Les litiges relatifs à la protection de la vie privée ne se limitent plus aux violations de données ; ils englobent désormais l’utilisation courante des données, les technologies de suivi et le consentement insuffisant. De nouvelles interprétations de lois telles que le CCPA et le BIPA, ainsi que les réglementations sur les écoutes téléphoniques et la protection de la vie privée en matière de vidéo, alimentent les actions collectives. Les entreprises sont désormais responsables des manquements en matière de consentement, même en l’absence de violation, ce qui souligne la nécessité de mettre en place des mécanismes de consentement robustes.
Le paysage du consentement connaît des bouleversements majeurs dans la manière dont les tribunaux et les plaignants appréhendent la vie privée. La responsabilité juridique ne se limite plus aux cas de piratage ou de fuites de données ; elle découle de plus en plus de l’utilisation courante des données et de mécanismes de consentement insuffisants. Un nombre croissant de décisions de justice récentes et d’accords collectifs illustre cette nouvelle « frontière », où l’absence de violation de données n’exonère plus les entreprises de tout risque juridique.
De nouvelles interprétations de la loi californienne sur la protection des données des consommateurs (CCPA) sont à l’origine de ces changements. Les tribunaux autorisent désormais les actions collectives visant le partage courant d’informations personnelles, même en l’absence de violation.
Quels types d’affaires sont concernés par ces décisions ? À titre d’exemple, dans l’affaire Shah contre Capital One, les plaignants ont allégué que Capital One avait partagé des données personnelles avec des sociétés tierces d’analyse et de publicité via des pixels de suivi et des technologies intégrées, sans notification ni consentement suffisants. Le tribunal a rejeté la requête en irrecevabilité de Capital One, reconnaissant des violations plausibles du CCPA en l’absence de défaillances classiques en matière de cybersécurité. Cette évolution va au-delà des interprétations antérieures qui limitaient la responsabilité au titre du CCPA aux seuls cas de piratage, de fuites ou de violations de données.
Par ailleurs, des questions ont été soulevées devant les tribunaux quant à la qualification des cookies et des conversations de chatbots comme « enregistrements » susceptibles d'enfreindre les lois américaines sur les écoutes téléphoniques. Ces lois, sans lien avec la protection des données personnelles, concernent en revanche le consentement éclairé. Quels mécanismes permettent de recueillir ce consentement lorsque certaines interactions n'étaient pas auparavant considérées comme telles, c'est-à-dire comme des violations des règles relatives aux écoutes téléphoniques plutôt qu'à la protection des données personnelles ?
Ces changements élargissent le champ des responsabilités : les entreprises doivent désormais vérifier non seulement la sécurité des données, mais aussi leur conformité aux normes d'information, de consentement et de contrôle du consommateur lors de leur collecte, de leur partage et de leur utilisation. Elles doivent également s'assurer que les mécanismes en place ne soient pas nécessairement requalifiés et rendus non conformes.
Même en dehors des technologies de suivi, les tribunaux et les organismes de réglementation s'opposent à d'autres formes de collecte de données sans consentement :
Dans une affaire survenue en 2024 dans l'Illinois, Charlotte Tilbury Beauty a été accusée de collecter des scans de la géométrie faciale via des outils d'essayage virtuel sans le consentement des utilisateurs. L'entreprise a accepté un règlement à l'amiable de 2,93 millions de dollars américains en vertu de la loi sur la protection des informations biométriques (BIPA), accordant à chaque plaignant entre 700 et 1 100 dollars américains sans avoir à prouver de préjudice.
Ceci souligne à quel point la collecte de données biométriques, en particulier sans information préalable ni possibilité de retrait, constitue un nouveau champ de responsabilité en matière de protection de la vie privée.
Les cas de non-violation de données se multiplient également ailleurs. Un règlement à l'amiable dans le cadre d'un recours collectif contre GameStop alléguait une violation de la loi sur la protection de la vie privée vidéo (VPPA), fondée sur le partage de données vidéo identifiables des utilisateurs avec Facebook via des pixels de suivi, là encore, sans consentement. Les utilisateurs éligibles pouvaient prétendre à de petits bons d'achat en dollars américains.
Cette affaire illustre la tendance des litiges liés aux pratiques de partage ou de surveillance, et non au vol de données.
Les actions collectives en matière de protection de la vie privée s'étendent également au domaine des communications avec les consommateurs. Un règlement de 5,95 millions de dollars impliquant Albertsons, Star Markets et Safeway portait sur des violations présumées de la loi américaine sur la protection des consommateurs par téléphone (TCPA), notamment l'envoi de SMS et d'appels non sollicités malgré les demandes de désabonnement.
Il s'agissait d'une responsabilité sans violation de données, mais pour atteinte à la vie privée via les communications plutôt que pour divulgation de données.
Cette diversification des litiges relatifs à la protection de la vie privée s'inscrit dans un contexte d'explosion générale du nombre d'affaires aux États-Unis. Une série d'articles de mars 2025 sur les litiges relatifs à la protection des données aux États-Unis recense près de 2 000 poursuites intentées devant les tribunaux fédéraux pour la seule année 2024, couvrant des sujets tels que les violations de données, le suivi, les courtiers en données, la biométrie, les contrats, et bien plus encore.
Ce portefeuille croissant de théories juridiques reflète l'évolution de la compréhension, par la société, des atteintes à la vie privée.
Plusieurs facteurs convergent pour alimenter cette évolution en matière d'application de la loi. Parmi ceux-ci figurent une attention accrue portée par la réglementation à la transparence, au consentement et au contrôle du consommateur – et non plus seulement à la sécurité des données –, l'ambiguïté technologique, la facilité d'engager des poursuites judiciaires et la gestion des risques d'entreprise.
Face à ces enjeux, les entreprises doivent commencer à réfléchir à la signification du consentement dans un paysage juridique en constante évolution et de plus en plus fragmenté. Comment peuvent-elles se protéger ?
La première ligne de défense consiste en une plateforme de gestion du consentement, mais une approche écosystémique globale sera nécessaire à mesure que le droit du consentement évoluera.
©2025 CookieHub ehf.
