Dans une décision 5-4 , la Cour suprême à la fin de la semaine dernière a interdit la porte du palais de justice à des milliers de personnes qui ont été qualifiées à tort de « terroristes potentiels » par le géant du crédit TransUnion. L'analyse de la Cour sur leur « représentation » – s'ils ont été suffisamment blessés pour intenter une action en justice – reflète une vision naïve du rôle de plus en plus puissant que les données personnelles et les entreprises privées qui les récoltent et les monétisent jouent dans la vie quotidienne. Cela menace également les efforts du Congrès pour protéger notre vie privée et d'autres droits intangibles contre la prédation par Facebook, Google et d'autres géants de la technologie.
Plus tôt cette année, nous avons déposé un mémoire d' amicus , avec notre co-conseil chez Hausfeld LLP , demandant à la Cour de laisser toutes les victimes d'abus de données d'entreprise avoir leur journée devant le tribunal.
Qu'a fait la Cour ?
TransUnion a étiqueté à tort et par négligence environ 8 000 personnes comme terroristes potentiels dans ses bases de données. Il a également mis ces informations dangereuses à la disposition des entreprises de tout le pays à des fins de prise de crédit, d'emploi et d'autres décisions. TransUnion a alors omis de fournir l'avis statutaire requis de l'erreur. La Cour suprême a jugé qu'il ne s'agissait pas d'un préjudice suffisamment « concret » pour permettre à ces personnes de poursuivre TransUnion devant un tribunal fédéral pour violation de leurs droits à la vie privée en vertu de la Fair Credit Reporting Act . Au lieu de cela, la Cour n'a accordé la qualité pour agir qu'aux quelque 1 800 de ces personnes dont les informations ont été effectivement transmises à des tiers.
L'opinion majoritaire, rédigée par le juge Kavanaugh, ne traite pas de la manière dont les données des consommateurs sont collectées, analysées et utilisées dans la société moderne. Il a comparé la négligence grave résultant d'une base de données marquant ces personnes comme terroristes à « une lettre dans un tiroir qui n'est jamais envoyée ». Mais la révolution technologique en cours n'est pas du tout comme une simple lettre. Cela implique un ensemble important et souvent interconnecté de bases de données d'entreprise qui collectent et conservent une énorme quantité de nos informations personnelles, à la fois par nous et à propos de nous. Ces magasins d'informations sont ensuite utilisés pour créer des inférences et des analyses qui comportent pour nous des risques énormes et souvent nouveaux qui peuvent être difficiles à comprendre, et encore moins à tracer. Par exemple, les consommateurs qui se voient refuser une hypothèque, un emploi ou une autre opportunité qui change leur vie sur la base de mauvais enregistrements dans une base de données ou d'inférences basées sur ces enregistrements seront souvent incapables de retracer le préjudice causé au courtier en données malfaisant. En fait, il est devenu de plus en plus difficile de comprendre comment les décisions ont été prises, et encore moins de trouver le coupable, car un archipel opaque de bases de données est lié et utilisé pour créer et déployer des systèmes d'apprentissage automatique qui nous jugent et limitent nos opportunités.
Cette décision est particulièrement décevante après les récentes décisions de la Cour, telles que Riley et Carpenter , qui ont démontré une profonde compréhension du fait que les nouvelles technologies nécessitent de nouvelles approches du droit de la vie privée.
Cette décision est particulièrement décevante après les récentes décisions de la Cour, telles que Riley et Carpenter , qui ont démontré une profonde compréhension du fait que les nouvelles technologies nécessitent de nouvelles approches du droit de la vie privée. La Cour a conclu dans ces affaires que lorsque la police collecte et utilise de plus en plus de nos données, cela a fondamentalement changé l'enquête sur notre droit à la vie privée du quatrième amendement et la Cour ne pouvait pas suivre de manière rigide les affaires pré-numériques. Il devrait en être de même lorsque les nouvelles technologies sont utilisées par des entités privées de manière à menacer notre vie privée.
Le rejet par la majorité de la prise de décision du Congrès est également extrêmement troublant. En 1970, à l'aube de l'ère des bases de données, le Congrès a décidé que les consommateurs devraient avoir une cause d'action basée sur le fait qu'une agence d'évaluation du crédit ne prendrait pas de mesures raisonnables pour s'assurer que les données dont ils disposent sont correctes. Ici, TransUnion a enfreint cette règle d'une manière particulièrement imprudente : elle a marqué des personnes comme des terroristes potentiels simplement parce qu'elles partageaient le même nom que les personnes figurant sur une liste de surveillance des terroristes sans vérifier les deuxièmes prénoms, anniversaires, adresses ou autres informations que TransUnion elle-même possédait sans aucun doute déjà. . Les dommages potentiels que cela pourrait causer sont particulièrement évidents et effrayants. Pourtant, la Cour a décidé que, malgré la détermination claire du Congrès de nous accorder le droit à un recours, la Cour pouvait toujours barrer les portes du palais de justice.
Le juge Thomas a écrit la dissidence principale, rejoint par les juges Breyer, Sotomayor et Kagan. Comme le juge Kagan l'a expliqué dans une autre dissidence, la décision "transforme le droit permanent d'une doctrine de modestie judiciaire en un outil d'agrandissement judiciaire". En effet, le Congrès a spécifiquement reconnu de nouveaux préjudices et a fourni une nouvelle cause d'action pour les faire respecter, mais la Cour a annulé ces droits et recours démocratiquement adoptés sur la base de son opinion rauque selon laquelle les préjudices ne sont pas suffisamment « concrets ».
Que ce passe t-il après?
Cela pourrait poser des problèmes à un futur Congrès qui voulait sérieusement nous reconnaître et nous donner les moyens de demander la responsabilité des dommages uniques et nouveaux causés par les pratiques modernes d'utilisation abusive des données, y compris potentiellement les dommages résultant de la prise de décision basée sur l'apprentissage automatique et l'intelligence artificielle. Le Congrès devra enregistrer les blessures graves causées par le traitement incontrôlable des données par des entreprises qui se soucient plus de leurs profits que de notre vie privée et lier expressément toutes les protections des consommateurs qu'il crée à ces dommages et être parfaitement clair sur la façon dont ces dommages justifier un droit d'action privé.
L'avis de la Cour propose cependant quelques pistes. Plus important encore, la Cour a expressément confirmé que les dommages immatériels peuvent être suffisamment concrets pour intenter une action en justice. Ce faisant, la Cour a rejeté l'invitation cynique de Facebook, Google et des groupes commerciaux de l'industrie technologique de refuser de se porter garant de tous, sauf de ceux qui ont subi un préjudice physique ou économique. Néanmoins, nous prévoyons que les entreprises essaieront d'utiliser cette nouvelle décision pour bloquer d'autres litiges en matière de confidentialité. Nous veillerons à ce que les futurs tribunaux ne surlisent pas cette affaire.
Le tribunal a également reconnu que le risque de préjudice futur pourrait toujours constituer une base pour une injonction. Ainsi, même si vous ne pouvez pas demander des dommages-intérêts, vous n'avez pas à attendre de vous voir refuser un crédit, un emploi ou un logement avant de demander la protection d'un tribunal. de mauvaises pratiques connues en matière de données. Enfin, comme l'a fait remarquer la dissidence, l'analyse permanente de la majorité ne s'applique qu'en cour fédérale; les tribunaux d'État appliquant les lois des États peuvent aller beaucoup plus loin dans la reconnaissance des préjudices et le jugement des causes d'action privées parce que la doctrine fédérale de la « qualité pour agir » ne s'applique pas. Le bon travail accompli pour protéger la vie privée dans les États du pays est maintenant d'autant plus important.
Mais, dans l'ensemble, c'est une mauvaise journée pour la vie privée. Nous avons été applaudis par la reconnaissance croissante par la Cour suprême, lorsqu'elle statue sur les activités d'application de la loi, des dangers des pratiques modernes de collecte de données et de la grande différence entre les technologies actuelles et précédentes. Pourtant, à présent, la Cour n'a pas reconnu que le Congrès doit avoir le pouvoir de nous protéger de manière proactive contre les risques créés lorsque des entreprises privées utilisent des bases de données modernes pour aspirer nos informations personnelles et utilisent la prise de décision basée sur les données pour limiter notre accès aux nécessités de la vie. . Cette décision est un grand pas en arrière pour nous permettre d'exiger la responsabilité des géants de la technologie avides de données personnelles d'aujourd'hui. Espérons qu'il ne s'agisse que d'une anomalie. Nous avons besoin d'une Cour suprême qui comprenne et prenne au sérieux les problèmes technologiques auxquels nous sommes confrontés à l'ère numérique.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/06/supreme-court-says-you-cant-sue-corporation-wrongly-marked-you-terrorist le Mon, 28 Jun 2021 17:41:15 +0000.