Introduction
Un groupe d’utilisateurs de Coinbase en Illinois a déposé une action en justice collective contre la célèbre plateforme d’échange de crypto-monnaies, alléguant que ses pratiques de contrôle d’identité violent la Biometric Information Privacy Act (BIPA) de l’État.
Les Allegations
Les plaignants, Scott Bernstein, Gina Greeder et James Lonergan, affirment dans leur plainte, enregistrée le 13 mai dans un tribunal fédéral, que la « collecte de masse » d’empreintes faciales par Coinbase pour satisfaire aux exigences Know Your Customer constitue une infraction à la BIPA, notamment parce qu’ils n’ont pas été informés.
Selon le groupe, Coinbase n’a pas averti les utilisateurs par écrit en ce qui concerne la collecte, le stockage ou le partage de leurs données biométriques, ni des finalités et de la durée de conservation de ces données.
« Coinbase ne publie pas de calendrier de conservation ni de directives quant à la destruction des identifiants biométriques des plaignants, comme l’exige la BIPA, » soutiennent-ils.
La plainte indique que Coinbase demande aux utilisateurs de vérifier leur identité en téléchargeant une pièce d’identité officielle accompagnée d’un selfie, lequel est ensuite envoyé à un fournisseur tiers de reconnaissance faciale pour analyse. Ce processus collecte des identifiants biométriques sans le consentement éclairé des utilisateurs, en violation présumée de la BIPA.
Partage de données et violations
De plus, le groupe allègue que Coinbase a enfreint la loi en partageant des données biométriques avec des fournisseurs de vérification tiers tels que Jumio, Onfido, Au10tix et Solaris, sans obtenir le consentement des utilisateurs.
« Coinbase ‘obtient’ des données biométriques en violation de la BIPA, car il a expressément demandé aux fournisseurs de vérification tiers d’utiliser son logiciel pour authentifier les utilisateurs, y compris les plaignants, et ce logiciel collecte des données biométriques, » stipule la plainte.
Demandes et réclamations
Le groupe indique que plus de 10 000 personnes ont déposé des demandes d’arbitrage concernant ces problèmes auprès de l’American Arbitration Association, mais que Coinbase aurait refusé de régler les frais d’arbitrage, entraînant ainsi le rejet de ces demandes. Le procès évoque trois accusations de violations des lois étatiques sur la vie privée biométrique ainsi qu’une accusation de fraude à la consommation au titre de l’Illinois Consumer Fraud and Deceptive Business Practices Act.
Le groupe réclame un dédommagement de 5 000 $ par violation intentionnelle ou imprudente prouvée, 1 000 $ par violation négligente constatée, ainsi qu’une réparation injonctive et le remboursement des frais de litige.
Affaires connexes
Coinbase doit également faire face à au moins six autres procès concernant une divulgation récente, datée du 15 mai, selon laquelle certains de ses agents de soutien client auraient été soudoyés pour partager des données utilisateur.
Un précédent procès lié à la BIPA avait été renvoyé à l’arbitrage : en mai 2023, un groupe d’utilisateurs avait intenté une action similaire contre Coinbase, mais un juge avait suspendu cette action en attendant un arbitrage, et elle avait été finalement rejetée sans préjudice le 3 février dernier après un accord entre Coinbase et les plaignants pour abandonner la procédure.
