Par Eur Ing Mark Hawksworth, chef de groupe de pratique spécialiste mondial de la technologie et expert exécutif de MCL
Au fur et à mesure que de nouvelles lois sur la protection des données sont introduites, de nouveaux défis le sont également.
L’agriculture des réclamations se produit lorsque les parties soumettent des réclamations pour un gain financier contre des cibles ignorant l’utilisation abusive des données et est à la hausse au Royaume-Uni. Après avoir navigué dans les difficultés liées à COVID-19 et au nombre croissant de cyberattaques, les entreprises britanniques sont maintenant confrontées à une exposition supplémentaire de l’agriculture de réclamation en utilisant le règlement 6 du Règlement de 2003 sur la confidentialité et les communications électroniques (Directive CE) (PECR). Dans les réclamations que nous avons reçues jusqu’à présent, les entreprises n’étaient pas au courant de leur exposition, ce qui rend la sensibilisation et la création d’un plan si essentielles pour que les titulaires de police se protègent.
Préoccupations relatives à la conformité
Dans certains cas, les entreprises peuvent ne pas savoir qu’elles sont responsables de l’utilisation abusive des informations personnelles. Si une personne visite sa page Web et remarque que des cookies de suivi ont été téléchargés, elle peut soumettre une réclamation que la page Web n’est pas conforme à la réglementation. Le défi consiste à déterminer si la personne qui fait la réclamation a délibérément cherché cette page Web pour son propre gain financier.
Les réclamations de tiers liées aux cookies de suivi persistants placés sur des appareils personnels sans le consentement du propriétaire sont générées en masse. L’argument est que les cookies de suivi sont intrusifs contrairement au RGPD et comme aucun consentement n’a été donné au placement du cookie de suivi, le demandeur peut demander une compensation financière.
La correspondance des demandeurs en série cite généralement le règlement 2(1) du règlement 6 du règlement de 2003 sur la confidentialité et les communications électroniques (directive CE) (PECR), qui fait référence à « le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée dans le RGPD ». Le considérant 32 du RGPD stipule : « le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, informée et sans ambiguïté de l’accord de la personne concernée ».
Le processus pour les souscripteurs
Si une violation est détectée sur la base des directives ci-dessus, le titulaire de la police est informé de l’installation de cookies de suivi et est invité à soumettre une réclamation en vertu de toute couverture d’assurance appropriée qu’il a en place. Une réclamation est transmise aux assureurs, puis à un manutentionnaire qui reçoit des preuves de l’installation et de la persistance des cookies de suivi, généralement sous la forme d’une vidéo enregistrée à partir de l’appareil du demandeur.
La revendication peut faire référence à :
- allégations/éléments de preuve
- la page Web présumée installant des cookies de suivi
- preuve de la persistance des cookies de suivi
- la façon dont les cookies de suivi créent un identifiant unique, qui suit le comportement d’Internet en violation du règlement 6 (1) du PECR
- défaut de fournir au demandeur des renseignements clairs et complets sur les fins de ces témoins, en contravention du Règlement (6)(2)a) du PECR
- le défaut d’obtenir le consentement pour utiliser les témoins en contravention de l’alinéa 6(2)(b) du Règlement ;
- défaut de traiter les informations personnelles de manière équitable, légale et transparente, en violation de l’article 5 du RGPD
Au cours des discussions sur les réclamations, la menace est faite que si le problème n’est pas résolu à la satisfaction du demandeur, les détails seront transmis au Bureau du commissaire à l’information (ICO). L’ICO peut exercer ses fonctions d’application en vertu du règlement 32 du PECR, qu’une responsabilité personnelle pour les violations du PECR existe en vertu du règlement 2 (3) du règlement de 2018 sur la confidentialité et les communications électroniques (modification). La correspondance se termine généralement par la demande de paiement sous forme de compensation financière pour l’absence de consentement ci-dessus après réception de laquelle la notification à l’OIC ne sera pas poursuivie.
Pour les assureurs, les courtiers et les titulaires de police, il est essentiel de comprendre l’impact de ne pas avoir l’acceptation du consentement aux cookies sur les pages Web. Que l’entreprise soit au courant ou non, elle peut toujours être en faute et, à ce titre, responsable de fournir une indemnisation financière au demandeur. La sensibilisation à l’égard de l’agriculture des claims et la création d’un plan peuvent protéger des parties innocentes contre des réclamations de tiers comme celle-ci.