For LabMD, the Devil is in the Not-So-Well Specified Details « Truth on the Market

For LabMD, the Devil is in the Not-So-Well Specified Details « Truth on the Market


L'avis du 1945 LabMD est sorti la semaine dernière. un test de rorschach pour ceux d'entre nous qui étudient la loi sur la protection des consommateurs.

Neil Chilson a trouvé le résultat d'être un signe inquiétant de dérapage dans le commandement du Congrès que la FTC s'abstienne de fonder l'application sur "la politique publique "Berin Szóka, d'autre part a vu la décision comme une réprimande tant attendue contre la notion expansive de la FTC de son autorité" injustice ". Considérant que Daniel Solove et Woodrow Hartzog ont décrit la décision comme «assez étroite et … loin de paralyser», en partie parce que «[t] l'opinion dit très Même au sein de l'équipe de l'ICLE, notre compréhension de l'opinion reflète nos a priori, car elle est mieux comprise comme exprimant les préoccupations de procédure concernant l'application de la section 5 sur la base de main, d'être sur le sens de l'exigence de causalité de la section 5 (n), d'autre part.

Vous pouvez vous attendre à en entendre beaucoup plus sur ces questions et d'autres LabMD questions relatives à nous bientôt, mais pour l'instant nous voulons écrire à propos de la seule chose plus excitante que les histoires de duel de la déclaration d'iniquité de 1980 de la FTC: le droit administratif.

Alors que la plupart de ceux qui regardent l'affaire LabMD proviennent d'un réseau d'observateurs de la FTC, de spécialistes de la sécurité des données et d'avocats de la vie privée C'est que le cas lui-même est principalement sur le droit administratif (la loi qui régit la façon dont les organismes fédéraux sont donnés et utilisent leur pouvoir). Et l'opinion du tribunal est mieux comprise d'un point de vue essentiellement administratif.

De ce point de vue, l'affaire devrait conduire à une introspection significative à la Commission. Bien que la FTC puisse trouver des moyens de se conformer à la lettre de l'opinion sans modifier substantiellement son approche en matière de sécurité des données, elle aura probablement du mal à défendre cette approche devant les tribunaux. La véritable conformité à cette décision exigera que la FTC définisse ce qui rend certaines pratiques de sécurité des données injustes d'une manière plus cohérente et beaucoup plus facilement vérifiable.

La prise de possession de l'affaire se situe dans la partie III de l'avis du 11e circuit, où le tribunal conclut pour LabMD au motif que, en raison d'un manque fatal de précision dans l'ordonnance proposée par la FTC, et l'ordre de désistement est lui-même inapplicable. "C'est la punchline de l'opinion, à laquelle nous reviendrons. Mais cela vaut la peine de passer du temps sur le chemin que le tribunal emprunte pour s'y rendre.

Il convient de souligner d'emblée que la partie II de l'avis – dans laquelle la Cour examine le cadre conceptuel et réglementaire qui sous-tend une allégation d '«injustice» – est étonnamment sans importance pour la décision finale de la cour. Ce fut la viande de l'affaire pour les observateurs FTC et les avocats de la confidentialité et de la sécurité des données, et c'est une exposition fascinante. Sans doute, ce sera l'objet de la plupart des analyses de l'opinion.

Mais, aux fins de la décision de la cour, c'est d'une importance (peut-être frustrante). En résumé, la Cour présume, arguendo que la FTC a une base suffisante pour établir une demande d'injustice contre LabMD avant de passer à la partie III de l'avis analyser l'ordre de la FTC compte tenu de cette hypothèse.

La raison pour laquelle la Cour a adopté cette approche n'est pas claire – et il est dangereux de supposer une explication particulière (bien qu'elle fasse et continuera à faire l'objet de nombreux débats). Il y a plusieurs explications raisonnables à cette approche, allant du tribunal pensant qu'il était évident que l'analyse de l'injustice de la FTC était correcte, à la question épineuse de savoir comment définir le préjudice en vertu de l'article 5, au tribunal évitant de prendre une décision remettre en cause la constitutionnalité fondamentale d'une partie importante du portefeuille juridique de la FTC. Indépendamment – et indépendamment de son relatif manque d'importance pour l'exploitation finale – l'analyse offerte dans la partie II porte, et recevra, une attention significative.

La FTC a deux formes fondamentales d'autorité de protection des consommateurs: Elle peut prendre des mesures contre 1) injuste actes ou pratiques et 2) trompeuses actes ou pratiques. Le dossier de la FTC contre LabMD a été formulé en termes d'injustice. Sans surprise, «l'injustice» est un concept large et ambigu – qui peut facilement devenir une goutte amorphe d'autorité d'application mal définie.

Comme discuté par la cour ( aussi bien que par nous ad nauseum ), dans les années 1970, la FTC a fait un usage très agressif de son pouvoir d'injustice pour réglementer l'industrie de la publicité, usurpant effectivement l'autorité du Congrès pour légiférer dans ce domaine. Cette application trop agressive n'a pas bien fonctionné avec le Congrès, bien sûr, et l'a conduit à fermer la FTC pour une période de temps jusqu'à ce que l'agence a adopté une compréhension plus limitée de la signification de son autorité injuste. Cette compréhension a été communiquée au Congrès dans la déclaration d'iniquité de 1980 de la FTC. Cette déclaration a ensuite été codifiée par le Congrès, sous une forme légèrement modifiée, en tant que section 5 (n) de la loi sur la FTC.

L'article 5 (n) stipule que

La Commission n'a pas le pouvoir, en vertu du présent article ou de l'article 57a du présent titre, de déclarer illégal un acte ou une pratique au motif que cet acte ou cette pratique est injuste, à moins que l'acte ou la pratique préjudice aux consommateurs qui n'est pas raisonnablement évitable par les consommateurs eux-mêmes et qui n'est pas compensé par des avantages compensatoires pour les consommateurs ou la concurrence. Pour déterminer si un acte ou une pratique est inéquitable, la Commission peut considérer les politiques publiques établies comme des éléments de preuve à considérer avec tous les autres éléments de preuve. De telles considérations de politique publique peuvent ne pas servir de base primaire à une telle détermination.

Le sens de la section 5 (n) a fait l'objet de débats intenses pendant des années (par exemple, ici ici et ici ). En particulier, on ne sait pas si l'article 5 (n) définit un critère déterminant ce qui constitue un comportement déloyal (celui qui cause ou risque de causer un préjudice substantiel aux consommateurs qui n'est pas raisonnablement évitable par les consommateurs eux-mêmes et n'est pas contrebalancé par des avantages compensatoires pour les consommateurs ou à la concurrence ") ou si à la place impose une condition nécessaire, mais pas nécessairement suffisante, sur l'étendue du pouvoir de la FTC de porter des affaires. Le sens de «cause» au paragraphe 5 (n) est également peu clair parce que, contrairement à la causalité dans les contextes juridiques traditionnels, la section 5 (n) vise aussi les comportements qui sont «susceptibles de causer» des dommages.

L'article 5 (n) conclut avec une discussion importante, mais aussi quelque peu impénétrable, sur le rôle de la «politique publique» dans l'application injuste de la Commission, indiquant que cette Commission est libre de considérer les «politiques publiques établies» comme preuve d'un comportement déloyal, mais ne peut pas utiliser de telles considérations "comme base primaire" pour son application injuste.

Dites non à la politique publique

L'article 5 habilite et ordonne à la FTC de surveiller les pratiques commerciales déloyales, et il y a peu de raisons de penser que de mauvaises pratiques en matière de sécurité des données ne peuvent parfois pas relever de sa compétence. Mais les efforts de la FTC en matière de sécurité des données (et, d'ailleurs, la vie privée) au cours des deux dernières décennies ont concentré largement sur le développement de ce qu'il considère être une jurisprudence complète pour répondre aux préoccupations en matière de sécurité des données. Cela crée une impression distincte que la FTC a utilisé son pouvoir injuste pour développer un nouveau domaine de politique publique – légiférer les normes de sécurité des données, en d'autres termes – plutôt que de contrôler les pratiques de sécurité des données qui sont injustes selon les principes établis d'injustice.

Il s'agit d'une distinction subtile – et il y a franchement peu d'indications sur la façon dont l'agence agit sur la base des politiques publiques plutôt que sur la proscription d'une conduite qui se traduit par l'injustice.

Mais c'est une distinction importante . Si c'est le cas – ou, plus précisément, si les tribunaux pensent que c'est le cas – que la FTC agit sur la base d'une politique publique, les efforts de la FTC en matière de sécurité des données sont clairement problématiques en vertu de l'article 5 (n) l'interdiction de l'utilisation de la politique publique en tant que fondement des actions injustes.

Et c'est là que la Commission se trouve en difficulté. Les efforts de la Commission pour développer son programme d'application de la loi sur la sécurité des données ressemblent énormément à ceux qui sont menés par les politiques publiques, et ne consistent pas simplement à appliquer la politique existante telle que capturée par LabMD les mots du tribunal (faisant écho aux facteurs d'injustice pré-article 5 (n) de la FTC), "norme juridique bien établie [s]qu'elle soit fondée sur la loi, la common law ou la Constitution."

La distinction entre effectuer des politiques publiques et appliquer des normes juridiques n'est pas très claire. Néanmoins, explorer et respecter cette distinction est une tâche importante pour les tribunaux et les organismes.

Malheureusement, cette affaire ne décrit pas bien comment faire cette distinction. L'opinion est plus qu'un peu embrouillée et difficile à interpréter clairement. Néanmoins, lire les dicta de la Cour dans la partie II est instructif. Il est clair que certaines mauvaises pratiques de sécurité, dans certains contextes, peuvent être des pratiques déloyales. La tâche appropriée de la FTC est donc de découvrir comment contrôler «l'injustice» dans les cas de sécurité des données plutôt que de devenir une agence d'application de la sécurité des données de premier ordre.

Comment les politiques publiques deviennent-elles des lois bien établies?

L'opinion de la Partie II de l'Onzième Circuit – même si elle est dictée – est importante pour les futures interprétations des affaires de la Section 5. Le tribunal s'efforce de démontrer, sur la base de l'histoire de l'application de la FTC et des reproches du Congrès, que la Commission ne peut pas s'appuyer sur de vagues normes de «politique publique» pour intenter des actions «injustes».

Mais cela soulève une question critique sur la nature de l'autorité injuste de la FTC. La Commission a été créée en grande partie pour la conduite de la police qui ne pouvait pas facilement être proscrite par une loi ou des règles simples. Dans certains cas, cela signifie une conduite difficile à étiqueter ou à décrire dans un texte avec un degré de précision – «Je le sais quand je le vois», sortes d'actes et de pratiques. Dans d'autres cas, il peut s'agir d'une conduite nouvelle ou imprévisible qui ne pouvait être prévue par les législateurs ou les régulateurs. Dans les deux cas, le but même de la FTC est de pouvoir protéger les consommateurs d'une conduite qui n'est pas nécessairement proscrite ailleurs.

Cela signifie que la Commission doit avoir la capacité de prendre des mesures contre des comportements "injustes" qui n'ont pas été auparavant considérés comme "injustes" dans "une norme juridique bien établie [s]qu'elle soit fondée sur la loi, common law, ou la Constitution. "Mais cette capacité n'est pas illimitée, bien sûr.

Le tribunal a expliqué que la Commission pouvait exposer les actes qui tombent dans le sens d '"injuste" de l'une des deux manières suivantes: Elle pourrait utiliser son autorité de réglementation pour émettre des règles révisables au Congrès, ou elle pourrait poursuivre une affaire par cas.

Dans les deux cas, la discussion de la Cour sur la façon dont la Commission doit déterminer ce qui est «injuste» dans les limites de l'article 5 (n) est extrêmement vague. Les premières parties de l'opinion nous disent que l'injustice doit être jugée sur la base de «normes juridiques bien établies», mais le tribunal nous dit que l'étendue de l'injustice peut être modifiée – c'est-à-dire que ces normes juridiques bien établies peuvent être changé – par adjudication. Il est difficile de faire la distinction entre ce que la cour entend par là. Quoi qu'il en soit, ce sont les conseils que nous a fournis le tribunal.

Ceci est la Loi d'Administration 101

Et pourtant, il y a peut-être une solution à cette énigme en droit administratif. Pour les érudits en droit administratif, la discussion du 11e Circuit sur l'admissibilité des agences à élaborer des normes juridiques contraignantes en utilisant des procédures d'arbitrage ou d'arbitrage, est tout à fait hors de Chenery II .

Chenery II est un cas de base du droit administratif américain, largement en faveur de la proposition (comme en témoigne le 11ème Circuit) que les agences peuvent généralement développer des règles juridiques à travers soit l'établissement de règles ou l'arbitrage, qu'il peut y avoir de bonnes raisons d'utiliser l'un ou l'autre dans un cas donné et que (en supposant que le Congrès ait autorisé l'agence à utiliser les deux), il appartient à l'agence de déterminer quelle approche est préférable.

Mais, alors que Chenery II autorise certainement les agences à procéder au cas par cas, cette permission n'est pas une licence générale éviter l'élaboration de normes juridiques déterminées. Et la raison est assez évidente: si une agence développe des règles qui sont difficiles à connaître ex ante elles peuvent difficilement fournir des conseils aux parties privées car elles commandent leur affaires.

Chenery II fait une mise en garde importante sur l'utilisation de l'arbitrage au cas par cas. Tout comme les juges dans l'affaire LabMD le tribunal Chenery II était préoccupé par la spécificité et la clarté, et nous dit que les agences ne peuvent pas compter sur des bases vagues pour leurs règles ou leurs actions coercitives et s'attendre à ce que les tribunaux «cisellent» les détails. Plutôt:

Si l'action administrative doit être mise à l'épreuve par la base sur laquelle elle prétend se reposer, cette base doit être énoncée avec une clarté compréhensible. Il ne sera pas nécessaire pour un tribunal de deviner la théorie qui sous-tend l'action de l'agence ; on ne peut pas non plus attendre d'un tribunal qu'il cisèle ce qui doit être précis d'après ce que l'agence a laissé vague et indécis. En d'autres termes, «Nous devons savoir ce que signifie une décision avant que le devoir ne devienne le nôtre pour dire si c'est juste ou faux» (c'est nous qui soulignons)

Les parallèles entre l'opinion du 11ème Circuit dans LabMD et l'avis de la Cour suprême dans Chenery II 70 ans plus tôt sont étranges. Il n'est pas non plus très surprenant que l'opinion du 11ème Circuit refléterait les principes discutés dans Chenery II ni qu'elle le ferait sans référence à Chenery II : ce sont, après tout, des principes fondamentaux du droit administratif.

Les principes énoncés dans Chenery II bien sûr, ne répondent pas à la question de la loi sur la sécurité des données si la FTC a dûment exercé son pouvoir. l'autorité dans cette affaire (ou toute autre affaire) en vertu de la section 5. Mais ils fournissent une base intelligible pour la cour évitant cette question, et demandant si la FTC a suffisamment défini ce qu'il faisait en premier lieu.

La mission de la FTC en matière de sécurité des données a été, essentiellement, un voyage d'exploration de la politique publique. Sa méthode d'adjudication au cas par cas, fondée sur des décrets de consentement mal définis, des documents d'orientation non contraignants et des plaintes formulées en termes généraux, crée le flou que la Cour a Chenery II a rejeté, et que le 11ème Circuit s'est soldé par des remèdes inapplicables.

Même sous son meilleur jour, les documents publics de la Commission sont terriblement déficients en tant que sources d'indications utiles (et juridiquement contraignantes). Dans ses plaintes, la FTC mentionne généralement certains des faits qui l'ont amenée à enquêter et présente quelques détails rudimentaires sur la façon dont ces faits se rapportent à son autorité en vertu de l'article 5. Pourtant, la FTC émet des plaintes fondées uniquement sur sa "raison de croire" qu'un acte injuste a eu lieu. Cette norme est très différente de celle qui prévaut devant les tribunaux de district et conduit indubitablement la Commission à interpréter les faits de manière libérale en sa faveur.

De plus, les objectifs des plaintes se règlent pour une myriade de raisons, et aucune autorité extérieure n'a besoin d'examiner la suffisance d'une plainte dans le cadre d'un règlement. Et les ordres de consentement eux-mêmes sont largement dépourvus de spécificité juridique et même factuelle. En conséquence, le pouvoir de la FTC d'engager une action coercitive est effectivement fondé sur une série d'ambiguïtés mal définies – ce qui n'est pas une base suffisante pour définir une norme juridique claire.

Ainsi, alors que l'opinion du tribunal en l'espèce était étroitement axée sur l'ordonnance proposée par la FTC, l'analyse juridique sous-jacente qui étaye sa détention devrait être troublante pour la Commission.

La spécificité que le 11e Circuit exige dans l'ordre correctif ne doit pas moins exister dans les théories du préjudice que la Commission allègue contre les cibles. Et ces théories ne peuvent pas être basées sur de simples préférences de politique publique. Les tribunaux qui suivent l'approche de la Onzième circonscription – que l'article 5 (n) semble raisonnablement exiger – examineront plus en profondeur les allégations de la sécurité des données «déraisonnables» de la Commission afin de déterminer si elle tente réellement de nuire en démontrant quelque chose comme négligence, ou attribue simplement une «injustice» à certains comportements que la Commission juge dommageables.

La FTC peut trouver des moyens de se conformer à la lettre de cette opinion particulière sans modifier substantiellement son approche globale – mais cela semble improbable. Le respect réel de cette décision exigera que la FTC respecte les limites réelles de ses pouvoirs et qu'elle élabore des exigences vérifiables en matière de sécurité des données à partir de bien plus que de simples décrets de consentement et plaintes de cuisine.



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *