Recherche de réclamations pour dommages-intérêts à la lumière des lois sur la protection des données

Par Eur Ing Mark Hawksworth, chef de groupe de pratique de spécialistes technologiques mondiaux et ajusteur exécutif MCL

À mesure que de nouvelles lois sur la protection des données sont introduites, de nouveaux défis sont également introduits.

Le farming de revendications se produit lorsque les parties soumettent des réclamations pour un gain financier contre des cibles ignorant l’utilisation abusive des données et est en hausse au Royaume-Uni. Après avoir navigué dans des difficultés liées à la COVID-19 et à l’augmentation du nombre de cyberattaques, les entreprises britanniques font maintenant face à une exposition supplémentaire à la gestion des réclamations en vertu du Règlement 6 du Règlement sur la vie privée et les communications électroniques (Directive CE) de 2003 (PECR). Dans les réclamations que nous avons reçues jusqu’à présent, les entreprises n’étaient pas au courant de leur exposition, ce qui rend la sensibilisation et la création d’un plan si cruciales pour que les assurés se protègent.

Préoccupations de conformité

Dans certains cas, les entreprises peuvent ignorer qu’elles sont responsables de l’utilisation abusive de données personnelles. Si une personne visite sa page web et remarque que des témoins de suivi ont été téléchargés, elle peut déposer une réclamation affirmant que la page web ne respecte pas les règlements. Le défi est de déterminer si la personne qui fait la réclamation a délibérément recherché cette page web pour son propre profit financier.

Des réclamations tierces liées à des témoins de suivi persistants placés sur des appareils personnels sans le consentement du propriétaire sont générées en masse. L’argument est que les cookies de suivi sont une intrusion contraire au RGPD et que, comme aucun consentement n’a été donné pour la mise en place du cookie de suivi, le demandeur peut demander une compensation financière.

La correspondance des demandeurs en série cite généralement le Règlement 2(1) du Règlement 6 du Règlement sur la vie privée et les communications électroniques (Directive CE) de 2003 (PECR), qui fait référence à « le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée dans le RGPD. » Le considérant 32 du RGPD stipule : « le consentement doit être donné par un acte affirmatif clair établissant une indication libre, spécifique, informée et sans ambiguïté de l’accord de la personne concernée ».

Le processus pour les assurés

Si une violation est détectée selon les directives ci-dessus, le titulaire de la police est informé de l’installation de cookies de suivi et est invité à soumettre une réclamation sous toute couverture d’assurance appropriée qu’il a en place. Une réclamation est transmise aux assureurs, puis à un gestionnaire qui reçoit des preuves à la fois de l’installation et de la persistance des témoins de suivi, habituellement sous forme de vidéo enregistrée à partir de l’appareil du demandeur.

La réclamation peut faire référence à :

• Allégations/preuves
• La présumée page web installant des cookies de suivi
• preuve de la persistance des cookies de suivi
• comment les témoins de suivi créent un identifiant unique, qui suit le comportement sur Internet en violation du Règlement 6(1) du PECR
• le fait de ne pas fournir au demandeur des informations claires et complètes sur les objectifs de ces témoins, en violation du Règlement (6)(2)(a) du PECR
• ne pas obtenir le consentement pour utiliser les témoins en violation du Règlement 6(2)(b) du PECR;
• manquement à traiter les données personnelles de manière équitable, légale et transparente, en violation de l’article 5 du RGPD

Lors des discussions sur les réclamations, on menace que si la question n’est pas réglée à la satisfaction du demandeur, les détails seront transmis au Bureau du commissaire à l’information (ICO). L’ICO peut exercer ses fonctions d’application en vertu du Règlement 32 du PECR, selon lequel une responsabilité personnelle pour les violations du PECR existe en vertu du Règlement 2(3) du Règlement de 2018 sur la confidentialité et les communications électroniques. La correspondance se termine généralement par une demande de paiement sous forme de compensation financière pour le manque de consentement mentionné ci-dessus, après réception de laquelle la notification à l’ICO ne sera pas poursuivie.

Pour les assureurs, courtiers et assurés, il est essentiel de comprendre l’impact de ne pas avoir d’acceptation du consentement aux témoins sur les pages web. Que l’entreprise en soit consciente ou non, elle peut tout de même être en faute et, à ce titre, responsable de fournir une compensation financière au demandeur. Sensibiliser à l’exploitation des réclamations et élaborer un plan peut protéger les parties innocentes contre des réclamations de tiers comme celle-ci.