Espace Banque & Droit

Contentieux aux États-Unis : les banques face à la procédure de discovery

Créé le

05.02.2016

-

Mis à jour le

23.06.2016

Suite au regain de l’extraterritorialité des règles américaines, les banques françaises se trouvent désormais confrontées à une autre culture contentieuse. La procédure de discovery peut imposer à chaque partie au procès de livrer l’ensemble des éléments relatifs au litige en sa possession et donc de transférer des informations aux États-Unis. Or un certain nombre de restrictions émanant des textes français et européens encadrent, limitent, voire interdisent de tels transferts d’information transfrontaliers. Dès lors, les banques françaises se retrouvent « entre le marteau et l’enclume », les autorités américaines les enjoignant de produire les documents demandés et les règles françaises s’y opposant sous peine de sanction. Dans ces conditions, il est indispensable pour les banques françaises de maîtriser cette pratique judiciaire américaine ainsi que les normes françaises qui leur sont applicables dans le cadre d’un contentieux international et, enfin, de prendre certaines dispositions avant toute communication d’information aux États-Unis.

Emmanuel Caradec
  • Responsable juridique Natixis, succursale de Londres

L’amende record infligée à la BNP Paribas, suite à la transaction passée avec les autorités américaines, a provoqué une véritable stupéfaction au sein des banques françaises. Sur le terrain juridique, l’affaire révèle surtout le véritable choc des cultures contentieuses existant entre les pays de tradition continentale et les États-Unis. Parallèlement, les règles américaines à portée extraterritoriale se multiplient, exposant d’autant plus les acteurs économiques de tous secteurs [1] . Mais le renouveau de l’extraterritorialité américaine est particulièrement saisissant en matière bancaire et financière.

Dans ce contexte, les banques françaises doivent désormais se préparer à se confronter à une autre culture judiciaire lorsqu’elles sont face à la justice américaine [2] . Du fait de l’attitude des tribunaux américains, il est impossible de refuser de répondre à leurs injonctions sans risquer d’affaiblir considérablement sa défense (I.). Néanmoins, toute banque décidant de coopérer, au risque de contrevenir à certaines dispositions françaises, devra entourer tout transfert d’informations et de preuves aux États-Unis de certaines précautions (II.).

I. L’IMPOSSIBILITÉ DE REFUSER UN TRANSFERT D’INFORMATIONS DANS LE CADRE D’UN PROCÈS AUX ÉTATS-UNIS

Du fait de la tendance des juridictions américaines à ignorer les mécanismes de la convention de La Haye qui encadrent les demandes d’informations sous forme de requête en discovery dirigée contre une partie française (1.), cette dernière pourrait se trouver contrainte, afin d’assurer sa défense, d’enfreindre la loi de blocage française qui s’avère en pratique inefficace (2.).

1. Choc des cultures judiciaires et non-respect de la Convention de La Haye par les États-Unis

1.1. Procédure de discovery

Toute banque française impliquée dans un procès commercial aux États-Unis risque de se trouver confrontée à des difficultés majeures, compte tenu de l’application extraterritoriale de la procédure de discovery [3] sur le territoire français. Cette procédure met en exergue l’approche radicalement opposée des systèmes de droit civil (de tradition romano-germanique) et de droit de common law dans l’administration de la justice en général et dans l’obtention de la preuve en particulier [4] .

Alors que la collecte de preuves est encadrée, dans les systèmes civilistes, par des règles procédurales strictes contrôlées par le juge, elle se caractérise au contraire, dans les systèmes anglo-américains, par la grande liberté laissée aux parties dans un cadre accusatoire. En common law, la recherche judiciaire de la vérité passe par la transmission par chacune des parties à son contradicteur de toute l’information utile au procès, qu’elle lui soit favorable ou défavorable. Il s’agit de « jouer cartes sur table ». À l’opposé, dans les systèmes de tradition civiliste, chaque partie bénéficie de la liberté de ne produire que les éléments de preuve qu’elle juge pertinents à l’appui de sa démonstration. En France, il appartient à chaque partie de prouver les « faits nécessaires au succès de sa prétention [5] ». En revanche, personne n’est tenu de communiquer les éléments allant à l’encontre de ses intérêts [6] . Une partie ne peut donc contraindre l’autre partie à produire un élément de preuve, si ce n’est en demandant au juge de le lui enjoindre [7] . Il n’est dès lors pas possible d’atteindre un résultat similaire à la discovery, dans la mesure où le juge ne peut ordonner à une partie de transmettre tous les documents en sa possession relatifs au litige, sans que le demandeur ait préalablement identifié les documents recherchés.

Les règles libérales de la procédure américaine [8] ont permis le développement d’une pratique permettant d’obtenir des documents et informations défavorables au défendeur, en formulant une requête vague et générale en vue d’un procès dont on ignore encore l’objet précis [9] . Souvent qualifiée de « fishing expedition » (partie de pêche), cette pratique est régulièrement dénoncée par ses détracteurs [10] .

On comprend, dès lors, qu’un conflit de règles procédurales puisse naître au stade de la recherche et production de preuves, lorsque les deux parties à un procès relèvent de ces deux systèmes.

1.2. La Convention de La Haye

C’est justement pour créer un pont entre les deux systèmes que les États adoptèrent la convention de La Haye du 18 mars 1970 qui organise l’obtention des preuves à l’étranger en matière civile ou commerciale (la « Convention de La Haye) », posant ainsi un cadre à la coopération dans les procès transfrontaliers [11] .

La Convention de La Haye prévoit trois méthodes de collecte de preuves au choix du requérant, par commissions rogatoires internationales, agents diplomatiques ou commissaires désignés à cet effet. La commission rogatoire présente l’avantage de permettre le recours aux mesures coercitives prévues par le droit de l’État requis [12] . Mais elle requiert l’intervention de la force publique, dont la voie diplomatique dispense au contraire : un agent diplomatique peut être habilité à exécuter la mesure requise lui-même dans l’enceinte de l’ambassade. En l’absence de pouvoir de contrainte de l’agent, ce moyen peut toutefois être inefficace si la personne visée par la requête se montre peu coopérative. Il en est de même lorsque la juridiction étrangère désigne, en application de la troisième méthode, un « commissaire » (un expert ou un avocat) pour procéder directement aux opérations d’ instruction [13] .

Malgré la souplesse offerte par ces trois voies, tous les États n’entendent s’y soumettre. De sorte qu’il existe une opposition sur la question du caractère obligatoire de la Convention de La Haye. Si les États de tradition civiliste estiment généralement que le recours aux modes prévus par la convention s’impose, les pays de common law sont d’un avis contraire [14] .

1.3. L’adoption et extension de la loi de blocage

C’est précisément pour inciter les États à respecter la Convention de La Haye que la France a étendu la loi n° 68-678 du 26 juillet 1968 qui tend à restreindre la communication de documents et renseignements dans le cadre de procédures judiciaires ou administratives à l’étranger. Cette loi est connue sous la dénomination de « loi de blocage », inspirée de la terminologie de « blocking statute » sous laquelle ce type de texte est communément désigné dans la littérature juridique anglo-américaine [15] .

À l’origine, la loi de 1968 avait été votée en réaction aux enquêtes des autorités de la concurrence américaines visant les armateurs européens et était donc limitée au seul domaine du transport maritime [16] . En 1980, elle a été étendue à l’ensemble des activités économiques [17] . Si la loi avait été adoptée en 1968 dans un « climat de guerre économique [18] », l’objectif de la réforme de 1980 était tout autre : il s’agissait de donner aux entreprises françaises une excuse légale pour s’opposer aux demandes de transmission d’informations économiques et commerciales des autorités américaines. Le législateur français entendait notamment endiguer deux types de dérives [19] . La première dérive tenait déjà à l’application extraterritoriale que les États-Unis faisaient de leurs lois et la seconde consistait à contourner de manière systématique les mécanismes d’entraide judiciaire prévus par la Convention de La Haye. Le but du législateur était donc de préserver la France face à l’impérialisme judiciaire américain et d’inciter les autorités américaines à respecter le dispositif conventionnel de La Haye.

Les deux premiers articles de la loi de blocage formulent donc une interdiction « sous réserve des traités en vigueur », ce qui vise, dans les relations avec les États-Unis, la Convention de La Haye.

L’article 1er de la loi de blocage pose une interdiction générale de communication d’informations qui pourrait porter atteinte à la souveraineté, la sécurité et les intérêts économiques essentiels de la France ou l’ordre public, tandis que l’article 1er bis institue une interdiction spéciale de contourner les procédures d’obtention de preuves consacrées par la Convention de La Haye. L’article 1er bis défend en effet à toute personne de demander, de rechercher ou de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou des renseignements d’ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. Le texte s’applique depuis 1980 à toute entreprise française répondant à une injonction américaine ainsi qu’à toute personne qui ferait une demande d’information en dehors du cadre de la coopération internationale [20] . Les sanctions qu’il prévoit sont pénales [21] .

La transmission de preuves est donc possible dans le cadre de la Convention de La Haye, à condition en outre que les documents demandés soient « limitativement énumérés » et aient « un lien direct et précis avec l’objet du litige [22] ». On notera, au passage, que l’article 2 de la loi de blocage oblige les personnes auxquelles de telles demandes seraient adressées à en informer, sans délai, le ministre des Affaires étrangères [23] . Ce dispositif qui n’est assorti d’aucune sanction n’est que peu suivi en pratique [24] .

2. L’inefficacité de la loi de blocage face à la discovery

2.1. Réception de la loi de blocage par les juges américains : une menace jugée peu crédible

L’accueil réservé par les juridictions à la loi blocage a conduit à la priver totalement d’efficacité. Dans un arrêt de principe Aérospatiale du 15 janvier 1987, la Cour suprême américaine a décidé que la loi de blocage « ne privait pas une juridiction américaine du pouvoir d’ordonner à une partie soumise à sa juridiction de produire des preuves, même si cette production pouvait constituer une violation de la loi de blocage [25] ». Elle a ainsi implicitement relégué la Convention de La Haye au rang de dispositif optionnel et supplétif. À cette occasion, la Cour a élaboré un critère de « mise en balance » des intérêts en cause (balancing test) en vue de déterminer si la communication internationale de documents doit être ordonnée [26] .

Par la suite, les juridictions américaines ont rendu diverses décisions mettant en oeuvre le critère ainsi dégagé pour mettre en échec les demandes des parties françaises qui avaient invoqué la loi de blocage [27] . Il en ressort qu’elles ne jugent pas la sanction instituée par la loi de blocage comme une menace pesant de manière crédible sur les sociétés violant le dispositif et qu’elles perçoivent globalement la loi de blocage comme un prétexte légal français invoqué pour éviter de divulguer de l’information conformément aux règles de procédures en vigueur dans le cadre d’un litige américain [28] . C’est pourquoi on a pu dire que les juges américains traitent la loi de blocage comme un « tigre de papier [29] ».

Cette appréciation, partagée d’ailleurs avec les juridictions anglaises [30] , n’est pas dénuée de toute justification. Près de trente-cinq ans après la réforme de 1980, les juridictions françaises n’ont prononcé qu’une seule condamnation sur le fondement de la loi de blocage et l’on ne relève que de rares décisions qui en font application [31] .

La seule condamnation pénale prononcée en application de la loi de blocage intervint en 2007 dans le cadre de la célèbre affaire Executive Life [32] . La Cour de cassation a confirmé la condamnation à une peine d’amende de 10 000 euros de l’avocat qui avait cherché des renseignements sur les conditions du rachat d’Executive Life auprès d’un ancien administrateur de la MAAF, et ce, même si aucune information n’avait été obtenue [33] .

Cette décision est restée isolée [34] . L’attitude des juridictions américaines n’a d’ailleurs pas évolué suite à cette condamnation, en raison notamment du caractère spécifique de l’ espèce [35] .

2.2. À la fois auteurs et victimes de l’infraction, les banques se retrouvent entre le marteau et l’enclume

Les banques françaises parties à un procès aux États-Unis se trouvent aujourd’hui face à un dilemme cornélien, puisqu’elles risquent des sanctions pénales en France si elles communiquent les renseignements requis, mais s’exposent dans le même temps à de lourdes sanctions aux États-Unis si elles s’y refusent. Le juge américain dispose en effet de larges pouvoirs à l’encontre d’une partie refusant de se soumettre à une demande de discovery (contempt of court, astreinte, paiement des frais exposés par la partie adverse ou encore considérer les faits allégués comme étant établis [36] ). À défaut de produire les éléments requis, la partie française risque donc de voir tous ses éléments de défense écartés et les prétentions du demandeur reconnues. Autrement dit, elle court le danger de perdre le procès sans pouvoir plaider sa cause.

Sur la base de la décision du tribunal de commerce de Paris de 2005 [37] , on peut certes considérer qu’en tant que règle d’ordre public international, la loi de blocage peut faire obstacle à l’exequatur en France d’une décision rendue par un juge étranger sur la base d’informations obtenues en violation de ses dispositions. Néanmoins, cet argument juridique n’est que de peu de secours lorsque la banque française condamnée quasiment « par défaut » dispose d’une filiale ou succursale américaine qui peut être sanctionnée sur le plan réglementaire ou si elle possède des actifs qui peuvent être saisis aux États-Unis.

Pour autant, la loi de blocage, même si elle n’a donné lieu à ce jour qu’à une seule condamnation, subsiste en l’état. Étant donné sa nature pénale, elle demeure un risque réel car toute partie civile peut déclencher l’action publique [38] . Cette situation n’est guère satisfaisante car la banque se trouve être à la fois l’auteur et la victime de l’infraction. Alors qu’elle avait vocation à servir de bouclier, la réforme introduite en 1980 se retourne contre ceux qu’elle était censée protéger et constitue un handicap lourd pour les entreprises françaises assignées aux États-Unis dans l’organisation de leur stratégie contentieuse [39] . Au final, la nécessité de se défendre s’avérera très souvent plus forte que la crainte de l’application du texte de répression [40] .

II. LES NOMBREUSES PRÉCAUTIONS À PRENDRE AVANT DE COMMUNIQUER DES INFORMATIONS DANS LE CADRE D’UN CONTENTIEUX AUX ÉTATS-UNIS

Le droit français protège certaines données soient en raison de leur nature – il en va ainsi des données personnelles – soit en raison du cadre dans lequel elles ont été obtenues – tel est le cas des données obtenues dans le cadre des relations de la banque avec l’ensemble de sa clientèle. La loi Informatique et Libertés et les règles afférentes au secret bancaire constituent des contraintes (1.) qui imposent à ceux qui doivent transférer des données aux États-Unis de respecter des précautions pratiques (2.).

1. Les contraintes légales afférentes aux transferts des données protégées

On l’a vu, la loi de blocage n’est pas applicable si le défendeur français réussit à convaincre le tribunal américain de recourir au mécanisme prévu par la Convention de La Haye [41] . Cependant, même si le dispositif de la Convention de La Haye est respecté, cela s’avère insuffisant lorsque les documents et renseignements transférés recouvrent des informations couvertes par le secret bancaire ou contiennent des données personnelles.

1.1. Champ du secret bancaire

Une interdiction générale de communication d’informations frappe les banques françaises qui sont astreintes au secret bancaire. Les établissements de crédit ainsi que leurs employés sont tenus de taire toutes les informations de nature confidentielle qu’ils possèdent sur leurs clients ou des tiers [42] . Cette obligation de secret professionnel est assortie de sanctions pénales [43] et elle s’impose également en dehors du pays d’établissement de la banque [44] . Le tribunal de commerce de Paris a jugé en 2005 que la sommation du juge américain faite à une banque française de communiquer des documents d’ordre économique se heurtait notamment au secret bancaire et était donc contraire à l’ordre public économique et financier français [45] .

Le secret bancaire est d’ordre public et ne peut être levé à l’égard des tiers que dans certains cas bien déterminés et précisés par la loi (notamment sur demande du juge pénal français ou des autorités de tutelle) car il est à la fois un moyen de protection de la personne du client, de défense du secret des affaires, et il renforce la confiance dans le système bancaire français [46] .

En l’absence de précision du texte, la jurisprudence a défini au fil des décisions la notion d’information couverte par ce secret. En pratique, toute information précise et non publique, qu’elle soit chiffrée ou non, recueillie par le banquier dans l’intimité de sa relation professionnelle avec ses clients est marquée du sceau de la confidence [47] .

La Cour de cassation a récemment rappelé que « l’empêchement légitime résultant du secret bancaire ne cesse pas du seul fait que l’établissement financier est partie à un procès, dès lors que son contradicteur n’est pas le bénéficiaire du secret auquel le client n’a pas lui-même renoncé [48] ».

En conséquence, lorsqu’elle est face à son client dans le cadre d’un procès civil et que les informations et documents requis concernent ses relations avec celui-ci, la banque est déliée de son obligation au secret, la communication des informations et documents étant nécessaire à sa défense. En revanche, lorsque le différend ne concerne pas ses relations avec ses clients, la banque ne peut produire des éléments concernant l’un d’eux, en raison du secret bancaire que seul le client pourrait l’autoriser à lever.

1.2. Transfert de données personnelles et loi de 1978 Informatique et libertés

Une autre restriction existe lorsque les données transmises peuvent être qualifiées de « données personnelles ». Le transfert doit alors non seulement être effectué dans le cadre de la Convention de La Haye [49] mais également respecter les dispositions de la loi Informatique et Libertés de 1978 [50] . Or constituent des « données personnelles » « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres [51] ». La définition est donc suffisamment large pour s’appliquer théoriquement à toute communication de document [52] . En outre, la CNIL considère que constitue un transfert de données à caractère personnel toute « communication, copie ou déplacement de données, par l’intermédiaire d’un réseau (ex : accès à distance à une base de données) ou d’un support à un autre, quel que soit le type de support (ex. d’un disque dur d’ordinateur à un serveur) », dès lors qu’un traitement de données est envisagé dans un pays destinataire situé en dehors de l’Union européenne [53] . Ainsi, la communication d’informations et de documents vers les États-Unis constitue généralement un traitement de données à caractère personnel soumis à la loi Informatique et Libertés.

1.3. Principe d’interdiction des transferts de données hors EEE et son aménagement

L’article 68 de la loi Informatique et Libertés dispose que les transferts en dehors de l’Union Européenne sont interdits [54] . Les sanctions encourues en cas de non-respect des règles en matière de transferts sont de 300 000 euros d’amende (1,5 million pour les personnes morales) et de cinq ans d’ emprisonnement [55] . Elles sont significativement plus lourdes que celles prévues en cas de non-respect de la loi de blocage. Mais le texte aménage des exceptions, qui sont prévues par l’article 69 de la loi Informatique et Libertés [56] .

1.4. Exceptions

Ainsi, un transfert est possible s’il a lieu vers un pays reconnu par la Commission européenne comme offrant un niveau de protection des données suffisant [57] . Or le régime de protection des données privées est jugé inadéquat aux États-Unis, la conception européenne de la protection des données personnelles étant beaucoup plus exigeante que la législation américaine [58] .

Néanmoins, l’interdiction de principe des transferts de données vers les pays dont le système n’est pas jugé suffisamment protecteur connaît des aménagements. La CNIL distingue deux hypothèses selon que la dérogation est liée aux caractéristiques du transfert ou bien à son encadrement juridique [59] .

1.5. Transfert unique

D’abord, s’il s’agit d’un transfert « unique et non massif d’informations pertinentes », le transfert peut être justifié dès lors qu’il s’avère nécessaire « au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice [60] ». De même, le texte prévoit une autre exception si chaque personne a consenti expressément au transfert de ses données personnelles [61] , mais cette condition est en pratique difficile à respecter. Hormis le fait qu’il peut être compliqué de recueillir le consentement de toutes les personnes concernées dans le cadre de contentieux internationaux, celui-ci n’est valable que si la personne concernée a manifesté une volonté libre, spécifique et informée [62] .

1.6. Transfert massif

Si, a contrario, il s’agit de transferts massifs [63] et/ou répétés, plusieurs outils ont été développés pour permettre aux acteurs d’apporter un niveau de protection suffisant [64] . Deux options contractuelles subsistent désormais, suite à l’invalidation récente par la Cour de Justice de l’Union européenne du mécanisme de Safe Harbor [65] . Le destinataire du transfert aux États-Unis peut soit mettre en place des règles internes d’entreprise (Binding Corporate Rules ( BCR [66] )), soit signer le modèle de clauses contractuelles adoptées par la Commission européenne [67] . Mais dans le cadre d’un contentieux commercial où les données seront transférées aux autres parties au procès et au juge américain, seule cette seconde est envisageable. À cet égard, la CNIL et le G29 ont établi des lignes directrices pour permettre aux entreprises de réaliser des transferts conciliant les exigences de protection des données personnelles et les impératifs de la procédure américaine [68] . La CNIL a adopté par la suite une délibération en juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures de discovery [69] .

2. Les mesures pratiques à adopter pour le transfert de données protégées

2.1. Réception du secret bancaire aux États-Unis et précautions

Le secret professionnel auquel est tenue la banque constitue un empêchement légitime qui est opposable au juge civil en France et qui devrait également l’être aux États-Unis. Pourtant, les tribunaux américains rejettent l’excuse du secret bancaire et imposent systématiquement la production de documents couverts par un tel secret lorsqu’ils jugent les éléments recherchés pertinents pour l’ affaire [70] . Aussi, pour répondre en pratique aux exigences de la discovery, il devra être mis en place pour les données bancaires protégées des mesures d’anonymisation ou de « pseudonymisation » (permettant la ré-identification par la suite) afin de taire l’identité des clients de la banque.

2.2. Difficulté pratique : nécessité de filtrer les informations personnelles à transmettre

Pour pouvoir être transférées aux États-Unis, les données personnelles collectées pour les besoins de la discovery doivent, conformément à l’article 6 de la loi Informatique et Libertés, être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». Il convient donc, avant tout transfert, de filtrer les informations collectées en France (dont principalement les communications électroniques conservées sur des serveurs situés sur le territoire français), notamment au moyen de mots-clés et critères de recherche pour ne faire ressortir que l’information pertinente [71] . Dans de nombreux cas, le transfert ne nécessite pas pour les besoins du procès la communication de données personnelles permettant l’identification des personnes. À cet effet, l’équipe en charge de la recherche devra alors mettre en oeuvre des procédures d’anonymisation ou de « pseudonymisation » des informations pour éviter le transfert de données personnelles inutiles ou accessoires au procès. Si, toutefois, un tribunal américain jugeait que des données personnelles sont des informations nécessaires pour le litige en cours, les catégories de données pouvant être communiquées devraient se limiter aux éléments suivants : « identité, fonctions, coordonnées de la personne concernée et éléments strictement relatifs au contentieux en cours ».

Si la communication des données est limitée et unique, l’anonymisation ne sera pas nécessaire. En revanche, s’il porte sur un flux important de données, c’est-à-dire s’il s’agit un transfert « massif », l’opération d’anonymisation devra être envisagée. Un tel transfert ne requiert pas l’autorisation de la CNIL, dès lors qu’il est « unique », mais il doit néanmoins faire l’objet d’une déclaration. En revanche, tout transfert « massif » devra faire l’objet d’une autorisation préalable de la CNIL [72] .

2.3. Recours au stipulative court order

Lorsque le transfert à réaliser va être massif ou répété, il n’est pas exclu que la partie adverse et, a fortiori, l’autorité judiciaire refusent de signer les clauses contractuelles types. Dans cette hypothèse qui n’est pas envisagée par la CNIL ou le G29, l’entreprise française devra convaincre la CNIL que des garanties sérieuses de protection s’appliqueront aux données communiquées par la mise en oeuvre d’outils d’encadrement appropriés comme un stipulative court order. Les stipulative court orders sont des ordonnances émises par un juge américain garantissant que les pièces communiquées dans le cadre de la procédure de discovery seront utilisées selon des conditions définies entre les parties et conservées de manière confidentielle [73] . Elles peuvent limiter le périmètre des pièces à communiquer et être utilisées pour restreindre la collecte de données personnelles en fonction du cas d’espèce, spécifier les conditions liées à l’utilisation et la communication à des tiers des données personnelles collectées et prévoir des mesures de sécurité et de confidentialité à respecter.

Il est à noter que la CNIL recommande le recours à ce type de protective order dans sa délibération 2009-474 dans l’hypothèse spécifique où les données personnelles ont déjà été transférées sur le territoire américain pour une finalité légitime et préalablement autorisée, dès lors qu’elles font l’objet d’un transfert ultérieur vers une partie au procès ou vers des tiers.

Si le juge américain accepte l’anonymisation ou la « pseudonymisation » de certaines données et émet un protective order dans l’hypothèse où les parties refusent de souscrire aux clauses contractuelles types pour les données personnelles devant être transmises, on peut penser que la CNIL autoriserait un transfert massif et/ou répété qui se verrait ainsi encadré de garanties sérieuses.

2.4. Des évolutions souhaitables

Il serait souhaitable de faire évoluer la loi de blocage pour qu’elle n’entrave plus en pratique la capacité des banques françaises à faire valoir leurs droits aux États-Unis [74] . Pour faciliter la reconnaissance par les tribunaux américains des contraintes françaises, il serait opportun de consacrer la pratique permettant d’obtenir du ministère de la Justice une attestation confirmant l’applicabilité de la loi de blocage et rappelant les contraintes relatives aux données personnelles et au secret bancaire [75] .

Plus fondamentalement, une réforme de la loi de blocage est nécessaire. Deux propositions de loi avortées ont récemment entrepris de faire évoluer la loi de blocage mais leur contenu n’était guère satisfaisant. En 2012, la proposition de loi « Carayon » sur le secret des affaires entendait réformer la loi de blocage, jugée « ineffective et obsolète », en limitant son application aux seules informations protégées par le secret des affaires [76] . Cette proposition a depuis été abandonnée [77] . La proposition de loi « Urvoas » de juillet 2014 sur la protection du secret des affaires prévoyait l’augmentation du quantum des amendes et des peines de prison encourues en cas de violation de la loi de blocage [78] . Ces dispositions ont ensuite été intégrées au projet de loi Macron avant d’en être finalement retirées.

Face à l’attitude des juridictions américaines qui ordonnent les procédures de discovery sans passer par la Convention de La Haye et ignorent le risque pénal soulevé par la loi de blocage, il serait plus adapté de s’inspirer du Protection of Trading Interests Act 1980 en vigueur au Royaume-Uni [79] . Cette loi confère notamment au ministre compétent le pouvoir d’interdire à un ressortissant britannique de répondre à une requête en discovery et proscrit l’exequatur des décisions étrangères qui s’en suivent prononçant des dommages-intérêts « punitifs » à l’encontre de défendeurs britanniques.

Une telle approche permettrait de déplacer la responsabilité qui pèse aujourd’hui sur les entreprises, en application de la loi de blocage, vers les autorités françaises. En outre, la menace représentée par la loi de blocage serait probablement jugée plus crédible si l’empêchement à communiquer des documents découlait d’une décision ministérielle plutôt que d’une hypothétique condamnation pénale. L’article 2 de la loi de blocage qui prévoit l’information du ministre des Affaires étrangères pourrait ainsi être revigoré en prévoyant un mécanisme similaire.

Il convient de faire évoluer cette loi inefficace et défensive dont le respect est laissé à l’appréciation des entreprises pour adopter un dispositif plus offensif octroyant au gouvernement la faculté de s’opposer au cas par cas à une requête en discovery.

1 L. d’Avout, « L’extraterritorialité du droit dans les relations d’affaires », JCP G n° 42, 12 octobre 2015, doctr. 1112 ; M. Audit, R. Bismuth et A. Mignon Colombet, « Sanctions et extraterritorialité du droit américain : quelles réponses pour les entreprises françaises ? », JCP G n° 1-2, 12 janvier 2015, 37 ; H. de Vauplane, « Les entreprises européennes face à l’extraterritorialité du droit américain », Revue Banque n° 724, mai 2010 ; K. Haeri et Th. Chanzy, « La situation juridique des entreprises françaises face aux enquêtes de régulateurs étrangers », Revue des juristes de Sciences Po n° 9, juin 2014, 100. 2 Le 20 octobre 2015, il a été annoncé que le Crédit Agricole devrait payer une amende de 787 millions de dollars au titre d’un accord dans l’affaire des embargos américains ; http://www.dfs.ny.gov/about/press/pr1510201.htm. 3 Le concept de discovery désigne en droit américain la phase préalable au procès au cours de laquelle chaque partie (voire un tiers non mis en cause dans l’instance) doit communiquer à l’autre partie tout élément intéressant le règlement du litige, ces éléments pouvant lui être favorables ou défavorables, quelles que soient leur localisation et leur forme. Les éléments requis peuvent notamment inclure des dépositions de témoins, la production de documents, correspondances papier et électroniques, archives et enregistrements de conversations. Le terme discovery dans cet article inclut également la procédure de pre-trial discovery qui concerne la collecte de preuves avant que l’objet d’un éventuel litige soit précisé. En droit anglais, l’exercice équivalent à la procédure de discovery se nomme disclosure. 4 N. Meyer Fabre, « L’obtention de preuves à l’étranger », Travaux du comité français de droit international privé (2002-2004), Éditions Pedone, 2005. 5 C. proc. civ., art. 9. 6 En France, l’administration de la preuve reste marquée par le vieil adage romain selon lequel « nul n’est tenu de produire contre lui-même », « nemo tenetur edere contra se ». 7 C. proc. civ., art. 11. 8 Rule 26 (Duty to Disclose ; General Provisions Governing Discovery), Federal Rules of Civil Procedure. 9 N. Lenoir, « Le droit de la preuve à l’heure de l’extraterritorialité », RFDA, mai-juin 2014, p. 487. 10 Rapport n° 4159 de M. Carayon au nom de la Commission des lois du 11 janvier 2012, sur la proposition de loi (n° 3985) visant à sanctionner la violation du secret des affaires. 11 Décret n° 75-250 du 9 avr. 1975 portant publication de la convention sur l’obtention des preuves à l’étranger en matière civile ou commerciale, ouverte à la signature à La Haye le 18 mars 1970, signée par la France le 24 août 1972 : JO 17 avril 1975 pp. 3980-3985. Au 16 décembre 2015, 58 États avaient ratifié la Convention de La Haye (source : http://www.hcch.net/index_en.php?act=conventions.status&cid=82) 12 Conv. De La Haye précit., chapitre I. Dans le cadre de cette procédure, la partie requérante présente une commission rogatoire décrivant le litige, les preuves recherchées, leur utilité et les personnes concernées. Cette demande est ensuite transmise par l’autorité judiciaire de l’État requérant à l’« Autorité centrale » de l’État requis désignée pour en connaître. En France, c’est le ministère de la Justice (bureau de l’entraide civile et commerciale internationale) qui est désigné pour accomplir cette tâche. La mesure d’instruction est effectuée conformément aux règles de procédure de l’État requis, à moins que la partie requérante ne sollicite l’usage de règles propres à la juridiction étrangère, telles que la cross-examination anglaise ou américaine. En pratique ces demandes sont accueillies favorablement par les juridictions françaises (M. Pitron et J.-S. Bazille, « La communication d’informations à une autorité judiciaire étrangère : prudence », La Lettre du Contentieux n° 25, Gide, juin 2011) ; V. P. Dubarry, Ch. Lapp et F. de Bérard, « L’obtention des preuves en France et à l’étranger », JCP G, n° 28, 14 juillet 2014, 834. 13 En France, le recours à cette méthode est soumis à l’autorisation préalable de la Chancellerie qui exige notamment que la juridiction étrangère justifie le recours à cette méthode plutôt qu’à une commission rogatoire. 14 D. Cholet, « Commission rogatoire », Rép. Dalloz, Proc. Civ, para. 49s. 15 Cette appellation est impropre, car la loi ne vise pas à bloquer purement et simplement la transmission de preuves à l’étranger, mais plutôt à en encadrer la collecte dans le respect des conventions internationales. L’appellation de loi « d’aiguillage », « de routage », ou « d’encadrement » serait donc à notre sens plus appropriée. 16 Rapport n° 1814 de M. A. Mayoud au nom de la Commission de la production et des échanges de l’Assemblée nationale, 2e séance du 24 juin 1980, p. 2231s. Pour une description du contexte historique, voir F. Lazar, « L’instruction extraterritoriale de litiges économiques et la défense de la souveraineté des États », in Annuaire français de droit international, vol. 27, 1981, p. 640s. 17 Suite aux travaux des deux assemblées, le gouvernement ayant souhaité initialement en élargir l’application au seul transport aérien : Loi n° 80-538 du 16 juillet 1980. 18 Selon les termes de M. A. Mayoud, rapport précité. 19 Rapport de M. Carayon précité. 20 On pourrait donc imaginer qu’un juge américain ordonnant une procédure de discovery sans passer par le canal de la Convention de La Haye soit poursuivi en France pour violation de la loi de blocage ! 21 Toute infraction aux dispositions des articles 1er et 1er bis est punie d’un emprisonnement de six mois et d’une amende de 18 000 euros (le quintuple pour une personne morale, Article 131-38 du code pénal) ou de l’une de ces deux peines seulement, et ce « sans préjudice des peines plus lourdes prévues par la loi ». Par cette référence le législateur aurait voulu viser « d’autres dispositifs tels que ceux protégeant le secret professionnel, les secrets de fabrique ou les secrets de la défense nationale » (voir N. Lenoir, « Le droit de la preuve à l’heure de l’extraterritorialité », RFDA, mai-juin 2014, paragraphe 16), soit les « peines plus lourdes qui pourraient sanctionner les manquements au devoir de discrétion qui s’impose à certaines personnes de par leur fonction » (voir M. Chauty, discussion en deuxième lecture du projet de loi, séance du 30 juin 1980, Sénat JORF S. n° 67 du 1er juillet 1980, p. 3386). 22 L’hostilité des États de tradition romano-germanique aux procédures de discovery avait conduit à introduire dans la Convention de La Haye une disposition selon laquelle « tout État contractant peut, au moment de la signature, de la ratification ou de l’adhésion, déclarer qu’il n’exécute pas les commissions rogatoires qui ont pour objet une procédure connue dans les États de Common Law sous le nom de “pre-trial discovery of documents” ». La France, lorsqu’elle ratifia ladite convention le 7 août 1974, émit une déclaration en ce sens. Le 19 janvier 1987, elle assouplit sa position en précisant que « la déclaration faite par la République française conformément à l’article 23 relatif aux commissions rogatoires qui ont pour objet la procédure de “pre-trial discovery” of documents ne s’applique pas lorsque les documents demandés sont limitativement énumérés dans la commission rogatoire et ont un lien direct et précis avec l’objet du litige ». 23 Décret n° 81-550 du 12 mai 1981. Il ressort des travaux parlementaires, qu’il s’agissait d’offrir une arme juridique permettant aux nationaux français de gagner du temps. Les choses ainsi bloquées un moment devaient permettre « d’élever le conflit au niveau intergouvernemental » (rapport de M. Alain Mayoud, précité, p. 2234). 24 Ainsi qu’il ressort d’un rapport de 2012 qui indique qu’« en pratique, les services compétents du ministère des Affaires étrangères indiquent recevoir en moyenne une dizaine de signalements par an » (rapport n° 4159 de M. Carayon, précité). Ceci résulterait, d’une part, du fait que les interdictions édictées aux articles 1er et 1er bis de la loi relèveraient de la seule appréciation des personnes intéressées, sous réserve d’un contrôle judiciaire postérieur (Propos du directeur des affaires juridiques du ministère des Affaires étrangères, Gilbert Guillaume, intervenant en 1981 dans une conférence à la Chambre de Commerce International de Paris) et d’autre part de l’absence de portée de l’avis du ministre (« Si l’Administration est consultée, l’avis qu’elle émet ne s’impose ni au juge, ni à la personne qui l’a consultée. L’Administration ne tire de la loi ni le pouvoir de donner une autorisation pour la communication de certains documents, ni celui de consentir une dérogation à l’interdiction générale édictée par la loi » : Cité in F. Lazar. « L’instruction extraterritoriale de litiges économiques et la défense de la souveraineté des États », in Annuaire français de droit international, vol. XXVII, 1981. pp. 649-650). 25 Société nationale industrielle aérospatiale c/ United States District Court, 482 U.S. 522 (1987). 26 Les facteurs à prendre en considération sont nombreux (pas moins de sept !). Les plus significatifs incluent par exemple : l’importance de l’information demandée au regard du litige, le degré de précision de la demande, sa source et son origine ou encore l’existence de méthodes alternatives d’obtention de l’information demandée. 27 Elles ont estimé dans trente et un des trente-trois cas cités dans un article récent que la loi de blocage ne pouvait faire obstacle à la procédure de discovery ; v. P. Grosdidier, « The French Blocking Statute, the Hague Evidence Convention and the case law : lessons for French parties responding to American discovery », Texas International Law Journal, 50 TEX. INT’L. L. J. F. 11 (2014). Les juridictions américaines jugent que la voie de la Convention de La Haye peut s’avérer excessivement coûteuse et soulève des « myriades de problèmes pratiques », notamment d’interprètes, de sténographes, de témoins ou encore de conseils locaux ; v. Doyle, « Taking Evidence By Deposition and Letters Rogatory and Obtaining Documents in Foreign Territory », ABA Section of Int’l & Comp. L., Proceedings 37, 46-49 (1959). 28 Les tribunaux américains considèrent qu’il n’existe « aucune menace réaliste de poursuites » Bodner c/ Banque Paribas, 202 FRD 370 (EDNY 2000), « que la possibilité spéculative de poursuites [était] insuffisante à supplanter les règles fédérales de procédure civile » re Vivendi Universal, S.A. Secs. Litig, n° 02 Civ. 5571(RJH) (HBP), 2006 WL 3378115 at 2-3 (SDNY, 16 nov. 2006)., ou encore qu’il « n’existe pas de risque significatif de poursuites pénales en cas de violation de la loi de blocage française », Strauss c/ Credit Lyonnais SA, 242 FRD 199 (EDNY 2007). 29 M. J. Gottridge et T. Rouhette, « France Puts Some Muscle Behind Its Blocking Statute », New York Law Journal, 29 avril 2008, vol. 239, n° 82. 30 Les juridictions anglaises ne réservent pas un accueil plus favorable à la loi de blocage et considèrent que les sujets relevant de la procédure doivent être régis par les lois domestiques du pays dont le tribunal est saisi (au titre de la lex fori). Dans une décision récente, le juge anglais, usant de son pouvoir discrétionnaire, ordonna la procédure de disclosure sur le fondement qu’il était « quasiment inconcevable » qu’un défendeur français soit poursuivi pénalement au titre de la loi de blocage (Heidberg c/ Grosvenor, [1993] Q. B, 324, 325 et National Grid c/ ABB Limited and others, [2013] EWCA Civ 1234). 31 Dans une première affaire, jugée en 1993, le président du tribunal de commerce de Nanterre rejetait une demande de communication de documents émanant d’un ancien chef d’État étranger qui entendait pouvoir se défendre devant une commission parlementaire constituée au Liban (TGI Nanterre, réf., 22 décembre 1993 : Juris-Data n° 1993-050136). En 2001, la cour d’appel de Versailles refusait d’ordonner la communication d’information par Renault à une société roumaine sur le fondement de l’article 1 bis (CA Versailles 16 mai 2001 : JCP E 2007, 2330). Le tribunal de commerce de Paris jugeait, en 2005, que la décision d’un juge américain d’ordonner à BNP Paribas de divulguer, en dehors de toute procédure de coopération judiciaire internationale, des documents d’ordre économique était « contraire à l’ordre public économique et financier français puisqu’elle se heurtait au secret bancaire et l’article 1er bis de la loi de blocage » (T. com. Paris 20 juillet 2005 : Juris-Data n° 2005-288978). En janvier 2008, la Cour de Cassation rejetait le pourvoi formé contre un arrêt de la chambre de l’instruction qui avait estimé qu’il n’existait pas de charges suffisantes d’avoir commis le délit reproché de violation de la loi de blocage (Cass. crim. 30 janvier 2008 ; n° 06-84098). Plus récemment, la cour d’appel de Nancy, dans un arrêt du 4 juin 2014, a appliqué la loi de blocage en infirmant une ordonnance de référé du tribunal de commerce d’Épinal ayant ordonné communication d’une série impressionnante de documents en tous genres. La cour y confirme l’applicabilité en France de la Convention de La Haye et fait valoir que la demande de communication ne répond pas aux exigences de la réserve exprimée par la France qui exclut formellement toute « pêche aux renseignements » (N. Lenoir, « L’intérêt de la loi du 26 juillet 1968 et l’obtention des preuves au niveau international : un regain d’intérêt », Petites affiches,19 janvier 2015, n° 13, p. 7s). 32 Cass. crim. 12 décembre 2007, MAAF, Christopher X., n° 07-83.228. : obs. M. Danis, JCP E, n° 25, 28 août 2008, p. 21s. ; Rev. sociétés 2008. 882, note D. Barlow. Dans ce procès, le commissaire aux assurances de l’État de Californie accusait le Crédit Lyonnais d’avoir organisé le rachat par une société d’assurance française, la MAAF, de la société d’assurance Executive Life en violation des règles californiennes. La District Court fédérale de Californie avait émis une requête au titre de la Convention de La Haye, mais en parallèle, un avocat français, correspondant du conseil américain du commissaire aux assurances, avait cherché à obtenir par téléphone, de manière peu déontologique, des renseignements sur les conditions du rachat d’Executive Life auprès d’un ancien administrateur de la MAAF, et notamment sur les circonstances dans lesquelles les décisions du conseil d’administration avaient été adoptées. 33 Puisque la recherche d’information est suffisante à constituer l’infraction au titre de l’article 1 bis. 34 Il s’agit par ailleurs d’un arrêt de rejet d’un pourvoi, non publié. 35 Strauss c/ Crédit Lyonnais, S.A., 249, FRD 429 (Eastern District of New York, 2008). Dans une autre affaire, un juge new-yorkais nota que l’avocat sanctionné n’avait agi ni au titre d’une demande de discovery ni d’une ordonnance émanant d’un tribunal californien, estimant donc que la décision Executive Life n’était pas nécessairement révélatrice du fait que les autorités françaises poursuivraient de la même manière une partie à un procès répondant de bonne foi à une ordonnance de justice américaine (Re Air Cargo Shipping Services Antitrust Litig., 278 FRD 51, 54 (EDNY 2010). 36 Article 37 des règles fédérales de procédure civile (Federal Rules of Civil Procedure). 37 Citée en note 31. 38 Dans l’affaire MAAF, Christopher X., ayant fait l’objet de l’arrêt de la Cour de cassation précité, une information judiciaire avait été ouverte sur plainte avec constitution de partie civile de la MAAF. 39 Si la loi de blocage ne prive pas constitutionnellement les entreprises d’exercer leurs droits de la défense, elle a ce résultat de fait lorsqu’une partie française renonce à répondre à une demande de discovery pour ne pas enfreindre la loi de blocage ; v. l’analyse de N. Lenoir sur la constitutionnalité de la loi de blocage, article précité, paragraphe 50s. 40 J. Mattout, « Le droit pénal, la banque et les frontières », Revue de Droit bancaire et financier n° 1, janvier 2010, dossier 5. 41 De plus, certaines situations particulières ne tombent pas dans le champ d’application de la loi de blocage. La transmission de documents et renseignements à l’étranger n’est prohibée que si cette communication intervient en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. La loi n’a pas été rédigée avec l’intention de bloquer les échanges d’informations entre sociétés internationales mais seulement de réguler ces échanges lorsqu’ils découlent de demandes de discovery. De même, la loi de blocage n’est pas applicable aux communications entre un avocat étranger et son client français dans le cadre d’un contentieux. Le ministre de la Justice a précisé en effet que la loi n’a pas « évidemment pour objet […] de limiter ou de contrôler les relations des avocats internationaux avec leur client » ; Réponse du ministre de la Justice (JOAN, 26 janvier 1981, p. 373). 42 L’article L. 511-33 du Code monétaire et financier prévoit que « toute personne qui, à un titre quelconque, participe à la direction ou à la gestion d’un établissement de crédit ou qui est employée par celui-ci, est tenue au secret professionnel dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du Code pénal ». 43 Aux sanctions pénales peuvent s’ajouter des sanctions disciplinaires prononcées par l’autorité de tutelle ; v. J. Lasserre Capdeville, « Le secret bancaire », Banque et Droit, hors-série, mars 2014, p.77 et s. 44 J. Mattout, « Le droit pénal, la banque et les frontières », précit. Ph. Neau-Leduc, « Secret bancaire et frontières », Revue de Droit bancaire et financier n° 1, janvier 2010, dossier 2. 45 Cité en note 31. 46 E. Collomp, « Le secret bancaire », Rapport 2004 de la Cour de cassation. 47 F. Lacroix, « Réforme du secret bancaire – Vers une sécurité accrue des contrats de crédit », Revue Banque n° 706 octobre 2008. 48 Cass. com. 10 février 2015, n° 13-14.779 ; V. Avena-Robardet, « Portée de l’opposabilité du secret bancaire », Dalloz actualité, 24 février 2015. 49 La Commission européenne a récemment rappelé sa position qui « est que les données à caractère personnel détenues par des entreprises dans l’UE ne devraient pas, en principe, être accessibles à des autorités étrangères chargées de faire appliquer la loi, ni leur être transférées, en dehors des canaux de coopération officiels tels que les traités d’entraide judiciaire », Réponse donnée par Mme Jourová au nom de la Commission, Question parlementaire E-001009-15, 7 juillet 2015. 50 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Depuis la transposition en droit national de la directive 95/46/CE, le régime juridique de la protection des données à caractère personnel est harmonisé au niveau européen. 51 Art. 2 Loi n° 78-17 du 6 janvier 1978. 52 O. Proust et C. Burton, « Le conflit de droits entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel… entre le marteau et l’enclume », Revue Lamy Droit de l’immatériel n° 46, février 2009, p.79s. 53 Guide CNIL, « Les transferts de données à caractère personnel hors Union européenne », novembre 2012. 54 Plus précisément, ce sont les transferts en dehors de l’Union européenne et de l’Espace économique européen qui sont interdits, dans la mesure où la Norvège, l’Islande et le Liechtenstein ont transposé la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans leur législation interne. 55 Articles 226-16, 226-16 A et 226-22-1 du Code pénal. La CNIL dispose également de pouvoirs propres de sanction. Ainsi, aux termes de l’article 45 de la loi de 1978 modifiée, elle peut : – prononcer un avertissement qui peut être rendu public ; – mettre en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Après mise en demeure, la Commission peut prononcer à l’encontre du responsable de traitement : – une sanction pécuniaire (allant de 150 000 euros pour le premier manquement à 300 000 euros en cas de manquements réitérés ou 5 % du chiffre d’affaires dans la limite de 300 000 euros pour les entreprises) ; – une injonction de cesser le traitement ou un retrait de l’autorisation accordée. 56 N. Weinbaum, « La protection des données personnelles à l’épreuve du nuage informatique », JCP E, n° 46, 13 novembre 2014, 1578. 57 Sont reconnus comme « adéquats » par la Commission européenne : Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, Guernesey, Jersey, Israël, l’Uruguay et la Suisse. 58 Chris Ninan, « The clash of cultures : discovery and data privacy », Butterworths Journal of International Banking and Financial Law, 24 oct. 2014, p. 586s. Il n’existe pas de législation américaine générale sur les données personnelles mais seulement des législations spécifiques sectorielles. Le concept de données personnelles est réduit aux États-Unis à certains types de données comme les informations d’ordre médical, relatives à la sécurité sociale ou encore de nature bancaire. Dans l’Union européenne, de telles données seraient qualifiées de données personnelles sensibles requérant un degré de protection encore plus important que celui applicables aux données personnelles ; v. The Sedona Conference, Framework For Analysis Of Cross-Border Discovery Conflicts : A Practical Guide To Navigating The Competing Currents Of International Data Privacy And e-Discovery (août 2008). La conception américaine de la protection des données personnelles laisse par ailleurs une large place à l’autorégulation ; v. L. Cytermann, « La loi informatique et libertés est-elle dépassée ? », RFDA 2015, p. 99s. 59 CNIL, « Transferts hors UE : Quelles Formalités ? », http://www.cnil.fr/vos-obligations/ transfert-de-donnees-hors-ue/quelles-formalites/ 60 Exception de l’article 69-3° de la loi Informatique et Libertés. 61 Article 69-3°, précité. 62 À ce titre, le groupe des autorités européennes chargées de la protection des données personnelles (Groupe de travail de l’« article 29 » ou « G29 ») s’est prononcé en défaveur du consentement des personnes concernées comme base légale pour le traitement en raison des difficultés pratiques liées au respect des conditions de validité du consentement. O. Proust et C. Burton, « Les autorités européennes prennent position sur le conflit de droits entre les règles de e-discovery et la protection des données à caractère personnel », Revue Lamy Droit de l’immatériel n° 47, mars 2009, p. 73s. 63 La CNIL ne fournit pas dans ses lignes directrices d’indication de ce qui constitue un « transfert massif » mais a pu indiquer oralement qu’il s’agissait d’un concept relatif devant être analysé au cas par cas. L’élément principal à prendre en compte est le volume de données personnelles transférées et non le nombre de documents. 64 La CNIL et le G29 recommandent en particulier que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés, fassent l’objet d’un encadrement juridique spécifique (BCR, Clauses Contractuelles Types ou Safe Harbor) et ne reposent pas sur les exceptions de l’article 69. 65 Le 6 octobre 2015, la Cour de Justice de l’Union européenne a rendu une décision venant invalider la décision de la Commission européenne sur le niveau de protection assuré par le Safe Harbor (aff. C 362/14, Schrems c/ Data Protection Commissioner). Le Safe Harbor est un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. Cette « sphère de sécurité » ne concerne que les entreprises relevant de la compétence de la Federal Trade Commission ou du Department of transportation. Les établissements bancaires n’entrent donc pas dans son champ d’application. La liste des entreprises ayant adhéré aux principes du Safe Harbor figure sur le site internet du Département du Commerce américain : https ://safeharbor. export. gov/list. aspx. 66 Les BCR désignent un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’Union européenne. Les BCR doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés. 67 Les clauses contractuelles type permettent d’encadrer les transferts de données personnelles hors de l’Union européenne. Elles ont pour but de faciliter la tâche des responsables de traitement par la mise en oeuvre de contrats de transfert. 68 Voir le document de travail du G29 relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995, WP114, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_fr.pdf. 69 Délibération CNIL n° 2009-474 du 23 juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery ». 70 H. de Vauplane, « Les entreprises européennes face à l’extraterritorialité du droit américain », préc., p. 82s. 71 Working document I/2009 on pre-trial discovery for cross border civil litigation, Article 29 Data Protection Working Party, 11 févr. 2009, p. 11. 72 L’autorisation de la CNIL est délivrée dans les conditions de l’article 25, III de la loi Informatique et Libertés et de l’article 103 du décret du 20 octobre 2005 modifié. Il est à souligner que chaque autorisation délivrée par la CNIL est portée à la connaissance de la Commission européenne et des autres autorités de contrôle européennes. 73 M. Dubertret, « Le transfert d’information d’ordre économique ou à caractère personnel », Banque et Droit n° 129, janvier-février 2012, p. 3. 74 Sur les appels à réformer la loi de blocage, voir également E. Caradec, « Loi de blocage : pourquoi une réforme est-elle nécessaire ? », JCP E, n° 39, 24 septembre 2015, 711 ; P. Servan-Schreiber, « Secret des affaires et loi de blocage », Les Échos, 6 octobre 2014 ; A. Dethomas, « Contentieux internationaux : vers la fin de la loi de blocage », Les Échos, 22 mai 2013 et K. Haeri, « Laissez la loi de blocage tranquille ! », précité. Le rapport de Transparence International France de juin 2011, « État de droit menacé : l’indispensable réforme de la justice financière », préconise des dérogations à la loi de blocage, « notamment dans le cas précis où une entreprise confrontée à une affaire de corruption souhaite procéder à une enquête interne ou coopérer avec une administration étrangère ». Voir également le rapport du groupe de travail présidé par C. Mathon, Mission du Haut Responsable chargé de l’intelligence économique – « La protection du Secret des Affaires : Enjeux et propositions », 17 avril 2009, et le compte rendu de l’audition de représentants du Conseil national des barreaux, de l’Association française des juristes d’entreprises et de la Compagnie nationale des conseils en propriété industrielle, Mission d’information « droit des entreprises, enjeux d’attractivité internationale, enjeux de souveraineté », Commission des lois du Sénat, 11 mars 2015. 75 Le Directeur des affaires civiles et du sceau a déjà produit des lettres susceptibles d’être versées à la procédure américaine confirmant la position de la République française quant au caractère exclusif et obligatoire du recours à la Convention de La Haye, rappelant les sanctions pénales attachées à la loi de blocage, indiquant qu’il est apporté un traitement des plus rapides aux demandes d’entraide internationale et précisant la portée du secret bancaire français. 76 Proposition de loi n° 3985 adoptée le 23 janvier 2012 par l’Assemblée nationale, visant à sanctionner la violation du secret des affaires ; K. Haeri, « Laissez la loi de blocage tranquille ! », Gaz. Pal., 29 février-1er mars 2012, p. 7s ; J. Lasserre Capdeville, « La reconnaissance légale du secret des affaires », Lettre Prometheus, http://www.fondationprometheus. org/wsite/publications/newsletter/201301/la-reconnaissance/ (janv. 2013). 77 Il est à noter que M. Carayon à l’origine du texte n’a pas été réélu député lors des élections de juin 2012. Selon K. Haeri, la proposition de loi fut « adoptée le 23 janvier 2012 par les députés mais abandonnée notamment en raison du calendrier des élections présidentielles de 2012 », in « Protection du secret des affaires : nouveau joueur, nouvelle tentative, mêmes erreurs », Dalloz Actualité, 29 janvier 2015. 78 Proposition de loi relative à la protection du secret des affaires, n° 2139, enregistrée à la présidence de l’Assemblée nationale le 16 juillet 2014. 79 Tina J. Kahn, « The Protection of Trading Interests Act of 1980: Britian’s Response to U.S. Extraterritorial Antitrust Enforcement », 2 Nw. J. Int’l L. & Bus. 476 (1980) ; David Lloyd Jones, Protection of Trading Interests Act 1980, The Cambridge Law Journal, vol. 40, n° 1 (avr. 1981), pp. 41-46.

Documents à télécharger:
Link
À retrouver dans la revue
Banque et Droit Nº165
Notes :
44 J. Mattout, « Le droit pénal, la banque et les frontières », précit. Ph. Neau-Leduc, « Secret bancaire et frontières », Revue de Droit bancaire et financier n° 1, janvier 2010, dossier 2.
45 Cité en note 31.
46 E. Collomp, « Le secret bancaire », Rapport 2004 de la Cour de cassation.
47 F. Lacroix, « Réforme du secret bancaire – Vers une sécurité accrue des contrats de crédit », Revue Banque n° 706 octobre 2008.
48 Cass. com. 10 février 2015, n° 13-14.779 ; V. Avena-Robardet, « Portée de l’opposabilité du secret bancaire », Dalloz actualité, 24 février 2015.
49 La Commission européenne a récemment rappelé sa position qui « est que les données à caractère personnel détenues par des entreprises dans l’UE ne devraient pas, en principe, être accessibles à des autorités étrangères chargées de faire appliquer la loi, ni leur être transférées, en dehors des canaux de coopération officiels tels que les traités d’entraide judiciaire », Réponse donnée par Mme Jourová au nom de la Commission, Question parlementaire E-001009-15, 7 juillet 2015.
50 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Depuis la transposition en droit national de la directive 95/46/CE, le régime juridique de la protection des données à caractère personnel est harmonisé au niveau européen.
51 Art. 2 Loi n° 78-17 du 6 janvier 1978.
52 O. Proust et C. Burton, « Le conflit de droits entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel… entre le marteau et l’enclume », Revue Lamy Droit de l’immatériel n° 46, février 2009, p.79s.
53 Guide CNIL, « Les transferts de données à caractère personnel hors Union européenne », novembre 2012.
10 Rapport n° 4159 de M. Carayon au nom de la Commission des lois du 11 janvier 2012, sur la proposition de loi (n° 3985) visant à sanctionner la violation du secret des affaires.
54 Plus précisément, ce sont les transferts en dehors de l’Union européenne et de l’Espace économique européen qui sont interdits, dans la mesure où la Norvège, l’Islande et le Liechtenstein ont transposé la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans leur législation interne.
11 Décret n° 75-250 du 9 avr. 1975 portant publication de la convention sur l’obtention des preuves à l’étranger en matière civile ou commerciale, ouverte à la signature à La Haye le 18 mars 1970, signée par la France le 24 août 1972 : JO 17 avril 1975 pp. 3980-3985. Au 16 décembre 2015, 58 États avaient ratifié la Convention de La Haye (source : http://www.hcch.net/index_en.php?act=conventions.status&cid=82)
55 Articles 226-16, 226-16 A et 226-22-1 du Code pénal. La CNIL dispose également de pouvoirs propres de sanction. Ainsi, aux termes de l’article 45 de la loi de 1978 modifiée, elle peut : – prononcer un avertissement qui peut être rendu public ; – mettre en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Après mise en demeure, la Commission peut prononcer à l’encontre du responsable de traitement : – une sanction pécuniaire (allant de 150 000 euros pour le premier manquement à 300 000 euros en cas de manquements réitérés ou 5 % du chiffre d’affaires dans la limite de 300 000 euros pour les entreprises) ; – une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
12 Conv. De La Haye précit., chapitre I. Dans le cadre de cette procédure, la partie requérante présente une commission rogatoire décrivant le litige, les preuves recherchées, leur utilité et les personnes concernées. Cette demande est ensuite transmise par l’autorité judiciaire de l’État requérant à l’« Autorité centrale » de l’État requis désignée pour en connaître. En France, c’est le ministère de la Justice (bureau de l’entraide civile et commerciale internationale) qui est désigné pour accomplir cette tâche. La mesure d’instruction est effectuée conformément aux règles de procédure de l’État requis, à moins que la partie requérante ne sollicite l’usage de règles propres à la juridiction étrangère, telles que la cross-examination anglaise ou américaine. En pratique ces demandes sont accueillies favorablement par les juridictions françaises (M. Pitron et J.-S. Bazille, « La communication d’informations à une autorité judiciaire étrangère : prudence », La Lettre du Contentieux n° 25, Gide, juin 2011) ; V. P. Dubarry, Ch. Lapp et F. de Bérard, « L’obtention des preuves en France et à l’étranger », JCP G, n° 28, 14 juillet 2014, 834.
56 N. Weinbaum, « La protection des données personnelles à l’épreuve du nuage informatique », JCP E, n° 46, 13 novembre 2014, 1578.
13 En France, le recours à cette méthode est soumis à l’autorisation préalable de la Chancellerie qui exige notamment que la juridiction étrangère justifie le recours à cette méthode plutôt qu’à une commission rogatoire.
57 Sont reconnus comme « adéquats » par la Commission européenne : Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, Guernesey, Jersey, Israël, l’Uruguay et la Suisse.
14 D. Cholet, « Commission rogatoire », Rép. Dalloz, Proc. Civ, para. 49s.
58 Chris Ninan, « The clash of cultures : discovery and data privacy », Butterworths Journal of International Banking and Financial Law, 24 oct. 2014, p. 586s. Il n’existe pas de législation américaine générale sur les données personnelles mais seulement des législations spécifiques sectorielles. Le concept de données personnelles est réduit aux États-Unis à certains types de données comme les informations d’ordre médical, relatives à la sécurité sociale ou encore de nature bancaire. Dans l’Union européenne, de telles données seraient qualifiées de données personnelles sensibles requérant un degré de protection encore plus important que celui applicables aux données personnelles ; v. The Sedona Conference, Framework For Analysis Of Cross-Border Discovery Conflicts : A Practical Guide To Navigating The Competing Currents Of International Data Privacy And e-Discovery (août 2008). La conception américaine de la protection des données personnelles laisse par ailleurs une large place à l’autorégulation ; v. L. Cytermann, « La loi informatique et libertés est-elle dépassée ? », RFDA 2015, p. 99s.
15 Cette appellation est impropre, car la loi ne vise pas à bloquer purement et simplement la transmission de preuves à l’étranger, mais plutôt à en encadrer la collecte dans le respect des conventions internationales. L’appellation de loi « d’aiguillage », « de routage », ou « d’encadrement » serait donc à notre sens plus appropriée.
59 CNIL, « Transferts hors UE : Quelles Formalités ? », http://www.cnil.fr/vos-obligations/ transfert-de-donnees-hors-ue/quelles-formalites/
16 Rapport n° 1814 de M. A. Mayoud au nom de la Commission de la production et des échanges de l’Assemblée nationale, 2e séance du 24 juin 1980, p. 2231s. Pour une description du contexte historique, voir F. Lazar, « L’instruction extraterritoriale de litiges économiques et la défense de la souveraineté des États », in Annuaire français de droit international, vol. 27, 1981, p. 640s.
17 Suite aux travaux des deux assemblées, le gouvernement ayant souhaité initialement en élargir l’application au seul transport aérien : Loi n° 80-538 du 16 juillet 1980.
18 Selon les termes de M. A. Mayoud, rapport précité.
19 Rapport de M. Carayon précité.
1 L. d’Avout, « L’extraterritorialité du droit dans les relations d’affaires », JCP G n° 42, 12 octobre 2015, doctr. 1112 ; M. Audit, R. Bismuth et A. Mignon Colombet, « Sanctions et extraterritorialité du droit américain : quelles réponses pour les entreprises françaises ? », JCP G n° 1-2, 12 janvier 2015, 37 ; H. de Vauplane, « Les entreprises européennes face à l’extraterritorialité du droit américain », Revue Banque n° 724, mai 2010 ; K. Haeri et Th. Chanzy, « La situation juridique des entreprises françaises face aux enquêtes de régulateurs étrangers », Revue des juristes de Sciences Po n° 9, juin 2014, 100.
2 Le 20 octobre 2015, il a été annoncé que le Crédit Agricole devrait payer une amende de 787 millions de dollars au titre d’un accord dans l’affaire des embargos américains ; http://www.dfs.ny.gov/about/press/pr1510201.htm.
3 Le concept de discovery désigne en droit américain la phase préalable au procès au cours de laquelle chaque partie (voire un tiers non mis en cause dans l’instance) doit communiquer à l’autre partie tout élément intéressant le règlement du litige, ces éléments pouvant lui être favorables ou défavorables, quelles que soient leur localisation et leur forme. Les éléments requis peuvent notamment inclure des dépositions de témoins, la production de documents, correspondances papier et électroniques, archives et enregistrements de conversations. Le terme discovery dans cet article inclut également la procédure de pre-trial discovery qui concerne la collecte de preuves avant que l’objet d’un éventuel litige soit précisé. En droit anglais, l’exercice équivalent à la procédure de discovery se nomme disclosure.
4 N. Meyer Fabre, « L’obtention de preuves à l’étranger », Travaux du comité français de droit international privé (2002-2004), Éditions Pedone, 2005.
5 C. proc. civ., art. 9.
6 En France, l’administration de la preuve reste marquée par le vieil adage romain selon lequel « nul n’est tenu de produire contre lui-même », « nemo tenetur edere contra se ».
7 C. proc. civ., art. 11.
8 Rule 26 (Duty to Disclose ; General Provisions Governing Discovery), Federal Rules of Civil Procedure.
9 N. Lenoir, « Le droit de la preuve à l’heure de l’extraterritorialité », RFDA, mai-juin 2014, p. 487.
60 Exception de l’article 69-3° de la loi Informatique et Libertés.
61 Article 69-3°, précité.
62 À ce titre, le groupe des autorités européennes chargées de la protection des données personnelles (Groupe de travail de l’« article 29 » ou « G29 ») s’est prononcé en défaveur du consentement des personnes concernées comme base légale pour le traitement en raison des difficultés pratiques liées au respect des conditions de validité du consentement. O. Proust et C. Burton, « Les autorités européennes prennent position sur le conflit de droits entre les règles de e-discovery et la protection des données à caractère personnel », Revue Lamy Droit de l’immatériel n° 47, mars 2009, p. 73s.
63 La CNIL ne fournit pas dans ses lignes directrices d’indication de ce qui constitue un « transfert massif » mais a pu indiquer oralement qu’il s’agissait d’un concept relatif devant être analysé au cas par cas. L’élément principal à prendre en compte est le volume de données personnelles transférées et non le nombre de documents.
20 On pourrait donc imaginer qu’un juge américain ordonnant une procédure de discovery sans passer par le canal de la Convention de La Haye soit poursuivi en France pour violation de la loi de blocage !
64 La CNIL et le G29 recommandent en particulier que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés, fassent l’objet d’un encadrement juridique spécifique (BCR, Clauses Contractuelles Types ou Safe Harbor) et ne reposent pas sur les exceptions de l’article 69.
21 Toute infraction aux dispositions des articles 1er et 1er bis est punie d’un emprisonnement de six mois et d’une amende de 18 000 euros (le quintuple pour une personne morale, Article 131-38 du code pénal) ou de l’une de ces deux peines seulement, et ce « sans préjudice des peines plus lourdes prévues par la loi ». Par cette référence le législateur aurait voulu viser « d’autres dispositifs tels que ceux protégeant le secret professionnel, les secrets de fabrique ou les secrets de la défense nationale » (voir N. Lenoir, « Le droit de la preuve à l’heure de l’extraterritorialité », RFDA, mai-juin 2014, paragraphe 16), soit les « peines plus lourdes qui pourraient sanctionner les manquements au devoir de discrétion qui s’impose à certaines personnes de par leur fonction » (voir M. Chauty, discussion en deuxième lecture du projet de loi, séance du 30 juin 1980, Sénat JORF S. n° 67 du 1er juillet 1980, p. 3386).
65 Le 6 octobre 2015, la Cour de Justice de l’Union européenne a rendu une décision venant invalider la décision de la Commission européenne sur le niveau de protection assuré par le Safe Harbor (aff. C 362/14, Schrems c/ Data Protection Commissioner). Le Safe Harbor est un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. Cette « sphère de sécurité » ne concerne que les entreprises relevant de la compétence de la Federal Trade Commission ou du Department of transportation. Les établissements bancaires n’entrent donc pas dans son champ d’application. La liste des entreprises ayant adhéré aux principes du Safe Harbor figure sur le site internet du Département du Commerce américain : https ://safeharbor. export. gov/list. aspx.
22 L’hostilité des États de tradition romano-germanique aux procédures de discovery avait conduit à introduire dans la Convention de La Haye une disposition selon laquelle « tout État contractant peut, au moment de la signature, de la ratification ou de l’adhésion, déclarer qu’il n’exécute pas les commissions rogatoires qui ont pour objet une procédure connue dans les États de Common Law sous le nom de “pre-trial discovery of documents” ». La France, lorsqu’elle ratifia ladite convention le 7 août 1974, émit une déclaration en ce sens. Le 19 janvier 1987, elle assouplit sa position en précisant que « la déclaration faite par la République française conformément à l’article 23 relatif aux commissions rogatoires qui ont pour objet la procédure de “pre-trial discovery” of documents ne s’applique pas lorsque les documents demandés sont limitativement énumérés dans la commission rogatoire et ont un lien direct et précis avec l’objet du litige ».
66 Les BCR désignent un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’Union européenne. Les BCR doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés.
23 Décret n° 81-550 du 12 mai 1981. Il ressort des travaux parlementaires, qu’il s’agissait d’offrir une arme juridique permettant aux nationaux français de gagner du temps. Les choses ainsi bloquées un moment devaient permettre « d’élever le conflit au niveau intergouvernemental » (rapport de M. Alain Mayoud, précité, p. 2234).
67 Les clauses contractuelles type permettent d’encadrer les transferts de données personnelles hors de l’Union européenne. Elles ont pour but de faciliter la tâche des responsables de traitement par la mise en oeuvre de contrats de transfert.
24 Ainsi qu’il ressort d’un rapport de 2012 qui indique qu’« en pratique, les services compétents du ministère des Affaires étrangères indiquent recevoir en moyenne une dizaine de signalements par an » (rapport n° 4159 de M. Carayon, précité). Ceci résulterait, d’une part, du fait que les interdictions édictées aux articles 1er et 1er bis de la loi relèveraient de la seule appréciation des personnes intéressées, sous réserve d’un contrôle judiciaire postérieur (Propos du directeur des affaires juridiques du ministère des Affaires étrangères, Gilbert Guillaume, intervenant en 1981 dans une conférence à la Chambre de Commerce International de Paris) et d’autre part de l’absence de portée de l’avis du ministre (« Si l’Administration est consultée, l’avis qu’elle émet ne s’impose ni au juge, ni à la personne qui l’a consultée. L’Administration ne tire de la loi ni le pouvoir de donner une autorisation pour la communication de certains documents, ni celui de consentir une dérogation à l’interdiction générale édictée par la loi » : Cité in F. Lazar. « L’instruction extraterritoriale de litiges économiques et la défense de la souveraineté des États », in Annuaire français de droit international, vol. XXVII, 1981. pp. 649-650).
68 Voir le document de travail du G29 relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995, WP114, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_fr.pdf.
25 Société nationale industrielle aérospatiale c/ United States District Court, 482 U.S. 522 (1987).
69 Délibération CNIL n° 2009-474 du 23 juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery ».
26 Les facteurs à prendre en considération sont nombreux (pas moins de sept !). Les plus significatifs incluent par exemple : l’importance de l’information demandée au regard du litige, le degré de précision de la demande, sa source et son origine ou encore l’existence de méthodes alternatives d’obtention de l’information demandée.
27 Elles ont estimé dans trente et un des trente-trois cas cités dans un article récent que la loi de blocage ne pouvait faire obstacle à la procédure de discovery ; v. P. Grosdidier, « The French Blocking Statute, the Hague Evidence Convention and the case law : lessons for French parties responding to American discovery », Texas International Law Journal, 50 TEX. INT’L. L. J. F. 11 (2014). Les juridictions américaines jugent que la voie de la Convention de La Haye peut s’avérer excessivement coûteuse et soulève des « myriades de problèmes pratiques », notamment d’interprètes, de sténographes, de témoins ou encore de conseils locaux ; v. Doyle, « Taking Evidence By Deposition and Letters Rogatory and Obtaining Documents in Foreign Territory », ABA Section of Int’l & Comp. L., Proceedings 37, 46-49 (1959).
28 Les tribunaux américains considèrent qu’il n’existe « aucune menace réaliste de poursuites » Bodner c/ Banque Paribas, 202 FRD 370 (EDNY 2000), « que la possibilité spéculative de poursuites [était] insuffisante à supplanter les règles fédérales de procédure civile » re Vivendi Universal, S.A. Secs. Litig, n° 02 Civ. 5571(RJH) (HBP), 2006 WL 3378115 at 2-3 (SDNY, 16 nov. 2006)., ou encore qu’il « n’existe pas de risque significatif de poursuites pénales en cas de violation de la loi de blocage française », Strauss c/ Credit Lyonnais SA, 242 FRD 199 (EDNY 2007).
29 M. J. Gottridge et T. Rouhette, « France Puts Some Muscle Behind Its Blocking Statute », New York Law Journal, 29 avril 2008, vol. 239, n° 82.
70 H. de Vauplane, « Les entreprises européennes face à l’extraterritorialité du droit américain », préc., p. 82s.
71 Working document I/2009 on pre-trial discovery for cross border civil litigation, Article 29 Data Protection Working Party, 11 févr. 2009, p. 11.
72 L’autorisation de la CNIL est délivrée dans les conditions de l’article 25, III de la loi Informatique et Libertés et de l’article 103 du décret du 20 octobre 2005 modifié. Il est à souligner que chaque autorisation délivrée par la CNIL est portée à la connaissance de la Commission européenne et des autres autorités de contrôle européennes.
73 M. Dubertret, « Le transfert d’information d’ordre économique ou à caractère personnel », Banque et Droit n° 129, janvier-février 2012, p. 3.
30 Les juridictions anglaises ne réservent pas un accueil plus favorable à la loi de blocage et considèrent que les sujets relevant de la procédure doivent être régis par les lois domestiques du pays dont le tribunal est saisi (au titre de la lex fori). Dans une décision récente, le juge anglais, usant de son pouvoir discrétionnaire, ordonna la procédure de disclosure sur le fondement qu’il était « quasiment inconcevable » qu’un défendeur français soit poursuivi pénalement au titre de la loi de blocage (Heidberg c/ Grosvenor, [1993] Q. B, 324, 325 et National Grid c/ ABB Limited and others, [2013] EWCA Civ 1234).
74 Sur les appels à réformer la loi de blocage, voir également E. Caradec, « Loi de blocage : pourquoi une réforme est-elle nécessaire ? », JCP E, n° 39, 24 septembre 2015, 711 ; P. Servan-Schreiber, « Secret des affaires et loi de blocage », Les Échos, 6 octobre 2014 ; A. Dethomas, « Contentieux internationaux : vers la fin de la loi de blocage », Les Échos, 22 mai 2013 et K. Haeri, « Laissez la loi de blocage tranquille ! », précité. Le rapport de Transparence International France de juin 2011, « État de droit menacé : l’indispensable réforme de la justice financière », préconise des dérogations à la loi de blocage, « notamment dans le cas précis où une entreprise confrontée à une affaire de corruption souhaite procéder à une enquête interne ou coopérer avec une administration étrangère ». Voir également le rapport du groupe de travail présidé par C. Mathon, Mission du Haut Responsable chargé de l’intelligence économique – « La protection du Secret des Affaires : Enjeux et propositions », 17 avril 2009, et le compte rendu de l’audition de représentants du Conseil national des barreaux, de l’Association française des juristes d’entreprises et de la Compagnie nationale des conseils en propriété industrielle, Mission d’information « droit des entreprises, enjeux d’attractivité internationale, enjeux de souveraineté », Commission des lois du Sénat, 11 mars 2015.
31 Dans une première affaire, jugée en 1993, le président du tribunal de commerce de Nanterre rejetait une demande de communication de documents émanant d’un ancien chef d’État étranger qui entendait pouvoir se défendre devant une commission parlementaire constituée au Liban (TGI Nanterre, réf., 22 décembre 1993 : Juris-Data n° 1993-050136). En 2001, la cour d’appel de Versailles refusait d’ordonner la communication d’information par Renault à une société roumaine sur le fondement de l’article 1 bis (CA Versailles 16 mai 2001 : JCP E 2007, 2330). Le tribunal de commerce de Paris jugeait, en 2005, que la décision d’un juge américain d’ordonner à BNP Paribas de divulguer, en dehors de toute procédure de coopération judiciaire internationale, des documents d’ordre économique était « contraire à l’ordre public économique et financier français puisqu’elle se heurtait au secret bancaire et l’article 1er bis de la loi de blocage » (T. com. Paris 20 juillet 2005 : Juris-Data n° 2005-288978). En janvier 2008, la Cour de Cassation rejetait le pourvoi formé contre un arrêt de la chambre de l’instruction qui avait estimé qu’il n’existait pas de charges suffisantes d’avoir commis le délit reproché de violation de la loi de blocage (Cass. crim. 30 janvier 2008 ; n° 06-84098). Plus récemment, la cour d’appel de Nancy, dans un arrêt du 4 juin 2014, a appliqué la loi de blocage en infirmant une ordonnance de référé du tribunal de commerce d’Épinal ayant ordonné communication d’une série impressionnante de documents en tous genres. La cour y confirme l’applicabilité en France de la Convention de La Haye et fait valoir que la demande de communication ne répond pas aux exigences de la réserve exprimée par la France qui exclut formellement toute « pêche aux renseignements » (N. Lenoir, « L’intérêt de la loi du 26 juillet 1968 et l’obtention des preuves au niveau international : un regain d’intérêt », Petites affiches,19 janvier 2015, n° 13, p. 7s).
75 Le Directeur des affaires civiles et du sceau a déjà produit des lettres susceptibles d’être versées à la procédure américaine confirmant la position de la République française quant au caractère exclusif et obligatoire du recours à la Convention de La Haye, rappelant les sanctions pénales attachées à la loi de blocage, indiquant qu’il est apporté un traitement des plus rapides aux demandes d’entraide internationale et précisant la portée du secret bancaire français.
32 Cass. crim. 12 décembre 2007, MAAF, Christopher X., n° 07-83.228. : obs. M. Danis, JCP E, n° 25, 28 août 2008, p. 21s. ; Rev. sociétés 2008. 882, note D. Barlow. Dans ce procès, le commissaire aux assurances de l’État de Californie accusait le Crédit Lyonnais d’avoir organisé le rachat par une société d’assurance française, la MAAF, de la société d’assurance Executive Life en violation des règles californiennes. La District Court fédérale de Californie avait émis une requête au titre de la Convention de La Haye, mais en parallèle, un avocat français, correspondant du conseil américain du commissaire aux assurances, avait cherché à obtenir par téléphone, de manière peu déontologique, des renseignements sur les conditions du rachat d’Executive Life auprès d’un ancien administrateur de la MAAF, et notamment sur les circonstances dans lesquelles les décisions du conseil d’administration avaient été adoptées.
76 Proposition de loi n° 3985 adoptée le 23 janvier 2012 par l’Assemblée nationale, visant à sanctionner la violation du secret des affaires ; K. Haeri, « Laissez la loi de blocage tranquille ! », Gaz. Pal., 29 février-1er mars 2012, p. 7s ; J. Lasserre Capdeville, « La reconnaissance légale du secret des affaires », Lettre Prometheus, http://www.fondationprometheus. org/wsite/publications/newsletter/201301/la-reconnaissance/ (janv. 2013).
33 Puisque la recherche d’information est suffisante à constituer l’infraction au titre de l’article 1 bis.
77 Il est à noter que M. Carayon à l’origine du texte n’a pas été réélu député lors des élections de juin 2012. Selon K. Haeri, la proposition de loi fut « adoptée le 23 janvier 2012 par les députés mais abandonnée notamment en raison du calendrier des élections présidentielles de 2012 », in « Protection du secret des affaires : nouveau joueur, nouvelle tentative, mêmes erreurs », Dalloz Actualité, 29 janvier 2015.
34 Il s’agit par ailleurs d’un arrêt de rejet d’un pourvoi, non publié.
78 Proposition de loi relative à la protection du secret des affaires, n° 2139, enregistrée à la présidence de l’Assemblée nationale le 16 juillet 2014.
35 Strauss c/ Crédit Lyonnais, S.A., 249, FRD 429 (Eastern District of New York, 2008). Dans une autre affaire, un juge new-yorkais nota que l’avocat sanctionné n’avait agi ni au titre d’une demande de discovery ni d’une ordonnance émanant d’un tribunal californien, estimant donc que la décision Executive Life n’était pas nécessairement révélatrice du fait que les autorités françaises poursuivraient de la même manière une partie à un procès répondant de bonne foi à une ordonnance de justice américaine (Re Air Cargo Shipping Services Antitrust Litig., 278 FRD 51, 54 (EDNY 2010).
79 Tina J. Kahn, « The Protection of Trading Interests Act of 1980: Britian’s Response to U.S. Extraterritorial Antitrust Enforcement », 2 Nw. J. Int’l L. & Bus. 476 (1980) ; David Lloyd Jones, Protection of Trading Interests Act 1980, The Cambridge Law Journal, vol. 40, n° 1 (avr. 1981), pp. 41-46.
36 Article 37 des règles fédérales de procédure civile (Federal Rules of Civil Procedure).
37 Citée en note 31.
38 Dans l’affaire MAAF, Christopher X., ayant fait l’objet de l’arrêt de la Cour de cassation précité, une information judiciaire avait été ouverte sur plainte avec constitution de partie civile de la MAAF.
39 Si la loi de blocage ne prive pas constitutionnellement les entreprises d’exercer leurs droits de la défense, elle a ce résultat de fait lorsqu’une partie française renonce à répondre à une demande de discovery pour ne pas enfreindre la loi de blocage ; v. l’analyse de N. Lenoir sur la constitutionnalité de la loi de blocage, article précité, paragraphe 50s.
40 J. Mattout, « Le droit pénal, la banque et les frontières », Revue de Droit bancaire et financier n° 1, janvier 2010, dossier 5.
41 De plus, certaines situations particulières ne tombent pas dans le champ d’application de la loi de blocage. La transmission de documents et renseignements à l’étranger n’est prohibée que si cette communication intervient en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. La loi n’a pas été rédigée avec l’intention de bloquer les échanges d’informations entre sociétés internationales mais seulement de réguler ces échanges lorsqu’ils découlent de demandes de discovery. De même, la loi de blocage n’est pas applicable aux communications entre un avocat étranger et son client français dans le cadre d’un contentieux. Le ministre de la Justice a précisé en effet que la loi n’a pas « évidemment pour objet […] de limiter ou de contrôler les relations des avocats internationaux avec leur client » ; Réponse du ministre de la Justice (JOAN, 26 janvier 1981, p. 373).
42 L’article L. 511-33 du Code monétaire et financier prévoit que « toute personne qui, à un titre quelconque, participe à la direction ou à la gestion d’un établissement de crédit ou qui est employée par celui-ci, est tenue au secret professionnel dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du Code pénal ».
43 Aux sanctions pénales peuvent s’ajouter des sanctions disciplinaires prononcées par l’autorité de tutelle ; v. J. Lasserre Capdeville, « Le secret bancaire », Banque et Droit, hors-série, mars 2014, p.77 et s.