AccueilActualité du droitConfidentialité et RGPD – le cas du Royaume-Uni

Edhec Confidentialité et RGPD – le cas du Royaume-Uni

Principal droit et devoir éthique d'un avocat, la confidentialité de ses échanges est un privilège pour ses clients qui peut parfois subir des atteintes. Focus sur le cas spécifique de la protection de la confidentialité par le no
Confidentialité et RGPD – le cas du Royaume-Uni
© DR

DroitActualité du droit Publié le ,

Le rôle de la confidentialité en common law

La confidentialité est l'état ou la qualité d'être traité comme privé. En effet, les communications confidentielles sont celles qui sont “ faites dans des circonstances montrant que l'auteur de la déclaration ne la destinait que pour les oreilles de son interlocuteur "[1].

La plus ancienne communication couverte par les privilèges de confidentialité est celle entre l'avocat et son client. Le privilège est fondé sur la considération qu'un avocat ne peut préparer adéquatement une affaire que si le client est libre de révéler tout ce qui est nuisible ou utile. Par conséquent, la confidentialité est devenue le principal droit et devoir éthique d'un avocat. 

Le rôle principal de la confidentialité est de permettre aux citoyens de s'informer sur le droit en consultant leurs avocats. Toutefois, la consultation doit permettre de s'assurer qu'ils n'encourent pas une plus grande responsabilité. Pourtant, la confidentialité peut entraver la bonne administration de la justice. En effet, d'une part, la confidentialité constitue une protection limitée contre la divulgation, considérée comme nécessaire dans un système judiciaire contradictoire. Mais d’autre part, elle pourrait "servir d'abri aux coupables"[2].

Bien que le privilège soit absolu, le client peut y renoncer, par inadvertance ou volontairement.

Le nouveau UK-GDPR : une protection de la confidentialité incertaine ou forte ?

Au Royaume-Uni, avec l'avènement du Brexit, le régime provenant du Réglement de l'UE a été remplacé par le nouveau UK-GDPR qui - aux côtés de la loi sur la protection des données de 2018 (DPA 2018) et du PECR[3] - régit tous les traitements de données personnelles des personnes situées sur le territoire du Royaume-Uni. Le UK-GDPR a modifié le DPA 2018, en conservant intacts la quasi-totalité de ses dispositions et, par conséquent, celles du Réglement de l'UE.

Nous proposons ci-dessous une analyse synthétique du rôle joué par la confidentialité dans le DPA 2018[4] , en comparant les règles du Réglement de l'UE avec celles du nouveau UK-GDPR.

Le DPA 2018 - qui n'a pas été substantiellement modifié par le nouveau UK-GDPR à cet égard - restreint plusieurs droits (accès, collecte de données, principe général de l'article 5) si les données sont constituées d'informations " à l'égard desquelles un devoir de confidentialité est dû par un conseil juridique professionnel à un client du conseil " ou " des informations à l'égard desquelles une revendication du secret professionnel (...) pourrait être maintenue dans le cadre d'une procédure judiciaire...”[5] (para 19(b), Schedule 2, DPA).

L'exception semble inclure également les données non couvertes par le legal privilege, puisque la confidentialité n'ajoute rien au legal privilège déjà existant. Cependant, la notion de confidentialité reste indéfinie. En effet, l'intervention de la Solicitors Regulation Authority - qui énonce que les avocats doivent "garder les affaires de leurs clients confidentielles à moins que la divulgation ne soit requise ou permise par la loi ou que le client n'y consente" - renforce les doutes. En fait, l'application de cette définition élargit considérablement l'exception, puisque l'expression "affaires des clients" peut inclure plusieurs aspects. L'effet pratique est que l'annexe 2 a étendu la portée de l'exception contenue dans le DPA. En effet, l'obligation de confidentialité renforce la protection du legal privilege, y compris dans d'autres situations[6].

Un legal privilege renforcé sur le modèle du DPA britannique - et donc la confidentialité - peut être considéré comme la conséquence naturelle RGPD européen et du nouveau UK-GDPR. En effet, leur champ d'application assure une protection accrue des droits et libertés des personnes en protégeant le traitement de leurs données. Ce dernier couvre une très large catégorie d'actions auxquelles les données personnelles peuvent être soumises. Dans le domaine juridique, par exemple, l'avocat pourrait collecter, enregistrer, organiser, structurer, stocker, utiliser, consulter et détruire les données du client - sous réserve de l'obligation de ne pas les divulguer. Par conséquent, les données qui ne peuvent être traitées parce qu'elles sont protégées par un legal privilege sont davantage protégées par les restrictions prévues par réglementations européennes et britanniques.

La confidentialité a une double fonction de garantie. En effet, selon l'article 5 des deux réglementations[7], la première fonction consiste à appliquer le principe d'intégrité et de confidentialité dans le traitement des données. Elle garantit la sécurité des données - y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou la détérioration accidentelle - au moyen de mesures techniques ou organisationnelles appropriées[8]. La seconde fonction, en revanche, est fondée sur l'article 23 des deux règlementations[9], qui prévoit la restriction de certains droits afin d'en sauvegarder d'autres, en empêchant éventuellement le traitement des données. Il s'agit d'une procédure de mise en balance des droits, qui caractérise tous les systèmes démocratiques. 

En fait, la collecte de données personnelles auprès des personnes concernées ou de tiers, la confirmation du traitement, l'accès aux données et les garanties pour les transferts vers des pays tiers, ainsi que les principes généraux du RGPD peuvent être restreints - de manière nécessaire et proportionnelle - en cas de legal privilege. La première raison est le respect des droits et libertés fondamentaux des personnes. Deuxièmement, la possibilité de divulguer des informations personnelles de manière confidentielle à l'avocat protège également le fonctionnement démocratique de la société, fondé sur la connaissance et l'application du droit.  Le legal privilege, ainsi que la confidentialité dans les deux réglementations - toujours pour garantir la liberté des individus - permettent à la personne concernée d'autoriser le traitement des données personnelles par consentement. Consentement qui - libre, éclairé, sans ambiguïté - peut être retiré à tout moment.

Les dispositions du nouveau UK-GDPR est spéculaire à celles du RGPD européen, comme le souligne la comparaison précédente. Par conséquent, la protection du legal privilege - et donc de la confidentialité - bénéficie d'un cadre juridique solide. Au Royaume-Uni, les lois de référence ne sont toutefois plus celles des États membres de l'UE ou de l'UE en général, mais celles émises au sein du Royaume.

Par conséquent, le Brexit n'a pas affecté la protection des données nationales - pour les raisons mentionnées ci-dessus - ni celle des données appartenant à des citoyens de l'UE. En fait, dans le cas où une organisation britannique traite des données, offre des biens et des services à - ou surveille le comportement de - résidents de l'UE, la coordination requise entre la réglementation britannique et le RGPD de l'UE est réalisée par le biais d'une procédure de conformité au RGPD divisée en huit étapes[10]. Enfin, en juin 2021, deux décisions d'adéquation[11] ont confirmé que la législation britannique sur la protection des données en ce qui concerne les transferts de données en vertu du RGPD de l'UE et de la LED[12] est adequate.

Les risques pour la confidentialité dans les procédures judiciaires

La plupart des tribunaux, tout en disposant de nombreux outils pour garantir la confidentialité des données, sont partisans d'une "justice ouverte"[13]. Par conséquent, lorsque des informations confidentielles et privilégiées sont introduites dans une procédure judiciaire, la personne concernée court le risque qu'elles soient divulguées, ce qui a des conséquences sur la sphère commerciale et, surtout, sur la sphère personnelle.

L'idée qui sous-tend le concept de "justice ouverte" est que l'autre partie doit avoir accès à toutes les informations pertinentes et que la procédure doit être publique. En effet, les parties doivent connaître les aspects substantiels de la procédure en cours, notamment afin d'exercer pleinement leurs droits de la défense. Par conséquent, la quantité d'informations confidentielles est réduite au minimum et doit être soutenue par des raisons justifiées.

La partie intéressée dispose de plusieurs options pour préserver la confidentialité des informations. En ce qui concerne les documens officiels utilisés par les juges, la partie peut demander le " scellement du dossier du tribunal " pour protéger les informations confidentielles, bien qu'il s'agisse d'un choix extrême. En fait, la pratique courante consiste à joindre une " annexe confidentielle " aux documents officiels pour empêcher la divulgation d'informations à des tiers. Par ailleurs, pour les documents autres que les documents officiels, un tiers peut, si le tribunal l'autorise, obtenir des archives judiciaires une copie de tout autre document déposé par une partie, ou une communication entre le tribunal et une partie ou une autre personne. Dans un tel cas, la décision est donc renvoyée au tribunal dont la seule limite est d'agir dans l'intérêt de la justice. 

D'autre part, la partie à laquelle un document a été divulgué est soumise à un engagement implicite de l'utiliser aux fins de la procédure dans laquelle il a été divulgué. Comme les parties peuvent, intentionnellement ou non, violer cet engagement implicite, il existe d'autres recours, comme les “ confidentialy clubs ”[14] ou les audiences privées. Toutefois, les protections mentionnées peuvent ne pas être suffisantes; c'est pourquoi - lorsque les conditions sont réunies - la partie peut demander une injonction pour préserver la confidentialité[15].

Malgré les mesures d'atténuation prévues par le système de " justice ouverte ", ce dernier continue d'entrer en conflit avec la protection renforcée de la confidentialité proposée par le RGPD. En effet, la divulgation d'informations confidentielles et privilégiées entraine une " atteinte grave à la vie privée et à la confidentialité des affaires du justiciable ”. En proposant des solutions radicales, on risque d'offrir une forte protection aux individus en termes de confidentialité des informations personnelles ou commerciales, tout en atténuant le droit de la défense dans les procédures judiciaires. A l'inverse, la confidentialité peut périr à cause des droits de la défense.

Une solution équilibrée peut être l'application des critères jurisprudentiels suivants[16] :

  1. Différencier la perte de privilège de la perte de confidentialité.
    ll y a une différence entre les informations contenues dans le document et le document lui-même. La confidentialité du document se perd en fonction du degré de divulgation de l'information et en fonction de la pertinence du document et du déroulement de la procédure.
  1. Les principes de proportionnalité et de caractère raisonnable.
    La divulgation selon le modèle E du nouveau “Disclosure Pilot” exige que les parties démontrent que " l'étendue de la divulgation demandée soit non seulement proportionnée en termes de temps et de coût, mais également nécessaire pour déterminer le point en question ".
  1. Solution pour la tension entre la confidentialité et le droit à la divulgation appropriée.
    Le juge doit trouver un équilibre entre le fait de permettre aux parties de préserver la confidentialité des informations personnelles/commerciales et la charge qui leur incombe de divulguer pleinement et correctement ces informations à l'autre partie. L'élément principal à prendre en considération - surtout dans un contexte commercial - est la confiance que les parties accordent à ces informations.

Par conséquent, la pertinence des informations divulguées, leur valeur commerciale et les formes de divulgation qualifiée qui représentent un juste équilibre des intérêts concurrents peuvent protéger les deux droits ci-dessus.

L'introduction du RGPD a conduit à la nécessité d'équilibrer la protection de la confidentialité avec d'autres droits garantis par les systèmes démocratiques, tels que les droits de la défense dans les procédures judiciaires. Parfois, les procédures prévues par les lois ou les réglementations ne sont pas suffisantes. En fait, dans le cas du Royaume-Uni, l'application de principes jurisprudentiels a permis de trouver un équilibre. La même approche peut également être exportée vers les systèmes de droit civil, si la nécessité de garantir la confidentialité entre en conflit avec les règles et principes des systèmes juridiques.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute



[1] Traduit de : https://core.ac.uk/download/pdf/216910171.pdf

[2] Traduit de : ibidem

[3] Privacy and Electronic Communications Regulations

[4] Lequel, a cet égard, n’a pas été modifié dans son contenu par le RGPD britannique.

[5] https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted

[6] https://www.farrer.co.uk/news-and-insights/check-your-privilege/

[7] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/

[8] https://protezionedatipersonali.it/sicurezza-nel-trattamento

https://www.itgovernance.eu/blog/en/the-gdpr-understanding-the-6-data-protection-principles#:~:text=Integrity%20and%20confidentiality&text=processed%20in%20a%20manner%20that,appropriate%20technical%20or%20organisational%20measures%E2%80%9D

[9] En fait, les amendements au DPA 2018 sont de pure forme et ne concernent pas la substance même des mesures. https://www.legislation.gov.uk/uksi/2019/419/schedule/1/paragraph/19#schedule-1-paragraph-19-3

[10] https://www.itgovernance.co.uk/gdpr-compliance-checklist

[11] Elles devraient durer jusqu’au 25 juin 2025 https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/adequacy/

[12] Law Enforcement Directive

[13]https://www.cms-lawnow.com/ealerts/2013/09/protecting-confidential-information-in-litigation?cc_lang=en 

[14] Il s’agit d’un accord occasionnellement conclu par les parties à un litige pour réduire le risque que des documents confidentiels soient utilisés en dehors du litige.

[15] Voir https://www.cms-lawnow.com/ealerts/2013/09/protecting-confidential-information-in-litigation?cc_lang=en

Et aussi https://www.liv.asn.au/LIV-Home/Practice-Resources/Law-Institute-Journal/Archived-Issues/LIJ-February-2003/Protection-of-confidential-information-in-litigati

[16] https://www.mayerbrown.com/en/perspectives-events/publications/2020/02/when-does-confidential-information-fail-to-be-disclosed-in-litigation-a-timely-reminder-from-the-high-court

Partage
Envoyer à un ami
Connexion
Mot de passe oublié ?