Langues

Le choc des titans : GDPR et arbitrage international - un regard sur l'avenir

Publications: novembre 10, 2021

Retour à l'aperçu

Auteurs

Catherine Raudaschl

Guides d'experts connexes

Introduction

Ces dernières années, des questions se sont posées quant aux implications pratiques de la confidentialité des données personnelles et de la cybersécurité sur la conduite effective des arbitrages internationaux - en particulier si l'on tient compte du rythme constant de l'évolution technologique.

Le règlement général sur la protection des données (RGPD)[1] a fêté son deuxième anniversaire en mai 2020. Le cadre de protection des données à caractère personnel du GDPR vise à garantir la libre circulation des données à caractère personnel de " personne(s) physique(s) identifiée(s) ou identifiable(s) "[2] Il s'applique au sein de l'Union européenne et a un champ d'application extraterritorial qui peut s'étendre en dehors de l'UE[3] Le GDPR peut affecter non seulement toutes les personnes physiques ou morales, mais soumet également les autorités publiques, les agences et autres organismes - y compris éventuellement les organisations internationales - à des obligations en matière de protection des données à caractère personnel[4].[Les sanctions prévues par le GDPR peuvent s'élever à 4 % du chiffre d'affaires annuel mondial de l'exercice précédent ou à 20 millions d'euros, le montant le plus élevé étant retenu[5]. La nécessité de prendre son application au sérieux a déjà été établie par les amendes de plusieurs millions d'euros qui ont été imposées dans de nombreuses juridictions[6].

Bien que l'application des lois sur la protection des données personnelles à l'arbitrage soit établie, la manière dont ces lois doivent être appliquées ne l'est pas. C'est pourquoi le Conseil international pour l'arbitrage commercial (ICCA) et l'Association internationale du barreau (IBA) ont créé en février 2019 un groupe de travail conjoint sur la protection des données dans les procédures d'arbitrage international, dans le but de produire un guide qui fournit des orientations pratiques sur la protection des données personnelles dans le cadre de l'arbitrage international. Le groupe de travail a publié un projet de consultation de ce guide en mars 2020[7]. Le présent commentaire sera basé sur ce projet de feuille de route (la feuille de route)[8], la version finale et révisée de la feuille de route devant être publiée en septembre 2021. Bien que le délai pour les commentaires sur le projet de consultation soit dépassé au moment de la rédaction de ce document, la version préliminaire de la feuille de route illustre néanmoins les questions soulevées par le GDPR dans les arbitrages internationaux. Elle sera donc utilisée comme base de discussion.

La plupart des lois sur la protection des données à caractère personnel sont obligatoires dans les procédures d'arbitrage, ce qui signifie qu'elles prescrivent

  • quelles données à caractère personnel peuvent être traitées
  • où ;
  • par quels moyens ;
  • avec quelles mesures de sécurité de l'information ; et
  • pendant combien de temps[9].

Elles ne traitent toutefois pas de la manière dont ces obligations contraignantes doivent être respectées dans le cadre des procédures d'arbitrage. En l'absence d'orientations spécifiques de la part des régulateurs, la feuille de route vise à aider les professionnels de l'arbitrage à identifier et à comprendre les obligations en matière de protection des données à caractère personnel et de la vie privée auxquelles ils peuvent être soumis dans le cadre d'un arbitrage international. En outre, l'étendue de la protection offerte par le GDPR reste pertinente dans les procédures d'arbitrage international, notamment en ce qui concerne l'application des lois GDPR aux arbitrages se déroulant en dehors de l'UE. Si le GDPR s'applique à l'arbitrage, il y a plusieurs autres implications : premièrement, le traitement des données personnelles est-il interdit et deuxièmement, existe-t-il des restrictions sur les transferts de données personnelles en dehors de l'UE ? Enfin, compte tenu de la fréquence croissante des cyberattaques, les conséquences d'une telle attaque sur un arbitrage pourraient entraîner des dommages importants.

Cet article vise à commenter la feuille de route et à explorer les mesures pratiques qui devraient être prises en compte en ce qui concerne les obligations de protection des données à caractère personnel dans les procédures d'arbitrage international. Il considère la feuille de route comme un outil prometteur, bien qu'incomplet, pour compléter les diverses tentatives d'harmonisation de l'arbitrage international, notamment les instruments de l'IBA et de la Commission des Nations unies pour le droit commercial international (CNUDCI).

Tout d'abord, un bref résumé de la feuille de route sera présenté, avec une référence aux principes du GDPR. Il ne s'agit pas d'une présentation exhaustive, mais plutôt d'une introduction aux principaux points de la feuille de route, afin de mettre le lecteur en contexte pour la suite de la discussion. Ensuite, un commentaire sera fourni sur six questions pertinentes :

  • l'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE ;
  • le GDPR dans le contexte des arbitrages de l'Accord de libre-échange nord-américain (ALENA), comme illustré dans l'affaire Tennant Energy, LLC contre le gouvernement du Canada ;[10]
  • la question de la vidéoconférence, dont l'importance s'est considérablement accrue tout au long de la pandémie de COVID-19, y compris des références au "Protocole ICCA-NYC Bar-CPR sur la cybersécurité dans l'arbitrage international" (Protocole sur la cybersécurité)[11], aux lignes directrices de l'IBA sur la cybersécurité[12] et à la Note d'orientation de la CCI sur les mesures possibles visant à atténuer les effets de la pandémie de COVID-19 ;[13]
  • les "tiers financeurs" et la manière dont ils sont pris en compte dans la feuille de route ;
  • l'utilisation abusive du GDPR, en particulier comme bouclier pour la non-divulgation ; et
  • la possibilité d'utiliser le non-respect des exigences en matière de protection des données à caractère personnel comme moyen d'annulation ou de refus de reconnaissance et d'exécution de la sentence arbitrale.

Des réflexions finales seront présentées dans la conclusion.

La feuille de route

Les personnes physiques et morales sont soumises à l'obligation de protéger les données à caractère personnel des personnes concernées. L'arbitrage lui-même n'est pas soumis à des obligations de protection des données à caractère personnel. Toutefois, si un seul participant à l'arbitrage est soumis à des obligations en matière de protection des données à caractère personnel, l'arbitrage peut être affecté dans son ensemble. L'application des lois sur la protection des données à caractère personnel dépend de la question de savoir si le traitement des données à caractère personnel entre dans le champ d'application législatif, matériel et juridictionnel[14].

Les lois modernes sur la protection des données à caractère personnel s'appliquent chaque fois que des données à caractère personnel concernant une personne concernée sont traitées dans le cadre d'activités relevant du champ d'application juridictionnel des lois pertinentes sur la protection des données à caractère personnel[15]. Les données à caractère personnel comprennent "toute information concernant une personne physique identifiée ou identifiable"[16]. Au cours d'une procédure d'arbitrage classique, d'importantes quantités d'informations sont échangées, concernant notamment les parties, leurs conseils, le tribunal et les tiers. En tant que telles, elles sont susceptibles d'être considérées comme relevant de la définition des "données à caractère personnel". Les "personnes concernées" sont les personnes susmentionnées qui sont identifiées ou identifiables[17] Le traitement comprend des opérations actives et passives, et donc l'utilisation, la diffusion et la suppression de données à caractère personnel, ainsi que la réception, l'organisation et le stockage de données à caractère personnel[18].[Le champ d'application englobe des actions chaque fois que des données à caractère personnel sont traitées dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'UE[19] et de manière extraterritoriale, par exemple lorsque des données à caractère personnel sont transférées en dehors de l'UE à des entités ou des personnes qui ne sont pas, pour d'autres raisons, déjà soumises au GDPR[20].

Les arbitres seront qualifiés de responsables du traitement des données, ce qui signifie qu'ils seront responsables du respect des lois sur la protection des données à caractère personnel. Toutefois, sur la base de la définition de "responsable du traitement"[21], la plupart des participants à l'arbitrage[22] sont susceptibles d'être considérés comme tels, y compris les conseils, les parties et l'institution. Les responsables du traitement peuvent déléguer le traitement des données à des sous-traitants[23], qui seront sous leur contrôle et devront conclure des accords de traitement des données dans les conditions prescrites par la loi applicable. Ainsi, les secrétaires, transcripteurs, traducteurs et autres sont tous susceptibles d'être considérés comme des sous-traitants. Il y a aussi la question des responsables conjoints du traitement qui déterminent ensemble les finalités et les moyens du traitement des données. La notion de contrôle conjoint est interprétée de manière large, mais la responsabilité du contrôleur conjoint est limitée au traitement qu'il a déterminé, à sa finalité et à ses moyens, et non à l'ensemble du traitement[24].

Dans les arbitrages internationaux, les restrictions sur les transferts de données à caractère personnel entre juridictions sont un moyen évident d'appliquer les lois sur la protection des données à caractère personnel. Les antécédents des différents participants à l'arbitrage détermineront l'application de différents régimes de protection des données à caractère personnel. Les lois modernes sur la protection des données personnelles limitent les transferts de données personnelles vers des pays tiers afin de garantir que les obligations légales ne sont pas contournées par le transfert de données personnelles vers des juridictions où les normes de protection des données personnelles sont moins élevées[25] Le GDPR autorise les transferts de données personnelles vers des pays tiers si l'une des conditions suivantes est remplie :

  • le pays a été jugé par la Commission européenne comme offrant une protection adéquate des données à caractère personnel ;
  • l'une des garanties expressément énumérées est mise en place ;
  • une dérogation autorisant les transferts lorsqu'ils sont nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ; ou
  • l'intérêt légitime impérieux d'une partie[26].

Ces règles s'appliquent aux participants à l'arbitrage et non à l'arbitrage dans son ensemble, ce qui oblige chaque participant à l'arbitrage à s'interroger sur les restrictions au transfert de données à caractère personnel qui s'appliquent à lui.

Les principes de protection des données à caractère personnel applicables à l'arbitrage comprennent le traitement loyal et licite, la proportionnalité, la minimisation des données, la limitation des finalités, les droits des personnes concernées, l'exactitude, la sécurité des données, la transparence et la responsabilité[27].

Quelques-uns de ces principes méritent d'être commentés. Le traitement loyal et licite signifie que les données à caractère personnel ne doivent être traitées que d'une manière à laquelle les personnes concernées s'attendent raisonnablement et qu'il doit y avoir une base juridique pour le traitement. En appliquant le principe de loyauté, la partie et son conseil doivent se demander si, dans le contexte de tous les faits, les personnes concernées se seraient attendues à ce que leurs données à caractère personnel soient traitées de cette manière, si cela aura des conséquences négatives pour elles et si ces conséquences sont justifiées. Ce principe n'empêchera pas que des données à caractère personnel trouvées dans des courriers électroniques professionnels soient admises comme preuves.

La notion de traitement licite implique une base juridique fondée sur les faits et spécifique à chaque cas. Plutôt que de s'appuyer sur le consentement, il convient d'invoquer les bases juridiques spécifiques prévues par le GDPR[28].

La proportionnalité exige un examen de la nature, de la portée, du contexte et des finalités du traitement par rapport aux risques encourus par la personne concernée[29] ; la minimisation des données exige que les participants à l'arbitrage limitent le traitement aux données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire[30].[La transparence exige que les personnes concernées soient informées du traitement et de la finalité du traitement des données à caractère personnel par le biais d'avis généraux, de notifications spécifiques ou des deux[31]. L'obligation de rendre compte concerne la responsabilité personnelle du respect de la protection des données, ce qui signifie que les participants à l'arbitrage doivent documenter toutes les mesures et décisions prises en matière de protection des données à caractère personnel afin de démontrer le respect de la législation[32].

Le respect de la protection des données à caractère personnel affecte chaque étape de la procédure d'arbitrage international, non seulement pendant l'arbitrage lui-même, mais aussi pendant les préparatifs. Dès le départ, les participants à l'arbitrage doivent déterminer quelles lois sur la protection des données personnelles s'appliquent à eux-mêmes et aux autres participants à l'arbitrage, et quels participants à l'arbitrage traiteront des données personnelles en tant que responsables du traitement, sous-traitants ou responsables conjoints du traitement. Les règles de transfert des données personnelles des pays tiers et les accords de traitement des données personnelles concernant les prestataires de services tiers doivent également être pris en compte. Au cours du processus de collecte et d'examen des documents, les parties et leurs conseillers juridiques ont besoin d'une base légale pour les activités de traitement et les transferts de données à caractère personnel vers des pays tiers[33].

La demande d'arbitrage, ainsi que les soumissions ultérieures, comprendront des données à caractère personnel qui relèvent directement du domaine du traitement. Si une institution d'arbitrage est liée par les lois applicables en matière de protection des données à caractère personnel, elle doit tenir compte des obligations potentielles en matière de protection des données à caractère personnel qui s'appliquent à chaque étape de la procédure. Si une institution d'arbitrage est soumise au GDPR, elle devient généralement un responsable du traitement des données à caractère personnel. Pour se conformer aux articles 13 et 14 du GDPR, une telle institution devrait inclure des informations concernant les mesures de sécurité, l'exercice des droits des personnes concernées, la tenue des registres et les politiques de violation et de conservation des données dans son avis de confidentialité[34] Les organisations internationales administrant des arbitrages entre investisseurs et États peuvent toutefois être exclues du champ d'application des lois sur la protection des données à caractère personnel en raison de privilèges et d'immunités dans l'État constitutif ou dans un accord avec le pays d'accueil. Des considérations distinctes doivent donc être faites ici, notamment pour savoir si l'organisation est liée par les lois sur la protection des données à caractère personnel et si - et dans quelle mesure - les participants à l'arbitrage seraient couverts par des privilèges et immunités[35].

Lors de la nomination d'arbitres au sein d'un tribunal arbitral, des quantités importantes de données personnelles d'arbitres potentiels sont généralement échangées. Les participants à l'arbitrage devraient inclure la base juridique du traitement de ces données personnelles dans leurs mentions légales et notifier expressément aux arbitres dont la nomination est envisagée le traitement de leurs données personnelles, en particulier en cas de transfert de données personnelles vers un pays tiers[36].

Une fois l'arbitrage en cours, les responsabilités en matière de respect de la protection des données à caractère personnel doivent être attribuées rapidement afin de minimiser les risques. La protection des données personnelles devrait être inscrite à l'ordre du jour de la première conférence procédurale, et les participants à l'arbitrage devraient s'efforcer de se mettre d'accord sur la manière d'aborder le respect de la protection des données personnelles le plus tôt possible. Les parties, leurs conseils et les arbitres devraient envisager de conclure un protocole de protection des données personnelles afin de gérer efficacement les questions de conformité. Lorsque cela n'est pas possible, le tribunal peut aussi les inclure dans l'ordonnance de procédure numéro un[37].

Dans le processus de production et de divulgation des documents, le principe de minimisation des données à caractère personnel est particulièrement pertinent. En vertu du GDPR, il faudrait probablement

  • limiter les données à caractère personnel divulguées à ce qui est pertinent et non duplicatif ;
  • d'identifier les données à caractère personnel contenues dans les documents communiqués ; et
  • d'expurger ou de pseudonymiser les données à caractère personnel inutiles.

Ces questions devraient également être examinées à un stade précoce de la procédure, de préférence lors de la première conférence de procédure ou avant[38].

Lorsqu'il s'agit de rendre des sentences, les arbitres et les institutions devraient examiner le fondement et la nécessité d'inclure des données personnelles dans les sentences. Si l'arbitrage est confidentiel, il existe néanmoins un risque qu'une sentence devienne publique lorsqu'elle est exécutée. Même si les données à caractère personnel sont expurgées, elles restent généralement des données à caractère personnel car la personne concernée est identifiable à partir du reste de la sentence ou des documents connexes[39].

La conservation et l'effacement des données sont considérés comme un traitement au sens du GDPR, qui prévoit que les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées"[40] Les responsables du traitement doivent prendre en compte la durée de conservation, la documenter et être en mesure de la justifier. Les participants à l'arbitrage doivent déterminer quelle période de conservation des données est raisonnable et adopter une approche proportionnée afin d'équilibrer leurs besoins et l'impact de la conservation des données sur la personne concernée[41].

L'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE

Le champ d'application territorial du règlement général sur la protection des données est relativement large. Les praticiens doivent être conscients de son application, qu'ils soient ou non situés dans l'UE ou que l'arbitrage y ait lieu. Le GDPR s'applique au traitement de données à caractère personnel par des responsables du traitement ou des sous-traitants établis dans l'UE, que le traitement lui-même ait lieu ou non dans l'UE (article 3, paragraphe 1). En outre, lorsqu'il s'agit d'offrir des biens ou des services à des citoyens de l'UE ou de surveiller un comportement qui a lieu dans l'UE, le GDPR s'applique au traitement de données à caractère personnel par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'UE (article 3, paragraphe 2).

Appliqué au contexte arbitral, le GDPR impose des obligations aux responsables du traitement et aux sous-traitants - arbitres, conseils, parties et institutions - qui relèvent de son champ d'application matériel et territorial, plutôt qu'à la procédure d'arbitrage elle-même. Même si un seul participant à l'arbitrage a un lien avec l'UE, il sera tenu de traiter les données à caractère personnel conformément au GDPR. Des implications pour l'ensemble de la procédure peuvent en résulter[42].

Les restrictions imposées au transfert de données à caractère personnel vers des "pays tiers" situés en dehors de l'Espace économique européen (EEE) sont peut-être les plus notables dans le contexte de l'arbitrage international, où le transfert de documents d'arbitrage contenant des données à caractère personnel est monnaie courante. Dans un tel scénario, l'une des quatre bases légales est requise pour que les transferts de données à caractère personnel soient autorisés. Tout d'abord, le transfert vers un pays tiers est autorisé si ce dernier fait l'objet d'une décision d'adéquation (article 45, paragraphe 1)[43]; si ce n'est pas le cas, l'une des garanties appropriées (article 46, paragraphe 1) doit être mise en place dans la mesure du possible[44].[En l'absence de décision d'adéquation et si une garantie appropriée n'est pas réalisable, une dérogation spécifique peut être invoquée (article 49, paragraphe 1)[45]. Enfin, en l'absence de ce qui précède, une partie peut invoquer un intérêt légitime impérieux (article 49, paragraphe 1)[46] comme base légale pour un transfert de données à caractère personnel à un tiers.

La feuille de route expose de manière très complète les considérations nécessaires que les participants à l'arbitrage doivent prendre en compte. Elle souligne à plusieurs reprises que ce sont les participants à l'arbitrage, et non l'arbitrage en tant que tel, auxquels s'appliquent les principes de protection des données à caractère personnel et les règles de transfert[47], ce qui permet de conclure par présomption qu'un arbitre basé dans l'UE participant à un arbitrage dans un pays tiers qui n'est pas soumis au GDPR devrait néanmoins se conformer aux exigences du GDPR en matière de traitement et de transfert de données à caractère personnel. Cela est en effet généralement accepté dans les procédures d'arbitrage commercial[48], mais la situation n'est pas aussi claire lorsqu'il s'agit d'arbitrage entre investisseurs et États.

L'affaire Tennant Energy, LLC c. Gouvernement du Canada

En 2019, dans l'arbitrage au titre du chapitre 11 de l'ALENA, Tennant Energy, LLC c. Gouvernement du Canada (Tennant)[49], Tennant, le demandeur, a soulevé la question de l'application du GDPR à la procédure compte tenu de la nationalité et du domicile britanniques de l'un des membres du tribunal. Toutefois, le tribunal a donné des instructions aux parties en déclarant qu'"un arbitrage en vertu du chapitre 11 de l'ALENA, un traité auquel ni l'Union européenne ni ses États membres ne sont parties, n'entre pas, par présomption, dans le champ d'application matériel du GDPR"[50].

Il est important de faire la distinction entre l'arbitrage fondé sur un traité et l'arbitrage commercial, le Tennant entrant dans la première catégorie. La feuille de route établit cette distinction en notant que les organisations internationales peuvent être exclues du champ d'application des lois sur la protection des données à caractère personnel[51] Les membres du tribunal dans l'arbitrage Tennant peuvent être soumis à certaines immunités découlant de l'accord de siège de la Cour permanente d'arbitrage (CPA) avec les Pays-Bas. Toutefois, le tribunal de l'ALENA n'a pas examiné si, en tant qu'organisation internationale, la CPA serait soumise aux règles de transfert du GDPR ou si les membres du tribunal bénéficieraient de certaines immunités découlant de l'accord.

L'arrêt Tennant soulève plus de questions qu'il n'apporte de réponses quant à l'applicabilité du GDPR aux procédures de l'ALENA et, plus généralement, aux arbitrages fondés sur des traités, dont la discussion nuancée dépasse le cadre de la présente étude. Néanmoins, la directive Tennant, considérée à la lumière de la feuille de route, démontre que ce sujet reste très incertain. On peut se demander si la feuille de route apporte une quelconque clarté aux participants à l'arbitrage confrontés à cette question, compte tenu notamment du fait que la feuille de route a été publiée après l'arrêt Tennant, mais qu'elle n'a pas tenu compte de ce dernier.

La question de la vidéoconférence

La feuille de route reconnaît l'importance de la sécurité des données personnelles. Cependant, avec l'utilisation récente de technologies supplémentaires pour faciliter les audiences virtuelles, ainsi que le travail à domicile - principalement alimenté par les circonstances actuelles qui nous sont imposées par la pandémie de Covid-19 - cette question revêt un poids supplémentaire. Le protocole sur la cybersécurité[52] et les lignes directrices de l'IBA sur la cybersécurité[53] ont permis de faire la lumière sur cette question.

Comme la feuille de route, le protocole sur la cybersécurité établit plusieurs principes sous-jacents. Le principe de proportionnalité s'applique, le Tribunal a l'autorité et le pouvoir discrétionnaire de déterminer les mesures de sécurité en place, et la sécurité de l'information est une question qui devrait être discutée lors de la première conférence de gestion de l'affaire. L'annexe A du protocole sur la cybersécurité fournit une liste de contrôle que les parties à un arbitrage peuvent utiliser pour protéger la procédure.

À la suite de la récente modification des modèles et environnements de travail due à la pandémie de Covid-19, il convient d'accorder plus d'importance à ces questions. Dans un monde pressé de trouver de nouvelles façons de faire des affaires et de s'adapter aux périodes d'incertitude, l'une des questions auxquelles le secteur juridique a été confronté est celle des audiences combinées à des restrictions et à la nécessité d'une distanciation sociale. La popularité de la vidéoconférence et son utilisation dans les procédures d'arbitrage international sont des questions que la feuille de route devrait aborder, mais qu'elle n'a pas abordées - ou du moins pas encore.

Bien que de nombreuses personnes aient discuté et souligné les problèmes posés par les vidéoconférences, la plupart d'entre elles n'ont pas abordé la manière dont les lois sur la protection des données personnelles devraient leur être appliquées, non seulement en ce qui concerne la protection des données personnelles, mais aussi la sécurité, certaines plateformes ayant fait l'objet d'attaques de sécurité[54].

Comme indiqué ci-dessus, il est essentiel de comprendre les différents rôles des parties impliquées dans un arbitrage concernant le GDPR, à savoir qui sont les "responsables du traitement des données" et les "sous-traitants des données". Si le logiciel de vidéoconférence traite des données à caractère personnel, telles que le nom d'utilisateur et l'adresse électronique d'une partie lors de l'utilisation du service, il sera considéré comme un "responsable du traitement des données". Cela signifie qu'il doit respecter les règles du GDPR si l'un des participants est domicilié dans l'UE. Le Tribunal étant le "responsable du traitement des données", c'est à lui qu'il incombera de veiller au respect de ces règles.

La Chambre de commerce internationale (CCI) a publié une note d'orientation[55] qui propose aux parties des clauses pour les protocoles de cybersécurité et les audiences virtuelles. Elle vise à traiter l'aspect de la sécurité, mais n'aborde pas l'aspect de la protection des données personnelles. La feuille de route devrait examiner les possibilités d'application de la protection des données à caractère personnel aux audiences virtuelles, ainsi que la manière de s'y conformer. Si le GDPR précise les exigences à respecter en matière de vidéoconférence, il ne donne pas d'indications sur la manière dont ces exigences sont directement applicables.

Bien que la feuille de route ne fournisse pas de recommandations sur des fournisseurs de logiciels spécifiques, elle pourrait compiler et fournir aux praticiens une liste des spécifications nécessaires d'un logiciel idéal pour les audiences vidéo, tout comme elle fournit des listes de contrôle sur divers autres sujets dans ses annexes.

Quelle est la place des tiers financeurs ?

On entend par tiers financeur toute personne non partie à la procédure arbitrale qui conclut un accord pour financer tout ou partie du coût de la procédure en échange d'une somme qui dépend entièrement ou partiellement de l'issue de l'affaire[56]. Les tiers financeurs ont accès à diverses données personnelles dans les procédures arbitrales qu'ils financent ou qu'ils envisagent de financer. Bien que la feuille de route ne s'adresse expressément qu'aux participants à l'arbitrage, elle précise que les orientations sont pertinentes pour les prestataires de services qui sont également concernés par les exigences en matière de protection des données à caractère personnel[57].

Dans la feuille de route, les prestataires de services comprennent "les experts en administration de la preuve électronique, les professionnels des technologies de l'information, les sténographes judiciaires, les services de traduction, etc"[58], mais les tiers financeurs ne sont pas explicitement mentionnés. En vertu du GDPR, la collecte et le stockage de données à caractère personnel sont inclus dans le traitement. Par conséquent, si les tiers financeurs collectent des données à caractère personnel auprès d'autres personnes, les lois sur les données à caractère personnel s'appliquent également à eux[59].

Le GDPR permet à une partie de traiter des données à caractère personnel si "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers"[60], ce qui peut éventuellement être cité par les participants à l'arbitrage comme une base juridique applicable pour le traitement des données à caractère personnel pertinentes. Il existe peu d'orientations sur ce sujet[61], comme l'indique la feuille de route : "La première étape d'une analyse de l'intérêt légitime est de déterminer si le traitement est justifié ou non :

La première étape d'une évaluation de l'intérêt légitime consiste à identifier un intérêt légitime - quel est l'objectif du traitement des données à caractère personnel et pourquoi est-il important pour vous en tant que responsable du traitement ? Dans le contexte de l'arbitrage, l'intérêt légitime peut concerner l'administration de la justice, le respect des droits des parties et la résolution rapide et équitable des litiges en vertu des règles d'arbitrage applicables, ainsi que de nombreux autres intérêts"[62].

L'inclusion de "nombreux autres intérêts" pourrait éventuellement inclure l'intérêt pécuniaire légitime des tiers financeurs. Si tel est le cas, ils seraient alors clairement obligés de conclure des accords de traitement des données avec les parties à la procédure d'arbitrage et seraient inclus dans le champ d'application des réglementations et exigences en matière de protection des données à caractère personnel. Il est intéressant de noter que la feuille de route omet de détailler explicitement comment les tiers financeurs s'intègrent dans le tableau, en particulier si l'on considère l'augmentation de leur inclusion dans les procédures arbitrales.

Un bouclier contre la non-divulgation

Les obligations en matière de protection des données à caractère personnel peuvent donner lieu à des abus. Les parties à un arbitrage peuvent utiliser le GDPR comme un bouclier de mauvaise foi pour empêcher la divulgation d'informations pertinentes pour la procédure ou demandées par la partie adverse. Par exemple, une partie peut s'opposer à une demande de divulgation en faisant valoir que les documents contiennent des données à caractère personnel sans rapport avec le litige, ou que l'expurgation d'informations à caractère personnel serait indûment contraignante[63].

La feuille de route aborde le risque d'abus. Elle suggère de soulever et de clarifier les obligations en matière de protection des données personnelles le plus tôt possible afin de réduire le risque que ces obligations aient un impact sur les procédures. Les participants devraient envisager de conclure un "protocole de protection des données" - un accord sur la manière dont la protection des données à caractère personnel sera appliquée dans un contexte particulier. S'il n'est pas possible de signer un protocole sur la protection des données, ces questions doivent être abordées dans l'ordonnance de procédure numéro un[64].

À titre de comparaison, on peut examiner la conformité au GDPR pendant la procédure de discovery dans les litiges américains. Les tribunaux fédéraux américains ont utilisé des tests d'équilibre pour décider d'ordonner ou non la divulgation ou le respect de citations à comparaître ou d'ordonnances de communication de pièces potentiellement contraires à des lois étrangères, y compris des lois sur la protection des données à caractère personnel[65] Une liste non exhaustive des facteurs pris en compte par les tribunaux fédéraux américains est la suivante

  • l'importance des documents ou autres informations demandés pour le litige ;
  • le degré de spécificité de la demande
  • la question de savoir si les informations proviennent des États-Unis
  • la disponibilité d'autres moyens d'obtenir les informations ; et
  • la mesure dans laquelle le non-respect de la demande porterait atteinte à des intérêts importants des États-Unis[66].

Le plus souvent, les tribunaux fédéraux exigent la divulgation en dépit de violations potentielles des lois étrangères sur la protection des données à caractère personnel[67].

Les arbitres sont confrontés à des considérations différentes de celles des tribunaux lorsqu'ils décident d'ordonner ou non la divulgation par une partie. Il est exact, comme l'affirme la littérature[68], que les tribunaux doivent être conscients des droits et devoirs concurrents à la lumière de la menace d'annulation ou de refus d'exécution en vertu de la Convention de 1958 pour la reconnaissance et l'exécution des sentences arbitrales étrangères (Convention de New York). Toutefois, ce point de vue ne tient pas compte du fait que les ordonnances de divulgation font l'objet d'un examen minimal par les tribunaux d'État, compte tenu du principe de non-ingérence judiciaire[69] ; les exemples de tribunaux d'État s'abstenant de procéder à un examen des ordonnances de divulgation abondent[70].

Compte tenu du pouvoir discrétionnaire accordé aux tribunaux en matière de procédure, il est peu probable que la menace d'une annulation ou d'un refus d'exécution soit une considération centrale. L'inévitabilité des parties qui tentent d'abuser des obligations du GDPR pour obtenir un avantage procédural potentiel mettra les tribunaux dans des positions difficiles pour équilibrer les intérêts de la personne concernée d'une part, et maintenir un processus de preuve solide d'autre part[71]. Clarifier les obligations de conformité en matière de protection des données personnelles au début de la procédure - de préférence dans un protocole de protection des données signé - conformément aux recommandations de la feuille de route, semble être une étape préalable pour contrôler ce comportement.

Le non-respect des exigences en matière de protection des données à caractère personnel comme moyen d'annulation et de refus de reconnaissance et d'exécution

La feuille de route ne traite pas de la question de savoir si le non-respect des exigences en matière de protection des données à caractère personnel pourrait être utilisé pour annuler une sentence arbitrale ou pour en refuser la reconnaissance et l'exécution. Les parties disposent de moyens de recours très limités contre les sentences. Néanmoins, une partie qui n'a pas obtenu gain de cause peut souhaiter contester l'issue de l'arbitrage et utiliser l'un des principaux motifs communs pour contester la sentence ou empêcher sa reconnaissance ou son exécution.

La Convention de New York compte actuellement 168 États contractants, ce qui en fait la principale base juridique pour la reconnaissance et l'exécution des sentences étrangères dans le cadre de l'arbitrage commercial international. La convention prévoit, à l'article V, des motifs limités pour lesquels la reconnaissance et l'exécution d'une sentence arbitrale peuvent être refusées. Plus particulièrement, l'article V(2)(b) reconnaît la possibilité pour l'autorité compétente d'un État signataire de refuser la reconnaissance ou l'exécution d'une sentence qui viole l'ordre public[72].

Les motifs d'annulation d'une sentence arbitrale varient d'une juridiction à l'autre. La Loi type de la CNUDCI sur l'arbitrage commercial international, qui a été largement adoptée, établit une liste de motifs d'annulation à l'article 34(2). Cette liste s'inspire étroitement de l'article V de la Convention de New York[73]. L'article 34(2)(b)(ii) stipule qu'une sentence arbitrale peut être annulée par le tribunal si la sentence est contraire à l'ordre public de l'État[74].

La Cour de justice de l'Union européenne (CJUE) a estimé dans l'affaire Eco Swiss c. Benetton que les dispositions impératives dérogatoires du droit de l'Union européenne peuvent constituer des règles fondamentales d'ordre public, dont la violation peut constituer un motif d'annulation d'une sentence arbitrale fondée sur un tel motif en droit national[75]. La question de savoir si une sentence peut ou non être annulée, ou sa reconnaissance ou son exécution refusée, en raison du non-respect des exigences en matière de protection des données à caractère personnel dépendra donc de la question de savoir si les règles du GDPR doivent être considérées comme des dispositions impératives dérogatoires, dont la violation est contraire à l'ordre public national[76].

L'article 9, paragraphe 1, du règlement Rome I définit les dispositions impératives prépondérantes comme des dispositions "dont le respect est considéré comme déterminant par un pays pour la sauvegarde de ses intérêts publics... à tel point qu'elles sont applicables à toute situation entrant dans leur champ d'application, quelle que soit la loi applicable par ailleurs". Comme Cervenka et Schwarz l'ont précédemment reconnu, la plupart des règles du GDPR peuvent probablement être considérées comme des dispositions obligatoires prépondérantes en vertu du droit de l'UE. En tant que telle, leur violation peut être considérée comme une violation de l'ordre public[77].

La possibilité que le non-respect des exigences en matière de protection des données à caractère personnel puisse entraîner l'annulation ou la non-reconnaissance et la non-exécution d'une sentence arbitrale soulève plusieurs préoccupations. Tout d'abord, il conviendrait de définir précisément quelles obligations en matière de protection des données à caractère personnel constitueraient des dispositions impératives prépondérantes, car toutes les violations n'ont pas le même poids. En fin de compte, la CJCE sera probablement appelée à fournir des éclaircissements supplémentaires. Deuxièmement, l'abus potentiel de la possibilité de contester l'exécution d'une sentence sur la base d'une violation du GDPR devrait également être pris en compte, afin d'empêcher les parties d'enfreindre intentionnellement les règles de protection des données personnelles afin d'avoir la possibilité de recourir contre la sentence à un moment ultérieur. Enfin, il conviendrait de définir si les règles relatives à la protection des données à caractère personnel feraient partie du droit procédural ou du droit matériel et de quelle manière[78].

Bien qu'il reste beaucoup à définir, les conséquences du non-respect des exigences en matière de protection des données à caractère personnel sur l'annulation, ainsi que sur la reconnaissance et l'exécution des sentences arbitrales, devraient être abordées. Il est très intéressant de constater qu'aucune mention n'est faite à ce sujet dans la feuille de route.

Conclusion

La feuille de route est destinée à aider les professionnels de l'arbitrage à identifier et à comprendre les obligations en matière de protection des données à caractère personnel et de la vie privée auxquelles ils peuvent être soumis dans le cadre d'un arbitrage international. Toutefois, comme nous l'avons vu précédemment, elle n'aborde pas encore certaines questions spécifiques qui sont pertinentes et urgentes aujourd'hui. Les six questions identifiées et développées dans le présent document sont les suivantes

  • l'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE ;
  • Le GDPR dans le contexte des arbitrages de l'ALENA ;
  • la question des audiences d'arbitrage virtuelles ;
  • les tiers financeurs et leur place dans la feuille de route ;
  • les abus potentiels du GDPR ; et
  • le non-respect potentiel du GDPR en tant que voie d'annulation ou de refus de reconnaissance et d'exécution de la sentence arbitrale.

Chacune de ces questions méritera une réflexion plus approfondie, car on s'attend à ce qu'elles deviennent de plus en plus pertinentes dans les années à venir. Nous espérons qu'il a été démontré que ces questions méritent d'être incluses dans la feuille de route.

Les annexes[79] ajoutées à la feuille de route ont pour but d'aider les professionnels à gérer ces exigences de manière pratique. L'ajout de la liste de contrôle de la protection des données, de la liste de contrôle de l'évaluation de l'intérêt légitime, des exemples d'avis de confidentialité et des clauses contractuelles types de l'UE sont des ressources extrêmement précieuses que les professionnels devraient utiliser pour s'assurer qu'ils sont conformes au GDPR.

Toutefois, dans une situation de conflit entre différentes juridictions, les différences entre les diverses législations nationales relatives à la protection des données à caractère personnel peuvent être source d'ambiguïté. Même si les lignes directrices fournies par la feuille de route ont une grande portée, elles ne sont pas contraignantes. Dans le passé, la CNUDCI et l'IBA se sont efforcées d'harmoniser l'arbitrage international par le biais de leurs règles, lignes directrices et autres ; bien qu'elles ne soient pas contraignantes, elles sont très certainement persuasives. Comme la CNUDCI et l'IBA ont tenté de le faire pour divers aspects de l'arbitrage international, il existe également un besoin urgent d'harmonisation des exigences en matière de protection des données à caractère personnel dans le cadre de l'arbitrage ; les lignes directrices nécessaires devraient donc être mises en place dans un souci d'harmonisation.

Si l'harmonisation, la compréhension et la sensibilisation aux exigences de conformité au GDPR et à ses implications dans le contexte de l'arbitrage international restent insuffisantes, nous, professionnels de l'arbitrage, continuerons à nous contenter du cadre juridique actuellement en place. Néanmoins, malgré ses défauts, la feuille de route constitue une étape nécessaire et encourageante vers une compréhension commune des obligations des participants à l'arbitrage en matière de protection des données à caractère personnel.

Ressources

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JO 2016 L 119/1.
  2. Les "données à caractère personnel" sont définies à l'article 4 du GDPR comme suit : (1) "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
  3. Le champ d'application territorial du GDPR est défini à l'article 3 comme suit :
    1. Le présent règlement s'applique au traitement des données à caractère personnel dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union, que le traitement ait lieu ou non dans l'Union.

    2. Le présent règlement s'applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées à :

      (a) à l'offre de biens ou de services, qu'un paiement de la personne concernée soit ou non exigé, à ces personnes dans l'Union ; ou

      (b) au suivi de leur comportement, dans la mesure où celui-ci a lieu dans l'Union.

    3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public".
  4. Voir la définition du "sous-traitant" à l'article 4 du GDPR.
  5. Article 83, paragraphe 4, du GDPR.
  6. Largest fine under GDPR levied against Google" (Simmons + Simmons, 22 janvier 2019), voir www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google ; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16 octobre 2020), voir www.bbc.com/news/technology-54568784.
  7. Groupe de travail conjoint ICCA-IBA sur la protection des données dans l'arbitrage international (ICCA), voir www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, consulté le 18 août 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, février 2020), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, consulté le 18 août 2021.
  9. Ibid, 1.
  10. Affaire PCA n° 2018-54.
  11. ICCA et New York City Bar et International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consulté le 18 août 2021.
  12. 'Cybersecurity Guidelines' (IBA, octobre 2018), voir www.ibanet.org/LPRU/Cybersecurity, consulté le 1er décembre 2020.
  13. 'ICC Guidance Note on Possible Measures Aim' (Chambre de commerce internationale, 9 avril 2020), consulté le 18 août 2021.
  14. Feuille de route, section B.
  15. Ibid.
  16. Art. 4, GDPR.
  17. Ibid.
  18. Art. 4, GDPR
  19. Ibid, article 3, paragraphe 1.
  20. Feuille de route, 7.
  21. Art. 4, GDPR.
  22. La feuille de route définit les " participants à l'arbitrage " comme " comprenant les parties, leurs conseillers juridiques, les arbitres et les institutions d'arbitrage (uniquement) ". Voir Feuille de route (n 3), 2.
  23. Art. 4, GDPR.
  24. Voir l'arrêt du 29 juillet 2019, Fashion ID GmbH & Co KG c. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, points 74, 85. Voir également l'arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388 ; l'arrêt du 10 juillet 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Feuille de route, 11
  26. Ibid, 12.
  27. Art. 5 et 12-22, GDPR ; Feuille de route 14-15.
  28. Par exemple, en vertu du GDPR, le traitement de données à caractère personnel dans le cadre d'un arbitrage international est licite lorsqu'il est nécessaire aux fins des intérêts légitimes du responsable du traitement - sous réserve des limitations fondées sur les intérêts et les droits fondamentaux de la personne concernée - et les données sensibles peuvent être traitées en vertu de la dérogation relative aux demandes en justice (article 9, paragraphe 2, point f)) dans le cadre d'un arbitrage.
  29. Feuille de route, 19.
  30. Ibid, 20-21.
  31. Ibid, 30-31.
  32. Ibid, 32.
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 37.
  37. Ibid, 40-41.
  38. Ibid, 40-41.
  39. Ibid, 43.
  40. Art 5(1)(e), GDPR.
  41. Feuille de route, 44.
  42. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration : Can't We Make It Go Away ?" (Kluwer Arbitration Blog, 29 août 2019), voir http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, consulté le 18 août 2021.
  43. La Commission de l'UE a estimé que le pays offrait une protection adéquate des données.
  44. Dans le cas d'un arbitrage international, il s'agirait très probablement d'une clause contractuelle standard.
  45. La dérogation relative aux demandes en justice, qui autorise les transferts lorsqu'ils sont "nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice", est la plus applicable dans le contexte de l'arbitrage.
  46. En raison de son seuil élevé et de l'obligation de notification, le recours à des intérêts légitimes impérieux n'a que peu d'intérêt en pratique. Voir EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6 février 2018 (Data Transfer Guidance).
  47. Feuille de route, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration : Can't We Make It Go Away ?" (Kluwer Arbitration Blog, 29 août 2019), voir http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consulté le 18 août 2021].
  49. Affaire CPA n° 2018-54.
  50. Ibid, Communication du Tribunal aux parties (Perm Ct Arb, 2019).
  51. Feuille de route, 37.
  52. ICCA et New York City Bar et International Institute for Conflict Prevention & Resolution, " ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition) " (ICCA), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consulté le 18 août 2021.
  53. " Cybersecurity Guidelines " (IBA, octobre 2018), voir www.ibanet.org/LPRU/Cybersecurity, consulté le 1er décembre 2020.
  54. Andreas Respondek, Tasha Lim, " Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings ? " (Kluwer Arbitration Blog, 18 juillet 2020), voir http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, consulté le 18 août 2021.
  55. Note d'orientation de la CCI sur les mesures possibles visant à atténuer les effets de la pandémie de COVID-19 (CCI, 9 avril 2020), consulté le 18 août 2021.
  56. Third-Party Funding in International Arbitration : The ICCA-QMUL report", (ICCA, mai 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, consulté le 18 août 2018.
  57. Feuille de route, 2.
  58. Ibid, 23-25.
  59. Art. 4(2), GDPR, voir n 1 ci-dessus.
  60. Art. 6(1)(f), GDPR.
  61. Allan J Arffa et autres, "GDPR Issues in International Arbitration" (Lexology, 10 août 2020), voir www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consulté le 18 août 2021.
  62. Feuille de route, annexe 5.
  63. Allan J Arffa et autres, "GDPR Issues in International Arbitration" (Lexology, 10 août 2020), voir www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consulté le 18 août 2021.
  64. Feuille de route 40-41.
  65. Voir, par exemple : David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid ; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6 février 2020), voir www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration consulté le 18 août 2021.
  68. David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, International Commercial Arbitration (2e éd., Kluwer Law International 2014), 2335.
  70. Ibid. Born cite les arrêts suivants pour renforcer cet argument : Arrêt du 22 janvier 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' c. Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel de Paris) : Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004) : Les demandes de divulgation sont "tout à fait dans les limites de l'exercice raisonnable du pouvoir discrétionnaire du Tribunal".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4 décembre 2019), voir www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, consulté le 18 août 2021.
  72. Convention de New York, article V(2) : La reconnaissance et l'exécution d'une sentence arbitrale peuvent également être refusées si l'autorité compétente du pays où la reconnaissance et l'exécution sont demandées constate que... (b) La reconnaissance ou l'exécution de la sentence serait contraire à l'ordre public de ce pays".
  73. Secrétaire général des Nations unies, Commentaire analytique sur le projet de texte d'une loi type sur l'arbitrage commercial international, A/CN.9/264 (1985), article 34, paragraphe 6.
  74. Loi type de la CNUDCI sur l'arbitrage commercial international, article 34(2) : Une sentence arbitrale ne peut être annulée par le tribunal visé à l'article 6 que si... (b) le tribunal estime que... (ii) la sentence est contraire à l'ordre public de cet État".
  75. Arrêt du 1er juin 1999, Eco Swiss China Time Ltd contre Benetton International NV C-126/97 [1999] ECR I-03055, paras. 39 et 41. Pour une discussion détaillée de la politique publique de l'UE, voir : Sacha Prechal et Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka et Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ibid.
  78. Pour une discussion plus détaillée de ces questions et d'autres, voir : Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" dans José R Mata Dona et Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq ; Cervenka et Schwarz, voir n 76 ci-dessus, 84-85.
  79. The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes, (ICCA, février 2020), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, consulté le 18 août 2021.

Cet article a été publié pour la première fois dans Dispute Resolution International, Vol 15 No 2, octobre 2021, et est reproduit avec l'aimable autorisation de l'International Bar Association, Londres, Royaume-Uni. International Bar Association.

Retour à l'aperçu