Après une tempête de dossiers d’avocats à travers le pays, un comité judiciaire fédéral a ordonné que les affaires de violation de données centrées sur la société de logiciels de stockage en nuage Snowflake Inc. soient transférées au district du Montana.
L’ordonnance de vendredi du Comité judiciaire américain sur les litiges multidistricts a renvoyé environ 80 dossiers au juge en chef du district américain, Brian Morris. Le panel a cité le « bureau exécutif principal » de Snowflake à Bozeman, dans le Montana, mais a également fait référence à un « district sous-utilisé » qui pourrait gérer le litige multidistrict.
“Je félicite le panel d’avoir reconnu que les temps ont changé”, a déclaré Jeff Ostrow, de Kopelowitz Ostrow Ferguson Weiselberg Gilbert de Fort Lauderdale, en Floride, qui a déposé la requête pour un MDL Snowflake dans le Montana. « Étant donné que les tribunaux organisent régulièrement des audiences par Zoom et que les avocats examinent généralement les documents et interrogent les témoins virtuellement, le panel a clairement mis moins l’accent sur l’emplacement physique du palais de justice. Reconnaissant que le district du Montana est tout aussi méritant que n’importe quel autre district, il a choisi de transférer les affaires au juge en chef Brian Morris, qui est très respecté et plus que capable de superviser cette grande MDL. »
Le panel a rejeté une série de propositions alternatives, telles que la séparation des cas de violation en fonction du client individuel de Snowflake poursuivi. Jusqu’à présent, six sociétés ont fait l’objet de poursuites : AT&T ; Ticketmaster et sa société mère, Live Nation Entertainment ; Avancer les pièces automobiles ; Cricket sans fil ; la filiale QuoteWizard.com de Lending Tree ; et le groupe Neiman Marcus.
Le panel a jugé ces arguments « non convaincants ».
“Les circonstances de l’accès non autorisé et de l’exfiltration des données, les pratiques de sécurité des données de Snowflake et la réponse de Snowflake aux incidents seront communes à toutes les actions”, a écrit le panel dans l’ordonnance de vendredi. “Les pratiques de sécurité de Snowflake constitueront un problème particulièrement important dans toutes les actions, y compris les actions d’AT&T, compte tenu de l’allégation courante selon laquelle Snowflake opère dans le cadre d’un modèle de cybersécurité à “responsabilité partagée” et est conjointement responsable avec ses entreprises clientes de la protection des informations détenues sur le cloud Snowflake. “.
Ces cas concernent une série de violations survenues entre avril et juin de cette année, qui ont compromis les informations personnelles de plus de 100 millions de personnes. Snowflake affirme avoir pris connaissance de la violation pour la première fois le 23 mai, mais a insisté sur le fait que ses clients devaient améliorer leurs contrôles de sécurité, tels que l’authentification multifacteur. L’avocat de Snowflake, Stephen Broome, du cabinet Quinn Emanuel Urquhart & Sullivan à Los Angeles, s’était prononcé contre un litige multidistrict, insistant sur le fait que les affaires n’impliquaient pas une violation « en étoile » comme lors de la cyberattaque MOVEit en 2023. L’année dernière, le panel a coordonné plus de 100 cas concernant la violation de MOVEit dans un litige multidistrict désormais dans le district du Massachusetts, où le fabricant du logiciel, Progress Software, a son siège à Burlington.
“De multiples enquêtes n’ont révélé aucune preuve suggérant que l’accès non autorisé était dû à une vulnérabilité, une mauvaise configuration ou une violation de la plate-forme de Snowflake”, a écrit Broome dans un dossier judiciaire s’opposant à une MDL de Snowflake. “Les réclamations contre Snowflake sont d’une tout autre nature.”
“Ils n’auraient pas pu trouver un meilleur juriste”
Dans une démarche inhabituelle, le panel a combiné le litige multidistrict avec une autre proposition de motion visant à coordonner les affaires contre AT&T liées à Snowflake dans le district nord de Géorgie. L’avocat des plaignants, Paul Doolittle, du Poulin Willey Anastopoulo à Charleston, en Caroline du Sud, avait déposé cette requête, mais l’avait retirée plus tard à la lumière des efforts en cours pour créer un dossier de litige multidistrict axé sur Snowflake.
Le panel a rejeté sa demande de retrait mais a combiné les deux affaires dans son ordonnance de vendredi.
Dans un e-mail adressé à Law.com, Doolittle a salué la « décision judicieuse prise en consolidant les dossiers ».
“De toute évidence, il s’agit de cas en étoile”, a-t-il déclaré.
Mark Lanier, associé du cabinet britannique Lanier, Longstaff, Hedar & Roberts. Photo de courtoisie
Dans un autre domaine, l’avocat principal nouvellement nommé dans un litige multidistrict distinct contre AT&T est intervenu dans la requête en cours liée à Snowflake. Ils ont fait valoir que les affaires liées à Snowflake contre AT&T devraient être renvoyées au district nord du Texas, où le panel a chargé le 5 juin la juge de district américaine Ada Brown de superviser plus de 50 poursuites contre AT&T intentées plus tôt cette année pour une violation antérieure.
AT&T s’est opposé à cette décision, tout comme le panel.
Mark Lanier, du cabinet d’avocats Lanier à Houston, qui est l’avocat principal dans les affaires AT&T impliquant la violation précédente, a déclaré à Law.com : « J’apprécie la sagesse du JPML. Ils ont un point de vue global et j’ai appris à respecter leurs décisions. De plus, j’ai jugé une affaire devant le juge Morris. Ils n’auraient pas pu trouver un meilleur juriste.
