Les dommages-intérêts liés à la loi sur la biométrie de l'Illinois explosent : comment les employeurs peuvent-ils se mettre en conformité et le rester ?

L'un des développements juridiques les plus importants en Illinois au cours du mois dernier a été deux ordonnances de la Cour suprême de l'Illinois interprétant la loi stricte de l'État sur la protection des informations biométriques (BIPA). Nous avons récemment examinécomment ces décisions : (1) ont étendu le délai de prescription applicable à cinq ans à compter de la première violation ; et (2) ont interprété les violations de la BIPA comme « s'accumulant » non seulement dans le premier cas, mais aussi dans tous les cas ultérieurs où des informations biométriques sont collectées.

Avec une responsabilité potentielle pouvant désormais atteindre plusieurs milliards de dollars, comment les employeurs peuvent-ils minimiser leurs risques et se conformer aux exigences strictes de la BIPA ?

Malgré des chiffres impressionnants en matière de responsabilité, la conformité à la loi BIPA n'est pas nécessairement une tâche insurmontable. Les exigences de la loi BIPA sont décrites en détail dans les sections 15(a) à (e), mais peuvent généralement être résumées comme suit :

• Les employeurs doivent disposer d'une politique écrite et accessible au public décrivant la manière dont l'organisation utilise les données biométriques, y compris des détails spécifiques sur la collecte, la conservation et la destruction de ces données.
• Les employeurs doivent obtenir le consentement écrit avant la collecte des données biométriques, accompagné d'une autorisation signée par toute personne qui fournira ses données biométriques, précisant notamment la finalité et la durée de conservation des données biométriques.
• Les employeurs ne peuvent pas tirer profit de l'utilisation des informations biométriques des individus ;
• En l'absence de consentement éclairé, les employeurs ne peuvent divulguer les données biométriques de tiers sans consentement écrit ; et
• Les employeurs doivent stocker, transmettre et protéger toutes les données biométriques d'une manière adaptée à la nature sensible et confidentielle de ces informations.

Une fois décomposée en plusieurs éléments, la création d'une politique adaptée à votre organisation est beaucoup plus facile à gérer. Il convient d'inclure des spécificités pour des utilisations particulières, ce qui nécessite une compréhension approfondie du fonctionnement de votre système biométrique. Par exemple, le système stocke-t-il des informations biométriques localement ? Le système transmet-il des données biométriques à des tiers, tels que les fournisseurs qui fournissent ou entretiennent le système ? Le système supprime-t-il automatiquement les données biométriques après un certain temps ? Il est important de prendre en compte ces questions, ainsi que plusieurs autres, lors de la rédaction de politiques conformes à la BIPA.

Bien sûr, tous les employeurs n'utilisent pas de systèmes biométriques dans leur organisation. Cependant, si un employeur exerce ses activités dans l'Illinois et qu'il est possible que l'organisation adopte la technologie biométrique à l'avenir, nous recommandons tout de même de mettre en œuvre une politique biométrique générique afin de couvrir cette éventualité. Trop souvent, une partie de l'organisation peut ne pas être mise au courant lorsqu'une autre division décide qu'un système biométrique serait utile. Bien qu'une politique générique doive être adaptée une fois le système choisi, elle offre au moins une protection au cas où l'utilisation de la biométrie passerait inaperçue.

Si votre entreprise ou organisation exerce ses activités dans l'Illinois mais ne dispose pas actuellement d'une politique de collecte et d'utilisation des données biométriques, envisagez d'en élaborer une, en consultation avec un conseiller expérimenté.