À ce jour, 19 États américains ont mis en place des lois complètes sur la vie privée des données, mais le Massachusetts n’en fait pas partie. En conséquence, les résidents du Massachusetts qui subissent une perte inattendue de leur vie privée lors de leur navigation sur Internet s’appuient parfois sur des lois adoptées avant l’ère numérique. C’est ce qui est arrivé à Kathleen Vita, qui a découvert que ses visites sur des sites hospitaliers avaient été suivies et rendues accessibles aux annonceurs.
Le Centre médical Beth Israel Deaconess (BIDMC) précise dans sa politique de confidentialité en ligne qu’il collecte régulièrement des données concernant l’utilisation de son site. Il mentionne que ces données sont recueillies de manière agrégée et anonyme, ce qui signifie qu’aucune information personnelle identifiable n’est associée aux données, et que les informations d’utilisation ne sont pas partagées avec d’autres organisations. La politique fait référence à un fournisseur de services tiers qui collecte également des données, mais reste floue quant à l’identité de ce fournisseur, aux données partagées et aux usages potentiels de celles-ci.
Jusqu’à récemment, le BIDMC utilisait les technologies Google Analytics et Facebook Meta Pixel pour suivre l’activité des utilisateurs sur son site. Cela impliquait l’insertion d’un code sur le site du BIDMC qui suivait l’expérience de navigation de chaque utilisateur et transmettait ces données à Google et Facebook.
Ce logiciel de suivi collectait les adresses IP des utilisateurs, permettant ainsi à Google d’identifier les individus et de croiser cette information avec d’autres données de navigation de ces mêmes personnes. Cela facilitait une publicité de plus en plus ciblée pour les utilisateurs. Les informations recueillies sur le site du BIDMC comprenaient des demandes de rendez-vous avec des médecins spécifiques, révélant potentiellement des détails sur les problèmes de santé des visiteurs.
En 2023, Kathleen Vita a lancé une action collective contre le BIDMC (et une affaire parallèle contre l’Hôpital Baptist de la Nouvelle-Angleterre), arguant que l’utilisation par le BIDMC des technologies de suivi Google et Facebook violait la loi sur les écoutes électroniques du Massachusetts, inspirée d’une législation fédérale. Cette loi comprend des pénalités à la fois civiles et pénales.
Au niveau du tribunal de première instance, Kathleen Vita a réussi à surmonter une demande de rejet de l’affaire. Le BIDMC a soutenu que sa politique de confidentialité fournissait des informations suffisantes pour autoriser le partage de données avec Google. Cependant, le tribunal a estimé que cette politique était trop vague, ne mentionnant ni les destinataires des données, ni leur type, ni les objectifs du partage. Le tribunal a aussi souligné que la politique obscurcissait le fait que les données étaient partagées avec plusieurs parties et non pas juste une.
Le tribunal a noté d’autres affaires du Massachusetts qui avaient refusé de limiter le terme "communication" de la loi à de simples conversations entre personnes. Se basant sur ce précédent, le tribunal a conclu que l’interaction du consommateur avec le site web du BIDMC constituait une communication soumise à la loi sur les écoutes électroniques. En raison de la nouveauté et de l’importance de cette décision, le tribunal a demandé une révision de son jugement par la Cour d’appel.
La Cour suprême judiciaire du Massachusetts (SJC) a directement examiné cette décision, contournant la Cour d’appel intermédiaire. L’affaire revêtait une importance nationale, car la plupart des États possèdent des lois sur les écoutes électroniques similaires à celle du Massachusetts, et aucune n’a encore été appliquée aux technologies de navigation publicitaire. Des mémoires d’amicus ont été déposés au nom de la Chambre de commerce des États-Unis, du Centre national de droit des consommateurs, de la Fédération nationale des détaillants, et d’autres.
En octobre 2024, la SJC a statué que les pratiques du site web du BIDMC ne violaient pas la loi sur les écoutes électroniques du Massachusetts. Le raisonnement de la cour était que cette loi interdit l’interception non autorisée des communications, et que l’interaction d’un individu avec la partie publique d’un site web ne constitue pas une telle "communication".
La SJC a précisé que cette décision était délicate, mais qu’elle était nécessaire en raison des sanctions pénales de la loi et d’une politique contre l’interprétation extensible des lois criminelles. Elle a également noté la nécessité d’éviter des interprétations divergentes du même langage statutaire dans les contextes criminel et civil.
Selon une étude, 49 États américains (à l’exception du Vermont) et Washington D.C. disposent de lois sur les écoutes électroniques incluant des pénalités à la fois civiles et criminelles. Ainsi, la décision de la SJC pourrait influencer le droit national.
Cela ne signifie pas pour autant que les entreprises peuvent utiliser la technologie publicitaire comme bon leur semble. En fait, l’avis de la SJC a souligné plusieurs lois pouvant être appliquées contre des comportements inappropriés des propriétaires de sites web, incluant le chapitre 93A des MGL, une loi anti-fraude permettant de récupérer des dommages-intérêts triples et des frais d’avocat.
Le résumé des théories juridiques pouvant être utilisées pour poursuivre les propriétaires de sites web pour violations de la vie privée était limité aux lois et règlements du Massachusetts, sans mention du Video Privacy Protection Act (VPPA). Ce dernier est une loi fédérale qui sert de base à une action collective prétendue contre les New England Patriots, concernant le partage jugé illégal de données d’utilisateurs liées à la visualisation de vidéos sur un site web. Nous avons abordé cette affaire peu après le dépôt de la plainte. Aucune décision substantielle n’a encore été rendue, mais il est évident que collecter et distribuer des données de visualisation de vidéos sur des sites web comporte des risques bien plus importants que le suivi des pages web ordinaires.
Il est frappant de constater que la politique de confidentialité du site du BIDMC n’a pas été modifiée suite à la critique formulée par le tribunal supérieur. Le mémoire du plaignant indique que le BIDMC a ajusté ses pratiques commerciales, ne partageant plus de données avec Google ou Facebook. Néanmoins, cette affaire illustre une fois de plus les problèmes pouvant découler de politiques de confidentialité sur des sites déclarant protéger la vie privée, alors que cela s’avère finalement faux.
La décision de la SJC ferme une porte sur un risque juridique potentiel lié aux logiciels publicitaires, mais ne confère pas pour autant un blanc-seing à l’utilisation de telles technologies, particulièrement si la politique de confidentialité du site est floue ou trompeuse quant à la collecte des données et leur utilisation par des tiers. En fait, les plaignants ont demandé au tribunal l’autorisation de déposer une plainte amendée.
La plupart des sites cherchent à toucher un public qui dépasse les limites d’un seul État. Cette décision du Massachusetts réduit un des risques associés aux outils technologiques publicitaires, mais seulement dans cet État. Il reste à voir si d’autres États arriveront à la même conclusion concernant leurs propres lois sur les écoutes électroniques.
Points à retenir
- Le Massachusetts n’a pas encore de lois globales sur la vie privée des données, contrairement à 19 autres États.
- Le cas de Kathleen Vita illustre les préoccupations croissantes concernant la protection des données personnelles dans le secteur de la santé.
- La décision de la SJC pourrait avoir des implications légales au niveau national concernant les lois sur les écoutes électroniques et la technologie publicitaire.
Cette situation souligne la nécessité d’une législation plus claire et plus uniforme sur la protection des données à l’échelle nationale. Alors que les technologies continuent d’évoluer, il est essentiel de garantir que les droits des consommateurs soient respectés, tout en tenant les entreprises responsables de la manière dont elles gèrent et partagent les informations personnelles. Quelles seraient alors les prochaines étapes pour assurer une meilleure protection des données dans un monde numérique en constante mutation ?