La chambre criminelle a rendu un arrêt relativement peu commenté à ce jour mais extrêmement intéressant. La décision sanctionne le fait de ne pas procéder aux formalités auprès de la CNIL pour un fichier ne comportant des informations que sur une seule personne, la loi n’exigeant pas le franchissement d’un seuil de données ou de fichiers. L’arrêt est intéressant en raison des circonstances de l’espèce qui lui donnent une portée inattendue.
Les faits
Au sein d’une grande école, « M. Y », le supérieur hiérarchique d’un agent, a rédigé deux notes faisant état d'appréciations personnelles et sur la manière de servir dudit agent, en vue de procéder à son évaluation.
Destinées au directeur de l’école, ces notes ont été enregistrées dans un répertoire informatique ouvert au nom de la secrétaire de M. Y et accessible sur le réseau intranet à l’ensemble du personnel du service. Aucune autre note du même ordre n’y a été enregistrée.
L’agent concerné a porté plainte, et s'est constitué partie civile, pour traitement de données à caractère personnel « sans autorisation ».
La cour d’appel de Colmar a confirmé l’ordonnance de non-lieu du juge d’instruction sur le fondement qu'il ne peut être considéré que M. Y ait créé un « fichier » de données personnelles.
La décision
La Cour de cassation a cassé cette décision : la loi de 1978 s’applique aux traitements de données personnelles et n’exige pas le franchissement d’un seuil de données ou de fichiers.
Portée de l’arrêt
La décision semble justifiée en ce qu'il est nécessaire de respecter la loi informatique et liberté pour tout traitement de données personnelles, même si le nombre de personnes concernés et/ou le volume de données est extrêmement limité. Il n’y a pas de seuil minimum.
Tout responsable de traitement doit respecter les obligations de sécurité de confidentialité, de proportionnalité pour tout traitement de données personnelles. En l’occurrence, il est évident et admis par l’intéressé qu’il a fait preuve de négligence coupable.
Ce qui donne un caractère presque absurde à cet arrêt, c’est qu’il retient pour manquement principal à la loi le fait ne de pas avoir déclaré le traitement à la CNIL.
En effet le visa est sur l'article 226-16 du code pénal, qui sanctionne « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre ».
Or, comme le soulèvent les juridictions inférieures, M. Y n’avait pas (vraiment) l’intention de créer un fichier. Nous pourrions ajouter que, plus fondamentalement , il n’aurait pas dû enregistrer les données en questions dans ce répertoire qui n’était pas destiné à conserver ce type d’information et dont l’accès n’était pas limité et sécurisé. Ce n’est donc pas tant que M. Y aurait du enregistrer son fichier, qu’il n’aurait jamais dû le créer, si tant est que l’on puisse considérer qu’il en a créé un. En l’espèce l’absence de formalité semble un moindre mal et les formalités n’auraient par ailleurs pas changé quoi que ce soit à l’absence de sécurité des données.
Peut-être la cour aurait-elle pu sanctionner sur la base de l’Art. 226-17 du code pénal le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures visée à l’article 34 de la loi informatique et liberté (à savoir « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »).
Pour autant l’arrêt donne toute sa portée à la loi informatique et liberté : dès lors que l’on traite de données personnelles de sa propre initiative (et en l’espèce, sans respecter les procédures internes de création de fichier), même si c’est par négligence, on acquière la qualité de responsable de traitement et on se doit de respecter la loi. Il n’est plus possible de faire preuve de légèreté blâmable lorsque l’on traite des données d’autrui (surtout dans une telle institution et pour de telles données). Dans ce cas de figure M. Y risque de se voir appliquer la sanction pénale correspondante, pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende.
(1) http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000031192307
Les faits
Au sein d’une grande école, « M. Y », le supérieur hiérarchique d’un agent, a rédigé deux notes faisant état d'appréciations personnelles et sur la manière de servir dudit agent, en vue de procéder à son évaluation.
Destinées au directeur de l’école, ces notes ont été enregistrées dans un répertoire informatique ouvert au nom de la secrétaire de M. Y et accessible sur le réseau intranet à l’ensemble du personnel du service. Aucune autre note du même ordre n’y a été enregistrée.
L’agent concerné a porté plainte, et s'est constitué partie civile, pour traitement de données à caractère personnel « sans autorisation ».
La cour d’appel de Colmar a confirmé l’ordonnance de non-lieu du juge d’instruction sur le fondement qu'il ne peut être considéré que M. Y ait créé un « fichier » de données personnelles.
La décision
La Cour de cassation a cassé cette décision : la loi de 1978 s’applique aux traitements de données personnelles et n’exige pas le franchissement d’un seuil de données ou de fichiers.
Portée de l’arrêt
La décision semble justifiée en ce qu'il est nécessaire de respecter la loi informatique et liberté pour tout traitement de données personnelles, même si le nombre de personnes concernés et/ou le volume de données est extrêmement limité. Il n’y a pas de seuil minimum.
Tout responsable de traitement doit respecter les obligations de sécurité de confidentialité, de proportionnalité pour tout traitement de données personnelles. En l’occurrence, il est évident et admis par l’intéressé qu’il a fait preuve de négligence coupable.
Ce qui donne un caractère presque absurde à cet arrêt, c’est qu’il retient pour manquement principal à la loi le fait ne de pas avoir déclaré le traitement à la CNIL.
En effet le visa est sur l'article 226-16 du code pénal, qui sanctionne « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre ».
Or, comme le soulèvent les juridictions inférieures, M. Y n’avait pas (vraiment) l’intention de créer un fichier. Nous pourrions ajouter que, plus fondamentalement , il n’aurait pas dû enregistrer les données en questions dans ce répertoire qui n’était pas destiné à conserver ce type d’information et dont l’accès n’était pas limité et sécurisé. Ce n’est donc pas tant que M. Y aurait du enregistrer son fichier, qu’il n’aurait jamais dû le créer, si tant est que l’on puisse considérer qu’il en a créé un. En l’espèce l’absence de formalité semble un moindre mal et les formalités n’auraient par ailleurs pas changé quoi que ce soit à l’absence de sécurité des données.
Peut-être la cour aurait-elle pu sanctionner sur la base de l’Art. 226-17 du code pénal le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures visée à l’article 34 de la loi informatique et liberté (à savoir « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »).
Pour autant l’arrêt donne toute sa portée à la loi informatique et liberté : dès lors que l’on traite de données personnelles de sa propre initiative (et en l’espèce, sans respecter les procédures internes de création de fichier), même si c’est par négligence, on acquière la qualité de responsable de traitement et on se doit de respecter la loi. Il n’est plus possible de faire preuve de légèreté blâmable lorsque l’on traite des données d’autrui (surtout dans une telle institution et pour de telles données). Dans ce cas de figure M. Y risque de se voir appliquer la sanction pénale correspondante, pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende.
(1) http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000031192307
La Revue est une publication du cabinet d'avocats Squire Patton Boggs, partenaire chroniqueur de votre quotidien Finyear.
http://larevue.squirepattonboggs.com/
http://larevue.squirepattonboggs.com/
Les médias du groupe Finyear
Lisez gratuitement :
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Autres articles
-
BBVA, la banque ibérique devrait lancer son stablecoin en 2025 via un nouveau programme de Visa ?
-
Pennylane, la licorne fait ses premières emplettes avec Billy
-
Crédit Agricole annonce l’immatriculation de ses deux Plateformes de Dématérialisation Partenaires (PDP) candidates
-
Re-nouveau de Paymium - Trois questions à... Alexandre Stachtchenko, Directeur de la Stratégie
-
La fintech Lyzi permet aux clients de LG Dreams Cars de payer en crypto