Accueil | English

RECHERCHE

e-discovery : comment concilier les exigences de la procédure américaine avec les règles protectrices des données à caractère personnel ?

Avril 2010

 

Version pdf de l'article

Aux États-Unis, la procédure dite de discovery permet à une partie, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès civil ou commercial, de demander à la partie adverse tous les éléments d'information pertinents (faits, actes, documents...), quand bien même ceux-ci lui seraient défavorables[1]. La partie qui s'y oppose peut être sévèrement sanctionnée, notamment par un jugement défavorable. Cette procédure a été renforcée en 2006 et, désormais, les entreprises doivent également conserver et produire tous les documents et informations sous forme électronique tels que les courriels des salariés, disques durs, logs de connexion, etc[2]. On parle alors d'e-discovery[3]. Cette dématérialisation de la procédure permet l'accès à un nombre encore plus important de données. Pour satisfaire à ces exigences, certaines entreprises américaines n'hésitent pas à mettre en place un système d'archivage automatique qui copie les documents et communications électroniques conservés sur le réseau informatique de l'entreprise puis les archivent pour une durée indéterminée sur les serveurs de l'entreprise en vue de litiges potentiels.

Divergences entre les positions américaine et communautaire

Dans le contexte actuel de mondialisation, le Discovery ne touche pas seulement les États-Unis puisqu'il implique la collecte d'informations auprès d'entreprises françaises ou européennes qui sont des filiales de sociétés américaines, ou qui ont une activité outre-Atlantique. Une telle procédure est donc particulièrement intrusive. D'une part, la divulgation du disque dur ou des messages d'un employé peut porter atteinte à son droit au respect de la vie privée ou au secret des correspondances[4]. D'autre part, le Discovery porte atteinte aux dispositions de la loi Informatique et Libertés, notamment celles relatives aux droits d'information et d'opposition des personnes concernées, à la proportionnalité du traitement de données, ainsi qu'aux règles en matière de transfert de données hors Union européenne. Cette situation illustre une fois de plus les divergences qui existent entre les positions américaine et communautaire en matière de protection des données à caractère personnel, conduisant la Cnil et le G29 (Comité consultatif des autorités nationales des États membres de l'Union européenne en charge de la protection des données à caractère personnel) à émettre des recommandations sur cette question.

La mise en œuvre de la procédure de Discovery doit respecter les normes communautaires

En 2007, un groupe de travail formé au sein de la Cnil s'est penché sur les problèmes posés par la procédure de Discovery afin de déterminer dans quelle mesure les entreprises françaises peuvent divulguer des informations relatives à leur activité, leur clientèle et leurs salariés lorsqu'elles sont sollicitées dans des procédures judiciaires ou administratives américaines. Un membre de ce groupe de travail a souligné le fait que ces problématiques sont particulièrement délicates, car il est difficile pour une filiale française de refuser la communication de données à sa société mère ou pour une entreprise de résister aux injonctions d'autorités américaines[5]. Ce groupe s'est donné pour objectif de permettre malgré tout une bonne application des règles protectrices françaises et communautaires. Ce travail a récemment conduit à une recommandation de la Cnil en date du 23 juillet 2009[6] qui constate un « accroissement des dossiers concernant des transferts de données personnelles vers les États-Unis (...) en raison de procédures de Discovery devant des juridictions américaines ».

La Cnil affirme ainsi que les transferts d'informations requis doivent nécessairement être effectués en conformité avec la Convention de La Haye[7], seule convention internationale liant la France aux Etats-Unis en matière de procédures judiciaires. Par ailleurs, elle précise que la désignation d'un Correspondant informatique et libertés peut s'avérer particulièrement utile face à ce type de problématique. Enfin, elle formule un certain nombre de préconisations : un transfert de données peut avoir lieu dans le cadre d'une procédure de Discovery dès lors qu'est « garanti le respect des droits des personnes », que les données recueillies sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles le traitement est mis en œuvre », que ces données ne sont « conservées que pour une durée pertinente », qu'une « information générale, claire et complète de toute personne potentiellement concernée doit être réalisée préalablement à la mise en place du traitement de données pouvant faire l'objet d'un transfert de [ses] données personnelles à l'étranger », que les droits d'accès et de rectification sont assurés à ces personnes et enfin, que le transfert doit s'effectuer conformément aux dispositions de la loi informatique et libertés relatives aux transferts internationaux. La recommandation précise les modalités d'application de chacun de ces critères.

Des précautions doivent être prises par les responsables des traitements

Le Groupe de l'article 29 s'est lui aussi saisi de cette question et a adopté, le 11 février 2009, un document sur « la procédure d'échange d'informations avant le procès (« pre-trial discovery ») dans le cadre de procédures civiles transfrontalières »[8]. Ces lignes directrices exposent comment les responsables du traitement des données peuvent concilier les exigences de la procédure américaine de Discovery, avec les règles protectrices des données à caractère personnel de la directive 95/46/CE. Le G29 ne relève aucune incompatibilité mais affirme que des précautions doivent être prises par les responsables des traitements[9]. Ces derniers doivent notamment s'assurer de la légitimité du traitement (consentement des personnes concernées, respect d'une obligation légale ou poursuite d'un intérêt légitime). Par ailleurs, il précise que le principe de proportionnalité est « l'élément principal permettant de garantir un équilibre entre les intérêts en cause ». Il appartient en conséquence au responsable de traitement de filtrer les données à communiquer à la partie adverse afin de ne pas divulguer des données qui ne sont pas pertinentes dans le cas du litige. Il doit également anonymiser les données lorsque c'est possible, informer les personnes concernées, du traitement mis en œuvre et assurer le respect de leurs droits. Enfin, il devra garantir la sécurité des données afin qu'elles ne soient pas altérées ou perdues.

Dans son avis du 11 février 2009, le G29 rappelle que la procédure de Discovery a un impact en Europe qui outrepasse le seul domaine des données personnelles pour lequel il est compétent. Aussi préconise-t-il une coordination internationale menée par les gouvernements des États concernés, éventuellement par l'adoption d'un traité ou d'une convention. Le problème majeur réside pour l'instant dans le fait que les autorités et les juges américains ne connaissent pas les concepts communautaires et nationaux, notamment français, en matière de protection des données. Il n'existe alors aucune certitude quant à leur volonté de les prendre en compte.

[1] Cnil, 29e rapp. d'activité, 2008, p. 57, http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL-29erapport_2008.pdf 

[2] Art. 34 (a) (1) (A) of the US Federal Rules of Civil Procedure : "Any designated documents or electronically stored information - including writings, drawings, graphs, charts, photographs, sound recordings, images, and other data or data compilations - stored in any medium from which information can be obtained either directly or, if necessary, after translation by the responding party into a reasonably usable form".

[3] C. Burton et O. Proust, « Le conflit de droit entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel... entre le marteau et l'enclume », RLDI févr. 2009, n°46.

[4] C. Burton et O. Proust, « Le conflit de droit entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel... entre le marteau et l'enclume », RLDI févr. 2009, n°46.

[5] http://www.cnil.fr/es/english/main-issues/discovery-case/

[6] Cnil, délib., n°2009-474, 23 juill. 2009, portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dites de « Discovery », JO n° 0190, 19 août 2009.

[7] Convention de La Haye, 18 mars 1970, sur l'obtention des preuves à l'étranger en matière civile ou commerciale, http://www.hcch.net/index_fr.php?act=conventions.text&cid=82

[8] G29, document de travail 1/2009 sur la procédure d'échange d'informations avant le procès (« pre-trial discovery ») dans le cadre des procédures civiles transfrontalières, 11 févr. 2009, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp158_fr.pdf .

[9] V. C. Burton et O. Proust, « Les autorités européennes prennent position sur le conflit de droits entre les règles de e-discovery et la protection des données à caractère personnel », RLDI mars 2009, n°47.

 

 

 

FERAL-SCHUHL / SAINTE-MARIE - Avocats au Barreau de Paris
9, rue Royale - 75008 Paris Tél. : +33 1 70 71 22 00 - Fax : +33 1 70 71 22 22       


Mentions légales | Recherche

 

©2006-2009 FERAL-SCHUHL / SAINTE-MARIE