La Revue Squire

Fichier concernant une seule personne : attention à la sanction pénale !


Rédigé par Stephanie Faber le 24 Novembre 2015


Cass. crim., 8 septembre 2015, n° 13-85.587 F-PB

La chambre criminelle a rendu un arrêt relativement peu commenté à ce jour mais extrêmement intéressant. La décision sanctionne le fait de ne pas procéder aux formalités auprès de la CNIL pour un fichier ne comportant des informations que sur une seule personne, la loi n’exigeant pas le franchissement d’un seuil de données ou de fichiers. L’arrêt est intéressant en raison des circonstances de l’espèce qui lui donnent une portée inattendue.

Les faits

Au sein d’une grande école, « M. Y », le supérieur  hiérarchique d’un agent, a rédigé deux notes faisant état d'appréciations personnelles et sur la manière de servir dudit agent, en vue de procéder à son évaluation.

Destinées au directeur de l’école, ces notes ont été enregistrées dans un répertoire informatique ouvert au nom de la secrétaire de M. Y et accessible sur le réseau intranet à l’ensemble du  personnel du service. Aucune autre note du même ordre n’y a été enregistrée.

L’agent concerné a porté plainte, et s'est constitué partie civile, pour traitement de données à caractère personnel « sans autorisation ».

La cour d’appel de Colmar a confirmé l’ordonnance de non-lieu du juge d’instruction sur le fondement qu'il ne peut être considéré que M. Y ait créé un « fichier » de données personnelles.

La décision

La Cour de cassation a cassé cette décision : la loi de 1978 s’applique aux traitements de données personnelles et n’exige pas le franchissement d’un seuil de données ou de fichiers.

Portée de l’arrêt

La décision semble justifiée en ce qu'il est nécessaire de respecter la loi informatique et liberté pour tout traitement de données personnelles, même si le nombre de personnes concernés et/ou le volume de  données est extrêmement limité. Il n’y a pas de seuil minimum.

Tout responsable de traitement doit respecter les obligations de sécurité de confidentialité, de proportionnalité pour tout traitement de données personnelles. En l’occurrence, il est évident et admis par l’intéressé qu’il a fait preuve de négligence coupable.

Ce qui donne un caractère presque absurde à cet arrêt, c’est qu’il retient pour manquement principal à la loi le fait ne de pas avoir déclaré le traitement à la CNIL.

En effet le visa est sur l'article 226-16 du code pénal, qui sanctionne « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre ».

Or, comme le soulèvent les juridictions inférieures, M. Y n’avait pas (vraiment) l’intention de créer un fichier. Nous pourrions ajouter que, plus fondamentalement , il n’aurait pas dû enregistrer les données en questions dans ce répertoire qui n’était pas destiné à conserver ce type d’information et dont l’accès n’était pas limité et sécurisé.  Ce n’est donc pas tant que M. Y aurait du enregistrer son fichier, qu’il n’aurait jamais dû le créer, si tant est que l’on puisse considérer qu’il en a créé un. En l’espèce l’absence de formalité semble un moindre mal et les formalités n’auraient par ailleurs pas changé quoi que ce soit à l’absence de sécurité des données.

Peut-être la cour aurait-elle pu sanctionner sur la base de  l’Art. 226-17 du code pénal le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures visée à l’article 34 de la loi informatique et liberté (à savoir « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »).

Pour autant l’arrêt donne toute sa portée à la loi informatique et liberté : dès lors que l’on traite de données personnelles de sa propre initiative (et en l’espèce, sans respecter les procédures internes de création de fichier), même si c’est par négligence, on acquière la qualité de responsable de traitement et on se doit de respecter la loi. Il n’est plus possible de faire preuve de légèreté blâmable lorsque l’on traite des données d’autrui (surtout dans une telle institution et pour de telles données). Dans ce cas de figure M. Y risque de se voir appliquer la sanction pénale correspondante, pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende.

N’hésitez pas à faire appel à nos équipes spécialisées en données personnelles si vous avez des doutes sur vos procédures internes et sur les formalités à accomplir.

Contact : stéphanie.faber@squirepb.com
 






Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :