e-Discovery : la CNIL se prononce

La procédure d'e-Discovery, venue des États-Unis, incite les entreprises à archiver automatiquement tous les documents et communications électroniques, ce qui peut porter atteinte au droit au respect de la vie privée ou au secret des correspondances des salariés.

La procédure américaine de Discovery permet à une partie, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès civil ou commercial, de demander à la partie adverse tous les éléments d'information pertinents (faits, actes, documents...), quand bien même ceux-ci lui seraient défavorables.

La partie qui s'y oppose peut être sévèrement sanctionnée, notamment par un jugement défavorable. Cette procédure a été renforcée en 2006, lors d'un changement législatif qui contraint les entreprises à conserver et produire également tous les documents et informations sous forme électronique tels que les courriels des salariés, disques durs, logs de connexion, etc.

On peut alors parler d'e-discovery. Cette dématérialisation de la procédure permet l'accès à un nombre encore plus important de données. Pour satisfaire à ces exigences, certaines entreprises américaines n'hésitent pas à mettre en place un système d'archivage automatique qui copie les documents et communications électroniques conservés sur le réseau informatique de l'entreprise puis les archivent pour une durée indéterminée sur les serveurs de l'entreprise en vue de litiges potentiels.

Or, dans le contexte actuel de mondialisation, le Discovery ne touche pas seulement les États-Unis puisqu'il implique la collecte d'informations auprès d'entreprises françaises ou européennes qui sont des filiales de sociétés américaines, ou qui ont une activité outre-Atlantique. Une telle procédure est donc particulièrement intrusive.

D'une part, la divulgation du disque dur ou des messages d'un employé peut porter atteinte à son droit au respect de la vie privée ou au secret des correspondances. D'autre part, le Discovery porte atteinte aux dispositions de la loi Informatique et Libertés, notamment celles relatives aux droits d'information et d'opposition des personnes concernées, à la proportionnalité du traitement de données, ainsi qu'aux règles en matière de transfert de données hors Union européenne.

Cette situation illustre une fois de plus les divergences qui existent entre les positions américaines et communautaires en matière de protection des données à caractère personnel, conduisant la Cnil et le Groupe de l'article 29 (le G29 est le Comité consultatif des autorités nationales des États membres en charge de la protection des données à caractère personnel) à émettre des recommandations sur cette question.

Recommandations de la Cnil

En 2007, un groupe de travail formé au sein de la Cnil s'est penché sur les problèmes posés par la procédure de Discovery afin de déterminer dans quelle mesure les entreprises françaises peuvent divulguer des informations relatives à leur activité, leur clientèle et leurs salariés lorsqu'elles sont sollicitées dans des procédures judiciaires ou administratives américaines.

Un membre de ce groupe de travail a souligné le fait que ces problématiques sont particulièrement délicates car il est difficile pour une filiale française de refuser la communication de données à sa société mère ou pour une entreprise de résister aux injonctions d'autorités américaines.

Ce groupe s'est donné pour objectif de permettre malgré tout une bonne application des règles protectrices françaises et communautaires. Ce travail a conduit à une recommandation de la Cnil du 23 juillet 2009 qui constate en premier lieu un "accroissement des dossiers concernant des transferts de données personnelles vers les Etats-Unis (...) en raison de procédures de Discovery devant des juridictions américaines".

La Cnil affirme ainsi que les transferts d'informations requis doivent nécessairement être effectués en conformité avec la Convention de La Haye, seule convention internationale liant la France aux États-Unis en matière de procédures judiciaires. Par ailleurs, elle précise que la désignation d'un Correspondant informatique et libertés (CIL) peut s'avérer particulièrement utile face à ce type de problématique.

Enfin, elle formule un certain nombre de préconisations : un transfert de données peut avoir lieu dans le cadre d'une procédure de Discovery dès lors qu'est "garanti le respect des droits des personnes", que les données recueillies sont "adéquates, pertinentes et non excessives au regard des finalités pour lesquelles le traitement est mis en œuvre", que ces données ne sont "conservées que pour une durée pertinente", qu'une "information générale, claire et complète de toute personne potentiellement concernée doit être réalisée préalablement à la mise en place du traitement de données pouvant faire l'objet d'un transfert de leurs données personnelles à l'étranger", que les droits d'accès et de rectification sont assurés à ces personnes et enfin, que le transfert doit s'effectuer conformément aux dispositions de la loi informatique et libertés relatives aux transferts internationaux. La recommandation précise les modalités d'application de chacun de ces critères.

Position du G29

Le G29 s'est lui aussi saisi de cette question et a adopté, le 11 février 2009, un document sur "la procédure d'échange d'informations avant le procès ("pre-trial discovery") dans le cadre de procédures civiles transfrontalières". Ces lignes directrices exposent comment les responsables du traitement des données peuvent concilier les exigences de la procédure américaine de Discovery, avec les règles protectrices des données à caractère personnel de la directive 95/46/CE.

Le G29 ne relève aucune incompatibilité mais affirme que des précautions doivent être prises par les responsables des traitements. Ces derniers doivent notamment s'assurer de la légitimité du traitement (consentement des personnes concernées, respect d'une obligation légale ou poursuite d'un intérêt légitime).

Par ailleurs, il précise que le principe de proportionnalité est "'élément principal permettant de garantir un équilibre entre les intérêts en cause". Il appartient en conséquence au responsable de traitement de filtrer les données à communiquer à la partie adverse afin de ne pas divulguer des données qui ne sont pas pertinentes dans le cas du litige.

Il doit également anonymiser les données lorsque c'est possible et informer les personnes concernées du traitement mis en œuvre et assurer le respect de leurs droits. Enfin, il devra garantir la sécurité des données afin qu'elles ne soient pas altérées ou perdues.

Dans son avis du 11 février 2009, le G29 rappelle que la procédure de Discovery a un impact en Europe qui outrepasse le seul domaine des données personnelles. Aussi, il préconise une coordination internationale menée par les gouvernements des Etats concernés, éventuellement par l'adoption d'un traité ou d'une convention.

******
Le problème majeur réside pour l'instant dans le fait que les autorités et les juges américains ne connaissent pas les concepts communautaires et nationaux, notamment français, en matière de protection des données. Il n'existe alors aucune certitude quant à leur volonté de les prendre en compte.

En revanche, il appartient désormais aux entreprises françaises de prendre en compte la recommandation de la Cnil du 23 juillet 2009 disponible sur son site.