Traitement de données à caractère personnel : prudence
Cass.crim. 8 septembre 2015 (n° de pourvoi 13-85.587)
Quel commerçant ou professionnel n’a pas aujourd’hui son site internet ou un réseau informatique pour gérer son entreprise. La question du traitement des données personnelles doit alors se poser.
Les décisions de jurisprudence en matière de protection des données personnelles sont rares. La décision récente de la chambre criminelle de la Cour de cassation du 8 septembre 2015 est donc intéressante en ce qu’elle rappelle que la prudence est de mise en matière de traitement de données personnelles.
Les faits
Les faits concernent la rédaction de deux notes portant sur l’évaluation d’un agent administratif, et comportant donc des appréciations personnelles sur les compétences et qualités de l’agent concerné. Ces fichiers ont été enregistrés par une secrétaire dans un répertoire informatique accessible par l’ensemble du service et des personnels.
L’agent concerné a porté plainte et s’est constitué partie civile pour traitement automatisé de données à caractère personnel sans autorisation préalable.
Des sanctions encourues lourdes : il s’agit d’un délit
L’article 226-16 du Code pénal prévoit que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de donnes à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de 5 ans d’emprisonnement et de 300 000 euros d’amende. »
Définitions du traitement de données personnelles
Ces définitions résultent de l’article 2 de la loi du 6 janvier 1978 dite « Informatique et libertés ».
Données personnelles : Une donnée à caractère personnel doit s’entendre de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Traitement : Un traitement doit s’entendre de toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Fichier de données à caractère personnel : Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.
Le nombre limité de données ou de fichiers créés n’est pas de nature à exonérer le prévenu de sa responsabilité pénale
Dans l’arrêt du 8 septembre 2015, la Cour de cassation rappelle que la loi n’exige pas le franchissement d’un seuil de données ou de fichiers pour constituer l’infraction pénale reprochée.
Peu importe à cet égard que:
- le nombre de données personnelles concernées soit limité ;
- le nombre de personnes impliquées soit limité (dans l’affaire, une seule personne est concernée) ;
- que le fichier en cause soit un simple traitement de texte.
A compter du moment où les notes d’évaluation en cause concernent une personne physique, qu’elles y renferment des données personnelles et qu’elles sont accessibles par l’ensemble du personnel du service concerné, le délit est constitué et l’auteur du traitement doit être pénalement poursuivi.
Aurélie Musset