RFI : les autorités de concurrence poussent-elles le bouchon un peu trop loin ?
Pour mener leurs enquêtes, les autorités de concurrence disposent de moyens variés parmi lesquels les demandes de renseignements (« RFI »). Intéressons-nous plus particulièrement ici à l’impact de ces demandes en terme technique et logistique.
Les questions peuvent porter sur des chiffres et des éléments de marché, mais certaines RFI peuvent couvrir un champ bien plus large et nécessiter la communication de certains documents, y compris sous format électronique, en possession de l’entreprise visée. Pourront, par exemple, être demandés tous les documents internes, emails compris, portant sur tels ou tels sujets ou mots-clés et couvrant une période de plusieurs années.
En pratique, une telle demande peut s’apparenter à un véritable exercice de discovery à l’américaine, obligeant l’entreprise et ses conseils à identifier, collecter, trier et revoir un volume important de données afin d’en écarter certaines (échanges couverts par la confidentialité, avocats clients notamment) et identifier les pièces pertinentes à produire. Une gestion artisanale est devenue difficilement tenable compte tenu des volumes de données en jeu et des délais à respecter. Il n’est donc pas étonnant de voir les méthodologies et les technologies issues de l’e-discovery appelées à la rescousse pour répondre aux RFI les plus massives.
Un workshop a été organisé par la revue Concurrences le 4 février dernier sur ce sujet. Nous avons pu contribuer aux discussions en apportant notre vision technique. La synthèse des débats ainsi que les présentations complètes sont disponibles sur le site internet de Concurrences.
Comment répondre de manière plus efficace à une RFI massive ?
Une RFI massive peut être assez déstabilisante pour une entreprise qui devra mettre en branle des ressources importantes, tant en interne qu’en externe, pour rassembler les informations pertinentes, s’assurer qu’elles soient exactes, complètes et les communiquer dans le format requis et dans les délais impartis sous peine de sanction. Il vaut mieux alors être bien organisé si l’on souhaite éviter d’y passer trop de temps et limiter les coûts directs et indirects.
Une des clés consiste à gérer cette logistique afférente aux données électroniques selon l’Electronic Discovery Reference Model (EDRM) qui modélise les différentes étapes d’une procédure d’e-discovery, ceci afin de permettre aux équipes juridiques internes et externes de se concentrer sur les aspects purement juridiques de la situation. L’intervention d’un prestataire technique spécialisé dans l’e-discovery pour se charger de la gestion des données électroniques permettra alors à chacun de se recentrer sur sa valeur ajoutée.
- La 1ʳᵉphase de la réponse consiste à identifier en interne les sources susceptibles de contenir les données concernées (messageries électroniques, répertoires réseau ou stockés en local sur un ordinateur, logiciels divers utilisés au sein de l’entreprise).
- Les données identifiées doivent ensuite être copiées hors de leur support. Ces opérations peuvent être réalisées par les équipes IT internes ou par un prestataire spécialisé, notamment s’il est nécessaire d’adopter une démarche forensic (respect de l’intégrité des données et maintien d’une certaine traçabilité).
- Les données pourront être confiées à un spécialiste de l’e-discovery qui saura les traiter, les préparer et les charger sur une plateforme de revue de documents en ligne, sorte de data room collaborative dotées de fonctionnalités spécifiques permettant aux données d’être plus facilement analysées, recherchées et triées par les équipes juridiques (internes et/ou externes) au regard de l’objet de l’enquête et des risques que pourrait représenter la communication de tel ou tel document à l’autorité.
- Les documents concernés seront exportés hors de la plateforme et communiqués à l’autorité dans le format convenu.
Peut-on anticiper et mieux se préparer à répondre aux RFI ?
Si l’on s’en réfère à l’EDRM ci-dessus, une bonne gouvernance de l’information est une étape préliminaire indispensable pour pouvoir répondre à une RFI, ou toute autre situation apparentée à une discovery, de manière plus efficiente. Si la plupart des aspects couverts par la gouvernance de l’information relève plutôt du bon sens, voici quelques conseils pratiques qui pourront servir de base de réflexion pour les juristes, leurs collègues internes (service informatique et autres) et leurs conseils externes :
- Réaliser un data mapping (Quelles données ? Où sont-elles stockées ? Qui a accès ?) et le garder à jour, notamment suite à une opération de fusion/acquisition.
- Adapter sa politique de rétention de données à ses enjeux réglementaires.
- Lors des départs de salariés, s’assurer que leurs données pourront être facilement et légalement accessibles en cas de besoin ultérieur.
- Rédiger un plan de réponse (étapes, délais, personnes/prestataires impliqués, circuit de validation…). Une telle approche documentée permettra de se justifier auprès des autorités si besoin.
- Organiser ses archives en permettant une identification et une restauration rapide des données (notamment pour les bandes de sauvegarde magnétique).