demandé une indemnisation pour l’utilisation abusive des dossiers médicaux des patients du NHS.
La décision souligne les obstacles auxquels sont confrontées les demandes d’indemnisation de type recours collectif pour atteinte à la vie privée au Royaume-Uni
Le plaignant avait cherché à déposer une plainte représentative au nom des quelque 1,6 million de personnes dont les dossiers médicaux ont été – à partir de 2015 – transmis à DeepMind à leur insu ou sans leur consentement – demandant des dommages-intérêts pour utilisation illégale des données médicales confidentielles des patients. La société d’IA appartenant à Google avait été engagée par le Royal Free NHS Trust qui lui a transmis les données des patients pour co-développer une application de détection des lésions rénales aiguës. Le chien de garde de la protection des données du Royaume-Uni a découvert plus tard que le Trust n’avait pas de base légale pour le traitement.
Dans un jugement rendu aujourd’hui par la Royal Courts of Justice de Londres, la juge Heather Williams a rejeté l’affaire au motif qu’elle ne remplissait pas les conditions requises pour intenter une action représentative, qui exige que la demande soit fondée sur des circonstances générales qui s’appliquent au l’ensemble de la classe plutôt que sur des circonstances individuelles, concluant par conséquent que la demande serait vouée à l’échec.
Les plaignants avaient tenté d’escalader ce mur juridique en ne réclamant que « des dommages-intérêts au plus petit dénominateur commun » pour chaque membre du groupe réclamé – ce qui signifie qu’ils réclamaient une indemnisation calculée en tenant compte du « préjudice minimum irréductible » subi par tous les membres.
Cependant, même cette barre abaissée n’a pas réussi, car le juge a identifié « de nombreuses variables pertinentes » entre les membres de la classe et a jugé qu’il y avait des défis écrasants à toute tentative de redessiner la classe pour essayer d’établir une revendication viable – concluant qu’il y a » une difficulté fondamentale et inhérente à identifier une réclamation viable pour tout membre du groupe si cette réclamation est intentée en tant qu’action représentative sur la base de circonstances communes ».
Le cabinet d’avocats représentant le demandeur, Andrew Prismall, a été contacté pour commentaires, mais à la presse, il n’avait pas répondu.
Un porte-parole de Google DeepMind a envoyé cette déclaration saluant la décision : « Nous sommes heureux que la Cour ait décidé de mettre fin à cette procédure. Comme nous l’avons soutenu, cette affirmation est infondée et sans fondement.
Ce n’est pas la première fois qu’un recours collectif en dommages-intérêts pour la vie privée contre Google échoue au Royaume-Uni En 2021, la Cour suprême a définitivement bloqué une autre action représentative qui avait été intentée par un militant des droits des consommateurs concernant une solution de contournement que Google avait aurait été appliqué pour remplacer les paramètres de confidentialité des utilisateurs d’iPhone dans le navigateur Safari d’Apple entre 2011 et 2012.
Une tentative antérieure de Prismall d’intenter une action représentative contre Google et DeepMind en vertu de la loi britannique sur la protection des données a été abandonnée à la suite de la victoire susmentionnée de Google devant la Cour suprême. Il a ensuite déposé à nouveau la demande, en vertu du délit civil d’utilisation abusive d’informations privées, uniquement pour que cette affaire soit rejetée aujourd’hui.
Alors qu’un recours collectif intenté ces dernières années contre TikTok, alléguant l’abus de données d’enfants, a également été retiré l’année dernière à la suite de la victoire de Google devant la Cour suprême. Le demandeur dans cette affaire aurait déclaré que la décision avait créé une énorme incertitude juridique autour des recours collectifs en matière de protection de la vie privée, entraînant des risques de coûts que les bailleurs de fonds et les assureurs n’étaient plus disposés à supporter – ce qui signifiait que les parents auraient été exposés s’ils ‘d choisi d’aller de l’avant (donc ils ne l’ont pas fait).
Introduire une action en dommages-intérêts en tant qu’individu reste également d’un coût prohibitif. Ainsi, l’absence d’une voie claire (à faible risque) pour les citoyens britanniques pour intenter un recours collectif pour atteinte à la vie privée signifie qu’ils disposent de très peu d’options pour obtenir réparation en cas d’utilisation abusive de leurs données.
En 2017, le chien de garde de la protection des données du Royaume-Uni n’a même pas prononcé de sanction financière pour le NHS Trust qui, selon lui, avait illégalement transmis les dossiers des patients à DeepMind. Le géant de la technologie n’a pas non plus reçu l’ordre de supprimer les données des patients. Et tandis que Google a ensuite – en 2021 – mis hors service l’application, DeepMind a pu conclure des accords avec un certain nombre de NHS Trusts pour utiliser un logiciel développé à l’aide de données personnelles traitées illégalement. Donc, se plaindre au régulateur national de la protection de la vie privée dans l’espoir qu’il sanctionnera de manière significative les contrevenants aux règles n’est pas non plus une voie infaillible pour des résultats fructueux pour les Britanniques.
C’est une image de plus en plus différente dans l’Union européenne où une directive sur les recours collectifs a été adoptée en 2020 et doit entrer en vigueur le mois prochain. Cette loi vise à renforcer les droits des consommateurs en permettant aux citoyens du bloc d’intenter plus facilement des actions représentatives et de poursuivre collectivement les violations de leurs droits.
De plus, un autre changement à venir des règles de l’UE en matière de responsabilité du fait des produits vise à permettre aux personnes de poursuivre plus facilement les dommages causés par les logiciels et les systèmes d’IA, y compris pour les violations des droits fondamentaux comme la vie privée.
Un récent arrêt de la Cour de justice de l’UE a également établi que le cadre de protection des données du bloc ne fixe pas de seuil de préjudice pour une demande d’indemnisation en cas de violation.
Ce rapport a été mis à jour avec les détails du procès TikTok