On récolte ce que l'on sème : la résurgence des recours collectifs pour violation de données
Les recours collectifs liés aux violations de données sont à nouveau en hausse, comme le confirme un rapport récent de Lex Machina qui corrobore ce que de nombreux professionnels de la cybersécurité ont constaté de leurs propres yeux au cours des deux dernières années. Les conclusions de ce rapport réaffirment également les bonnes pratiques établies de longue date : une bonne préparation permet de réduire les coûts et d'améliorer les défenses lorsque les organisations victimes sont amenées à se défendre dans le cadre d'un recours collectif ou d'une procédure réglementaire.
Le rapport montre que 2 040 recours collectifs pour violation de données ont été déposés en 2023, soit près de trois fois plus qu'en 2022. Les défendeurs dans ces affaires provenaient de divers secteurs, les services financiers et les soins de santé étant parmi les plus fréquemment visés. Ces affaires donnent souvent lieu à des litiges multi-districts (MDL), comme celui devant la cour fédérale de Boston, qui découle de la cyberattaque de 2023 visant le logiciel de transfert de fichiers MOVEit de Progress Software.
Le rapport dresse ensuite la liste des districts fédéraux ayant enregistré le plus grand nombre de recours collectifs intentés par des consommateurs, notamment pour des affaires liées à des violations de données. Les districts en tête sont le district central de Californie (où réside l'un des auteurs), le district central de Floride (où résident les deux autres auteurs) et le district nord de l'Illinois.
Principaux enseignements
- Investir. Les entreprises ont tout intérêt à continuer d'investir dans la cybersécurité. Cela implique non seulement de mettre en place un programme de cybersécurité robuste pour protéger l'organisation, mais aussi un programme de détection et de réponse aux incidents bien conçu, comprenant un manuel d'intervention, qui aidera l'organisation à identifier, enquêter et réagir rapidement à tout incident de cybersécurité suspect. De nombreux rapports sectoriels, ainsi que des preuves empiriques, ont montré que les organisations disposant d'un manuel d'intervention en cas d'incident (qui a été testé lors d'exercices sur table) non seulement réduisent le coût d'une violation de données, mais disposent également de meilleures défenses dans le cadre de tout litige ou procédure réglementaire.
- Quel est le problème ? Les plaignants pour violation de données continuent de poursuivre leurs actions devant les tribunaux fédéraux, malgré l'absence (souvent) de préjudice et la possibilité que l'affaire soit rejetée pour défaut de qualité pour agir. Ainsi, les avocats des plaignants ne semblent pas découragés par la décision de la Cour suprême dans l'affaire TransUnion en 2021, une affaire historique pour la qualité pour agir dans ce type d'affaires. Les entreprises confrontées à un recours collectif pour violation de données devant un tribunal fédéral ont donc tout intérêt à envisager, dans le cadre d'une évaluation précoce de l'affaire, la possibilité d'une requête en irrecevabilité incluant l'argument selon lequel le plaignant principal n'a pas qualité pour agir, en fonction du district où l'action est intentée. Le recours précoce à un avocat externe peut également aider les entreprises à évaluer les avantages et les inconvénients relatifs d'engager des discussions en vue d'un règlement à l'amiable ou de déposer des requêtes décisives avec des plaintes relevant du droit des États.
- Risque lié à la chaîne d'approvisionnement. Les attaques à grande échelle donnent souvent lieu à d'importants recours collectifs, comme ce fut le cas avec l'attaque contre Progress Software et la violation de données d'Equifax en 2017. Ces attaques, et les litiges qui en découlent souvent, soulèvent des questions intéressantes concernant les obligations envers les tiers, la responsabilité des fournisseurs et la preuve de causalité. Progress Software et Equifax, par exemple, sont des acteurs majeurs de la chaîne d'approvisionnement dans de nombreux secteurs. Ces incidents prouvent que toutes les organisations doivent examiner minutieusement leur chaîne d'approvisionnement, quelle que soit leur taille ou leur réputation. Les organisations peuvent commencer par hiérarchiser les fournisseurs clés et travailler avec des conseillers juridiques pour analyser les contrats de ces fournisseurs. Les organisations doivent également envisager de souscrire une assurance pour couvrir les réclamations résultant de violations commises par des fournisseurs ou d'autres tiers.
En fin de compte, investir dans la préparation à la cybersécurité est un bon placement, tant du point de vue de la dissuasion que des litiges. Les exercices sur table, la gestion des risques liés à la chaîne d'approvisionnement et la stratégie en matière de litiges jouent tous un rôle clé dans la réduction de l'impact des recours collectifs liés aux violations de données. Notre équipe chez Foley possède une expérience à l'échelle nationale dans la préparation, la réponse et la défense des organisations confrontées à ces risques importants.
