Attitudes américaines et européennes à l’égard de la protection des données

Malgré la croissance spectaculaire du commerce mondial, il existe une tension manifeste entre les dispositions restrictives de la législation européenne sur la protection des données et les dispositions beaucoup plus permissives de la législation américaine sur la production de preuves.

Cette tension se manifeste chaque fois que des entreprises étrangères sont poursuivies en justice aux États-Unis ou qu’elles font l'objet pour d’autres raisons de demandes de communication de preuves de la part de ce pays.
Aujourd’hui, les entreprises développent des identités mondiales, ouvrent des bureaux et opèrent à l'échelle internationale. En conséquence, les données stockées dans une juridiction peuvent souvent être utiles à des entreprises établies dans d'autres juridictions, ce qui peut entraîner des complications en cas d’enquêtes des autorités de surveillance ou de litiges transfrontaliers. Ce problème s’amplifie si les données se trouvent dans l'un des pays de l'Union européenne et l’exigence de divulgation émane des États-Unis.

La position de l’Union européenne

Conformément à la directive 95/46 relative à la protection des personnes, ceux qui manipulent des données à caractère personnel relatives aux citoyens de l'Union européenne (UE) sont liés par des règles strictes pour protéger la vie privée de ces citoyens. Ils doivent veiller à ce qu'aucune des données relatives à la personne ne soit transférée vers des pays non membres de l'UE n’ayant pas un niveau de protection suffisant, tel que requis par l'UE. En outre, dans les pays européens de droit romain, le concept de divulgation de documents ou d’information à la partie adverse n'est pas reconnu comme une étape de la procédure judiciaire, ce qui alimente la réticence des États de l'UE à répondre aux demandes émanant de juridictions étrangères.
Certains États européens sont allés encore plus loin en introduisant des lois dites de blocage qui cherchent à interdire l'exécution des demandes de communication de preuves faites par des pays comme les États-Unis. Mais, à une époque où le commerce entre l'UE et les États-Unis est essentiel à la croissance des marchés financiers mondiaux, cette position est indéfendable.

La position des États-Unis

Le système américain est diamétralement opposé au système de l'UE en ce qu'il accorde au plaideur le droit à la communication de tous les documents et de toute l’information stockée électroniquement pouvant être utiles à sa réclamation ou action en justice, indépendamment du fait que l'information soit personnelle ou pas. La protection des données tend à être beaucoup plus limitée et spécifique.

Comment les systèmes américain et européen fonctionnent-ils dans la pratique

Historiquement, les tribunaux américains ont ordonné la production de preuves dans des cas impliquant des données se situant dans l'UE, sans trop de considération pour les restrictions de l'UE contraignant la partie qui détenait l’information. Ainsi, dans l’affaire Vivendi Universal SA Secs. (litige n° 02 Civ. 5571 2006), le tribunal américain a fait remarquer que la loi de blocage française n’exposait pas les personnes obéissant aux demandes américaines à un risque réaliste de poursuite.
Cependant, une telle insouciance est dangereuse, comme on a pu le voir dans l’affaire de l’avocat Christophe X (Cass. crim., 12 décembre 2007), dans laquelle un avocat français était poursuivi pour coopérer à la collecte de preuves destinées à être utilisées dans une procédure judiciaire aux États-Unis. La Cour de cassation a confirmé la condamnation de l'avocat et l'imposition d'une amende de 10 000 €.
Dans une décision plus récente de la justice française sur ce sujet (Bruno B. / Giraud et Migot, Cass. soc., 15 décembre 2009, n° 07-44264), nous assistons peut-être au franchissement par le système européen d’étapes modestes, mais importantes vers une reconnaissance raisonnable du fait que toutes les données qui ont traditionnellement été traitées comme des données privées n’ont pas à continuer à être traitées comme telles. Dans l’affaire Bruno B., un employé avait été licencié après que son employeur avait trouvé dans son ordinateur de travail des fichiers contenant des informations qu’il avait envoyées à des ministères en alléguant que son entreprise s’était rendue coupable de fraude fiscale et de fraudes connexes. Bruno a poursuivi son employeur pour violation de son droit à la vie privée, en soutenant que les documents étaient personnels.
La Cour d'appel a conclu que l'employeur était en droit d'examiner les documents non marqués comme étant « privés » et qu’il avait raisonnablement présumé être des documents de travail. L'importance de l'affaire réside dans le fait que l’on peut maintenant soutenir qu’il n’y a pas de droit à la confidentialité des fichiers d'un employé stockés dans un ordinateur de travail, à moins que l'employé n’ait marqué le document comme étant « privé ».

Le risque d’enfreindre la législation européenne sur la vie privée reste réel lors de communications transfrontalières d’informations

Malgré cette conclusion de la jurisprudence française, il demeure difficile de savoir dans quelles circonstances la loi  de blocage sera invoquée et comment d'autres États de l'UE appliqueront leurs lois de protection des données en cas de demandes de communication de preuves émanant des États-Unis. Les entreprises doivent donc gérer les demandes transfrontalières intelligemment si elles veulent réduire le risque de sanctions de la part des tribunaux européens.
Elles doivent en particulier :
  • Vérifier si certaines des données sont disponibles auprès de sources situées aux États-Unis ou dans d’autres pays dont les exigences concernant la confidentialité des données sont moins strictes.
  • Prendre conseil auprès d’avocats de la juridiction dans laquelle ces données seront détenues. Être bien informé des lois européennes en général ne suffit pas. Les avocats doivent être au courant des particularités des lois locales pour s'assurer que l’entreprise ne les enfreint pas par inadvertance.
  • Traiter et analyser les données dans la juridiction dans laquelle elles sont détenues. Cela est évidemment préférable à l'envoi de grandes quantités de données à des juridictions étrangères sans connaître préalablement la quantité de données pertinente. Il est probable que moins l’on transfère de données, moins il y a de risque d’enfreindre la législation européenne.
  • Utiliser la technologie. Traiter et analyser des données prend du temps. Les entreprises doivent employer des technologies intelligentes pour accélérer et prioriser l’examen des données afin d’être en mesure de respecter les délais serrés que les tribunaux et les autorités de réglementation imposent toujours dans ce type de situations.
  • Une fois que les données ont été filtrées et qu’un ensemble de données pertinentes a été produit, les entreprises peuvent envisager la façon de traiter les données personnelles pour garantir le respect des lois de protection des données européennes et des exigences de communication de preuves des États-Unis (par exemple, d’expurgation).
De plus en plus souvent, des juges américains et d’un certain nombre d’États de l'UE se réunissent pour discuter de ce problème difficile. On espère qu'une position plus coopérative sera adoptée avec le temps. En attendant, les entreprises continueront à opérer dans un environnement où, lorsqu'elles sont impliquées dans des litiges transfrontaliers, elles risquent soit d’enfreindre des lois sur la vie privée en Europe, soit de faire face au courroux des tribunaux américains.
C'est une position difficile, mais dont l'effet peut être réduit si les entreprises planifient adéquatement leur divulgation électronique transfrontalière, prennent conseil auprès d'avocats locaux et commencent à utiliser les nouveaux outils, de plus en plus vitaux, d’examen de documents qui sont disponibles pour sélectionner les données et en accélérer l'examen par la suite.

Chronique rédigée en collaboration avec Hazel Grant, associée chez Bristows LLP