À une époque où les données sont une nouvelle forme de devise, La sauvegarde des informations sensibles est une considération essentielle dans l'arbitrage international. À la fois, Les lois sur la protection des données du monde ont rapidement élargi la portée au point que, Selon Gonçalves et Brancher, "Il n'y a aucun domaine de droit qui n'est pas affecté par ces questions."[1] Cette note explore les principaux défis et considérations pratiques entourant le sujet de la protection des données dans l'arbitrage international.
Confidentialité dans l'arbitrage international
L'arbitrage international est largement évalué pour sa nature confidentielle. Contrairement aux combinaisons domestiques, Les procédures d'arbitrage ont généralement lieu à huis clos, et les récompenses d'arbitrage restent non publiées, sauf accord contraire.
Ce principe se reflète dans les règles de la plupart des institutions arbitrales. Par exemple, la 2025 Règles d'arbitrage du Singapour International Arbitration Center fournir que tous les participants à un arbitrage "doit être obligé d'une obligation continue à traiter toutes les questions relatives à la procédure comme confidentielle."[2]
De même, la 2024 HKIAC a administré des règles d'arbitrage du Hong Kong International Arbitration Center déclarer que «[dans]sauf accord contraire des parties, Aucun représentant de parti ou de parti ne peut publier, divulguer ou communiquer toute information relative à […] L'arbitrage en vertu de la convention d'arbitrage".[3]
En Angleterre et au Pays de Galles, La confidentialité de la procédure d'arbitrage est même impliquée dans les termes des accords d'arbitrage (avec des exceptions limitées). Dans La saga orientale, Le tribunal de commerce a jugé que «Les parties ont accepté de se soumettre à des litiges particuliers d'arbitrage qui les découlent et seulement entre eux", donner naissance à un terme de confidentialité implicite.[4] Dans Ali Expédition, La Cour d'appel a confirmé que cela s'étend aux documents produits par des parties, actes de procédure, observations écrites, et témoignages, entre autres.[5]
Cybersécurité: Leçons du piratage de l'ACP
toutefois, en de rares occasions, Les données sont extraites de la procédure d'arbitrage sans le consentement des parties.
Dans 2015, la Cour permanente d'arbitrage ("APC") accueillait des audiences de grande envergure entre les Philippines et la Chine pour un différend maritime en mer de Chine méridionale. Plus précisément, Les Philippines ont lancé l'arbitrage en vertu de la partie XV de l'annexe VII à la Convention des Nations Unies sur le droit de la mer ("Débouchent"), alléguant que les revendications territoriales de la Chine à la région dépassaient ses droits en vertu de la convention et qu’elle aggravant le différend des parties en construisant une série d’îles artificielles (parfois surnommé le «Grande mur de sable") pour renforcer sa prise sur la région.[6]
Bien que la Chine ait refusé de participer, L'arbitrage s'est déroulé en son absence. toutefois, de jour 3 de l'audience, Une entreprise indépendante de cybersécurité a découvert un exploit sur le site Web de la PCA qui était prétendument utilisé par un groupe de pirates chinois associés à l'État.[7] Plus précisément, Le groupe aurait abusé d'un exploit dans le joueur Adobe Flash désormais déconticulé pour accéder et modifier les parties du site Web du tribunal pour charger un code malveillant sur les ordinateurs des visiteurs.
Heureusement, il n'y a pas eu de violation de données très médiatisée depuis 2015, et le risque de violation de cybersécurité est probablement plus élevé des parties que les institutions arbitrales. Les institutions arbitrales peuvent également avoir des exigences légales pour prendre soin de prévenir ces violations de données. Par exemple, Article 32 du Règlement général sur la protection des données du Royaume-Uni Fournit ces contrôleurs de données et processeurs «doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié au risque".[8]
Il est clair de ce qui précède, par conséquent, qu'il existe des restrictions fermes sur l'utilisation à d'autres fins de données acquises au cours d'un arbitrage international. toutefois, La prolifération des régimes rigoureux de protection des données signifie que les participants à l'arbitrage doivent s'assurer que les données sont correctement gérées dans le processus arbitral également.
Législation sur la protection des données
De plus en plus de lois sur la protection des données sont devenues au cours de la dernière décennie, incluant le Règlement général bien connu de la protection des données de l'Union européenne ("RGPD"). Le RGPD impose des amendes lourdes pour une non-conformité pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires d'une entreprise l'année précédente, Quel que soit le plus haut.[9] C'est, par conséquent, crucial que les parties aux liens avec l'Union européenne respectent ses dispositions.
Sur le papier, Il semblerait que les arbitrages internationaux soient carrément soumis au RGPD si des parties à celles-ci ont son siège social ou opèrent dans l'Union européenne:
Article 3
Portée territoriale
- Ce règlement s'applique au traitement des données personnelles dans le contexte des activités de l'établissement d'un contrôleur ou d'un processeur dans le syndicat, que le traitement se déroule dans le syndicat ou non.
- Ce règlement s'applique au traitement des données personnelles des sujets de données qui sont dans le syndicat par un contrôleur ou un processeur non établi dans le syndicat, où les activités de traitement sont liées à:
(une) L'offre de biens ou de services, indépendamment de savoir si un paiement de la personne concernée est requise, à ces sujets de données dans le syndicat; ou
(b) La surveillance de leur comportement en ce qui concerne leur comportement au sein de l'Union.
- Ce règlement s'applique au traitement des données personnelles par un contrôleur non établi dans le syndicat, mais dans un endroit où la loi de l'État membre s'applique en vertu du droit international public.
Article 3 semble imposer le RGPD aux arbitrages où toute forme de traitement ou de contrôle des données a lieu dans l'Union européenne, que ce soit par des institutions arbitrales, arbitres, Conseil, les témoins, journalistes des tribunaux, ou d'autres. Selon les récitals du RGPD, Le règlement s'applique «entre autres, aux activités des tribunaux et autres organes judiciaires".[10] D'après Né, Un argument plausible se pose ainsi que les arbitres et les institutions arbitrales relèvent de la portée du RGPD.[11] Cela soulève des questions intéressantes, Par exemple, si trop loin Demandes de production de documents en arbitrage peut violer le RGPD.
toutefois, Un tribunal arbitral constitué en vertu de l'accord de libre-échange nord-américain ("HUILE") dans le cas d Tennant V. Canada déterminé que le RGPD ne s'applique pas malgré un de ses arbitres au Royaume-Uni (puis membre de l'Union européenne) Et malgré son propre avis de confidentialité de données sur son site Web indiquant qu'il était couvert par celui-ci.[12] Le tribunal a estimé que «un traité auquel ni l'Union européenne ni ses États membres ne font partie, ne fait pas, présumé, se situez dans la portée matérielle du RGPD."[13]
Cela rend l'applicabilité du RGPD aux arbitrages internationaux assez clairs. Comme le soutiennent Huang et Xie, Cour de justice ultérieure de la jurisprudence de l'Union européenne indique que cela peut avoir été une décision incorrecte basée sur une interprétation incorrecte de l'article 2.[14]
Néanmoins, Seul le temps nous dira comment les tribunaux arbitraux traiteront les lois sur la protection des données telles que le RGPD qui semblent avoir un effet extraterritorial.
Ordres de procédure et mesures de protection
Pour l'instant, Les préoccupations concernant la protection des données devraient généralement être soulevées au début de la procédure, Idéalement à l'époque de la première conférence de gestion des cas. Par ici, Les parties peuvent exposer leur cas et s'assurer que des mesures adéquates de protection des données sont fournies pour.
Les règles d'arbitrage de l'arbitrage de la Cour de Londres de Londres 2020, par exemple, fournir ce qui suit:
30.5 Conformément à ses fonctions en vertu de l'article 14.1, À un stade précoce de l'arbitrage, le tribunal arbitral, en consultation avec les parties et le cas échéant la LCIA, Vérifiez s'il est approprié d'adopter:
(je) Toute mesure de sécurité de l'information spécifique pour protéger les informations physiques et électroniques partagées dans l'arbitrage; et
(ii) Tout moyen de traiter le traitement des données personnelles produites ou échangées dans l'arbitrage à la lumière de la protection des données applicable d'une législation équivalente.
30.6 La LCIA et le tribunal arbitral peuvent émettre des instructions sur la sécurité des informations ou la protection des données, qui lie les parties, et dans le cas de ceux émis par la LCIA, également sur les membres du tribunal arbitral, sous réserve des dispositions obligatoires de toute loi ou règle de droit applicable.
La Chambre de commerce internationale publie une clause de protection des données par défaut qui, entre autres, Prévoit que "[je]F Les données de catégorie sensible / spéciale sont soumises pendant l'arbitrage, il doit être traité dans la mesure nécessaire pour établir, exercice, ou défendre les réclamations légales dans l'arbitrage."[15]
Une autre option consiste à demander un ordre de confidentialité pour lier légalement les participants à certaines obligations non divulgatrices.
Conclusion
Il est évident que, À mesure que l'arbitrage international évolue dans un monde de plus en plus numérique et centré sur les données, La protection des données ne peut plus être traitée comme une réflexion après coup. À la fois, Il y a de précieuses orientations de la jurisprudence et des législateurs sur la question. Afin de garantir la protection des données dans les parties arbitrage internationales doivent s'assurer qu'elles utilisent des plateformes sécurisées à l'abri des menaces de cybersécurité. Ils doivent également prendre soin de considérer les lois sur la protection des données qui pourraient affecter toute partie à l'arbitrage. finalement, Ils doivent garder à l'esprit leur capacité à demander des dispositions spécifiques dans les ordres de procédure pour assurer un niveau de protection des données plus élevé.
[1] E. Gonçalves et P. Industries, Problèmes de protection des données dans l'arbitrage international en sol. Fatigué et al. (Eds.) Direction, Légitimité, Héritage: Un hommage à Alexis Mourre (2022), p. 199.
[2] Règles d'arbitrage du Singapour International Arbitration Center 2025, Règle 59.1.
[3] 2024 Règlement d'arbitrage administré par HKIAC, Article 45.1.
[4] Oxford Shipping contre Nippon Yusen Kaisha [1984] 2 Représentant du Lloyd's 373, 379, comme cité dans Ali Shipping Corporation contre Shipyard Trogir [1997] EWCA Civ 3054, p. 3.
[5] Ali Shipping Corporation contre Shipyard Trogic [1997] EWCA Civ 3054, pp. 18-21 ("c'est clair (et en effet les parties ne contestent pas) que le principe couvre également, observations écrites, et les preuves des témoins ainsi que des transcriptions et des notes des preuves données dans l'arbitrage »).
[6] République des Philippines V. La république populaire de chine, Cas PCA Non. 2013-19, Prix, 12 juillet 2016, meilleur. 7-10.
[7] Menaceconnect, Camerashy: Clôture de l'ouverture sur l'unité chinoise 78020 (2019), p. 15.
[8] Régulation (Moi) 2016/679 du Parlement européen et du Conseil, Article 32(1).
[9] Régulation (Moi) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes naturelles en ce qui concerne le traitement des données personnelles et sur la libre circulation de ces données et l'abrogation de la directive 95/46 / EC [2016] OJ L 119/1, Art. 83.5.
[10] Régulation (Moi) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes naturelles en ce qui concerne le traitement des données personnelles et sur la libre circulation de ces données et l'abrogation de la directive 95/46 / EC [2016] OJ L 119/1, Récitals, pour. 20.
[11] g. Née, Chapitre 13: Droits et devoirs des arbitres internationaux (Mis à jour en février 2024) dans Arbitrage commercial international (Troisième édition) (2024).
[12] Tennant Energy LLC V. Gouvernement du Canada, Cas PCA Non. 2018-54, Questions et réponse de l'investisseur aux questions du RGPD du tribunal et des questions de confidentialité des données, 4 juin 2019.
[13] Tennant Energy LLC V. Gouvernement du Canada, Cas PCA Non. 2018-54, Communication du Tribunal aux parties, 24 juin 2019.
[14] J. Huand et D. Xie, Loi sur la protection des données dans l'arbitrage des investissements: Applicable ou non?, en W. parc (éd.), Arbitrage international (2021).
[15] Chambre internationale du commerce, Clause de protection des données du modèle pour l'ordre procédural un, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (dernier accès 23 Mai 2025).