Du suivi par reconnaissance faciale aux fuites de données d'empreintes digitales, apprenez à lutter contre la collecte non autorisée de données biométriques. Protections BIPA de l'Illinois, règlement Meta de $1.4B au Texas, jugements Clearview AI et droits relatifs aux données de catégorie spéciale de l'Article 9 du GDPR.
Votre visage, vos empreintes digitales, vos motifs d'iris, votre empreinte vocale et même votre ADN sont des identifiants biologiques uniques – bien plus sensibles que les mots de passe ou les numéros de carte de crédit, car ils ne peuvent pas être modifiés s'ils sont volés ou utilisés à mauvais escient. Pourtant, les entreprises collectent de plus en plus ces données biométriques avec une surveillance minimale, intégrant la reconnaissance faciale dans les applications de médias sociaux, utilisant des scans d'empreintes digitales pour les pointeuses en milieu de travail, déployant des scanners d'iris pour l'accès aux bâtiments, et moissonnant des milliards de photos sur Internet pour construire des bases de données de surveillance – souvent sans consentement clair, sécurité adéquate ou divulgation de la manière dont les données seront utilisées ou partagées.
Les conséquences de la collecte non autorisée de données biométriques sont graves. Une fois que votre géométrie faciale ou votre modèle d'empreinte digitale est volé lors d'une violation de données, les criminels peuvent l'utiliser pour l'usurpation d'identité pour toujours – vous ne pouvez pas obtenir un nouveau visage ou de nouvelles empreintes digitales. Les systèmes de surveillance biométrique permettent un suivi omniprésent de vos mouvements dans les espaces publics, les magasins et les lieux de travail à votre insu. Des algorithmes discriminatoires intégrés dans les systèmes de reconnaissance faciale identifient à tort les minorités à des taux alarmants, conduisant à des arrestations injustifiées (au moins six cas documentés aux États-Unis en 2024). Les entreprises tirent profit de la vente de vos données biométriques à des annonceurs, des courtiers en données et même des gouvernements autoritaires.
L'Illinois a ouvert la voie en 2008 en promulguant le Biometric Information Privacy Act (BIPA), la loi sur la vie privée biométrique la plus stricte du pays, qui accorde aux individus un droit d'action privé pour poursuivre les entreprises qui collectent des données biométriques sans consentement écrit et divulgation. Le BIPA prévoit des dommages-intérêts légaux de $1,000 par violation par négligence et de $5,000 par violation imprudente/intentionnelle – ce qui signifie qu'aucune preuve de préjudice réel n'est requise. Le Texas a suivi avec le Capture or Use of Biometric Identifier (CUBI) Act (les amendements de 2023 ont renforcé l'application). Le CCPA de Californie classe les données biométriques comme des informations personnelles sensibles nécessitant des protections accrues. Et l'Article 9 du GDPR de l'Union européenne traite les données biométriques comme des données de « catégorie spéciale » nécessitant un consentement explicite et une sécurité stricte.
Des règlements majeurs ont validé ces protections : Meta a versé $1.4 milliard au Texas (2024) pour la collecte de données de reconnaissance faciale sans consentement, le plus grand règlement en matière de vie privée par un seul État. Meta avait précédemment versé $650 million pour régler une action collective BIPA de l'Illinois concernant le marquage de photos sur Facebook. Clearview AI a versé $50 million pour régler des réclamations de l'Illinois pour le moissonnage de milliards de photos. Google a versé $100 million pour la reconnaissance faciale de Google Photos (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok et des dizaines d'employeurs ont versé des règlements BIPA allant de $500,000 à $100 million. Les réclamations individuelles BIPA rapportent régulièrement $5,000-$15,000 par personne. Ce guide vous montre comment identifier les violations de la vie privée biométrique, comprendre vos droits et explorer toutes les voies d'indemnisation.
Le BIPA de l'Illinois (740 ILCS 14/) est la loi sur la vie privée biométrique la plus stricte aux États-Unis. Elle s'applique à toute entité privée qui collecte, capture, stocke ou utilise des identifiants biométriques (géométrie faciale, empreintes digitales, empreintes vocales, scans d'iris, scans de rétine, scans de main, reconnaissance de la démarche) des résidents de l'Illinois – même si l'entreprise est basée ailleurs. Les entreprises doivent : (1) élaborer et publier une politique écrite de conservation et de destruction ; (2) fournir un avis écrit indiquant que des données biométriques sont collectées ; (3) obtenir un consentement écrit ; (4) ne jamais vendre, louer ou tirer profit des données biométriques ; (5) utiliser une diligence raisonnable pour protéger les données biométriques (même norme que pour les données financières).
Le pouvoir clé du BIPA : le droit d'action privé. Vous pouvez poursuivre directement devant un tribunal de l'État de l'Illinois sans déposer de plainte administrative. Dommages-intérêts : $1,000 par violation par négligence, $5,000 par violation intentionnelle/imprudente, plus les honoraires d'avocat. Aucune preuve de préjudice réel n'est requise – la violation elle-même crée une réclamation. Les tribunaux ont statué que chaque scan peut constituer une violation distincte (par exemple, si un employeur a scanné votre empreinte digitale 500 fois pour la pointeuse sur 2 ans, les dommages potentiels : $500,000-$2.5M, bien que les tribunaux accordent généralement moins). Délai de prescription : 5 ans (parfois 1 an pour les violations de divulgation écrite – complexe).
Common BIPA Violations:
Violations courantes du BIPA : L'employeur exige un scan d'empreinte digitale sans consentement écrit. Facebook vous identifie sur des photos en utilisant la reconnaissance faciale sans consentement. Le système de sécurité scanne votre visage pour l'entrée dans un bâtiment sans divulgation. Un détaillant utilise la reconnaissance faciale pour le suivi des clients sans préavis. Une application analyse votre empreinte vocale sans consentement.
Le Texas Business & Commerce Code Chapter 503 (renforcé en 2023) protège les identifiants biométriques (géométrie faciale, empreinte vocale, scan de rétine/iris, empreinte digitale, scan de main, dynamique de frappe). Les entreprises doivent : (1) informer les individus que des données biométriques sont capturées ; (2) obtenir le consentement (peut être dans les conditions de service, mais doit être clair) ; (3) détruire les données dans un délai raisonnable après que le but est atteint ; (4) protéger les données avec une diligence raisonnable. Interdiction : ne peut pas vendre, louer ou divulguer des données biométriques sans consentement.
Application : Le procureur général du Texas peut poursuivre pour des mesures injonctives et $25,000 par violation. Droit d'action privé : les individus peuvent poursuivre pour des dommages réels s'ils subissent un préjudice, plus les honoraires d'avocat. Contrairement au BIPA de l'Illinois, le CUBI du Texas exige une preuve de préjudice réel pour les poursuites privées (charge plus lourde), mais l'application par l'État a été agressive – le règlement Meta de $1.4B a été initié par le procureur général du Texas en vertu du CUBI + Texas DTPA. Actions collectives possibles.
Note:
Priorités d'application du procureur général du Texas (2024) : Reconnaissance faciale sur les médias sociaux, suivi biométrique des employés sans consentement, violations de données exposant des données biométriques, vente de données biométriques à des tiers.
Le CCPA (Cal. Civ. Code § 1798.100 et seq.) classe les « informations biométriques » (caractéristiques physiologiques, biologiques ou comportementales pouvant être utilisées pour l'identification, y compris l'imagerie faciale, les scans d'iris, les empreintes digitales, les empreintes vocales, les schémas de frappe, la démarche) comme des « informations personnelles sensibles ». Les entreprises doivent : (1) divulguer la collecte de données biométriques dans leur politique de confidentialité ; (2) offrir un droit d'opposition (les consommateurs peuvent limiter l'utilisation aux fins nécessaires) ; (3) ne pas vendre de données biométriques sans consentement explicite. Violations : Le procureur général de Californie ou l'Agence de protection de la vie privée peut infliger une amende de $2,500 par violation ($7,500 pour intentionnel). Violation de données : Si des données biométriques sont compromises en raison d'un manque de sécurité raisonnable, les consommateurs peuvent poursuivre pour $100-$750 par incident, ou des dommages réels (le montant le plus élevé étant retenu), plus les honoraires d'avocat. Contrairement au BIPA de l'Illinois, le CCPA ne prévoit pas de dommages-intérêts légaux pour la collecte sans consentement en l'absence de violation de données.
Le RCW 19.375 exige des entreprises qui inscrivent des consommateurs dans des systèmes d'identification biométrique de : (1) fournir un avis sur le but et la durée de l'inscription ; (2) obtenir le consentement ; (3) détruire les données lorsque le but est atteint ou dans les 3 ans. Les violations sont appliquées par le procureur général de Washington en vertu du Consumer Protection Act : jusqu'à $7,500 par violation. Droit d'action privé : les consommateurs peuvent poursuivre pour des dommages réels, des mesures injonctives et les honoraires d'avocat s'ils subissent un préjudice. Plus stricte que le CCPA, mais plus faible que le BIPA de l'Illinois (exige une preuve de préjudice pour les dommages individuels).
L'Article 9 du GDPR classe les données biométriques utilisées pour l'identification unique (reconnaissance faciale, correspondance d'empreintes digitales, scans d'iris, ADN) comme des données personnelles de « catégorie spéciale » nécessitant un consentement explicite (pas seulement un opt-in, mais un consentement affirmatif, éclairé et librement donné) ou une autre exception de l'Article 9 (par exemple, un intérêt public substantiel avec une base légale). Les responsables du traitement doivent effectuer des analyses d'impact sur la protection des données (AIPD) pour le traitement biométrique. Les exigences de sécurité sont renforcées.
Violations : Jusqu'à €20 million ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Les individus peuvent poursuivre pour des dommages matériels et non matériels en vertu de l'Article 82 (les tribunaux de l'UE ont accordé €2,000-€10,000 pour des violations biométriques du GDPR causant une détresse émotionnelle, plus si violation de données ou discrimination). Droit à l'effacement (Article 17) : vous pouvez exiger la suppression de vos données biométriques si le consentement était invalide ou si les données ne sont plus nécessaires. Les APN (Autorités de Protection des Données) nationales appliquent – déposez une plainte auprès de l'APN de votre pays de l'UE.
Major GDPR Fines:
Principales amendes GDPR biométriques : Clearview AI (amendes de €20M+ dans plusieurs pays de l'UE pour une base de données de reconnaissance faciale illégale), H&M (€35M pour la surveillance des employés), British Airways (£20M pour une violation de données de passeport biométrique).
Aucune loi fédérale complète sur la vie privée biométrique n'existe encore, mais : (1) FTC Act Section 5 : La FTC peut poursuivre les entreprises pour pratiques déloyales/trompeuses si elles collectent des données biométriques contrairement aux promesses de leur politique de confidentialité ou sans divulgation. Snapchat, TikTok, Facebook ont réglé des plaintes de la FTC. (2) Children's Online Privacy Protection Act (COPPA) : Interdit la collecte de données biométriques d'enfants de moins de 13 ans sans consentement parental vérifiable. (3) Lois fédérales proposées : National Biometric Information Privacy Act (en attente, modelée sur le BIPA de l'Illinois), Fourth Amendment is Not For Sale Act (restreint l'achat de données biométriques par le gouvernement). (4) Agences fédérales : Le HHS HIPAA couvre les données biométriques collectées par les entités de soins de santé. La reconnaissance faciale de la TSA dans les aéroports est soumise au Privacy Act – recours limités.
Le procureur général du Texas a poursuivi Meta (Facebook) en vertu du Texas CUBI et du Deceptive Trade Practices Act pour avoir collecté des millions de données de reconnaissance faciale de Texans via le marquage de photos sans consentement. La fonction de reconnaissance faciale de Facebook scannait automatiquement les visages dans les photos téléchargées pour suggérer des identifications, collectant la géométrie faciale. Règlement : $1.4 milliard (le plus grand règlement en matière de vie privée par un seul État), payé sur 5 ans. Meta a accepté de cesser d'utiliser la reconnaissance faciale au Texas sans consentement explicite, de supprimer les données précédemment collectées et de se soumettre à une surveillance. Importance : A prouvé que les procureurs généraux des États peuvent obtenir des dommages massifs en vertu des lois biométriques des États, même en l'absence de loi fédérale.
L'action collective Patel v. Facebook alléguait que la reconnaissance faciale de Facebook pour le marquage de photos violait le BIPA de l'Illinois en collectant et stockant la géométrie faciale sans consentement écrit de 1.6 million d'utilisateurs de l'Illinois. Le tribunal fédéral a approuvé un règlement de $650M (moyenne de $397 par personne, certains recevant $300-$500 selon les années d'utilisation). Exigences : Résident de l'Illinois avec un compte Facebook entre juin 2011 et août 2021 où vous ou vos amis êtes apparus sur des photos. Importance : Le plus grand règlement BIPA et la plus grande action collective en matière de vie privée à l'époque. A établi que la reconnaissance faciale automatique des photos, même si téléchargées par des amis (et non par vous), déclenche les exigences de consentement du BIPA.
Clearview AI a moissonné 30 billion de photos des médias sociaux, des sites web et de l'internet public pour construire une base de données de reconnaissance faciale vendue aux forces de l'ordre et aux entreprises privées. Les résidents de l'Illinois ont poursuivi en vertu du BIPA. Règlement (2024) : $50M (payé en actions Clearview aux membres de l'action collective – structure controversée), plus une injonction nationale : Clearview est interdite de vendre l'accès à la base de données à des entreprises privées aux États-Unis, doit notifier les individus si leurs données biométriques sont dans la base de données et permettre l'opt-out. Règlements distincts : Le règlement de l'ACLU a restreint l'utilisation de Clearview. Plusieurs pays de l'UE ont infligé des amendes à Clearview de €20M+ en vertu du GDPR. Affaires en cours en Californie, au Vermont. Importance : A établi que le moissonnage de photos publiques pour construire une base de données de reconnaissance faciale viole le BIPA même si les photos ont été publiées publiquement.
Un recours collectif a allégué que la fonctionnalité de regroupement par reconnaissance faciale de Google Photos (« regroupement de visages » pour organiser les photos par personne) violait la BIPA en collectant et en stockant la géométrie faciale sans consentement écrit. Règlement : 100 millions de dollars pour les résidents de l'Illinois qui ont utilisé Google Photos et ont été représentés sur des photos entre mai 2015 et avril 2023. Paiement moyen : 150 à 400 dollars par personne. Google a accepté de fournir des divulgations BIPA plus claires et d'obtenir le consentement avant toute reconnaissance faciale dans l'Illinois. Importance : Premier règlement BIPA majeur contre Google, démontre que les services de photos dans le cloud sont soumis à la BIPA.
La FTC a poursuivi Amazon pour les caméras de sonnette Ring : (1) avoir donné aux employés un accès illimité aux enregistrements vidéo des clients, y compris des moments intimes ; (2) avoir utilisé la reconnaissance faciale sur les vidéos des clients pour entraîner l'IA sans consentement ; (3) des failles de sécurité ayant permis à des pirates d'accéder aux caméras. Règlement : 5,8 millions de dollars pour l'indemnisation des consommateurs. Amazon a accepté de supprimer les données collectées de manière inappropriée, de mettre en œuvre des mesures de protection de la vie privée et de cesser d'utiliser les vidéos des clients pour l'entraînement de l'IA sans consentement explicite. Importance : A établi que la FTC appliquera la confidentialité biométrique en vertu de la Section 5, même en l'absence de loi fédérale spécifique sur la biométrie.
L'affaire Rosenbach c. Six Flags (Cour suprême de l'Illinois 2019) a établi un précédent clé pour la BIPA : Six Flags a scanné l'empreinte digitale d'un adolescent pour un abonnement saisonnier sans consentement écrit ni divulgation. La Cour suprême de l'Illinois a statué : une violation de la BIPA se produit au moment de la collecte sans consentement — aucune preuve de préjudice réel n'est requise (annulant le rejet de la cour inférieure). Un recours collectif ultérieur a été réglé pour 36 millions de dollars (pour les détenteurs d'abonnements saisonniers de l'Illinois de 2013 à 2018 dont les empreintes digitales ont été scannées). Paiement moyen : 200 à 400 dollars par personne. Importance : Affaire historique établissant le pouvoir de la BIPA même sans préjudice tangible.
Un recours collectif a allégué que les lentilles/filtres de réalité augmentée de Snapchat (oreilles de chiot, échanges de visages, etc.) utilisaient la reconnaissance faciale pour cartographier la géométrie faciale sans le consentement requis par la BIPA. Règlement : 35 millions de dollars pour les utilisateurs de Snapchat de l'Illinois de janvier 2015 à novembre 2022 qui ont utilisé des lentilles. Moyenne : 58 dollars par personne. Snapchat a accepté de fournir des divulgations BIPA dans l'Illinois. Importance : A établi que les filtres AR « amusants » collectant la géométrie faciale sont soumis à la BIPA — et non exemptés en tant que « divertissement commercial ».
Un recours collectif a consolidé 21 poursuites alléguant que TikTok : (1) a collecté des données de reconnaissance faciale et d'empreintes vocales sans consentement (réclamations BIPA de l'Illinois) ; (2) a partagé des données avec la Chine ; (3) a violé la vie privée des enfants. Règlement : 92 millions de dollars (2021) pour les utilisateurs américains de TikTok en octobre 2021. Les demandeurs BIPA de l'Illinois ont reçu des paiements majorés (167 à 500 dollars selon le niveau d'activité). TikTok a accepté de cesser certaines pratiques de collecte de données et de fournir des divulgations de confidentialité plus claires. Importance : L'un des premiers règlements BIPA majeurs contre une plateforme majeure détenue par la Chine.
Des centaines d'employeurs de l'Illinois ont été poursuivis en vertu de la BIPA pour avoir exigé des scans d'empreintes digitales pour les pointeuses sans consentement écrit : franchises McDonald's (règlement de 50 millions de dollars), Mondelez/Nabisco (5 millions de dollars), entreprises de camionnage, entrepôts, établissements de santé. La plupart se règlent pour 500 à 5 000 dollars par employé concerné. Importance : A établi que les systèmes biométriques en milieu de travail doivent se conformer à la BIPA — la relation employeur-employé ne crée pas d'exemption. Impact pratique : La plupart des grands employeurs de l'Illinois utilisent désormais des badges au lieu de pointeuses biométriques.
Les affaires de confidentialité biométrique exigent de prouver : (1) que l'entreprise a collecté/stocké vos données biométriques, (2) sans consentement/divulgation appropriés, (3) en violation de la loi applicable. Voici comment recueillir des preuves :
Documentez quelles données biométriques ont été collectées : Reconnaissance faciale (caméras de sécurité, filtres d'applications, identification de photos), scan d'empreintes digitales (pointeuses, accès aux bâtiments, déverrouillage de téléphone), scan d'iris/rétine (sécurité aéroportuaire, accès haute sécurité), empreinte vocale (assistants vocaux, centres d'appels), reconnaissance de la démarche (systèmes de surveillance). Preuves : Prenez des photos des appareils/panneaux, capturez les autorisations d'applications montrant l'accès biométrique, examinez les politiques de confidentialité mentionnant la reconnaissance faciale ou les données biométriques.
Pour les réclamations BIPA de l'Illinois, vous devez montrer que l'entreprise n'a PAS fourni : (1) une divulgation écrite indiquant que des données biométriques étaient collectées, (2) une divulgation écrite du but et de la durée de stockage, (3) un consentement écrit (signature ou case à cocher acceptant la collecte biométrique). Preuves : Montrez que vous n'avez jamais signé de formulaire de consentement biométrique. Si le consentement était « enfoui » dans les conditions générales de service ou la politique de confidentialité sans section biométrique spécifique, cela ne satisfait souvent PAS à l'exigence de la BIPA de « divulgation et consentement écrits » (les tribunaux ont statué que la BIPA exige une divulgation distincte et spécifique — et non un langage général de politique de confidentialité). Si l'employeur a mis en place une pointeuse à empreintes digitales sans formation ni formulaires de consentement, c'est une preuve solide. Vérifiez les documents d'embauche — s'il n'y a pas de consentement biométrique, vous avez une réclamation.
BIPA de l'Illinois : Vous devez être un résident de l'Illinois ou un employé d'une installation de l'Illinois. CUBI du Texas : Résident du Texas. CCPA : Résident de Californie. RGPD : Résident de l'UE ou vos données ont été traitées par un responsable du traitement dans l'UE. Preuves : Prouvez votre résidence (facture de services publics, permis de conduire, dossiers d'emploi montrant un lieu de travail dans l'Illinois). La BIPA de l'Illinois s'applique même si l'entreprise est basée ailleurs — si vous vivez/travaillez dans l'Illinois et qu'elle a collecté vos données biométriques, la BIPA s'applique.
Montrez que l'entreprise a effectivement collecté/stocké des données biométriques : Capture d'écran des suggestions d'identification de photos Facebook avec votre nom. Enregistrements de pointage de pointeuse à empreintes digitales (demande à l'employeur en vertu des droits d'accès aux données). Application demandant l'autorisation de reconnaissance faciale. Images de caméra de surveillance (demande en vertu de l'Article 15 du RGPD / droit d'accès CCPA). Notification de violation de données biométriques (si l'entreprise vous a notifié une violation). Témoignage d'expert (analyse forensique montrant que l'application utilise la reconnaissance faciale même si cela n'a pas été divulgué).
BIPA de l'Illinois : AUCUNE preuve de préjudice requise — la violation elle-même crée une réclamation. Action privée CUBI du Texas : Doit prouver un préjudice réel (détresse émotionnelle, temps/dépenses pour remédier à la violation, risque d'usurpation d'identité). CCPA : Doit prouver une violation de données ou un préjudice réel. RGPD : Peut récupérer des dommages pour « préjudice non matériel » (détresse émotionnelle, anxiété) sans préjudice financier. Documentez le préjudice : Dossiers médicaux pour l'anxiété/thérapie liée à la violation. Temps passé à résoudre le problème (heures × taux horaire raisonnable). Preuves de tentatives d'usurpation d'identité si des données biométriques ont été compromises. Captures d'écran de contacts harcelants si un risque de harcèlement est créé.
Pour des dommages BIPA plus élevés (5 000 $ intentionnels contre 1 000 $ par négligence) : Montrez que l'entreprise connaissait la BIPA. Preuves : L'entreprise a des employés/clients dans l'Illinois (devrait connaître la BIPA). Poursuites BIPA antérieures contre l'entreprise ou l'industrie. Clauses de conformité BIPA dans les contrats de l'entreprise. Courriels internes discutant de la BIPA (découvrables en litige). Si l'entreprise a ignoré la BIPA après avoir été notifiée, c'est téméraire/intentionnel.
Vérifiez : (1) L'entreprise a-t-elle collecté vos données de reconnaissance faciale, d'empreintes digitales, de scan d'iris, d'empreintes vocales ou d'autres données biométriques ? (2) Êtes-vous dans une juridiction protégée (Illinois, Texas, Californie, UE, etc.) ? (3) Avez-vous donné un consentement écrit approprié (pour la BIPA, cela signifie une divulgation et un consentement distincts — et non de simples conditions générales) ? (4) L'entreprise a-t-elle suivi les procédures requises (politique de conservation, calendrier de destruction, mesures de sécurité) ? Si l'entreprise a collecté des données biométriques dans l'Illinois sans le consentement écrit de la BIPA, vous avez presque certainement une réclamation — consultez un avocat immédiatement (délai de prescription de 5 ans, mais ne tardez pas).
Demandez vos données pour recueillir des preuves : Illinois : Envoyez une demande écrite citant la Section 15(c) de la BIPA demandant : (1) toutes les données biométriques collectées, (2) la politique écrite de conservation et de destruction, (3) la liste des tiers avec lesquels les données biométriques ont été partagées, (4) les dates de collecte et de stockage. CCPA de Californie : Demandez les « catégories spécifiques d'informations personnelles » y compris les données biométriques, les sources, les destinataires tiers. Article 15 du RGPD de l'UE : Demandez toutes les données biométriques, les finalités du traitement, les destinataires, la période de conservation, l'existence d'une prise de décision automatisée. Les entreprises doivent répondre dans les 30 à 45 jours. Le refus de fournir les données est une preuve supplémentaire de violation.
Avant de déposer une poursuite individuelle, vérifiez si un recours collectif existe pour votre situation : Recherchez « [Nom de l'entreprise] recours collectif BIPA » ou « [Nom de l'entreprise] poursuite biométrique ». Consultez classaction.org, topclassactions.com, ilbipalitigation.com. Poursuites BIPA de l'Illinois : Nombreuses en cours contre des employeurs (fabrication, santé, commerce de détail), des entreprises technologiques (applications avec reconnaissance faciale), des propriétaires (systèmes d'accès aux bâtiments). Si un recours collectif existe et que vous êtes éligible, y adhérer est simple (déposez un formulaire de réclamation lorsque le règlement est approuvé). S'il n'y a pas de recours collectif mais que de nombreuses personnes sont concernées, un avocat peut déposer un recours collectif (plus de poids pour un règlement).
Trouvez un avocat spécialisé en : litiges BIPA (Illinois), droit de la vie privée, protection des consommateurs, droit du travail (pour les réclamations biométriques en milieu de travail). La plupart des avocats BIPA travaillent au pourcentage (33-40 % du recouvrement, sans frais initiaux) car : la BIPA permet aux plaignants qui obtiennent gain de cause de récupérer les honoraires d'avocat auprès du défendeur. Les dommages-intérêts légaux (1 000 à 5 000 $ par violation) rendent les affaires économiquement viables même sans preuve de préjudice. La consultation initiale est généralement gratuite. L'avocat évaluera : la force de la réclamation, les actifs du défendeur (inutile de poursuivre une petite entreprise insolvable), s'il faut déposer une action individuelle ou collective, la valeur potentielle du règlement.
BIPA de l'Illinois : Déposez directement devant un tribunal d'État de l'Illinois (aucune procédure administrative requise). Juridiction : Comté où la violation a eu lieu ou où le défendeur exerce ses activités. CUBI du Texas : Déposez devant un tribunal d'État du Texas ; il peut être nécessaire de prouver un préjudice réel pour obtenir des dommages-intérêts. Californie/autres États : Déposez en vertu de la loi applicable sur la vie privée, du droit commun (atteinte à la vie privée, négligence) ou attendez l'application par le procureur général. De nombreux cas se règlent avant le procès : Les employeurs règlent souvent les réclamations BIPA pour 2 000 à 10 000 $ par employé afin d'éviter les coûts de litige et les précédents. Les entreprises technologiques peuvent régler rapidement si la certification du recours collectif est probable. Les lettres de mise en demeure (de l'avocat) aboutissent parfois à un règlement rapide si la violation est claire.
Découverte : Votre avocat assignera les dossiers de l'entreprise : politiques de conservation des données biométriques, documentation des systèmes informatiques, formulaires de consentement (ou leur absence), registres des personnes ayant accédé à vos données biométriques, communications avec les fournisseurs, poursuites antérieures. Experts : Analyse forensique des systèmes biométriques, analyse de sécurité (en cas de violation de données), calcul des dommages. Certification de recours collectif (si recours collectif) : L'avocat doit prouver la communauté (tous les membres du groupe ont la même réclamation), l'adéquation (les plaignants représentatifs sont typiques), la numérosité (suffisamment de membres du groupe). Procès ou arbitrage : Si l'affaire ne se règle pas, procès (jury ou juge unique). Les affaires BIPA se règlent souvent pendant la découverte lorsque l'entreprise réalise que les preuves sont solides. Appels : La loi BIPA est encore en développement — certaines affaires sont portées devant la Cour suprême de l'Illinois pour interprétation juridique.
Vous pouvez également déposer des plaintes réglementaires pour faire pression sur l'entreprise et protéger d'autres personnes : Procureur général de l'Illinois : Déposez une plainte alléguant une violation de la BIPA (le procureur général peut enquêter ou se joindre à la poursuite). Agence californienne de protection de la vie privée : Déposez une plainte alléguant une violation de la CCPA (peut entraîner des amendes). FTC : Déposez une plainte sur reportfraud.ftc.gov si l'entreprise a fait des promesses de confidentialité trompeuses ou a violé la COPPA (enfants). UE : Déposez une plainte auprès de l'autorité nationale de protection des données (par exemple, l'ICO au Royaume-Uni, la CNIL en France) alléguant une violation de l'Article 9 du RGPD. Les actions réglementaires peuvent se dérouler parallèlement aux poursuites privées et augmenter la pression pour un règlement.
Suivez ces étapes pour protéger vos données biométriques et demander une indemnisation pour les violations