Article réservé aux abonnés Archimag.com

Droit : les deux mondes de l’e-discovery et de l’archivage électronique

  • droit_ordi.jpg

    droit-ordinateur
    Les entreprises américaines organisent l’archivage électronique automatique afin de parer à l’avance à une éventuelle procédure d’e-discovery et préserver leurs preuves. (Freepik)
  • Faut-il mettre sur un même plan e-discovery et archivage électronique ? Dans les deux cas, il est question d’accès à l’information, de traçabilité, de valeur probante… Pourtant, des différences de fond existent. Explications juridiques.

    L’« e-discovery » (il existe une procédure similaire au Canada et en Grande-Bretagne appelée "e-disclosure") américaine fait partie de la procédure de « discovery » ou de découverte des preuves sous forme électronique. Il s’agit d’une phase préliminaire au procès civil ou commercial (« pre-trial ») qui permet aux parties d’investiguer et d’instruire elles-mêmes les preuves (les affaires pénales sont exclues de la procédure de discovery). Contrairement au procès français, les parties sont obligées de divulguer tous les éléments de preuve pertinents du litige dont elles disposent, et ce, quelles que soient leur forme et leur localisation, et quand bien même ces éléments ne leur seraient pas favorables. La discovery est une procédure accusatoire où chaque partie doit prouver les faits au soutien de sa cause et où le juge est arbitre (« Procédure accusatoire – Procédure inquisitoire : deux modèles pour la justice pénale »). Le non-respect de la procédure de communication des preuves est sanctionné lourdement par des pénalités financières et expose à l’acceptation des prétentions de la partie adverse, voire à un jugement d’office.

    1. La recherche de preuves par l’e-discovery

    Quels documents ?

    L’article 34 de la Federal Rule of Civil Procedure (Federal Rule of Civil Procedure du 01 12 2 006) américaine désigne « les documents ou informations stockés électroniquement », incluant les données et les bases de données (« data compilation », pour être exact), stockés sur n’importe quel support à partir duquel l’information peut être obtenue directement ou après transformation par la partie dans un format raisonnablement utilisable (« reasonnably usuable form »). Cela concerne aussi bien les courriers électroniques, traces de connexion, journaux de connexion, traces de communications électroniques, SMS, que les documents électroniques, bases de données, logiciels et applications métier, mais encore « les outils de stockage, d’archivage et d’accès aux documents, et politiques d’archivage » (Le Lamy droit du numérique (Guide) n° 4337 L’accès aux courriels – mise à jour 06/2 017). Le lieu de stockage n’est pas limité à l’entreprise : l’e-discovery concerne les données stockées dans le cloud, les applications Saas, les archives électroniques tenues par un tiers archiveur.

    Qui ?

    Sont concernées les sociétés américaines, ainsi que leurs sociétés mères ou filiales situées en France, mais aussi les sociétés françaises attraites ou demanderesses dans un procès ayant lieu aux États-Unis. Une nuance : malgré la Convention de La Haye, la France s’interdit de faire droit à une demande américaine de communication des preuves (cf réserve sur la convention de La Haye du 18 mars 1970 sur l’obtention des preuves à l’étranger en matière civile ou commerciale : « par application de l’article 23, les Commissions rogatoires qui ont pour objet une procédure, connue dans les États du common law sous le nom de “pre-trial discovery of documents” ne seront pas exécutées ») et les injonctions émises par les autorités américaines concernant les preuves localisées en France sont donc irrégulières (Délibération n° 2009-474 du 23 07 2 009). La loi du 26 juillet 1968 dite de « blocage », prise pour la défense des intérêts économiques français, vient renforcer la réserve de la France (Elle interdit aux ressortissants français de communiquer « par écrit, oralement ou sous toute autre forme, en quelque lieu que ce soit, à des autorités publiques étrangères, les documents ou les renseignements d’ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public, précisés par l’autorité administrative en tant que de besoin »).

    2. L’archivage électronique pour l’e-discovery

    Pourquoi ?

    Les entreprises américaines organisent l’archivage électronique automatique afin de parer à l’avance à une éventuelle procédure d’e-discovery et préserver leurs preuves : conservation de leurs données électroniques commerciales et numérisation de leurs documents papier. En effet, en dehors de tout litige, elles ont « l’obligation de préserver tout document pouvant contenir des éléments de preuve pour un litige qui peut être raisonnablement anticipé » (Le Lamy droit du numérique (Guide) n° 4337 précité).

    Alors qu’en France, l’archivage électronique est dicté par les obligations légales de conservation (Par exemple, factures et documents comptables en vue d’un contrôle fiscal) et la conservation des preuves, mais également par les exigences d’intégrité propres à la dématérialisation des documents. Par exemple, un écrit doit être conservé intègre pendant tout son cycle de vie pour être reconnu comme preuve opposable (C. Civ. art. 1366 ou C. Trav. L3243-2 pour les bulletins de paie électroniques). Des textes de transposition récents de la directive du 26 novembre 2014 sur les actions en dommage et intérêts en droit de la concurrence fondent de manière très proche le droit de demander communication des catégories de pièces, le défaut de production étant sanctionné par une amende civile de 1 000 euros (Ord. N° 2017-303 et Décr. n° 2017-305 du 09 03 2 017 ; Cf article d’E. Claudel - RTD Com. 2 017 p. 305).

    coût et risque

    Il faut comprendre que le périmètre de la demande d’e-discovery, bien que limité par l’objet du litige civil ou commercial, peut être extrêmement large et s’étendre jusqu’à la quasi-totalité des informations de l’entreprise. Or, dans le cadre d’une procédure, la partie doit en effectuer la collecte et l’analyse des preuves, puis les communiquer à la demanderesse souvent dans un court délai. La discovery est donc coûteuse et le risque de divulgation d’informations confidentielles ou protégées est important. Aussi, la mise en œuvre de l’archivage électronique est technique et hautement stratégique.

    Comment ?

    L’enjeu est de communiquer et donc d’archiver les bons documents et informations. Il faut savoir bien stocker, gérer et rechercher les documents électroniques et les données. La politique d’archivage avec durée de conservation et date de purge par catégories est un prérequis indispensable, ainsi que la mise en œuvre des normes d’archivage et de records management. Des entreprises américaines utilisent des logiciels prévus pour l’e-discovery comprenant des technologies d’analyse et de partage. 
    Par ailleurs, les entreprises françaises touchées par l’e-discovery doivent faire face à un dilemme juridique résultant du conflit de lois. On citera en particulier la protection des données personnelles, renforcée par le RGPD (13) et interdisant par principe les transferts de données vers les États-Unis, le respect de la vie privée des salariés. 

    mesures de sécurité à mettre en œuvre

    À cet égard, la Cnil recommande, outre l’anonymisation et la pseudonymisation des données, des mesures de sécurité à mettre en œuvre avant communication et de se conformer à sa recommandation de 2005 sur les modalités d’archivage électronique (14) : limitation des accès aux archives intermédiaires à un service spécifique et a minima isolement logique des données, conservation des archives définitives sur un support indépendant, non accessible par les systèmes de production, avec accès distinct, ponctuel et précisément motivé par un service spécifique, seul habilité. Elle recommande des dispositifs sécurisés lors de tout changement de support de stockage des données archivées et des dispositifs de traçabilité des consultations. Outre l’obligation d’information des personnes concernées, les règles et formalités relatives aux transferts de données vers les États-Unis sont régies par le chapitre V « Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales » du RGPD. 

    À cet égard, faire appel à un prestataire d’archivage semble la meilleure solution s’il existe trop de difficultés en interne pour assurer la sécurité des archives. Mais il devra apporter des garanties contractuelles solides et se conformer strictement au RGPD et aux instructions de son client avant de donner un quelconque accès aux autorités ou demandeurs américains.

    3. Stratégie et analyse des risques

    Pour conclure, la soumission à la procédure d’e-discovery n’est pas une chose aisée pour les entreprises françaises et européennes. Une stratégie doit être menée bien en amont autour de l’archivage électronique et de sa gouvernance, et l’analyse de risques juridiques avant refus ou autorisation de communication vers les États-Unis est indispensable. 

    Polyanna Bigle
    [Avocat, directeur du département sécurité numérique
    Cabinet Alain Bensoussan]

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Couverture-Archimag-311
    Dans le cycle de la veille - expression des besoins, collecte, traitement-analyse, diffusion -, le sourcing est à la base de la deuxième étape. Après avoir défini une stratégie de veille, il s’agit de bien choisir les sources qui vont alimenter la recherche d’informations : Béatrice Foenix-Riou en livre les principes de méthode.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    76
    des répondants à notre grande enquête sur les professionnels de l'information et l'entrepreneuriat affirment être attirés par le statut d’entrepreneur (créateur d’entre-prise, indépendant, freelance, etc.).

    Recevez l'essentiel de l'actu !