1. Responsabilité du traitement
Conformément à l'article 5 de la loi Informatique et libertés, le responsable de traitement est la personne morale ou la personne physique qui décide de la communication de données personnelles dans le cadre d'une procédure judiciaire américaine et, par là même, de la finalité et des moyens du traitement.
Le responsable de traitement peut être l'entité française ou étrangère établie sur le territoire français ou l'entité étrangère utilisant des moyens de traitements sur le sol français selon l'article 5 de la loi Informatique et libertés.
2. Légitimité du traitement et des finalités
Sur la légitimité du traitement :
Au-delà du respect de la convention de La Haye et de la loi de 1968, la CNIL considère que l'intérêt légitime du responsable de traitement est un motif permettant le traitement de données à caractère personnel dès lors qu'est garanti le respect des droits des personnes.
En effet, conformément à l'article 7-5 de la loi Informatique et libertés, la communication des données personnelles dans l'intérêt légitime du responsable de traitement ne peut être réalisée que si l'intérêt ou les droits et libertés fondamentaux de la personne concernée sont assurés. Ainsi, le respect des conventions internationales et des dispositions nationales applicables, telles que la convention de La Haye et la loi du 26 juillet 1968, est nécessaire afin de protéger les droits fondamentaux de la personne concernée.
Par ailleurs, conformément à l'article 38 de la loi Informatique et libertés, la personne concernée bénéficiera en toutes circonstances d'un droit d'opposition sur la base de motifs légitimes concernant la communication de ses données personnelles dans le cadre d'une procédure judiciaire aux Etats-Unis.
Dans des cas exceptionnels, la commission reconnaît qu'il peut y avoir des situations où la personne a la possibilité de donner un consentement libre, éclairé et spécifique, et est même impliquée dans la procédure contentieuse. Son consentement peut alors constituer une base légale au sens de l'article 7 de la loi Informatique et libertés. Cependant, la preuve de ce consentement libre, éclairé et spécifique doit être apportée. Un consentement est considéré comme étant donné librement lorsqu'il a été obtenu sans pression, ni risque de représailles sur la personne concernée.
Sur le traitement de données sensibles :
Selon l'article 8 de la loi Informatique et libertés, le traitement de données sensibles est en principe interdit et ne doit être réalisé que si la personne concernée a donné son consentement exprès ou s'il est nécessaire à la constatation, la sauvegarde ou la défense d'un droit en justice pour le responsable de traitement. Des mesures particulières, notamment de sécurité, doivent être mises en place afin de protéger de manière adéquate ces informations.
S'agissant du consentement au traitement de données sensibles, la preuve d'un consentement libre, spécifique et éclairé doit pouvoir être apportée.
3. Qualité et proportionnalité des données
Conformément à l'article 6 de la loi Informatique et libertés, les données collectées dans le cadre d'une procédure dite de « Discovery » doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles le traitement est mis en œuvre.
Une vérification sérieuse concernant la proportionnalité et la qualité des données collectées et communiquées est fondamentale et doit être effectuée de manière objective afin de garantir que seuls les éléments légalement autorisés sont communiqués à la partie adverse et au juge étranger dans le cadre du procès. Ceci peut se faire par la mise en place d'un filtre dont les mots-clés sont définis en collaboration avec le service juridique et des conseils spécialisés. Cette opération de filtrage doit avoir lieu au niveau local, c'est-à-dire dans le pays où se trouvent les données personnelles.
Cette balance d'intérêts doit prendre en compte les problématiques de proportionnalité, la pertinence des données dans le cadre du procès, et les conséquences pour les personnes concernées.
La communication ne peut intervenir que dans le respect des obligations légales de secret et de confidentialité telles que le secret professionnel et la loi du 26 juillet 1968.
La CNIL recommande également le recours à un tiers de confiance dans l'appréciation de la proportionnalité des données traitées dans le cadre de la procédure.
Enfin, dans de nombreux cas, la communication d'informations ne nécessite pas la communication de données personnelles. A cet effet, l'équipe en charge de la recherche et de la communication d'informations devra alors mettre en œuvre des procédures d'anonymisation et de pseudonymisation (permettant la réidentification par la suite) des informations pour éviter la communication de données personnelles inutiles ou accessoires au procès.
Si la communication de données est limitée, la démarche visant à anonymiser les données ne sera pas nécessaire. En revanche, s'il s'agit d'un flux important de données, l'opération d'anonymisation devra être envisagée.
Il est ainsi apparu, au cours des auditions, qu'une autorité américaine (en l'espèce, la Security Exchange Commission) avait demandé à une société française la communication d'un nombre très important de données personnelles. Après discussion avec la SEC, il s'est avéré que cette dernière n'avait pas besoin de données personnelles ; la société française a donc pu adresser des données anonymisées.
Si, toutefois, des données personnelles sont nécessaires, les catégories de données pouvant être communiquées doivent se limiter à :
― identité, fonctions, coordonnées de la personne concernée ;
― éléments strictement relatifs au contentieux en cours.
Par ailleurs, les données doivent être exactes et complètes.
La procédure américaine intègre le principe de proportionnalité. En effet, lorsque le juge américain émet des « stipulative court orders », il le fait en appréciant la qualité des données nécessaires dans le cadre du procès en question.
Les « stipulative court orders » sont des ordonnances publiées par le juge américain garantissant que les pièces communiquées dans le cadre de la procédure de « Discovery » seront utilisées selon des conditions définies entre les parties et conservées de manière confidentielle. Elles peuvent limiter le périmètre des pièces à communiquer et peuvent être utilisées pour limiter la collecte de données personnelles en fonction du cas d'espèce, spécifier les conditions liées à l'utilisation et la communication à des tiers des données personnelles collectées et prévoir des mesures de sécurité et de confidentialité à respecter.
4. Durée de conservation
Conformément à l'article 6 de la loi Informatique et libertés, les données relatives à la personne concernée ne peuvent être conservées que pour une durée pertinente au regard de la finalité du traitement qui a justifié cette procédure.
Ainsi, les données utilisées dans le cadre d'une procédure de « Discovery » sont conservées pour la durée de la procédure. Il est donc recommandé de ne pas créer une nouvelle durée de prescription.
5. Destinataires des données
Conformément aux articles 6 et 34 de la loi Informatique et Libertés, les personnes spécialement chargées, par le responsable de traitement et au sein de la partie adverse, du recueil ou du traitement des données personnelles dans le cadre de procédure « Discovery » ne sont destinataires de tout ou partie des données visées ci-dessus que dans la mesure où ces données sont nécessaires à l'accomplissement de leurs missions et à la finalité du traitement.
6. Information des personnes concernées
Une information générale, claire et complète de toute personne potentiellement concernée doit être réalisée préalablement à la mise en place du traitement de données pouvant faire l'objet d'un transfert de leurs données personnelles à l'étranger dans le cadre de procédures judiciaires. En outre, une information spécifique doit être faite au moment du transfert de données hors de l'Union européenne.
Par conséquent, la personne qui fait l'objet d'une recherche est, conformément aux articles 6 et 32 de loi du 6 janvier 1978, informée par le responsable du traitement dès l'enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s'opposer pour des motifs légitimes au traitement de ses données.
Cette information, qui est réalisée selon des modalités permettant de s'assurer de sa bonne délivrance à la personne concernée, précise notamment l'entité responsable du traitement, les faits du procès et le lien existant nécessitant la communication de ses données personnelles, le caractère facultatif ou non du traitement, les conséquences pour la personne concernée en cas de refus de communication, les services éventuellement chargés de la recherche, les éventuels transferts de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne ainsi que les modalités d'exercice de ses droits d'accès, d'opposition et de rectification.
Sauf cas exceptionnels prévus à l'article 32-III de la loi Informatique et libertés, les personnes doivent également être informées lorsque les données sont collectées par un tiers et indirectement. Dans cette hypothèse, les personnes concernées doivent être informées par le responsable de traitement aussi vite que les circonstances le permettent après le traitement des données.
Une exception au principe de transparence doit cependant être prise en compte dans des cas exceptionnels. En effet, lorsqu'il existe un risque que l'information de la personne concernée mette en danger la possibilité pour la partie au procès de mener une enquête ou de rassembler des preuves, l'information à la personne concernée ne peut être effectuée qu'une fois ce risque écarté.
Ainsi, lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves, l'information de cette personne intervient après l'adoption de ces mesures.
7. Respect des droits d'accès et de rectification
Conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, le responsable du traitement garantit à toute personne concernée le droit d'accéder aux données la concernant et d'en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression. Cependant, il pourrait être demandé à un juge, y compris en référés, l'interdiction de communiquer et/ou de détruire ces informations afin de préserver la confidentialité d'une enquête.
8. Mesures de sécurité
Conformément aux articles 34 et 35 de la loi Informatique et libertés, l'accès aux données personnelles doit être limité aux seules personnes qui, dans le cadre de leur fonction, peuvent légitimement en avoir connaissance au regard de la finalité du traitement.
Le responsable du traitement doit dès lors prendre toutes précautions utiles pour préserver la sécurité de ces données.
A ce titre, et conformément à la recommandation n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel, la CNIL recommande :
― s'agissant des archives intermédiaires (données qui présentent encore un intérêt administratif pour les services concernés), l'accès à celles-ci doit être limité à un service spécifique (par exemple un service du contentieux) et il doit être procédé, a minima, à un isolement des données archivées au moyen d'une séparation logique (gestion des droits d'accès et des habilitations) ;
― s'agissant des archives définitives (exclusivement les données présentant un intérêt historique, scientifique ou statistique justifiant qu'elles ne fassent l'objet d'aucune destruction), celles-ci doivent être conservées sur un support indépendant, non accessible par les systèmes de production, n'autorisant qu'un accès distinct, ponctuel et précisément motivé auprès d'un service spécifique seul habilité à consulter ce type d'archives (par exemple la direction des archives de l'entreprise).
En outre, la CNIL recommande, afin de garantir l'intégrité des données archivées, de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées.
Enfin, elle recommande de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.
En cas de recours à un prestataire de service, pour gérer tout ou partie de ce dispositif, le responsable de traitement doit imposer, par voie contractuelle, au prestataire de ne pas utiliser les données pour des fins détournées, de s'assurer de leur confidentialité, de respecter la durée de conservation limitée des données et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.
Dans tous les cas, les personnes chargées du recueil et du traitement des données sont en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.
9. Formalités relatives aux transferts de données
à caractère personnel vers les Etats-Unis
Les transferts de données à caractère personnel doivent s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, et notamment ses articles 68 et 69. Sur ce point, il convient de rappeler que les Etats-Unis ne disposent pas d'un niveau de protection adéquat en matière de protection des données à caractère personnel, au sens de la directive européenne du 24 octobre 1995.
Deux cas doivent être distingués :
1. L'hypothèse où les données personnelles sont en France et directement transférées aux Etats-Unis pour des finalités contentieuses :
S'agissant d'un transfert unique et non-massif d'informations pertinentes, l'exception de l'article 69-3° peut être utilisée pour justifier le transfert de données personnelles à des fins de constatation, sauvegarde ou défense d'un droit en justice pour le responsable de traitement. Dès lors que ce transfert est encadré par l'exception visée à l'article précédemment visé, il ne doit pas faire l'objet d'une autorisation de la CNIL, mais doit néanmoins être déclaré.
Lorsqu'il s'agit de transferts massifs et répétés, le transfert de données personnelles peut avoir lieu :
― lorsque le destinataire des données personnelles est une entité établie aux Etats-Unis et qui a auto-adhéré aux principes du Safe Harbor ;
― lorsque le destinataire des données personnelles a signé des clauses contractuelles types adoptées par la Commission européenne avec le responsable de traitement en France ;
― lorsque le destinataire des données personnelles a mis en place des règles internes contraignantes (ou « Binding Corporate Rules ») au sein de son groupe.
2. L'hypothèse où les données personnelles ont déjà été transférées sur le territoire américain ou sur un territoire n'offrant pas de protection adéquate pour une finalité légitime et préalablement autorisée (ex. : centralisation de la base de données des ressources humaines de la filiale française d'un groupe américain) :
Lorsque les données font l'objet d'un transfert ultérieur vers une autorité judiciaire, le responsable de traitement devra apporter une protection adéquate aux données communiquées aux autorités américaines et à la partie adverse par la mise en œuvre d'outils d'encadrement appropriés tels que la définition d'un « stipulative court order » prenant en compte la protection des données personnelles.
Lorsque les données font l'objet d'un transfert ultérieur vers une partie au procès ou vers des tiers, il conviendra alors de prévoir la conclusion de clauses contractuelles appropriées avec la partie recevant communication des informations, ou le cas échéant l'engagement de la partie de respecter les principes portant sur les transferts ultérieurs tels que prévus dans l'accord Safe Harbor.
En effet, le programme Safe Harbor prévoit que pour divulguer des informations à un tiers dans le cadre d'un transfert ultérieur, les sociétés sont tenues d'appliquer les principes de notification et de choix. Les organisations qui le souhaitent peuvent transférer des informations à un tiers agissant en qualité de mandataire si elles certifient auparavant que le tiers souscrit aux principes du Safe Harbor ou est soumis aux dispositions de la directive ou d'un autre mécanisme attestant le niveau adéquat de la protection ou encore si elle passe un accord écrit avec ce tiers dans lequel celui-ci s'engage à assurer au moins le même niveau de protection que les principes.
Conformément aux dispositions des clauses contractuelles types adoptées par la Commission européenne et aux principes du Safe Harbor, il est impératif qu'un travail exhaustif soit opéré par le responsable de traitement situé à l'étranger concernant la pertinence, la légitimité et l'exactitude des données devant être communiquées dans le cadre du procès.
Par ailleurs, la personne concernée doit en être informée de manière claire et doit avoir la possibilité de refuser la communication sur la base de motifs légitimes.
La présente délibération sera publiée au Journal officiel de la République française.