Discutez avec Caira 24h/24, 7j/7. Téléversez vos avis d'employeur ou vos politiques de confidentialité pour que Caira les examine. Elle peut rédiger des déclarations et relire vos formulaires remplis. Essai gratuit
Résumé : Vous pouvez facilement changer un mot de passe compromis, mais pas votre empreinte digitale, votre rétine ou la géométrie de votre visage. À mesure que les entreprises s'appuient de plus en plus sur les données biométriques pour les pointages, la sécurité et la publicité ciblée, deux États se sont imposés comme des poids lourds. Ils dominent la régulation de ces données biologiques permanentes. Ce guide compare le BIPA de l'Illinois, très agressif, au CUBI du Texas, appliqué par l'État. Il explique qui peut scanner votre visage, et ce qui se passe s'il le fait sans votre permission.
L'essor de la technologie biométrique a rapidement banalisé le scan de nos corps physiques. Quand vous commencez un nouvel emploi en entrepôt, on peut vous demander de poser votre pouce sur un scanner pour pointer. Quand vous téléversez une photo sur les réseaux sociaux, un algorithme cartographie aussitôt la géométrie de votre visage pour suggérer une étiquette.
Mais que se passe-t-il quand ces données sont mal gérées ? En cas de fuite de données impliquant des cartes de crédit, la banque vous envoie simplement un nouveau carré en plastique. Si un pirate vole le rendu numérique de votre empreinte ou de votre iris, cet identifiant biométrique est compromis à vie.
Comme le gouvernement fédéral a largement échoué à adopter une loi complète sur la vie privée biométrique, ce sont les lois des États qui déterminent votre sécurité. En examinant le paysage de la réglementation biométrique en 2026, deux États dominent toute la conversation : l'Illinois et le Texas. Bien que les deux États limitent fortement la collecte de données biométriques, la manière dont ces lois sont sanctionnées est radicalement différente.
BIPA de l'Illinois : la plus redoutée
Promulguée en 2008, la Biometric Information Privacy Act de l'Illinois (BIPA) est largement considérée comme la loi de protection des consommateurs la plus agressive aux États-Unis. Elle est aussi l'une des plus redoutées.
Le cœur de la BIPA est simple : aucune entité privée ne peut collecter, capter, acheter ou échanger vos identifiants biométriques sans d'abord obtenir votre consentement explicite, écrit et éclairé. Ces identifiants incluent les empreintes digitales, les scans de rétine, les empreintes vocales et la géométrie faciale. Elle doit aussi divulguer publiquement combien de temps elle conservera vos données, et quand elles seront détruites définitivement.
Ce qui rend vraiment la BIPA terrifiante pour les entreprises, c'est le droit d'action privé.
Si une entreprise scanne votre visage dans l'Illinois sans autorisation écrite, vous n'avez pas à attendre une intervention de l'État. Vous, consommateur individuel, pouvez utiliser Caira pour poursuivre directement l'entreprise. La loi prévoit des sanctions allant de 1 000 $ pour une violation par négligence à 5 000 $ pour une violation téméraire ou intentionnelle, par scan.
Comme un employé peut utiliser un pointage par empreinte quatre fois par jour, les dommages potentiels sont astronomiques. Ce droit d'action privé a donné lieu à des indemnisations collectives massives et historiques pour les citoyens de l'Illinois, dont un accord de 650 millions de dollars contre Facebook. Des centaines de millions supplémentaires ont aussi été obtenus auprès d'employeurs qui n'avaient pas fait signer de consentement avant d'installer des pointages biométriques.
Texas CUBI : contrôle par l'État
Le Texas a d'ailleurs été l'un des tout premiers États à réglementer cette technologie, en adoptant le Capture or Use of Biometric Identifier Act (CUBI) en 2001. Comme l'Illinois, le CUBI du Texas interdit strictement aux entreprises de capter des données biométriques à des fins commerciales sans votre consentement éclairé préalable. Il exige aussi que ces données soient détruites dans un délai raisonnable. En général, au plus tard un an après l'expiration de la finalité initiale de la collecte.
Cependant, il existe une énorme différence entre le Texas et l'Illinois. Le CUBI ne prévoit pas de droit d'action privé.
Si votre patron à Dallas vous oblige à utiliser un lecteur d'empreintes sans obtenir votre consentement, vous ne pouvez pas utiliser Caira pour poursuivre l'entreprise et obtenir 5 000 $. Seul le procureur général du Texas a le pouvoir légal de faire appliquer le CUBI.
Même si cela empêche les salariés de lancer des recours collectifs directs pour remplir leurs poches, le bureau du procureur général du Texas ne fait pas dans la demi-mesure. Le procureur général peut poursuivre les entreprises pour des sanctions civiles allant jusqu'à 25 000 $ par violation.
Le piège : Quand le Texas remporte ces énormes procès CUBI, l'argent va directement au Fonds général des recettes de l'État — pas dans votre poche.
En 2024, le Texas a utilisé le CUBI pour obtenir un accord historique de 1,4 milliard de dollars contre Meta (Facebook). L'entreprise avait cartographié régulièrement la géométrie faciale de millions de Texans pendant dix ans, sans consentement explicite.
Protéger votre empreinte biologique
À mesure que la reconnaissance faciale s'intègre à l'IA générative, protéger vos données corporelles devient plus crucial que jamais.
Si vous vivez dans l'Illinois et que votre employeur introduit un lecteur d'empreintes ou une caméra de reconnaissance faciale, n'utilisez pas le système. Attendez que les RH vous remettent un formulaire de consentement BIPA complet, détaillant leurs politiques de conservation et de destruction. S'ils refusent, consultez Caira immédiatement — vous avez probablement une réclamation juridique lucrative.
Si vous vivez au Texas, surveillez les applications que vous autorisez à scanner votre visage, et sachez que, même si vous ne pouvez pas les poursuivre directement pour une violation du CUBI, une plainte détaillée auprès du bureau du procureur général est le déclencheur précis d'une action réglementaire de l'État. Votre visage vous appartient ; aucune entreprise n'a le droit de le cartographier dans l'ombre.
Avertissement : cet article fournit des informations générales, et non des conseils juridiques, financiers, fiscaux ou médicaux.
