Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Sanction pénale pour traitement non déclaré à la CNIL : le nombre des données concernées est sans incidence

Sanction pénale pour traitement non déclaré à la CNIL : le nombre des données concernées est sans incidence

En vertu de l’article L.226-16 du Code pénal, est réprimé le fait, y compris par négligence, de procéder ou faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi n°78-17 du 6 janvier 1978.

Cette loi s’applique aux traitements de données à caractère personnel quels qu’ils soient et n’exige pas le franchissement d’un seuil de nombre de données ou de fichiers, de sorte qu’une simple note Word concernant une unique personne, par exemple un salarié, peut nécessiter l’accomplissement de ces formalités sous peine de sanctions pénales.

Voici dans les grandes lignes le principe rappelé par la Cour de cassation dans un arrêt du 8 septembre 2015 (Cass. Crim., 8 septembre 2015, n°13-85.587).

Dans cette affaire, un responsable de direction d’une grande école avait rédigé deux notes faisant état d’appréciations personnelles sur la manière de servir du responsable du pôle « études » de cette école, lesquelles avaient été enregistrées sur un répertoire informatique accessible à tous les personnels du service.

La personne visée par ces notes avait alors porté plainte et s’était constituée partie civile, en se fondant sur l’existence d’un traitement automatisé de données à caractère personnel n’ayant pas donné lieu au respect des formalités légales. La Cour d’appel a considéré qu’il ne pouvait être déduit de deux notes relatives à une unique personne, l’existence d’un traitement de données personnelles de l’établissement ; elle a donc confirmé l’ordonnance de non-lieu du juge d’instruction.

Ce raisonnement n’a pas emporté la conviction de la Cour de cassation. En effet, aux termes de la loi n°78-17, la législation s’applique « aux traitements automatisés de données à caractère personnel« , étant entendu que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée » et que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé« . Compte tenu de ces définitions extrêmement larges et de l’objectif de protection des libertés individuelles de la législation, la Cour constate l’existence d’un traitement de données à caractère personnel : elle casse et annule en conséquence la décision d’appel.

Au vu du texte, cet arrêt semble difficilement critiquable : si un fichier Excel contenant les données nominatives d’un millier ou d’une dizaine de personnes constitue sans aucun doute un traitement de données à caractère personnel, on voit mal pourquoi un fichier Word contenant les données nominatives de deux ou d’une seule personne échapperait à cette qualification. Malgré les inquiétudes qu’une telle rigueur ne peut manquer de susciter, il convient de relativiser la portée de cette décision : en effet, d’une part, ne sont pas concernés les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles ; d’autre part, la responsabilité du traitement implique d’avoir le contrôle de sa finalité et de ses moyens. Une société ne devrait donc pas encourir de sanctions pénales au titre de fichiers contenant des données personnelles qui seraient détenus – même à titre professionnel – par l’un de ses employés…

 

Auteurs

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Julie Tamba, avocat en droit de la Propriété Intellectuelle et droit commercial