Le géant des paiements en ligne PayPal est dans la tourmente. Deux plaintes ont été déposées par des utilisateurs estimant que la société n'a pas correctement protégé leurs informations personnelles suite à une violation de données survenue l'an dernier. Et de ce fait, les ont rendues vulnérables à du vol d'identité et autres exploits connexes émanant de personnes malveillantes. Près de 35 000 personnes ont été touchées par cet incident de sécurité. La société a indiqué avoir pris connaissance de l'attaque pour la première fois le 20 décembre dernier, et qu'il avait finalement déterminé que l'attaque s'était produite entre le 6 et le 8 décembre.

Les utilisateurs ont été prévenus et le groupe a indiqué le 18 janvier dernier qu'il n'y avait « aucune preuve » que les connexions compromises aient été extraites des systèmes de PayPal. Il est plutôt probable que les données de nom d'utilisateur et de mot de passe recueillies lors d'autres cyberattaques aient été utilisées pour tenter de se connecter à des comptes PayPal, ce qui a réussi dans certains cas où les utilisateurs utilisaient des mots de passe identiques pour d'autres comptes.

Les directives de la FTC non respectées

Les plaignants dans la poursuite civile, dont l'un vient du Texas et l'autre du Nebraska, accusent PayPal de ne pas se conformer aux directives de la FTC en matière de protection des données, affirmant essentiellement que l'entreprise a fait preuve de négligence dans sa protection des données des consommateurs. La poursuite a été déposée la semaine dernière dans le district nord de la Californie. La plainte porte neuf accusations individuelles contre PayPal, accusant l'entreprise d'enrichissement sans cause, de violation de plusieurs lois nationales sur la protection des consommateurs, de rupture de contrat, de négligence et de négligence en soi (ce dernier signifie en substance que l'entreprise a enfreint une obligation de diligence imposée sur elle par une loi spécifique, plutôt qu'une obligation légale de diligence plus générale requise pour une réclamation standard pour négligence).

Ces allégations sont basées sur une grande variété de faits affirmés, et PayPal est accusée de ne pas s'être conformé au référentiel cybersécurité de l'institut national des normes et des technologies américaine (NIST). Les plaignants ont déclaré qu'ils avaient subi un certain nombre de préjudices en raison de la négligence présumée de PayPal, notamment avoir été « obligés de passer du temps à faire face aux effets de la portée des données », les exposant à un risque de fraude fortement accru et d'usurpation d'identité, et devoir aussi engager des coûts substantiels pour surveiller des mouvements suspects sur leurs comptes bancaires. Ils ont également demandé au juge de requalifier la poursuite en tant que recours collectif, étant donné le grand nombre de victimes présumées et l'impossibilité de les nommer toutes comme parties à la poursuite.

Financer à vie la surveillance bancaire et l'usurpation d'identité

La poursuite demande un montant indéterminé de dommages-intérêts pour avoir enfreint les diverses lois sur la protection des consommateurs et, à titre de réparation équitable, le financement d'une surveillance bancaire à vie et d'une assurance contre le vol d'identité, etc. Cela est conforme à l'avis juridique récent sur les poursuites liées à la violation de données, qui ont suscité des réponses mitigées de la part des tribunaux américains. Selon Robert Dillard, analyste juridique pour Bloomberg Law, les réclamations pour pertes dans des incidents de violation de données ont fait face à une « traitement inégal » devant les tribunaux fédéraux l'année dernière. « En 2023, les plaignants et leurs avocats utiliseront certainement des arguments pour demander réparation en vertu de la loi commune », a écrit Robert Dillard dans une analyse. « Cependant, les chances de succès de ces réclamations dépendront extrêmement des faits de chaque affaire, car elles sont soumises à un système judiciaire qui a fait preuve de scepticisme ».