Je ne suis pas sûr d’être un grand fan du concept de eDiscovery mais c’est assurément une réalité liée à l’importance de la documentation dans l’environnement électronique. Alors qu’il était généralement suffisant de prouver par la production de l’acte dans l’environnement papier, il devient souvent nécessaire de prouver la manière dont un document électronique est géré, en plus du document lui même bien sûr. La notion de eDiscovery est alors née.

Mais le propos n’est pas là : l’actualité du jour est que je viens de recevoir par courriel et lire le bulletin du bureau d’avocats français Caprioli qui est une mine d’information formidable (pourquoi ne font-ils pas un blogue ; ce sont des billets de blogue sur support papier), où l’on mentionne un document de la CNIL s’intitulant « Délibération n° 2009-474 du 23 juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery » ».

Rédigé par le président Türk, cette délibération fait suite à une série de requête à des filiales d’entreprises américaines en France ou françaises aux États-Unis.

« La Commission nationale de l’informatique et des libertés constate un accroissement des dossiers concernant des transferts de données personnelles vers les Etats-Unis, déposées principalement soit par des filiales françaises de sociétés américaines soit par des sociétés françaises ayant des liens commerciaux avec les Etats-Unis, en raison de procédures de « Discovery » devant des juridictions américaines.

Pour rappel, la procédure dite de « Discovery » ou de « pre-trial Discovery » est une phase d’investigation et d’instruction préalable au procès civil ou commercial, essentielle pour toute action en justice aux Etats-Unis, faisant obligation à chaque partie de divulguer à l’autre tous les éléments de preuve pertinents au litige dont elle dispose, même si elles lui sont contraires, quelles que soient leur localisation et leur forme. Sont ainsi exclues, les communications d’informations dans le cadre d’affaires pénales.

Le périmètre de ces échanges d’informations peut être très large et le refus de communication peut aboutir à un jugement défavorable à la partie s’opposant à cette communication. »

Aussi, après avoir fait État du droit applicable en la matière, et notamment de la Convention de La Haye du 18 mars 1970 susceptible de s’appliquer (notamment son article 23), il est clairement dit que la CNIL si elle n’a pas compétence pour statuer sur la question considérant en effet que

« la CNIL n’a pas compétence pour apprécier la conformité d’un transfert « Discovery » au regard de la convention de La Haye ou de la loi de 1968, dite « loi de blocage ». »

elle se permet de rappeler qu’

« en l’absence de respect de cette procédure en France, les injonctions émises par les autorités américaines concernant des preuves localisées en France sont donc irrégulières.

En effet, le non-respect de la convention de La Haye entraîne, en France, l’application de la loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et de renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères »

Également, il est rappelé que la Loi informatique et libertés de 1978 s’applique également et qu’il importera au juge en charge de statuer sur la qualité d’une telle procédure de le garder à l’esprit. Aussi, la présente délibération joue le rôle de « rappel » et en dépit de son statut formellement non-obligatoire, constitue un guide intéressant, comme ledit d’ailleurs le bureau Caprioli.

« la CNIL a adopté le 23 juillet 2009 une Recommandation qui a le mérite de clarifier les règles à suivre au titre desdits transferts. »

Sans aller dans le détail, la CNIL prévoit la nécessité de respecter 9 principes (d’ailleurs assez proches des 10 que l’on trouve dans la loi canadienne PIPEDA), et qui sont les suivants :

  • 1 - personne responsable : un peu plus haut, il est même dit que

« la Commission rappelle l’intérêt pour les entreprises de désigner des « correspondants informatique et libertés », pour aider à résoudre ce type de problématiques. »

  • 3 - proportionnalité : comme chez nous au Québec avec le Code de procédure civile.
  • 4 - durée : notion qui est attachée évidemment à ce qui est seulement « petinent ».
  • 5 - destinataires des données : notion qui réfère uniquement à ce qui est « nécessaires à l’accomplissement de leurs missions et à la finalité du traitement ».
  • 6 - information des personnes concernées : il est notamment dit :

« ne information générale, claire et complète de toute personne potentiellement concernée doit être réalisée préalablement à la mise en place du traitement de données pouvant faire l’objet d’un transfert de leurs données personnelles à l’étranger dans le cadre de procédures judiciaires. En outre, une information spécifique doit être faite au moment du transfert de données hors de l’Union européenne.

Par conséquent, la personne qui fait l’objet d’une recherche est, conformément aux articles 6 et 32 de loi du 6 janvier 1978, informée par le responsable du traitement dès l’enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s’opposer pour des motifs légitimes au traitement de ses données. »

  • 7 - accès et rectification : conformément aux articles 39 et 40 de la loi du 6 janvier 1978.
  • 8 - mesures de sécurité : évidemment.
  • 9 - formalités relatives aux transferts de données à caractère personnel vers les Etats-Unis:ce dernier point réfère notamment aux règles du Safe Harbour qui avait été négociées, difficilement, entre l’Europe et les États-Unis.

Voici. Un texte intéressant qui montre en tout état de cause que le droit national est difficilement cloisonné et déborde souvent en dehors de ses limites territoriales.