Logo de l'Association internationale du barreau

Le choc des titans : Le GDPR et l'arbitrage international - un regard sur l'avenir

Auteur : Neva Cirkveni et Par Neuburger

Introduction

Ces dernières années, des questions se sont posées quant aux implications pratiques de la confidentialité des données personnelles et de la cybersécurité sur la conduite effective des arbitrages internationaux - surtout si l'on tient compte du rythme constant de l'évolution technologique.

Le règlement général sur la protection des données (RGPD)[i] a fêté son deuxième anniversaire en mai 2020. Le cadre de protection des données personnelles du GDPR vise à garantir la libre circulation des données personnelles de " personne(s) physique(s) identifiée(s) ou identifiable(s) ".[ii] Elle s'applique au sein de l'Union européenne et a une portée extraterritoriale qui peut s'étendre en dehors de l'UE ;[iii] Le GDPR peut affecter non seulement toutes les personnes physiques ou morales, mais soumet également les autorités publiques, les agences et autres organismes - y compris éventuellement les organisations internationales - à des obligations en matière de protection des données personnelles.[iv] Les sanctions prévues par le GDPR peuvent atteindre 4 % du chiffre d'affaires annuel mondial de l'entité en infraction pour l'exercice précédent ou 20 millions d'euros, le montant le plus élevé étant retenu.[v] La nécessité de prendre au sérieux son application a déjà été établie par les amendes de plusieurs millions d'euros qui ont été infligées dans de multiples juridictions.[vi]

Bien que l'application des lois sur la protection des données personnelles à l'arbitrage soit établie, la manière dont ces lois doivent être appliquées ne l'est pas. C'est pourquoi le Conseil international pour l'arbitrage commercial (ICCA) et l'Association internationale du barreau (IBA) ont créé en février 2019 un groupe de travail conjoint sur la protection des données dans les procédures d'arbitrage international, dans le but de produire un guide qui donne des indications pratiques sur la protection des données personnelles dans l'arbitrage international. Le groupe de travail a publié un projet de consultation de ce guide en mars 2020.[vii] Le présent commentaire sera basé sur ce projet de feuille de route (la Feuille de route),[viii] la version finale et révisée de la feuille de route devant être publiée en septembre 2021. Bien que le délai pour les commentaires sur le projet de consultation soit dépassé au moment de la rédaction de ce document, la version préliminaire de la Feuille de route n'en est pas moins illustrative des questions soulevées par le GDPR dans les arbitrages internationaux. Elle sera donc utilisée comme base de discussion.

La plupart des lois sur la protection des données personnelles sont obligatoires dans les procédures d'arbitrage, ce qui signifie qu'elles prescrivent :

  • quelles données personnelles peuvent être traitées ;
  • où ;
  • par quels moyens ;
  • avec quelles mesures de sécurité de l'information
  • pendant combien de temps.[ix]

Elles ne traitent toutefois pas de la manière dont ces obligations contraignantes doivent être respectées dans le cadre d'une procédure arbitrale. En l'absence d'orientations spécifiques de la part des régulateurs, la Feuille de route vise à aider les professionnels de l'arbitrage à identifier et à comprendre les obligations en matière de protection des données personnelles et de la vie privée auxquelles ils peuvent être soumis dans le cadre d'un arbitrage international. En outre, l'étendue de la protection du GDPR reste pertinente dans les procédures d'arbitrage international, principalement si les lois GDPR s'appliquent aux arbitrages assis en dehors de l'UE. Il y a diverses autres implications si le GDPR s'avère s'appliquer à l'arbitrage : premièrement, si le traitement des données personnelles est interdit et deuxièmement, s'il existe des restrictions sur les transferts de données personnelles en dehors de l'UE. Enfin, en raison de la fréquence croissante des cyberattaques, les conséquences d'une telle attaque sur un arbitrage pourraient entraîner des dommages importants.

Cet article vise à fournir un commentaire sur la Feuille de route et à explorer les mesures pratiques qui devraient être prises en compte concernant les obligations de protection des données personnelles dans les procédures d'arbitrage international. Il identifie la Feuille de route comme un outil prometteur, bien qu'incomplet, pour compléter les diverses tentatives d'harmonisation de l'arbitrage international, notamment les instruments de l'IBA et de la Commission des Nations Unies pour le droit commercial international (CNUDCI).

Tout d'abord, un bref résumé de la feuille de route sera donné, incluant une référence aux principes du GDPR. Il ne s'agit pas d'une vue d'ensemble exhaustive, mais plutôt d'une introduction aux principaux points de la feuille de route afin de donner au lecteur un contexte pour la discussion qui suit. Ensuite, un commentaire sera fourni, qui abordera six questions pertinentes :

  • l'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE ;
  • GDPR dans le contexte des arbitrages de l'Accord de libre-échange nord-américain (ALENA), comme l'illustre l'affaire Tennant Energy, LLC c. Gouvernement du Canada ;[x]
  • la question de la vidéoconférence, dont l'importance s'est considérablement accrue tout au long de la pandémie de Covid-19, y compris les références au "Protocole ICCA-NYC Bar-CPR sur la cybersécurité dans l'arbitrage international" (Protocole sur la cybersécurité)[xi] les directives de l'IBA en matière de cybersécurité[xii] et la note d'orientation de la CCI sur les mesures possibles visant à atténuer les effets de la pandémie de COVID-19 ;[xiii]
  • les "tiers financeurs" et la manière dont ils sont pris en compte dans la feuille de route ;
  • l'abus du GDPR, notamment comme bouclier pour la non-divulgation ; et
  • la possibilité d'utiliser le non-respect des exigences en matière de protection des données à caractère personnel comme moyen d'annulation ou de refus de reconnaissance et d'exécution de la sentence arbitrale.

Des réflexions finales seront fournies dans la conclusion.

La feuille de route

Les personnes physiques et morales sont soumises à des obligations de protection des données personnelles des personnes concernées. L'arbitrage lui-même n'est pas soumis aux obligations de protection des données personnelles. Cependant, si un seul participant à l'arbitrage est soumis à des obligations de protection des données personnelles, l'arbitrage peut être impacté dans son ensemble. La question de savoir si le traitement des données personnelles relève des lois pertinentes, du champ d'application matériel et juridictionnel déterminera si les lois sur la protection des données personnelles s'appliquent.[xiv]

Les lois modernes sur la protection des données personnelles s'appliquent dès lors que des données personnelles concernant une personne concernée sont traitées dans le cadre d'activités relevant du champ d'application des lois sur la protection des données personnelles.[xv] Les données personnelles comprennent "toute information relative à une personne physique identifiée ou identifiable".[xvi] Au cours d'une procédure d'arbitrage typique, d'importantes quantités d'informations sont échangées, concernant notamment les parties, leurs conseils, le tribunal et les tiers. En tant que telles, elles sont susceptibles d'être considérées comme répondant à la définition des "données à caractère personnel". Les "personnes concernées" sont les individus susmentionnés qui sont identifiés ou identifiables.[xvii] Le traitement comprend des opérations actives et passives, ce qui englobe l'utilisation, la diffusion et la suppression de données à caractère personnel, ainsi que la réception, l'organisation et la conservation de données à caractère personnel.[xviii] Le champ d'application englobe les actions lorsque des données à caractère personnel sont traitées dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'UE.[xix] et de manière extraterritoriale, par exemple lorsque des données personnelles sont transférées en dehors de l'UE vers des entités ou des personnes qui ne sont pas, pour d'autres raisons, déjà soumises au GDPR.[xx]

Les arbitres seront qualifiés de contrôleurs de données, ce qui signifie qu'ils seront responsables du respect des lois sur la protection des données personnelles. Cependant, sur la base de la définition de "contrôleur de données" ;[xxi] la plupart des participants à l'arbitrage[xxii] sont susceptibles d'être considérés comme tels, notamment les avocats, les parties et l'institution. Les responsables du traitement des données peuvent déléguer le traitement des données à des sous-traitants,[xxiii] qui seront sous leur contrôle et nécessiteront des accords de traitement des données dans les conditions prescrites par la loi applicable. Ainsi, les secrétaires, les transcripteurs, les traducteurs et autres sont tous susceptibles d'être considérés comme des responsables du traitement des données. Il y a aussi la question des contrôleurs conjoints qui déterminent conjointement les objectifs et les moyens du traitement des données. La notion de contrôle conjoint est interprétée de manière large, mais la responsabilité du contrôleur conjoint est limitée au seul traitement que le contrôleur a déterminé, à sa finalité et à ses moyens, et non à l'ensemble du traitement.[xxiv]

Dans les arbitrages internationaux, les restrictions sur les transferts de données personnelles entre juridictions sont un moyen évident d'appliquer les lois sur la protection des données personnelles. Les antécédents des différents participants à l'arbitrage détermineront l'application de différents régimes de protection des données personnelles. Les lois modernes de protection des données personnelles limitent les transferts de données personnelles vers des pays tiers afin de s'assurer que les obligations légales ne sont pas contournées par le transfert de données personnelles vers des juridictions ayant des normes inférieures de protection des données personnelles.[xxv] Le GDPR autorise les transferts de données personnelles de pays tiers si l'un des cas suivants se produit :

  • le pays a été jugé par la Commission européenne comme offrant une protection adéquate des données personnelles ;
  • l'une des garanties expressément énumérées est mise en place ;
  • une dérogation autorisant les transferts lorsqu'ils sont nécessaires à la constatation, à l'exercice ou à la défense de droits en justice ; ou
  • l'intérêt légitime impérieux d'une partie.[xxvi]

Ces règles s'appliquent aux participants à l'arbitrage et non à l'arbitrage dans son ensemble, ce qui oblige chaque participant à l'arbitrage à examiner les restrictions au transfert de données à caractère personnel qui lui sont applicables.

Les principes de protection des données personnelles applicables en matière d'arbitrage comprennent le traitement équitable et licite, la proportionnalité, la minimisation des données, la limitation de la finalité, les droits des personnes concernées, l'exactitude, la sécurité des données, la transparence et la responsabilité.[xxvii]

Quelques-uns de ces principes appellent des commentaires supplémentaires. Le traitement loyal et licite signifie que les données à caractère personnel ne doivent être traitées que de la manière dont les personnes concernées s'y attendraient raisonnablement et qu'il doit exister une base juridique pour le traitement. En appliquant le principe de loyauté, la partie et son conseil doivent se demander si, dans le contexte de tous les faits, les personnes se seraient attendues à ce que leurs données personnelles soient traitées de cette manière, si cela aura des conséquences négatives pour elles et si ces conséquences sont justifiées. Ce principe n'empêchera pas les données à caractère personnel trouvées dans des courriers électroniques professionnels d'être admises comme preuve.

La notion de traitement licite implique une base juridique qui est fondée sur les faits et spécifique à chaque cas. Plutôt que de s'appuyer sur le consentement, il convient d'invoquer les bases juridiques spécifiques prévues par le GDPR.[xxviii]

La proportionnalité exige une prise en compte de la nature, de la portée, du contexte et des finalités du traitement par rapport aux risques posés à la personne concernée.[xxix] La minimisation des données exige que les participants à l'arbitrage limitent le traitement aux données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire.[xxx] La transparence exige que les personnes concernées soient informées du traitement et de la finalité du traitement des données à caractère personnel au moyen de notifications générales, de notifications spécifiques ou des deux.[xxxi] L'obligation de rendre des comptes a trait à la responsabilité personnelle en matière de respect de la protection des données, ce qui signifie que les participants à l'arbitrage doivent documenter toutes les mesures et décisions prises en matière de protection des données personnelles afin de démontrer leur conformité.[xxxii]

Le respect de la protection des données à caractère personnel affecte chaque étape de la procédure d'arbitrage international, non seulement pendant l'arbitrage lui-même, mais aussi pendant les préparatifs. Dès le départ, les participants à l'arbitrage doivent déterminer quelles lois sur la protection des données personnelles s'appliquent à eux-mêmes et aux autres participants à l'arbitrage, et quels participants à l'arbitrage traiteront des données personnelles en tant que contrôleurs, processeurs ou contrôleurs conjoints. Les règles de transfert des données personnelles des pays tiers et les accords de traitement des données personnelles concernant les prestataires de services tiers doivent également être pris en compte. Au cours du processus de collecte et d'examen des documents, les parties et leurs conseillers juridiques ont besoin d'une base légale pour les activités de traitement et les transferts de données personnelles de pays tiers.[xxxiii]

La demande d'arbitrage, ainsi que les soumissions ultérieures, comprendront des données à caractère personnel qui relèvent directement du domaine du traitement. Si une institution arbitrale est liée par les lois applicables en matière de protection des données personnelles, elle doit tenir compte des obligations potentielles en matière de protection des données personnelles qui s'appliquent au cours de chaque étape de la procédure. Si une institution arbitrale est soumise au GDPR, elle deviendra généralement un contrôleur de données personnelles. Pour se conformer aux articles 13 et 14 du GDPR, une telle institution doit inclure dans son avis de confidentialité des informations concernant les mesures de sécurité, l'exercice des droits des personnes concernées, la tenue des dossiers et les politiques de violation et de conservation des données.[xxxiv] Les organisations internationales administrant des arbitrages entre investisseurs et États peuvent toutefois être exclues du champ d'application des lois sur la protection des données à caractère personnel en raison de privilèges et d'immunités dans l'État constitutif ou dans un accord avec le pays hôte. Des considérations distinctes doivent donc être faites ici, notamment pour savoir si l'organisation est liée par les lois sur la protection des données personnelles et si - et dans quelle mesure - les participants à l'arbitrage seraient couverts par les privilèges et immunités.[xxxv]

Lors de la nomination des arbitres d'un tribunal arbitral, des quantités importantes de données personnelles des arbitres potentiels sont généralement échangées. Les participants à l'arbitrage devraient inclure la base juridique du traitement de ces données à caractère personnel dans leurs mentions légales et informer expressément les arbitres dont la nomination est envisagée du traitement de leurs données à caractère personnel, notamment en cas de transfert de données à caractère personnel vers un pays tiers.[xxxvi]

Une fois l'arbitrage en cours, les responsabilités en matière de conformité à la protection des données personnelles doivent être attribuées rapidement afin de minimiser les risques. La protection des données personnelles doit figurer à l'ordre du jour de la première conférence de procédure, et les participants à l'arbitrage doivent tenter de se mettre d'accord sur la manière d'aborder la conformité à la protection des données personnelles le plus tôt possible. Les parties, leurs conseils et les arbitres devraient envisager de conclure un protocole de protection des données personnelles afin de gérer efficacement les questions de conformité. Lorsque cela n'est pas possible, une autre option consiste pour le tribunal à les inclure dans l'ordonnance de procédure numéro un.[xxxvii]

Dans le processus de production et de divulgation de documents, le principe de minimisation des données personnelles est particulièrement pertinent. En vertu du GDPR, cela nécessiterait probablement :

  • limiter les données personnelles divulguées à ce qui est pertinent et non duplicatif ;
  • identifier les données à caractère personnel contenues dans le matériel réactif ; et
  • la rédaction ou la pseudonymisation des données personnelles inutiles.

Ces questions doivent également être examinées au début de la procédure, de préférence lors de la première conférence de procédure ou avant.[xxxviii]

Lorsqu'il s'agit de rendre des sentences, les arbitres et les institutions doivent s'interroger sur le fondement et la nécessité d'inclure des données à caractère personnel dans les sentences. Si l'arbitrage est confidentiel, il existe néanmoins un risque qu'une sentence devienne publique lorsqu'elle sera exécutée. Même si les données à caractère personnel sont expurgées, elles restent généralement des données à caractère personnel car la personne concernée est identifiable à partir du reste de la sentence ou des documents connexes.[xxxix]

La conservation et la suppression des données sont considérées comme des traitements au sens du GDPR, qui prévoit que les données à caractère personnel sont "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées".[xl] Les responsables du traitement doivent envisager, documenter et être en mesure de justifier la durée de conservation. Les participants à l'arbitrage doivent réfléchir à la durée de conservation des données qui est raisonnable et adopter une approche proportionnée pour équilibrer leurs besoins et l'impact de la conservation des données sur le sujet.[xli]

L'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE

Le champ d'application territorial du règlement général sur la protection des données est relativement large. Les praticiens doivent être conscients de son application, qu'ils soient ou non situés, ou que l'arbitrage ait lieu, dans l'UE. Le GDPR s'applique au traitement des données personnelles par les contrôleurs ou les processeurs établis dans l'UE, que le traitement lui-même ait lieu ou non dans l'UE (article 3(1)). En outre, lorsqu'il s'agit d'offrir des biens ou des services à des citoyens de l'UE ou de surveiller un comportement qui a lieu au sein de l'UE, le GDPR s'applique au traitement des données à caractère personnel par un responsable du traitement ou un sous-traitant non établi dans l'UE (article 3, paragraphe 2).

Appliqué au contexte arbitral, le GDPR impose des obligations aux contrôleurs et aux processeurs de données - arbitres, conseils, parties et institutions - qui entrent dans son champ d'application matériel et territorial, plutôt qu'à la procédure d'arbitrage directement. Même si un seul participant à l'arbitrage a un lien avec l'UE, il sera obligé de traiter les données personnelles conformément au GDPR. Des implications pour la procédure dans son ensemble peuvent survenir.[xlii]

Les restrictions imposées au transfert de données à caractère personnel vers des "pays tiers" situés en dehors de l'Espace économique européen (EEE) sont peut-être les plus remarquables dans le contexte de l'arbitrage international, où le transfert de documents d'arbitrage contenant des données à caractère personnel est courant. Dans un tel scénario, l'une des quatre bases légales est requise pour que les transferts de données personnelles soient autorisés. Premièrement, le transfert vers un pays tiers est autorisé si ce dernier fait l'objet d'une décision d'adéquation (article 45, paragraphe 1).[xliii] Si tel n'est pas le cas, l'une des garanties appropriées (article 46, paragraphe 1) doit être mise en place lorsque cela est possible.[xliv] S'il n'y a pas de décision d'adéquation et qu'une sauvegarde appropriée n'est pas réalisable, une dérogation spécifique peut être invoquée (article 49, paragraphe 1).[xlv] Enfin, en l'absence de ce qui précède, une partie peut invoquer un intérêt légitime impérieux (article 49, paragraphe 1).[xlvi] comme base légale pour un transfert de données personnelles par un tiers.

La feuille de route expose de manière assez complète les considérations nécessaires que les participants à l'arbitrage doivent prendre en compte. Elle souligne à plusieurs reprises que ce sont les participants à l'arbitrage, et non l'arbitrage en tant que tel, auxquels s'appliquent les principes de protection des données personnelles et les règles de transfert.[xlvii] Dans cette optique, la conclusion présumée est qu'un arbitre basé dans l'UE pour un arbitrage hors UE qui n'est par ailleurs pas soumis au GDPR devrait néanmoins se conformer aux exigences du GDPR en matière de traitement et de transfert des données personnelles. Cela est en effet généralement accepté dans les procédures d'arbitrage commercial,[xlviii] mais la situation n'est pas aussi claire en ce qui concerne l'arbitrage entre investisseurs et États.

L'affaire Tennant Energy, LLC c. Gouvernement du Canada

En 2019, dans l'arbitrage du chapitre 11 de l'ALENA Tennant Energy, LLC c. Gouvernement du Canada (Tennant),[xlix] Tennant, le demandeur, a soulevé la question de l'application du GDPR à la procédure en raison de la nationalité britannique et du domicile de l'un des membres du tribunal. Cependant, le Tribunal a donné des instructions aux parties indiquant que "un arbitrage en vertu du chapitre 11 de l'ALENA, un traité auquel ni l'Union européenne ni ses États membres ne sont parties, ne relève pas, par présomption, du champ d'application matériel du GDPR".[l]

Il est important de faire la distinction entre l'arbitrage fondé sur des traités et l'arbitrage commercial, le Tennant entrant dans la première catégorie. La feuille de route tient compte de cette distinction, en notant que les organisations internationales peuvent être exclues du champ d'application des lois sur la protection des données personnelles.[li] Les membres du tribunal dans l'arbitrage Tennant peuvent bénéficier de certaines immunités découlant de l'accord de siège de la Cour permanente d'arbitrage (CPA) avec les Pays-Bas. Toutefois, le tribunal de l'ALENA n'a pas examiné si, en tant qu'organisation internationale, la CPA serait soumise aux règles de transfert du GDPR ou si les membres du tribunal bénéficieraient de certaines immunités découlant de l'accord.

Le Tennant L'orientation Tennant soulève plus de questions qu'elle n'apporte de réponses quant à l'applicabilité du GDPR aux procédures de l'ALENA et, plus généralement, aux arbitrages fondés sur des traités, dont une discussion nuancée dépasse le cadre actuel. Néanmoins, l'orientation Tennant, considérée à la lumière de la feuille de route, démontre que ce sujet reste très incertain. Au mieux, on peut se demander si la Feuille de route apporte une quelconque clarté aux participants à l'arbitrage confrontés à cette question, compte tenu notamment du fait que la Feuille de route a été publiée après l'entrée en vigueur de l'Accord de libre-échange nord-américain. Tennant a été rendu mais n'a pas accordé de considération à ce dernier.

La question de la vidéoconférence

La Feuille de route reconnaît l'importance de la sécurité des données personnelles. Cependant, avec l'utilisation récente de technologies supplémentaires pour faciliter les audiences virtuelles, ainsi que le travail à domicile - principalement alimenté par les circonstances actuelles qui nous sont imposées par la pandémie de Covid-19 - cette question a un poids supplémentaire. Le protocole de cybersécurité[lii] et les directives de l'IBA en matière de cybersécurité[liii] ont apporté un éclairage sur la question.

Comme la Feuille de route, le Protocole sur la cybersécurité établit plusieurs principes sous-jacents. Le principe de proportionnalité s'applique, le tribunal a l'autorité et la discrétion pour déterminer les mesures de sécurité en place, et la sécurité de l'information est une question qui devrait être discutée lors de la première conférence de gestion de l'affaire. L'annexe A du Protocole sur la cybersécurité fournit une liste de contrôle que les parties à un arbitrage peuvent utiliser pour protéger les procédures.

Suite au récent changement des modes et environnements de travail dû à la pandémie de Covid-19, ces questions devraient se voir accorder plus de poids. Dans un monde qui a été pressé de trouver de nouvelles façons de faire des affaires et de s'adapter aux périodes d'incertitude, l'un des problèmes auxquels le secteur juridique a été confronté est la question des audiences combinée aux restrictions et au besoin de distanciation sociale. À ce titre, la popularité de la vidéoconférence et son utilisation dans les procédures d'arbitrage international est une question que la feuille de route devrait aborder mais ne l'a pas fait - ou du moins, pas encore.

Bien que beaucoup aient discuté et souligné les problèmes des audiences vidéo, la plupart n'ont pas abordé la manière dont les lois sur la protection des données personnelles devraient leur être appliquées, non seulement en ce qui concerne la protection des données personnelles, mais aussi la sécurité, certaines plateformes ayant fait l'objet d'attaques de sécurité.[liv]

Comme indiqué ci-dessus, il est essentiel de comprendre les différents rôles des parties impliquées dans l'arbitrage concernant le GDPR, à savoir qui sont les " contrôleurs de données " et les " processeurs de données ". Si le logiciel de vidéoconférence traite des données personnelles, telles que le nom d'utilisateur et l'adresse électronique d'une partie utilisant le service, il sera considéré comme un "processeur de données". Cela signifie qu'il doit se conformer aux règles du GDPR si l'un des participants est domicilié dans l'UE. Le Tribunal étant le " contrôleur de données ", il lui incombera alors d'assurer cette conformité.

La Chambre de commerce internationale (CCI) a publié une note d'orientation[lv] qui fournit aux parties des suggestions de clauses pour les protocoles de cybersécurité et les audiences virtuelles. Il vise à aborder l'aspect de la sécurité, mais il n'aborde pas l'aspect de la protection des données personnelles. La feuille de route devrait discuter des possibilités d'application de la protection des données personnelles aux audiences virtuelles et de la manière de s'y conformer. Si le GDPR précise les exigences à respecter en matière de vidéoconférence, il ne donne pas d'indications sur la manière dont ses exigences sont directement applicables.

Bien que la Feuille de route ne fournisse pas de recommandations sur des fournisseurs de logiciels spécifiques, elle pourrait compiler et fournir aux praticiens une liste des spécifications nécessaires d'un logiciel idéal pour les vidéo-audiences, tout comme elle fournit des listes de contrôle sur divers autres sujets dans ses annexes.

Quelle est la place des tiers financeurs ?

On entend par tiers financeur toute personne non partie à la procédure arbitrale qui conclut un accord pour financer tout ou partie du coût de la procédure en échange d'une somme qui dépend entièrement ou partiellement de l'issue de l'affaire.[lvi] Les tiers financeurs ont accès à diverses données personnelles dans les procédures arbitrales qu'ils financent ou qu'ils envisagent de financer. Bien que la feuille de route ne s'adresse expressément qu'aux participants à l'arbitrage, elle précise que les orientations sont pertinentes pour les prestataires de services qui sont également concernés par les exigences en matière de protection des données personnelles.[lvii]

Dans la feuille de route, les fournisseurs de services comprennent "les experts en e-discovery, les professionnels des technologies de l'information, les sténographes judiciaires, les services de traduction, etc.[lviii] mais les tiers financeurs ne sont pas explicitement mentionnés. En vertu du GDPR, la collecte et le stockage des données personnelles sont inclus dans le traitement. Ainsi, si les tiers financeurs collectent des données personnelles auprès d'autres personnes, les lois sur les données personnelles s'appliqueraient également à eux.[lix]

Le GDPR permet à une partie de traiter des données à caractère personnel si " le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ".[lx] qui peut potentiellement être cité par les participants à l'arbitrage comme base juridique applicable au traitement des données personnelles pertinentes. Il existe peu d'indications sur ce sujet.[lxi] La feuille de route indique :

'La première étape d'une évaluation de l'intérêt légitime consiste à identifier un intérêt légitime - quelle est la finalité du traitement des données à caractère personnel et pourquoi est-elle importante pour vous en tant que responsable du traitement ? Dans le contexte de l'arbitrage, l'intérêt légitime peut impliquer l'administration de la justice, le respect des droits des parties et le règlement rapide et équitable des demandes en vertu des règles d'arbitrage applicables, ainsi que de nombreux autres intérêts.''[lxii]

L'inclusion de "nombreux autres intérêts" pourrait éventuellement inclure l'intérêt monétaire légitime des tiers financeurs. Si tel est le cas, ils seraient alors clairement obligés de conclure des accords de traitement des données avec les parties à la procédure arbitrale et seraient inclus dans le champ d'application des réglementations et exigences en matière de protection des données personnelles. Il est intéressant de noter que la Feuille de route omet de détailler explicitement la place des tiers financeurs dans le tableau, en particulier si l'on considère l'augmentation de leur inclusion dans les procédures arbitrales.

Un bouclier pour la non-divulgation

Les obligations en matière de protection des données personnelles entraînent un risque d'abus. Les parties à un arbitrage peuvent utiliser le GDPR comme un bouclier de mauvaise foi pour empêcher la divulgation d'informations pertinentes pour la procédure ou demandées par la partie adverse. Par exemple, une partie peut s'opposer à une demande de divulgation en prétendant que les documents contiennent des données personnelles sans rapport avec le litige, ou que le caviardage des informations personnelles serait une charge excessive.[lxiii]

La feuille de route aborde le risque d'abus. Elle suggère de soulever et de clarifier les obligations en matière de protection des données personnelles le plus tôt possible afin de réduire le risque que celles-ci aient un impact sur les procédures. Les participants devraient envisager de conclure un "protocole de protection des données" - un accord sur la manière dont la protection des données personnelles sera appliquée dans un contexte particulier. Sinon, s'il n'est pas possible de parvenir à un protocole de protection des données signé, ces questions devraient être abordées dans l'ordonnance de procédure numéro un.[lxiv]

À titre de comparaison, on peut examiner la conformité au GDPR lors de la communication préalable dans les litiges américains. Les tribunaux fédéraux américains ont utilisé des tests d'équilibre pour décider d'ordonner ou non la divulgation ou le respect des assignations à comparaître ou des ordonnances de communication préalable qui sont potentiellement en violation des lois étrangères, y compris les lois sur la protection des données personnelles.[lxv] Voici une liste non exhaustive des facteurs examinés par les tribunaux fédéraux américains :

  • l'importance des documents ou autres informations demandés pour le litige ;
  • le degré de spécificité de la demande ;
  • si l'information provient des États-Unis ;
  • la disponibilité d'autres moyens d'obtenir l'information ; et
  • la mesure dans laquelle la non-conformité porterait atteinte à des intérêts importants des États-Unis.[lxvi]

Le plus souvent, les tribunaux fédéraux exigent la divulgation malgré les violations potentielles des lois étrangères sur la protection des données personnelles.[lxvii]

Les arbitres sont confrontés à des considérations différentes de celles des tribunaux lorsqu'ils décident d'ordonner ou non la divulgation par une partie. C'est correct, comme le soutient la littérature,[lxviii] que les tribunaux doivent être conscients des droits et devoirs concurrents à la lumière de la menace d'annulation ou de refus d'exécution en vertu de la Convention de 1958 pour la reconnaissance et l'exécution des sentences arbitrales étrangères (Convention de New York). Toutefois, ce point de vue ne tient pas compte du fait que les ordonnances de divulgation font l'objet d'un contrôle minimal par les tribunaux étatiques, compte tenu du principe de non-ingérence judiciaire.[lxix] Les exemples de tribunaux d'État s'abstenant de procéder à un examen des ordonnances de divulgation abondent.[lxx]

Compte tenu du pouvoir discrétionnaire accordé aux tribunaux en matière de procédure, il est peu probable que la menace d'annulation ou de refus d'exécution soit une considération centrale. Le fait que les parties tentent inévitablement d'abuser des obligations du GDPR pour obtenir un avantage procédural potentiel placera les tribunaux dans la position difficile d'équilibrer les intérêts de la personne concernée d'une part, et de maintenir un processus de preuve solide d'autre part.[lxxi] Clarifier les obligations de conformité en matière de protection des données personnelles dès le début de la procédure - de préférence dans un protocole de protection des données signé - conformément aux recommandations de la feuille de route semble être une étape préalable pour vérifier ce comportement.

Le non-respect des exigences en matière de protection des données à caractère personnel comme voie d'annulation et de refus de reconnaissance et d'exécution

La Feuille de route n'aborde pas la question de savoir si le non-respect des exigences en matière de protection des données à caractère personnel pourrait être utilisé pour annuler une sentence arbitrale, ou pour refuser sa reconnaissance et son exécution. Les parties disposent de moyens de recours très limités contre les sentences. Néanmoins, une partie déboutée peut souhaiter en contester le résultat et utiliser l'un des principaux motifs communs pour contester la sentence ou empêcher sa reconnaissance ou son exécution.

La Convention de New York compte actuellement 168 États contractants, ce qui en fait la principale base juridique pour la reconnaissance et l'exécution des sentences étrangères dans l'arbitrage commercial international. La Convention prévoit, à l'article V, des motifs limités pour lesquels la reconnaissance et l'exécution d'une sentence arbitrale peuvent être refusées. En particulier, l'article V(2)(b) reconnaît la possibilité pour l'autorité compétente d'un État signataire de refuser la reconnaissance ou l'exécution d'une sentence qui viole l'ordre public.[lxxii]

Les motifs pour lesquels une sentence arbitrale peut être annulée varient selon les juridictions. La Loi type de la CNUDCI sur l'arbitrage commercial international, qui a été largement adoptée, établit une liste de motifs d'annulation à l'article 34(2). Cette liste s'inspire étroitement de l'article V de la Convention de New York.[lxxiii] L'article 34(2)(b)(ii) stipule qu'une sentence arbitrale peut être annulée par le tribunal si la sentence est en conflit avec l'ordre public de l'État.[lxxiv]

La Cour de justice des Communautés européennes (CJCE) a jugé, dans l'affaire Eco Swiss/Benetton, que des dispositions impératives du droit communautaire peuvent constituer des règles fondamentales d'ordre public, dont la violation peut constituer un motif d'annulation d'une sentence arbitrale fondée sur un tel motif en droit national.[lxxv] La possibilité d'annuler une sentence, ou de refuser sa reconnaissance ou son exécution, en raison du non-respect des exigences en matière de protection des données personnelles dépendra donc de la question de savoir si les règles du GDPR doivent être considérées comme des dispositions impératives prépondérantes, dont la violation est contraire à l'ordre public national.[lxxvi]

L'article 9 (1) du règlement Rome I définit les dispositions impératives impératives comme des dispositions " dont le respect est considéré comme crucial par un pays pour la sauvegarde de ses intérêts publics... à tel point qu'elles sont applicables à toute situation entrant dans leur champ d'application, quelle que soit la loi autrement applicable ". Comme Cervenka et Schwarz l'ont précédemment reconnu, la plupart des règles du GDPR peuvent probablement être considérées comme des dispositions impératives dérogatoires en vertu du droit de l'UE. En tant que telles, leur violation peut être considérée comme une violation de l'ordre public.[lxxvii]

La possibilité que le non-respect des exigences en matière de protection des données à caractère personnel puisse entraîner l'annulation ou la non-reconnaissance et la non-exécution d'une sentence arbitrale soulève diverses préoccupations. Tout d'abord, il convient de définir précisément quelles obligations en matière de protection des données personnelles constitueraient des dispositions impératives prépondérantes, car toutes les violations n'ont pas le même poids. En fin de compte, la CJCE sera probablement appelée à fournir des éclaircissements supplémentaires. Deuxièmement, l'abus potentiel de la possibilité de contester ou d'attaquer l'exécution d'une sentence sur la base d'une violation du GDPR devrait également être pris en compte, afin d'empêcher les parties de violer intentionnellement les règles de protection des données personnelles afin d'avoir la possibilité d'un recours contre la sentence à un moment ultérieur. Enfin, il conviendrait de définir si les règles de protection des données personnelles feraient partie du droit procédural ou du droit matériel et de quelle manière.[lxxviii]

Bien qu'il reste beaucoup à définir, les conséquences du non-respect des exigences en matière de protection des données personnelles sur l'annulation, ainsi que sur la reconnaissance et l'exécution des sentences arbitrales, devraient être abordées. Il est très intéressant de constater que la feuille de route n'en fait pas mention.

Conclusion

La feuille de route est destinée à aider les professionnels de l'arbitrage à identifier et à comprendre les obligations en matière de protection des données personnelles et de la vie privée auxquelles ils peuvent être soumis dans un contexte d'arbitrage international. Cependant, comme nous l'avons vu précédemment, elle n'aborde toujours pas certaines questions spécifiques qui sont pertinentes et urgentes aujourd'hui. Les six questions identifiées et développées dans le présent document sont les suivantes :

  • l'applicabilité du GDPR aux arbitrages tenus en dehors de l'UE ;
  • Le GDPR dans le contexte des arbitrages de l'ALENA ;
  • la question des audiences d'arbitrage virtuelles ;
  • les tiers financeurs et leur place dans la feuille de route ;
  • l'abus potentiel du GDPR ; et
  • la non-conformité potentielle au GDPR comme voie d'annulation ou de refus de reconnaissance et d'exécution de la sentence arbitrale.

Chacune de ces questions méritera une réflexion plus approfondie, car il est prévu qu'elles ne feront que gagner en pertinence dans les années à venir. Nous espérons qu'il a été démontré qu'elles méritent d'être incluses dans la feuille de route.

Les annexes[lxxix] ajoutés à la feuille de route sont destinés à aider les professionnels à faire face à ces exigences de manière pratique. L'ajout de la liste de contrôle de la protection des données, de la liste de contrôle de l'évaluation de l'intérêt légitime, des exemples d'avis de confidentialité et des clauses contractuelles types de l'UE sont tous des ressources extrêmement précieuses et devraient être utilisés par les professionnels pour s'assurer qu'ils sont conformes au GDPR.

Cependant, dans une situation de conflit entre différentes juridictions, les différences entre les diverses législations nationales relatives à la protection des données personnelles peuvent conduire à une ambiguïté. Même si les lignes directrices fournies par la Feuille de route ont une grande portée, elles ne sont toujours pas contraignantes. Dans le passé, la CNUDCI et l'IBA se sont efforcées d'assurer l'harmonisation de l'arbitrage international par le biais de leurs règles, lignes directrices et autres ; bien qu'elles ne soient pas contraignantes, elles sont très certainement persuasives. Comme la CNUDCI et l'IBA ont tenté de le faire pour divers aspects de l'arbitrage international, il existe également un besoin urgent d'harmonisation des exigences en matière de protection des données personnelles dans le cadre de l'arbitrage ; les lignes directrices requises devraient donc être mises en place dans un souci d'harmonisation.

Si l'harmonisation, la compréhension et la sensibilisation aux exigences de conformité au GDPR et à ses implications dans le contexte de l'arbitrage international font toujours défaut, nous, professionnels de l'arbitrage, continuerons à nous contenter du cadre juridique actuellement en place. Néanmoins, malgré ses défauts, la feuille de route présente une étape nécessaire et encourageante dans la direction d'une compréhension commune des obligations de protection des données personnelles pour les participants à l'arbitrage.

[i] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO 2016 L 119/1.

[ii] Les "données personnelles" sont définies à l'article 4 du GDPR comme suit :

(1) ''données à caractère personnel'' : toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques de l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.''

[iii] Le champ d'application territorial du GDPR est défini à l'article 3 comme suit :

  1. Le présent règlement s'applique au traitement des données à caractère personnel dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union, que le traitement ait lieu ou non dans l'Union.
  2. Le présent règlement s'applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant non établi dans l'Union, lorsque les activités de traitement sont liées à :

(a) l'offre de biens ou de services, indépendamment du fait qu'un paiement de la personne concernée soit requis, à ces personnes dans l'Union ; ou

(b) le contrôle de leur comportement dans la mesure où celui-ci se déroule au sein de l'Union.

  1. Le présent règlement s'applique au traitement des données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où le droit des États membres s'applique en vertu du droit international public".

[iv] Voir la définition de "sous-traitant" à l'article 4 du GDPR.

[v] Art 83(4), GDPR.

[vi] " Largest fine under GDPR levied against Google " (Simmons + Simmons, 22 janvier 2019), voir www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google> ; Joe Tidy, " British Airways fined £20m over data breach " (BBC, 16 octobre 2020), voir www.bbc.com/news/technology-54568784.

[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), voir www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, consulté le 18 août 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, février 2020), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, consulté le 18 août 2021.

[ix] Ibid, 1.

[x] Affaire PCA n° 2018-54.

[xi] ICCA, Barreau de la ville de New York et Institut international pour la prévention et la résolution des conflits, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)", voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consulté le 18 août 2021.

[xii] " Cybersecurity Guidelines " (IBA, octobre 2018), voir www.ibanet.org/LPRU/Cybersecurity, consulté le 1er décembre 2020.

[xiii] ICC Guidance Note on Possible Measures Aim (Chambre de commerce internationale, 9 avril 2020), consulté le 18 août 2021.

[xiv] Feuille de route, section B.

[xv] Ibid.

[xvi] Art 4, GDPR.

[xvii] Ibid.

[xviii] Art 4, GDPR

[xix] Ibid, Art 3(1).

[xx] Feuille de route, 7.

[xxi] Art 4, GDPR.

[xxii] La Feuille de route définit les " participants à l'arbitrage " comme " incluant les parties, leurs conseillers juridiques, les arbitres et les institutions arbitrales (uniquement) ". Voir Feuille de route (n 3), 2.

[xxiii] Art 4, GDPR.

[xxiv] Voir l'arrêt du 29 juillet 2019, Fashion ID GmbH & Co KG c. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, points 74, 85. Voir également l'arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388 ; l'arrêt du 10 juillet 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Feuille de route, 11

[xxvi] Ibid, 12.

[xxvii] Art 5 et 12-22, GDPR ; Feuille de route 14-15.

[xxviii] Par exemple, en vertu du GDPR, le traitement des données à caractère personnel dans le cadre d'un arbitrage international est licite lorsqu'il est nécessaire aux fins des intérêts légitimes du responsable du traitement - sous réserve des limitations fondées sur les intérêts et les droits fondamentaux de la personne concernée - et les données sensibles peuvent être traitées en vertu de la dérogation relative aux créances légales (Art 9(2)(f)) dans le cadre d'un arbitrage.

[xxix] Feuille de route, 19.

[xxx] Ibid, 20-21.

[xxxi] Ibid, 30-31.

[xxxii] Ibid, 32.

[xxxiii] Ibid, 33-36.

[xxxiv] Ibid, 37-39.

[xxxv] Ibid, 37.

[xxxvi] Ibid, 39.

[xxxvii] Ibid, 40-41.

[xxxviii] Ibid, 42.

[xxxix] Ibid, 43.

[xl] Art 5(1)(e), GDPR.

[xli] Feuille de route, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] La Commission européenne a estimé que le pays offrait une protection des données adéquate.

[xliv] Dans le cas d'un arbitrage international, il s'agira très probablement d'une clause contractuelle standard.

[xlv] La dérogation relative aux actions en justice, qui autorise les transferts lorsqu'ils sont "nécessaires à la constatation, à l'exercice ou à la défense d'actions en justice", est la plus applicable dans le contexte de l'arbitrage.

[xlvi] En raison de son seuil élevé et de l'exigence de notification, le recours à des intérêts légitimes impérieux a peu de pertinence pratique. Voir EDPB, " Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 ", 6 février 2018 (Data Transfer Guidance).

[xlvii] Feuille de route, 8, 13.

[xlviii] Emily Hay, " Le bras invisible du GDPR dans l'arbitrage des traités internationaux : Can't We Make It Go Away ? (Kluwer Arbitration Blog, 29 août 2019), voir http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [consulté le 18 août 2021].

[xlix] Affaire PCA n° 2018-54.

[l] Ibid, communication du Tribunal aux parties (Perm Ct Arb, 2019).

[li] Feuille de route, 37.

[lii] ICCA, Barreau de la ville de New York et Institut international pour la prévention et la résolution des conflits, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, consulté le 18 août 2021.

[liii] " Cybersecurity Guidelines " (IBA, octobre 2018), voir www.ibanet.org/LPRU/Cybersecurity, consulté le 1er décembre 2020.

[liv] Andreas Respondek, Tasha Lim, " Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings ? ". (Kluwer Arbitration Blog, 18 juillet 2020), voir http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, consulté le 18 août 2021.

[lv] Note d'orientation de la CPI sur les mesures possibles visant à atténuer les effets de la pandémie de COVID-19 (CPI, 9 avril 2020), consultée le 18 août 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Feuille de route, 2.

[lviii] Ibid, 23-25.

[lix] Art 4(2), GDPR, voir n 1 ci-dessus.

[lx] Art 6(1)(f), GDPR.

[lxi] Allan J Arffa et autres, " GDPR Issues in International Arbitration " (Lexology, 10 août 2020), voir www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, consulté le 18 août 2021.

[lxii] Feuille de route, annexe 5.

[lxiii] Allan J Arffa et autres, " GDPR Issues in International Arbitration " (Lexology, 10 août 2020), voir www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> consulté le 18 août 2021.

[lxiv] Feuille de route 40-41.

[lxv] Voir, par exemple : David M Howard, " Foreign Data Protection Laws in International Arbitration and United States Litigation " (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid ; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 février 2020), voir www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> consulté le 18 août 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, International Commercial Arbitration (2e édition, Kluwer Law International 2014), 2335.

[lxx] Ibid. Born cite les arrêts suivants pour renforcer cet argument : Arrêt du 22 janvier 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel de Paris) : " la décision du tribunal arbitral d'ordonner la communication préalable relève de son pouvoir discrétionnaire en matière de procédure et ne peut être contrôlée par les tribunaux " ; Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004) : Les demandes de divulgation sont " bien dans l'exercice raisonnable de la discrétion du Tribunal ".

[lxxi] Natalia M Szlarb, " GDPR and International Arbitration at a Crossroads " (The National Law Review, 4 décembre 2019), voir www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, consulté le 18 août 2021.

[lxxii] Convention de New York, Art V(2) : "La reconnaissance et l'exécution d'une sentence arbitrale peuvent également être refusées si l'autorité compétente du pays où la reconnaissance et l'exécution sont demandées constate que... (b) la reconnaissance ou l'exécution de la sentence serait contraire à l'ordre public de ce pays".

[lxxiii] Secrétaire général des Nations Unies, Commentaire analytique sur le projet de texte d'une loi type sur l'arbitrage commercial international, A/CN.9/264 (1985), Art 34, paragraphe 6.

[lxxiv] Loi type de la CNUDCI sur l'arbitrage commercial international, article 34(2) : "Une sentence arbitrale ne peut être annulée par le tribunal visé à l'article 6 que si...(b) le tribunal estime que... (ii) la sentence est contraire à l'ordre public de cet État".

[lxxv] Arrêt du 1er juin 1999, Eco Swiss China Time Ltd contre Benetton International NV C-126/97, Recueil 1999, p. I-03055, points 39 et 41. 39 et 41. Pour une discussion détaillée de la politique publique de l'UE, voir : Sacha Prechal et Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka et Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Pour une discussion plus détaillée de ces questions et d'autres, voir : Alexander Blumrosen, " The Allocation of GDPR Compliance in Arbitration " in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq ; Cervenka and Schwarz, voir n 76 ci-dessus, 84-85.

[lxxix] The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes, (ICCA, février 2020), voir https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, consulté le 18 août 2021.

Cet article a été publié pour la première fois dans Dispute Resolution International, Vol 15 No 2, octobre 2021, et est reproduit avec l'aimable autorisation de l'International Bar Association, Londres, Royaume-Uni. © International Bar Association.