La procédure de E-Discovery a été en premier lieu utilisée aux États-Unis en matière de procédure civile dans le cadre de la phase pré-contentieuse lors de litiges et plus récemment à des fins d’audits en interne ou dans le cadre d’enquêtes à la demande d’un tiers. Les informations qui sont échangées entre les parties sont stockées sur des supports informatiques. Cela suppose que ces informations aient fait l’objet d’un enregistrement au préalable et qu’elles aient été archivées.
Les entreprises américaines procèdent à l’archivage électronique de données qui leur semble intéresser un futur litige éventuel. Ainsi, certaines informations sont considérées comme pertinentes pour le traitement du dossier ou pour les différentes phases d’une investigation. Elles seront alors sélectionnées et conservées en vue d’une éventuelle action en justice ou pour répondre de façon adéquate aux investigations des régulateurs financiers. Cette procédure appelée « legal hold » vise à protéger toute preuve ou pièce du dossier d’une détérioration ou d’une perte éventuelle.
Ces éléments de preuves seront extraits et analysés grâce à des plateformes de E-Discovery à travers une revue exhaustive de toutes les informations. Les documents qui vont être analysés sont de nature très diverses : il peut s’agir de rapports internes, de notes internes à l’entreprise, de compte-rendu de réunions, de présentations faites dans le cadre d’actions de marketing mais aussi d’échanges de courriels, de retranscriptions de « chats » entre plusieurs utilisateurs mais aussi de supports audio. C’est souvent à travers des modes de communication informels que l’on trouve les informations les plus intéressantes et pertinentes à l’enquête ou au futur litige. Cette phase d’investigation est appelée « pre-trial discovery ». Les règles de procédure civile américaines (Civil rights cases concluded in U.S. district courts, by disposition, 1990-2006) obligent chaque partie d’échanger tous les éléments de preuve pertinents au litige dont elle dispose y compris ceux qui ne lui sont pas favorables.
L’objectif est de garantir une meilleure égalité et davantage de justice entre les parties. En droit français il n‘existe pas d‘obligation pour les parties de produire des preuves. La production des éléments de preuve devant le juge civil repose sur la libre communication des pièces par les parties.
Outre cette différence majeure en matière de procédure civile, il est fait obligation aux sociétés américaines de se soumettre aux règles strictes imposées par la procédure de Discovery sous peine de sanctions très sévères.
Certaines informations à caractère personnel comme les courriels peuvent être considérées en droit français comme relevant de la sphère privée et sont donc protégées par le secret de la correspondance. Ainsi, un employeur en France ne peut donc pas avoir accès aux messages électroniques échangés par les salariés s’ils sont de nature personnelle donc confidentiels.
Toutefois, il existe des limites à ce principe et certaines communications électroniques peuvent faire l’objet de divulgation dans des conditions bien définies. Si le salarié n’a pas identifié la correspondance comme personnelle, l’employeur peut tout à fait accéder à ces informations qui relèvent du cadre professionnel. C’est le principe posé par l’arrêt de la Cour de cassation du 16 mai 2013 (Soc. 16 mai 2013, n° 12-11.866) où l’employeur peut accéder aux courriels de ses salariés hors leur présence.
Aux États-Unis, la règle de droit est toute autre : tous les documents et les fichiers des salariés sont la propriété de l’entreprise et sont donc accessibles par l’employeur car ils sont considérés comme relevant de la sphère professionnelle.
En matière de protection des données personnelles, le « Privacy Act » depuis 1974 (5 U.S.C. § 552 a, 1974) constitue le socle juridique en matière de protection de la vie privée en consacrant le caractère confidentiel de certains fichiers. Il a été complété par un certain nombre d’autres lois s’appliquant au secteur privé dont celle relative à la confidentialité des communications électroniques (18 U.S.C. §§ 2510-2522, 2701-2709, 1986). Malgré l’existence d’une réglementation en matière du respect de la protection des données personnelles, les États-Unis n’ont pas développés de solide fondement juridique en la matière. De plus, il n’existe pas d’autorité indépendante de contrôle qui serait chargée de veiller à la protection des données personnelles.
C’est ce contexte juridique qui a permis l’avènement de la procédure de Discovery aux États-Unis et qui reste en France encore relativement limitée.
Aussi, toute la difficulté réside dans le fait de pouvoir concilier la mise en œuvre d’une procédure E-Discovery et les dispositions légales en matière de protection des données personnelles.
Or, la procédure de E-Discovery est jugée en France comme incompatible avec la directive européenne du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Dans le cadre de la procédure de E-Discovery, il s’agit effectivement de conserver, d’analyser et de communiquer des informations à caractère personnel. La mise en place d’une telle procédure suppose le transfert des données personnelles de la France vers les États-Unis. L’usage de la procédure de E-Discovery devient de plus en plus courante en France dans le cadre de filiales d’entreprises américaines qui font l’objet d’audits ou d’enquêtes internes. Les sociétés françaises qui entretiennent des relations commerciales avec les États-Unis sont aussi concernées. Les informations qui vont être échangées sont liées à la vie privée des individus et donc particulièrement sensibles au regard des réglementations européenne et françaises. Il est donc essentiel de prendre en considération le fait que la demande en matière de traitement des données doit être légitime selon la directive européenne n° 95/46/CE (art. 7-f). Les informations qui seront divulguées doivent servir à la cause et répondre à une obligation légale aux États-Unis. Ainsi, les informations qui vont être collectées, analysées et transférées devront répondre à l’obligation de proportionnalité. Seules les informations adéquates et pertinentes dans le cadre de la procédure de E-Discovery peuvent faire l’objet d’un transfert.
Aussi, pour faire face aux demandes des entreprises américaines implantées en France en la matière, il est indispensable de s’assurer que le pays destinataire de ces informations offre un niveau de protection qui satisfait à la fois aux exigences de la directive européenne mais aussi les dispositions de la loi informatique et liberté n° 78-17 du 6 janvier 1978 modifiée. Si ce n’est pas le cas, la communication de ces données ne peut être effectuée.
En ce qui concerne le transfert d’informations à caractère personnel aux États-Unis, il est possible de se référer à la décision 2000/520/EC si l’entreprise destinataire de ces informations a adhéré aux principes du « Safe Harbor ». Ce système d’auto-certification permet aux entreprises américaines d’affirmer leur adhésion aux principes relatifs à la protection des données personnelles et de protection de la vie privée qui ont fait l’objet d’une négociation entre la Commission européenne et les administrations américaines. Les entités responsables du transfert des données de la France vers les États-Unis doivent aussi fournir à la Commission nationale informatique et libertées (CNIL) des informations pertinentes relatives au « Safe Harbor List ».
Face à l’augmentation des demandes de communication des données personnelles depuis ces dernières années par les entreprises américaines implantées en France qui doivent se conformer aux exigences prévues par la procédure de E-Discovery, la CNIL émet un certain nombre de réserves quant au transfert de ces données personnelles et fait un rappel de la réglementation existante en la matière dans sa recommandation du 23 juillet 2009. Ainsi, la Convention de La Haye (art. 2) prévoit dans le cadre de communication entre États de preuves à l’étranger lors d’une procédure judiciaire nationale, que les documents soient « limitativement énumérés » et doivent avoir « un lien direct et précis avec l’objet du litige » . Toutefois, les tribunaux américains parviennent à contourner les obligations présentes dans cette Convention et bénéficient des dispositions de l’article 23 (Art. 2, 23 et 33) qui permet aux États-Unis de considérer que le recours à une telle réglementation est une option. En conséquence, les juges américains ne se réfèrent qu’aux dispositions prévues par les lois fédérales afin de procéder à l’examen de toutes les preuves telle que le requiert la procédure de Discovery.
Dans un souci de protéger les intérêts de l’État et un certain nombre d’informations stratégiques en matière commerciale pour les entreprises, la France a adopté la loi n° 80-538 du 16 juillet 1980 qualifiée de « blocking statute ». Mais son application étant liée à la Convention de La Haye, il apparaît alors difficile de s’en prévaloir dans le cadre d’un litige devant les tribunaux américains. De même, les sanctions pénales prévues en cas de non- respect de cette loi n’ont pas véritablement été mises en œuvres et pouvent ainsi laisser la possibilité au juge américain de contourner la réglementation.
