Etes-vous prêts à faire face à une procédure de e-discovery ?
L’internationalisation des échanges de données concerne également la recherche de preuves dans le cadre d’un procès à laquelle l’entreprise doit se préparer.
Aux États-Unis et
dans les pays anglo-saxons, lors de la phase d’instruction préalable à un
procès civil ou commercial («pre-trial discovery » ou
« discovery »), une partie au litige peut exiger de l’autre la
production de l’ensemble des documents internes qui présentent un intérêt pour
l’affaire en cours, tout refus exposant à une décision défavorable.
Cette
procédure a été étendue aux informations conservées sous forme électronique (emails des salariés, contenu des disques durs et serveurs…).
Elle concerne
également les filiales françaises des sociétés américaines qui peuvent se voir
ordonner de produire tout document utile à la prétention d’un adversaire.
La
France a ratifié la Convention de la Haye du 18 mars 1970 qui autorise un État
contractant à demander par commission rogatoire à l’autorité compétente d’un
autre État contractant de faire tout acte d’instruction, sous réserve que les
documents recherchés aient un lien direct avec l’objet du litige et soient
limitativement énumérés. À défaut, la loi du 26 juillet 1968 (« Blocking
Statute ») s’applique. Elle protège les données stratégiques des
entreprises et, en conséquence, sanctionne pénalement la communication de
documents ou renseignements tendant à la constitution de preuves en vue de
procédures judiciaires étrangères.
Face à une demande de
e-discovery, les difficultés à adopter un comportement adéquat et respectueux
des lois françaises, parmi lesquelles la loi Informatique et libertés, ont
conduit la CNIL à adopter une délibération (n°2009-474 du 23 juillet 2009). Le
recueil du consentement de l’intéressé, parmi de nombreuses préoccupations
relevées par la Commission, se révèle d’une redoutable complexité. Selon la
CNIL et le groupe de travail de « l’article 29 », qui réunit les autorités
de protection des données personnelles européennes, les exceptions autorisant à
ne pas recueillir le consentement doivent être systématiquement mises en
balance avec les droits et libertés de la personne concernée, un salarié placé
dans une relation de subordination ne pouvant en toute hypothèse exprimer un
consentement libre.
À cette incertitude
pratique s’ajoute le distinguo établi par la CNIL entre d’une part, « un
transfert unique et non massif » d’informations pertinentes hors de l’UE
requérant une simple déclaration au lieu d’une autorisation et d’autre part,
« les transferts massifs et répétés » exigeant du destinataire
l’adhésion au Safe Harbor, la mise en œuvre règles internes contraignantes
(« Binding corporate rules ») ou la signature des clauses
contractuelles types adoptées par la Commission européenne.
Quel volume
d’information retenir pour caractériser un transfert « massif »
d’informations ou encore un « flux important de données » appelant,
selon la CNIL, une anonymisation ? Comment le déterminer ? On le
voit, de nombreuses questions demeurent en suspend qui appellent des précisions
autant que la mise en œuvre de principes directeurs et procédures internes
rigoureux.
Dernier ouvrage paru : Droit des données personnelles, Gualino, 2011
http://www.lextenso-editions.fr/ouvrages/document/230586