FERAL-SCHUHL / SAINTE-MARIE | Les filiales de sociétés américaines sous l’oeil de la Cnil

Archives des publications2010 2009 2008 2007 2006 2001-2005
Bilans annuels

Les filiales de sociétés américaines sous l’oeil de la Cnil

Mai 2010

Le fait : L'application de la procédure américaine de Discovery aux entreprises françaises préoccupe la CNIL en raison des risques de communication massive et non sélective de données personnelles, et cela, en violation de la législation protectrice en la matière.

La procédure américaine de discovery permet à une partie, dans un procès civil ou commercial, de demander à la partie adverse de lui transmettre tous les éléments d'information relatifs au litige en sa possession, quand bien même ceux-ci lui seraient défavorables. Cette procédure s'applique également aux documents sous forme électronique tels que les courriels, les fichiers présents sur les systèmes de l'entreprise, etc.

Les mesures organisationnelles à mettre en œuvre

Pour être en mesure de communiquer toutes ces données, certaines entreprises mettent en place un système d'archivage automatique qui copie l'intégralité des documents et communications électroniques conservés sur le réseau informatique de l'entreprise puis les archivent pour une durée indéterminée sur des serveurs en vue de litiges potentiels.

Les sociétés françaises de plus en plus concernées

En France, de plus en plus d'entreprises, filiales de sociétés américaines ou sociétés mères de sociétés américaines, sont confrontées aux procédures de discovery, dont l'exécution en France est susceptible de constituer une atteinte à la vie privée, au secret des correspondances ou à la loi Informatique et Libertés. Pour autant, il est délicat pour la société française membre d'un groupe de refuser de telles demandes puisque la société américaine encourt une condamnation si elle n'obtempère pas.

Les recommandations de la CNIL

La CNIL, constatant que les demandes de discovery étaient de plus en plus nombreuses, a constitué un groupe de travail en 2007 et a émis une recommandation en juillet 2009 qui rappelle que la procédure doit être mise en œuvre dans le cadre la convention de La Haye du 18 mars 1970 sur l'obtention des preuves à l'étranger et doit être conciliée avec les règles protectrices des données personnelles. Elle rappelle les précautions qui doivent pour cela être prises par les responsables des traitements. Parmi elles, la limitation des éléments transmis aux seuls documents ayant un lien direct et précis avec l'objet du litige. La communication d'information dans le cadre d'une procédure de discovery doit également respecter les dispositions relatives au secret professionnel ou au secret économique et industriel.

Ce qu'il faut retenir :

La CNIL a rendu publique une recommandation permettant à une société confrontée à une demande de discovery de se conformer à la fois à cette demande et aux exigences légales applicables notamment en matière de protection des données à caractère personnel.