Quel cadre juridique pour les procédures de Discovery ?
En quoi consistent les procédures de Discovery ?
Il s'agit de la phase d'investigation et d'instruction préalable au procès civil et commercial qui est essentielle pour toute action en justice aux Etats-Unis. Les demandes de communication qui sont faites à cette occasion auprès des entreprises peuvent concerner des milliers de courriers électroniques des salariés. Le refus d'obtempérer peut déboucher sur un jugement défavorable. Au cours des auditions qu'elle a menées, la CNIL a constaté la multiplication des cas de communication de données de la France vers les autorités judiciaires américaines dans le cadre de ces procédures de Discovery.
Les recommandations du G29 et de la CNIL:
Face à cette augmentation des demandes de conseil qui soulèvent tant des enjeux économiques qu' " informatique et libertés " , le G29, groupe des CNIL européennes a adopté un document de travail en février 2009 (WP158). La CNIL a adopté le 23 juillet 2009 une recommandation afin de répondre aux interrogations des entreprises engagées dans des procès aux Etats-Unis. Cette délibération rappelle le cadre juridique dans lequel ces demandes américaines doivent s'inscrire : respect de la loi Informatique et Libertés, de la Convention de la Haye et de la loi du 26 juillet 1968 dite "loi de blocage".
Rappel du cadre juridique:
La Convention de la Haye prévoit " qu'en matière civile et commerciale, l'autorité judiciaire d'un État contractant peut […] demander par commission rogatoire à l'autorité compétente d'un autre État contractant de faire tout acte d'instruction, ainsi que d'autres actes judiciaires ". En France, l'exécution de commissions rogatoires en cas de Discovery n'est autorisée que si les documents sont limitativement énumérés et ont un lien direct et précis avec l'objet du litige.
Le non-respect de cette convention internationale frappe d'irrégularité les injonctions émises par les autorités judiciaires américaines concernant des preuves localisées en France et entraîne l'application de la loi du 26 juillet 1968 qui punit d'une peine de six mois d' emprisonnement et de 18000 euros d' amende le fait "de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci".
Toute communication d'information dans le cadre d'une procédure de Discovery doit se faire conformément à la Convention de la Haye. La CNIL n'a pas compétence pour apprécier la conformité d'une communication de données dans le cadre d'une procédure de Discovery au regard de la Convention de la Haye ou de la loi de 1968.
S'agissant des formalités à accomplir dans le cadre de ces procédures de Discovery, la loi informatique et libertés s'applique dès lors qu'elles impliquent des transferts internationaux de données personnelles.
Ainsi, les transferts de données dans le cadre de ces procédures doivent être rattachés à des traitements dont la finalité est, par exemple, la gestion des ressources humaines. Les procédures de Discovery doivent apparaitre comme la finalité du transfert. Par conséquent,
- soit le déclarant, en procédant à sa déclaration initiale, complète la rubrique transferts du formulaire de afin de prendre en compte les procédures de Discovery dès l'origine,
- soit, s'il a déjà fait une déclaration initiale, il adresse à la CNIL une déclaration modificative pour tenir compte des changements liés aux procédures de Discovery (transferts, destinataires, …)
Enfin, les procédures de Discovery doivent respecter les principes suivants :
- légitimité du traitement et respect du secret professionnel,
- proportionnalité des données (filtrage des données au niveau local),
- durée de conservation des données à prévoir,
- mesures de sécurité à mettre en place,
- respect des droits et information des personnes,
- règles relatives aux conditions de transferts internationaux de données.
S'agissant de ces transferts, la recommandation de la CNIL apporte des solutions à la fois lorsque les données sont localisées en France puis transférées aux Etats-Unis, mais également dans l'hypothèse où les données ont déjà été transférées aux Etats-Unis pour une finalité légitime et préalablement autorisée.