Demande de dommages-intérêts à l'agriculture à la lumière des lois sur la protection des données

Par Eur Ing Mark Hawksworth, responsable du groupe de spécialistes en technologie mondiale et expert en sinistres MCL

L'introduction de nouvelles lois sur la protection des données s'accompagne de nouveaux défis.

Le « claim farming » (chasse aux réclamations) se produit lorsque des parties soumettent des réclamations à des fins lucratives contre des cibles qui ne sont pas conscientes de l'utilisation abusive de leurs données. Ce phénomène est en augmentation au Royaume-Uni. Après avoir traversé les difficultés liées à la COVID-19 et à la multiplication des cyberattaques, les entreprises britanniques sont désormais confrontées à un risque supplémentaire de « claim farming » en vertude l'article 6du règlement de 2003sur la vie privée et les communications électroniques(directive CE) (PECR). Dans les réclamations que nous avons reçues jusqu'à présent, les entreprises n'étaient pas conscientes de leur exposition à ce risque, ce qui rend la sensibilisation et l'élaboration d'un plan d'action indispensables pour que les assurés puissent se protéger.

Problèmes de conformité

Dans certains cas, les entreprises peuvent ignorer qu'elles sont responsables de l'utilisation abusive des données personnelles. Si une personne visite leur page Web et remarque que des cookies de suivi ont été téléchargés, elle peut déposer une plainte pour non-conformité de la page Web à la réglementation. Le défi consiste à déterminer si la personne qui dépose la plainte a délibérément recherché cette page Web dans le but d'en tirer un avantage financier.

Des plaintes émanant de tiers concernant l'installation de cookies de suivi persistants sur des appareils personnels sans le consentement de leur propriétaire sont générées en masse. L'argument avancé est que les cookies de suivi constituent une intrusion contraire au RGPD et que, aucun consentement n'ayant été donné pour leur installation, le plaignant peut demander une compensation financière.

La correspondance des plaignants en série cite généralement l'article 2, paragraphe 1, du règlement 6 du règlement de 2003 sur la vie privée et les communications électroniques (directive CE) (PECR), qui fait référenceau « consentement d'un utilisateur ou d'un abonné correspondant au consentement de la personne concernée dans le RGPD ». Le considérant 32 du RGPD stipule que «le consentement doit être donné par un acte affirmatif clair établissant une indication libre, spécifique, informée et sans ambiguïté de l'accord de la personne concernée ».

Le processus pour les assurés

Si une violation est détectée sur la base des directives ci-dessus, le titulaire de la police est informé de l'installation de cookies de suivi et est invité à soumettre une demande d'indemnisation au titre de toute couverture d'assurance appropriée dont il dispose. La demande d'indemnisation est transmise aux assureurs, puis à un gestionnaire qui reçoit les preuves de l'installation et de la persistance des cookies de suivi, généralement sous la forme d'une vidéo enregistrée à partir de l'appareil du demandeur.

La réclamation peut faire référence à :

• allégations/preuves
• la page Web présumée installant des cookies de suivi
• preuve de la persistance des cookies de suivi
• comment les cookies de suivi créent un identifiant unique qui suit le comportement sur Internet, en violation de l'article 6, paragraphe 1, du PECR
• défaut de fournir au demandeur des informations claires et complètes sur les finalités de ces cookies, en violation de l'article 6, paragraphe 2, point a), du PECR
• défaut d'obtention du consentement à l'utilisation des cookies en violation de l'article 6(2)(b) du PECR ;
• non-respect de l'obligation de traiter les données à caractère personnel de manière loyale, licite et transparente, en violation de l'article 5 du RGPD

Au cours des discussions relatives à la réclamation, il est menacé que si le problème n'est pas résolu à la satisfaction du demandeur, les détails seront transmis au Bureau du commissaire à l'information (ICO). L'ICO peut exercer ses fonctions d'application en vertu de l'article 32 du PECR, qui stipule qu'une responsabilité personnelle pour violation du PECR existe en vertu de l'article 2(3) du règlementde 2018 sur la vie privée et les communications électroniques (modification). La correspondance se termine généralement par une demande de paiement sous forme de compensation financière pour l'absence de consentement susmentionnée, à la suite de laquelle la notification à l'ICO ne sera pas poursuivie.

Pour les assureurs, les courtiers et les assurés, il est essentiel de comprendre l'impact de l'absence d'acceptation des cookies sur les pages web. Que l'entreprise en soit consciente ou non, elle peut tout de même être en tort et, à ce titre, être tenue de verser une compensation financière au demandeur. Sensibiliser les parties innocentes au « claim farming » et élaborer un plan d'action peut les protéger contre ce type de réclamations de tiers.