Une décision américaine du 20 octobre 2011 semble admettre la responsabilité civile contractuelle d’un professionnel en raison du défaut de sécurisation des données personnelles de ses clients.
Des pirates informatiques s’étaient introduits dans la base de données du commerçant auprès duquel les plaignants faisaient leurs achats. Le tribunal de première instance a estimé que les demandeurs ne démontraient pas la violation de devoir de protection de la confiance, de violation de la garantie tacite, de mise en jeu de la responsabilité objective ou un manquement à la notification au consommateur au sens du droit de l’Etat de Maine.
Bien que le tribunal ait admis que les plaignants pouvaient valablement se fonder sur la violation de contrat implicite, la négligence et la violation des règles figurant dans la partie de la législation du Maine relative aux pratiques commerciales déloyales, il a rejeté la plainte en estimant que les dommages dont il était demandé réparation étaient trop imprévisibles et hypothétiques pour être réparables au regard du droit du Maine.
La cour d’appel confirme en partie cette solution, mais admet en outre la sanction de la négligence et la violation du contrat implicite. Sur ce fondement, les plaignants sont recevables à demander une compensation des coûts de remplacement de la carte de crédit et de l’assurance crédit.
En droit français, l’article 38 de l’ordonnance du 24 août 2011 ajoute un article 34 bis à la loi n°78-17 du 6 janvier 1978 qui institue une obligation de notification en cas d’atteinte à la confidentialité des données personnelles(1)Pour un commentaire détaillé, v. D. BANCAL, Data Security Breach: obligation de notification en France, Zataz.com, publié le 21 septembre 2011.. Cependant, la question de la réparation des préjudices subis par les victimes de ces fuites n’est pas réglée par le législateur. Le problème est d’autant plus préoccupant que les signalements de défaut de sécurisation de données sont légions.
