Etes-vous prêts à faire face à une procédure de e-discovery ?

L’internationalisation des échanges de données concerne également la recherche de preuves dans le cadre d’un procès à laquelle l’entreprise doit se préparer.

Aux États-Unis et dans les pays anglo-saxons, lors de la phase d’instruction préalable à un procès civil ou commercial («pre-trial discovery » ou « discovery »), une partie au litige peut exiger de l’autre la production de l’ensemble des documents internes qui présentent un intérêt pour l’affaire en cours, tout refus exposant à une décision défavorable.
Cette procédure a été étendue aux informations conservées sous forme électronique (emails des salariés, contenu des disques durs et serveurs…).
Elle concerne également les filiales françaises des sociétés américaines qui peuvent se voir ordonner de produire tout document utile à la prétention d’un adversaire.
La France a ratifié la Convention de la Haye du 18 mars 1970 qui autorise un État contractant à demander par commission rogatoire à l’autorité compétente d’un autre État contractant de faire tout acte d’instruction, sous réserve que les documents recherchés aient un lien direct avec l’objet du litige et soient limitativement énumérés. À défaut, la loi du 26 juillet 1968 (« Blocking Statute ») s’applique. Elle protège les données stratégiques des entreprises et, en conséquence, sanctionne pénalement la communication de documents ou renseignements tendant à la constitution de preuves en vue de procédures judiciaires étrangères.
Face à une demande de e-discovery, les difficultés à adopter un comportement adéquat et respectueux des lois françaises, parmi lesquelles la loi Informatique et libertés, ont conduit la CNIL à adopter une délibération (n°2009-474 du 23 juillet 2009). Le recueil du consentement de l’intéressé, parmi de nombreuses préoccupations relevées par la Commission, se révèle d’une redoutable complexité. Selon la CNIL et le groupe de travail de « l’article 29 », qui réunit les autorités de protection des données personnelles européennes, les exceptions autorisant à ne pas recueillir le consentement doivent être systématiquement mises en balance avec les droits et libertés de la personne concernée, un salarié placé dans une relation de subordination ne pouvant en toute hypothèse exprimer un consentement libre.
À cette incertitude pratique s’ajoute le distinguo établi par la CNIL entre d’une part, « un transfert unique et non massif » d’informations pertinentes hors de l’UE requérant une simple déclaration au lieu d’une autorisation et d’autre part, « les transferts massifs et répétés » exigeant du destinataire l’adhésion au Safe Harbor, la mise en œuvre règles internes contraignantes (« Binding corporate rules ») ou la signature des clauses contractuelles types adoptées par la Commission européenne.
Quel volume d’information retenir pour caractériser un transfert « massif » d’informations ou encore un « flux important de données » appelant, selon la CNIL, une anonymisation ? Comment le déterminer ? On le voit, de nombreuses questions demeurent en suspend qui appellent des précisions autant que la mise en œuvre de principes directeurs et procédures internes rigoureux.

Dernier ouvrage paru : Droit des données personnelles, Gualino, 2011

 http://www.lextenso-editions.fr/ouvrages/document/230586