Henry Lebowitz et Jarrett Lewis, avocats chez Debevoise & Plimpton LLP
La biométrie de l’Illinois droit en matière de diligence raisonnable transactionnelle
La confidentialité des données personnelles, la sécurité de l’information et la défense des données individuelles sont effectivement entrées dans l’air du temps. Les législatures agissent rapidement pour augmenter les directives, avec des lois détaillées sur la protection de la vie privée actuellement en vigueur en Californie et en Virginie, au Colorado, au Connecticut et dans d’autres États qui ne sont pas loin derrière. Les acheteurs potentiels de fusions et acquisitions ont en fait réagi en complétant leurs procédures de diligence standard par une diligence ciblée en matière de sécurité des informations et de confidentialité des données personnelles.
Une loi qui a en fait suscité une attention particulière au cours des dernières années est la loi sur la confidentialité des informations biométriques de l’Illinois (« BIPA »), qui régit l’utilisation et le stockage des détails biométriques par les entités personnelles opérant dans l’Illinois. La loi reflète la conclusion de la législature de l’Illinois selon laquelle les données biométriques individuelles sont particulièrement délicates car (contrairement à d’autres identifiants personnels) : « la biométrie, qui est biologiquement spéciale, dès qu’elle est compromise, constitue une menace pour le reste de la vie de l’individu. »
Le BIPA est remarquable en ce qu’il fournit à la fois un droit d’action privé et des dommages-intérêts légaux. Cette combinaison a entraîné le dépôt de recours collectifs contre toutes sortes d’entités, des petites entreprises aux entreprises du Fortune 100. Ces affaires ont en fait donné lieu à une variété de règlements de plusieurs millions de dollars et, plus récemment, à un verdict du jury d’un montant de 228 000 000 $. Par conséquent, il est de plus en plus important que la diligence raisonnable des fusions et acquisitions comprenne la vérification que la société cible ne collecte pas de données biométriques dans l’Illinois ou le fait conformément à la BIPA.
Effectuer la diligence raisonnable de la BIPA
Le seuil étape dans la conduite de la diligence BIPA est d’identifier si BIPA utilise la cible. Le texte de la loi propose que le BIPA « s’applique aux entités personnelles fonctionnant dans l’Illinois ». Par conséquent, toute organisation exerçant des activités dans l’Illinois est peut-être basée sur BIPA. La jurisprudence précise en outre que l’activité supposée générant l’infraction BIPA doit avoir lieu principalement ou de manière significative dans l’Illinois.
La question suivante est de savoir si l’entreprise collecte des identifiants biométriques ou des informations biométriques gérées sous BIPA. La loi propose que les identifiants biométriques soient « des scans rétiniens ou de l’iris, des empreintes digitales ou des scans de la géométrie de la main ou du visage ». Cependant, il est important de noter que les informations biométriques réglementées par la BIPA consistent également en « toute information, quelle que soit la manière dont elle est capturée, transformée, enregistrée ou partagée, sur la base de l’identifiant biométrique d’une personne utilisé pour déterminer un individu ». Ainsi, le BIPA contrôle non seulement les identifiants biométriques eux-mêmes, mais également d’autres informations basées sur ou découlant de ces identifiants.
La loi propose également des exceptions spécifiques à la définition des identifiants biométriques telles que « la composition d’échantillons, les signatures écrites, les photographies, les échantillons biologiques humains utilisés pour des tests cliniques légitimes ou le dépistage, les données démographiques, les descriptions de tatouage ou les descriptions physiques telles que la taille, le poids, la couleur des cheveux ou la couleur des yeux ne sont pas soumis à la loi. » En particulier, bien que la loi excuse les photographies, certains tribunaux ont en fait montré que la géométrie faciale issue de photographies peut être couverte par le BIPA.
Si l’entreprise recueille des informations sur le sujet auprès du BIPA, la prochaine action de l’exercice de diligence consiste à déterminer si l’entreprise satisfait à toutes les exigences réglementaires de BIPA. En particulier, les entreprises gérées doivent :
- Développer une politique écrite qui est proposée publiquement, établir un calendrier de conservation et des directives pour ruiner de manière permanente les identifiants et détails biométriques ;
- Acquérir un composé notifié libération des personnes sur la base de l’identifiant biométrique ou de la collecte d’informations, en veillant à ce que ces personnes soient informées de l’objectif de la collecte de données et de la manière dont les informations sont collectées, enregistrées ou utilisées ;
- Ne pas tirer profit de Biometric Informations, soit par la vente, la location ou le commerce de ces informations ; et
- Faire preuve d’un soin raisonnable proportionné au secteur de l’entreprise ou au même niveau qu’il utilise pour d’autres informations privées et sensibles pour stocker, envoyer et sécuriser les informations biométriques.
Comme nous l’avons rappelé ci-dessus, lorsqu’il y a des raisons de penser qu’une entreprise cible est soumise à la BIPA, la diligence raisonnable juridique doit consister en des demandes et des questions spécifiques à la BIPA. L’avocat de diligence doit demander des politiques et des procédures concernant le BIPA et autrement régissant les informations biométriques et leur collecte et, le cas échéant, ils doivent obtenir une copie du type de publication informée du BIPA, combinée à une vérification (par exemple, lors d’un appel de diligence) qui le formulaire a effectivement été rempli par toutes les personnes appropriées, y compris les membres du personnel et les clients. Les acheteurs de fusions et acquisitions ou leurs conseillers doivent également examiner les polices d’assurance cyber de la cible pour confirmer si la conformité BIPA est couverte ou a effectivement été souscrite par le fournisseur d’assurance, et pour confirmer que la protection post-clôture est facilement disponible dans le cadre de ces polices.
Dans le meilleur des cas, naturellement, l’avocat de l’acheteur est en mesure de conclure en toute diligence que la cible n’a aucune exposition directe à la BIPA. Cependant, lorsqu’il apparaît que la cible peut avoir enfreint le BIPA, il devient crucial d’approximer aussi soigneusement que possible la responsabilité éventuelle de la cible. À cet égard, il est très important de noter 2 affaires très attendues et récemment tranchées par la Cour suprême de l’Illinois qui affectent considérablement tout calcul de responsabilité. Tout d’abord, dans Tims v. Black Horse Providers, Inc., la Cour suprême de l’Illinois a déterminé que le délai de prescription du BIPA est de 5 ans (et non d’un an) pour toutes les infractions au BIPA. Deuxièmement, dans une décision rendue quelques jours plus tôt, le 17 février 2023, la Cour suprême de l’Illinois a confirmé dans Cothron v. White Castle Sys., Inc.qu’une infraction au BIPA se produit à chaque fois. collecte de détails biométriques (par exemple, chaque fois que le même travailleur se rend dans le même établissement en utilisant des identifiants biométriques, tels que les empreintes digitales), plutôt que la première fois que les détails biométriques d’un membre du personnel sont collectés. On peut s’attendre à ce que ces décisions affectent de manière significative le montant des dommages-intérêts disponibles pour les plaignants et, pour cette raison, vraisemblablement, le volume de poursuites (et, en particulier, de recours collectifs) découlant de la BIPA.
Tendances futures en matière de lois et diligence biométriques
Les préoccupations liées à la collecte de données biométriques sont appelées à devenir progressivement importantes dans les années à venir. Les informations biométriques sont collectées aujourd’hui principalement pour l’authentification d’accès de sécurité (par exemple, les scans d’empreintes digitales ou les scans faciaux pour accéder à une structure), mais les technologues continuent de découvrir des utilisations inédites et ingénieuses pour les identifiants biométriques, qui élargiront inévitablement leur utilisation. En outre, bien que la BIPA soit probablement la loi la plus connue en son genre, le Texas et Washington ont également des lois sur la biométrie, et le Colorado, le Connecticut et la Virginie ont en fait promulgué des lois complètes sur la confidentialité qui nécessitent des informations sensibles sur le processus d’octroi, consistant en des détails biométriques. Une législation comparable fait également l’objet d’une réflexion active dans d’autres États. C’est donc une bonne idée pour les négociateurs et leurs conseils d’avoir la collecte et l’utilisation des détails biométriques en haut de leur liste de sujets de diligence raisonnable légale lorsqu’il y a des raisons de croire que la BIPA ou des lois comparables pourraient s’appliquer.
À propos des auteurs
Henry Lebowitz est associé chez Debevoise & Plimpton LLP et membre du groupe des transactions en propriété intellectuelle et technologie. Jarrett Lewis est associé et membre du groupe Fusions et acquisitions.
AVIS DE NON-RESPONSABILITÉ : les informations sur l’industrie de Biometric Update sont envoyées. Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement les opinions de Biometric Update.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
