Comment répondre aux demandes d’information transfrontalières dans le cadre de procédures judiciaires

Quels sont les problèmes pratiques et juridiques posés par les demandes d'information émanant des tribunaux et des autorités de contrôle tant nationaux qu’étrangers ? Les entreprises doivent mettre en place une stratégie multidimensionnelle pour garantir une collecte et un examen des données rapide et peu coûteux.

Les institutions financières internationales ont à répondre à des demandes d’information présentées par des tribunaux et des autorités de contrôle tant nationaux qu’étrangers. Les équipes de surveillance et de répression des autorités de contrôle coopèrent entre elles, et les enquêtes de ces autorités et les procédures judiciaires tendent de plus en plus à se superposer les unes aux autres. On assiste ainsi fréquemment à des poursuites engagées simultanément pour les mêmes actes illicites par différents organismes gouvernementaux, autorités de contrôle étrangères et demandeurs privés à l’instance.

La manière de répondre à cet afflux potentiel de demandes d’information pose des problèmes à la fois pratiques et juridiques. Les entreprises faisant l’objet d’enquêtes ou menant elles-mêmes une enquête interne doivent être en mesure de trouver et d’examiner les informations, d’évaluer la culpabilité des parties concernées et de répondre aux autorités de contrôle ou de rendre compte en interne avec rapidité et précision, souvent dans un délai de quelques semaines seulement à partir de la demande d’information initiale.
Ce processus de récupération et d’évaluation se complexifie en raison de l’évolution des données électroniques et de la mondialisation des affaires, ces complications étant dues en grande partie à la facilité et à la rapidité avec lesquelles les informations stockées électroniquement (ISE) sont créées, dupliquées, disséminées, stockées, protégées, puis récupérées dans le monde entier. De plus, les organisations utilisent souvent de multiples systèmes de gestion de l’information basés dans de nombreuses  juridictions, et les informations potentiellement utiles peuvent être stockées dans un ou plusieurs de ces systèmes.

Le data mapping ou mise en correspondance des données

Pour répondre à ces problèmes, les entreprises doivent mettre en place une stratégie multidimensionnelle et veiller à ce que cette dernière et les éléments qui la composent soient mis à jour et réexaminés régulièrement. La première étape d’une démarche efficace est l’établissement d’un plan de données (data map) fournissant une image complète du lieu et de la forme de stockage des données. Ce point est particulièrement important compte tenu de la généralisation des dispositifs portables utilisés par une population active de plus en plus mobile pour ses communications professionnelles et personnelles, et de la difficulté de localiser et gérer les données générées par ces dispositifs.
En outre, le nombre croissant de médias sociaux par l’intermédiaire desquels les personnes peuvent avoir des communications susceptibles d’être pertinentes accroît encore la masse des données.
Il est également possible que les institutions utilisent leurs propres applications, systèmes de courrier électronique et solutions d’archivage exclusifs, augmentant encore la complexité du processus de collecte des données.
Les preuves audio et celles susceptibles d’être contenues dans des types de données propres au secteur financier, comme la messagerie et le traitement des opérations par SWIFT (Society for Worldwide Interbank Financial Telecommunication), doivent également être prises en compte et peuvent rendre encore plus complexes la localisation, la conservation et la collecte des données utiles.
Stratégies d’examen
Plusieurs mesures doivent être adoptées pour garantir une collecte et un examen des données aussi rapide et peu coûteux que possible :

• Préalablement à l’examen, il convient de collecter et dédupliquer l’ensemble des données.
  La déduplication est particulièrement nécessaire pour les ISE, qui sont facilement et fréquemment dupliquées. Les méthodes de déduplication évitent que les mêmes informations soient examinées plus d’une fois par des avocats externes.
• À l’inverse, il est important d’examiner si l’existence d’une copie d’un document dans un autre pays, par exemple aux États-Unis, pourrait en fait faciliter sa divulgation à une autorité de contrôle basée hors de l’UE, en permettant à l’organisation de satisfaire une demande d’information sans enfreindre la législation européenne stricte en matière de protection des données.
• Des stratégies d’examen des documents rédigés dans une langue étrangère ou dans plusieurs langues doivent également être mises en place. Les logiciels qui identifient rapidement les langues utilisées et qui regroupent les documents contenant des langues déterminées pour permettre les recherches et faciliter l’examen constituent ici une aide précieuse.
  

La technologie

À mesure que la nature des données utilisées par les entreprises continue d’évoluer, il en va de même des technologies créées pour examiner ces données. Les entreprises doivent se tenir au courant des technologies de pointe et les appliquer pour, le cas échéant, accélérer l’examen des données.

La nouvelle génération d’outils d’examen assisté par la technologie (ou « TAR », Technology Assisted Review, en anglais) peut permettre de gagner du temps et de réduire les coûts en classant les données par ordre de priorité. Les documents qui ont le plus de chance d’être utiles à une enquête ou à un litige sont ainsi placés en tête de la file d’attente, permettant aux avocats d’examiner d’abord l’information la plus pertinente.
Les autorités de contrôle britanniques imposent aux institutions financières d’enregistrer toutes leurs conversations, y compris celles effectuées via des téléphones portables ou des SMS. Les preuves audio peuvent se révéler déterminantes dans le cadre de procédures judiciaires, mais l’analyse du discours est un domaine complexe et la sélection des conversations pertinentes peut s’avérer extrêmement longue et difficile.
L’examen du discours requiert une technologie capable d’identifier les dialectes locaux, les accents, les langues, ainsi que les particularités de prononciation et d’abréviation, et capable d’en faciliter la recherche. Il s’agit là d’un domaine complexe en évolution, mais incontournable pour les institutions financières.

Protection des données

Les organisations sont encouragées à rapidement se justifier en interne et à coopérer avec les autorités de contrôle afin d’éviter une atteinte à leur réputation, ainsi que des amendes qui peuvent être considérables. Néanmoins, elles doivent également veiller à se conformer à la réglementation nationale relative à la protection des données et de la vie privée, ce qui peut impliquer que les informations personnelles restent privées et ne soient jamais transférées au-delà des frontières.
Par exemple, il peut être demandé à une entreprise européenne de produire des preuves pour se défendre contre une demande en justice ou dans le cadre d’une enquête d’une autorité de contrôle engagées aux États-Unis. Mais, s’il n’est pas possible pour les organisations de s’opposer à de telles demandes d’information, elles doivent garder à l’esprit les risques que comporte le transfert de données au-delà des frontières et appliquer des stratégies de nature à réduire au minimum le risque d’enfreindre la réglementation nationale relative à la protection des données.
Une option peut s’avérer utile ici, à savoir le traitement et l’examen des données dans le pays, sur le site de l’entreprise, afin d’éliminer les informations personnelles non pertinentes de la population de documents et de réduire ainsi au minimum le risque de transfert d’informations autres que celles utiles dans le cadre de la demande. Néanmoins, cette démarche doit être entreprise en consultation avec les avocats locaux, qui seront en mesure de conseiller l’entreprise sur les particularités de la législation nationale relative à la confidentialité des données.
Il est possible que, dans l’avenir, une coopération mondiale entre les autorités de contrôle et les tribunaux donne lieu à la conclusion d’accords internationaux en vertu desquels le transfert transfrontalier de données, en réponse à la demande d’information d’autorités de contrôle ou dans le cadre de procédures judiciaires, pourra se faire librement. Mais, en attendant, ces problèmes doivent être gérés efficacement.

Intervention de plusieurs autorités de contrôle

La tendance qui voit la participation de plusieurs autorités de contrôle aux enquêtes est en hausse.
Par exemple, plusieurs autorités, dont le Département de la Justice et la Commodities Futures Trading Commission américaine, le Bureau de la concurrence canadien, la Commission européenne et l’Agence des services financiers japonaise participent à l’enquête en cours sur le LIBOR (London Interbank Offered Rate).
Chaque autorité de contrôle peut demander les types de preuves nécessaires pour satisfaire ses besoins particuliers et peut demander des informations à tout moment, soit pendant l’enquête ou l’intervention initiale, soit par la suite. La préparation de grande ampleur effectuée pour répondre à une enquête initiale interne ou à l’enquête initiale d’une autorité de contrôle peut révéler des informations qui seront également utiles dans le cadre de procédures judiciaires et d’enquêtes futures.
Afin de gagner du temps et de réduire les coûts, il est donc impératif pour les entreprises d’établir un système efficace d’archivage leur permettant de conserver ces informations.
On assiste depuis quelque temps à une augmentation considérable du nombre d’actions répressives transfrontalières menées par des autorités publiques de contrôle et des tribunaux, les autorités de contrôle collaborant de plus en plus étroitement entre elles pour déceler et sanctionner les auteurs d’infractions aux lois et règlements nationaux et internationaux.

Conclusion

Si l’entreprise attend une descente matinale ou la notification d’une assignation pour réfléchir à sa stratégie de réponse, cette dernière sera inadéquate, avec pour conséquences potentielles des amendes et pénalités plus sévères et une atteinte à la réputation de l’entreprise.
La proactivité, la prise en compte des évolutions technologiques et la vigilance dans le suivi des informations de l’organisation contribueront à une réponse efficace de la part de celle-ci.