Aller au contenu
iDiscovery Solutions, Cour suprême de l'Illinois, Illinois, Biometric Information Privacy Act (BIPA), Biometric Information Privacy Act, BIPA, Biometric Information, affaire BIPA, Illinois Biometric Information Privacy Act

La Cour suprême de l'Illinois a récemment rendu une décision dans Cothron contre White Castle System, Inc., ce qui pourrait avoir des implications importantes pour le paysage des litiges et l'environnement commercial de l'État. L'affaire concernait une prétendue violation de la loi sur la confidentialité des informations biométriques (BIPA) de l'Illinois par White Castle, une chaîne de restauration rapide, en relation avec son utilisation de la technologie de lecture d'empreintes digitales à des fins de chronométrage des employés.

La BIPA exige que les entreprises obtiennent le consentement écrit éclairé des individus avant de collecter, d'utiliser ou de stocker leurs informations biométriques, telles que les empreintes digitales ou les scans faciaux. En outre, la loi impose des exigences spécifiques en matière de notification et de conservation des données, ainsi qu'un droit d'action privé qui permet aux individus de poursuivre en dommages-intérêts si leurs droits sont violés.

Dans l'affaire Cothron, la plaignante a allégué que White Castle avait violé le BIPA en omettant de fournir un avis approprié et d'obtenir le consentement avant de collecter et de stocker ses données d'empreintes digitales. Le tribunal de première instance a rejeté l'affaire, mais la cour d'appel l'a annulée et l'a renvoyée pour une nouvelle procédure. White Castle a fait appel de la décision devant la Cour suprême de l'Illinois, qui a finalement confirmé la décision de la cour d'appel.

La décision de la Cour suprême dans Cothron contre White Castle System, Inc. pourrait avoir des implications importantes pour les entreprises faisant des affaires dans l'Illinois.

D'abord, il précise qu'un demandeur n'a pas besoin de démontrer un préjudice ou une blessure réelle pour déposer une plainte BIPA. Au lieu de cela, une violation des exigences de notification et de consentement de la loi est suffisante pour établir la qualité pour agir. Cela pourrait potentiellement ouvrir la porte à davantage de poursuites BIPA, car les plaignants peuvent être plus disposés à poursuivre même s'ils n'ont subi aucun préjudice réel.

Deuxième, la décision souligne l'importance de se conformer aux exigences de notification et de consentement du BIPA. La Cour a rejeté l'argument de White Castle selon lequel la demande du demandeur était sans objet parce que la société avait fourni un préavis approprié et obtenu le consentement après le dépôt de la poursuite. La Cour a estimé que la violation s'était déjà produite lorsque les données avaient été collectées sans préavis ni consentement appropriés, et que le plaignant était en droit de demander des dommages-intérêts pour cette violation.

Troisième, la décision clarifie la portée de la disposition de la loi sur les dommages-intérêts légaux. BIPA autorise des dommages-intérêts de $1 000 par violation par négligence ou $5 000 par violation intentionnelle ou imprudente. La Cour a estimé que ces dommages-intérêts ne sont pas soumis à un plafond ou à une limite, ce qui pourrait potentiellement entraîner une responsabilité importante pour les entreprises qui enfreignent la loi.

Alors que la décision Cothron pourrait mieux protéger la confidentialité biométrique des individus, cela peut également avoir un effet dissuasif sur les entreprises opérant dans l'Illinois. Le potentiel de dommages importants, combiné à l'absence d'exigence de préjudice, pourrait inciter les avocats des plaignants à intenter davantage de poursuites BIPA. Cela pourrait entraîner une augmentation des frais de justice pour les entreprises, ce qui pourrait à son tour entraîner une hausse des prix pour les consommateurs et un environnement commercial plus difficile pour les entreprises basées dans l'Illinois.

En outre, la décision pourrait encourager d'autres États à adopter des lois et des interprétations similaires, créant potentiellement un patchwork de différentes lois sur la confidentialité biométrique à travers le pays. Cela pourrait créer des problèmes de conformité pour les entreprises opérant dans plusieurs États et augmenter le risque de litige.

Dans l'ensemble, la décision Cothron souligne l'importance pour les entreprises de prendre des mesures proactives pour se conformer à la BIPA et aux autres lois sur la confidentialité biométrique. Cela peut inclure la mise en œuvre de politiques solides de sécurité et de conservation des données, l'obtention du consentement écrit éclairé des individus et la fourniture d'un avis clair et visible sur les pratiques de collecte de données. Les entreprises qui ne le font pas peuvent faire face à des conséquences juridiques et financières importantes, ainsi qu'à une atteinte à leur réputation à une époque où la confidentialité et la sécurité des données sont une priorité pour de nombreux consommateurs.

Résumé autour de la conformité

Pour garantir la conformité avec la loi Illinois Biometric Information Privacy Act (BIPA), les entreprises doivent envisager de prendre les mesures suivantes :

Établir des politiques et des procédures: Créez des politiques et des procédures qui décrivent comment les informations biométriques seront collectées, utilisées et stockées. Cela devrait inclure un avis clair et visible aux personnes sur la manière dont leurs informations seront collectées, utilisées et stockées, ainsi que sur le but de la collecte.

Obtenir un consentement écrit éclairé: Obtenir le consentement écrit éclairé des personnes avant de collecter, d'utiliser ou de stocker leurs informations biométriques. Le consentement doit être spécifique et décrire clairement le but de la collecte, la manière dont les informations seront utilisées et comment elles seront stockées.

Mettre en place des garanties: Mettre en œuvre des mesures de protection techniques, administratives et physiques pour protéger les informations biométriques. Cela peut inclure le cryptage des données, la limitation de l'accès aux informations biométriques et la mise en œuvre de pratiques de stockage sécurisé des données.

Développer des politiques de rétention: Établir des politiques pour combien de temps les informations biométriques seront conservées et quand elles seront détruites. La BIPA exige que les informations biométriques soient détruites lorsque l'objectif de la collecte a été atteint, ou dans les trois ans suivant la dernière interaction de l'individu avec l'entreprise, selon la première éventualité.

Réaliser des audits réguliers: Mener des audits réguliers pour s'assurer que l'entreprise se conforme à la BIPA et aux autres lois et réglementations pertinentes. Cela peut inclure l'examen des politiques et des procédures, la surveillance des pratiques de collecte de données et la garantie que les employés sont formés sur la façon de gérer les informations biométriques.

En prenant ces mesures, les entreprises peuvent aider à s'assurer qu'elles sont en conformité avec la BIPA et prennent les mesures appropriées pour protéger les informations biométriques des individus. Le non-respect du BIPA peut entraîner des conséquences juridiques et financières importantes, ainsi qu'une atteinte à la réputation. Par conséquent, il est important pour les entreprises de prendre au sérieux la confidentialité biométrique et d'établir des programmes de conformité complets pour atténuer les risques.

Résumé autour de la découverte et des sources de données

Quelles sont les sources de données courantes qui sont découvertes dans le cadre d'un litige BIPA ?

Dans un litige en vertu de la Loi sur la confidentialité des informations biométriques (BIPA), une gamme de sources de données peut être découverte, en fonction de la portée de l'affaire et des informations recherchées. Certaines sources de données courantes qui peuvent faire l'objet d'une découverte dans un cas BIPA comprennent :

Données biométriques: Il s'agit des données primaires qui font l'objet d'un litige BIPA et peuvent inclure des empreintes digitales, des scans faciaux et d'autres informations biométriques qu'une entreprise collecte auprès d'individus. Ces données peuvent être stockées sur des dispositifs physiques, tels que des scanners, ou dans des bases de données électroniques.

Dossiers des employés: Les dossiers des employés peuvent faire l'objet d'une découverte s'ils contiennent des informations liées à la collecte de données biométriques, telles que des formulaires de consentement, des politiques et des procédures liées à la collecte et au stockage des données, et du matériel de formation pour les employés.

Spécifications techniques: Les spécifications techniques liées à la collecte et au stockage des données biométriques peuvent être pertinentes dans un cas BIPA, y compris des détails sur le matériel et les logiciels utilisés pour collecter, stocker et protéger les données.

Systèmes informatiques: Les systèmes informatiques peuvent faire l'objet d'une découverte dans un cas BIPA, y compris les systèmes de stockage de données, les systèmes de sauvegarde et les journaux d'accès aux données. Ces informations peuvent être utilisées pour démontrer comment les données sont collectées, utilisées et protégées, et si des violations ou des accès non autorisés se sont produits.

Courriel et autres communications électroniques: Les e-mails et autres communications électroniques peuvent être pertinents dans un cas BIPA s'ils contiennent des discussions liées à la collecte, au stockage ou au traitement des données biométriques. Cela peut inclure des e-mails entre employés, des e-mails aux fournisseurs ou sous-traitants et des communications liées au développement ou à la mise en œuvre de systèmes de données biométriques.

Accords de fournisseur et d'entrepreneur: Les accords entre fournisseurs et sous-traitants peuvent être pertinents dans un cas BIPA s'ils contiennent des dispositions relatives à la collecte et au stockage des données biométriques. Ces informations peuvent être utilisées pour déterminer si l'entreprise a pris les mesures appropriées pour protéger les données biométriques et si les fournisseurs ou sous-traitants ont été correctement contrôlés et gérés.

Il est important de noter que les sources de données sujettes à découverte dans un cas BIPA varieront en fonction des spécificités du cas et des informations recherchées. Par conséquent, les entreprises doivent adopter une approche globale de la collecte, du stockage et du traitement des données, et établir des politiques et des procédures appropriées pour protéger les données biométriques et minimiser le risque de litige.

Si vous souhaitez planifier un appel avec l'un de nos experts pour discuter de la manière dont ces informations pourraient affecter l'un de vos clients ou cas, veuillez visiter iDSinc.com


iDS fournit des solutions de données consultatives aux entreprises et aux cabinets d'avocats du monde entier, leur donnant un avantage décisif - à la fois dans et hors de la salle d'audience. Nos experts en la matière et nos stratèges de données se spécialisent dans la recherche de solutions aux problèmes de données complexes, garantissant que les données peuvent être exploitées comme un atout et non comme un handicap.

fr_FRFR