Le premier jour de la Hong Kong Arbitration Week 2022, Morrison & Foerster a organisé un panel hybride sur « Conséquences de RPCÉvolution des lois sur la protection des données en matière de divulgation et de participation des parties de la RPC à l’arbitrage international.” Le panel a présenté les derniers développements du régime juridique de protection des données de la République populaire de Chine (« RPC”) et a exploré les défis qu’elle pose aux procédures d’arbitrage international.
Les panélistes comprenaient Mme Sarah Thomas (Morrison & Foerster, Hong Kong), M. Samuel Yang (Anjie Law Firm, Pékin), Mme Fanghan Chen (Hong Kong International Arbitration Centre, Hong Kong) et Mme Kathleen Paisley (AMBOS Lawyers, Bruxelles). La table ronde a été animée par Mme Cheryl Zhu (Morrison & Foerster, Hong Kong).
Aperçu des lois de protection des données de la RPC
M. Yang a présenté brièvement les trois piliers du régime juridique de protection des données de la RPC, à savoir la loi sur la cybersécurité
M. Yang a spécifiquement discuté de l’application de l’article 36 de la DSL et de l’article 41 de la PIPL dans l’arbitrage international. Ces deux dispositions contiennent des restrictions particulières sur l’exportation de données vers des « autorités judiciaires ou répressives étrangères ». Cependant, le gouvernement n’a pas publié d’orientations claires sur leur application dans le contexte de l’arbitrage. M. Yang a expliqué que suite à des enquêtes non officielles auprès du ministère de la Justice (« MOJ« ), l’exportation de données vers des tribunaux ou des institutions arbitrales nécessite actuellement l’approbation du ministère de la Justice (ce qui prend généralement un mois) ou au moins une évaluation de la sécurité par le CAC.
Impact des lois de protection des données de la RPC sur le processus arbitral
Mme Thomas a souligné que les conflits relatifs aux questions de droit de la protection des données se matérialisaient souvent dans le processus de divulgation dans les arbitrages. Les parties de la RPC s’appuient de plus en plus sur les lois de protection des données de la RPC pour résister aux demandes de production d’une contrepartie ou pour retarder considérablement la procédure en invoquant la nécessité de procéder à une auto-évaluation et/ou d’obtenir l’approbation des autorités compétentes de la RPC.
Mme Chen était d’accord et a noté que le HKIAC avait récemment vu plusieurs cas dans lesquels les lacunes législatives de l’article 36 de la DSL et de l’article 41 de la PIPL avaient conduit à des contestations dans les procédures arbitrales. Les parties ont soulevé différentes interprétations de l’article 36 de la DSL et de l’article 41 de la PIPL devant les tribunaux, adoptant parfois même des normes doubles pour produire des documents en leur faveur, mais déclinant d’autres demandes de production invoquant des problèmes de protection des données.
Mme Thomas et Mme Chen ont observé que les problèmes étaient encore compliqués par le manque de cohérence dans l’approche des autorités de la RPC en matière d’exportation de données dans l’arbitrage international. Mme Thomas a partagé que, d’après l’expérience de Morrison & Foerster, le ministère de la Justice avait conclu dans certains cas qu’une approbation de l’exportation de données dans les procédures d’arbitrage était nécessaire. Pourtant, dans d’autres cas, le ministère de la Justice a conclu qu’une telle approbation n’était pas nécessaire. Mme Chen a également partagé que dans un arbitrage, la partie RPC a effectué une auto-évaluation et a soumis une demande d’approbation pour l’exportation de données à cinq autorités RPC différentes. En réponse, certaines des autorités n’ont fourni que des commentaires de haut niveau (oralement) sur les circonstances dans lesquelles les soumissions dans un arbitrage pourraient être transférées à travers la frontière, tandis que d’autres ont refusé d’examiner la demande de la partie au motif que les affaires d’arbitrage étaient hors du champ d’application de leurs responsabilités.
Compte tenu des incertitudes actuelles, Mme Thomas a proposé que lorsqu’une partie de la RPC citait les lois de protection des données de la RPC et n’était pas en mesure et/ou refusait de fournir une divulgation dans un arbitrage, les solutions potentielles à la disposition d’un tribunal incluaient de tirer des conclusions défavorables et/ou d’imposer des conséquences financières sur la partie non divulgatrice conformément aux articles 9.6 et 9.8 des Règles de l’IBA sur l’obtention des preuves dans l’arbitrage international
Meilleures pratiques pour traiter les problèmes de protection des données dans l’arbitrage
En tant que coprésidente du groupe de travail conjoint IBA-ICCA sur la protection des données dans les procédures d’arbitrage international, Mme Paisley a partagé ses idées sur l’interaction entre les questions de protection des données et l’arbitrage international sur la base de son expérience avec le RGPD. Mme Paisley a fait écho aux vues de Mme Thomas selon lesquelles les parties devraient examiner les questions de protection des données dès le début de la procédure arbitrale. Elle a suggéré que les parties cartographient tous les points de données lorsque le différend fait initialement surface, par exemple, les réglementations applicables en matière de protection des données, les autorités compétentes, les personnes concernées, les sous-traitants, les destinataires et les voies d’exportation potentielles des données. Compte tenu du retard prévisible causé par l’examen et l’approbation du gouvernement, il est essentiel qu’une partie gère en temps opportun les attentes de la contrepartie, du tribunal et de l’institution arbitrale en ce qui concerne le calendrier de la procédure. Il sera trop tard si les parties ne commencent à examiner ces questions qu’à la phase de divulgation de la procédure.
Conclusion
La table ronde a été très instructive et a fourni de nombreuses informations sur les lois de protection des données de la RPC ainsi que sur la réponse de la communauté de l’arbitrage à l’évolution du régime de protection des données. En traitant les questions de protection des données dès le début de la procédure arbitrale et en s’engageant activement avec les autorités gouvernementales de la RPC sur l’interaction entre les questions de protection des données et l’arbitrage international, les parties seront non seulement en mesure de minimiser les retards dans l’arbitrage (en particulier dans le processus de divulgation), mais aussi Aider éventuellement les autorités gouvernementales de la RPC à développer une approche cohérente pour traiter les questions de protection des données dans l’arbitrage international.