Selon une décision de la Chambre criminelle de la Cour de cassation du 8
septembre 2015 :
Le fait, y compris par
négligence, de procéder ou de faire procéder à un traitement de données à
caractère personnel sans qu'aient été respectées les formalités préalables
prévues par la loi du 6 janvier 1978, relative à l'informatique, aux fichiers
et aux libertés, est réprimé pénalement
La loi du 6 janvier 1978 s'applique
aux traitements de données à caractère personnel et n'exige pas le
franchissement d'un seuil de données ou de fichiers.
L’affaire :
Des notes faisant état
d'appréciations personnelles sur la manière de servir de M. M., responsable du
pôle "études" au centre d'études européennes, ont été rédigées par M.
T., responsable de cette direction.
Ces notes ont été
enregistrées au nom de la secrétaire de M. T. sur un répertoire informatique
qui était accessible à tous les personnels du service.
M. M. a porté plainte
et s'est constitué partie civile du chef de traitement automatisé de données à
caractère personnel sans autorisation.
Le juge d'instruction
a rendu une ordonnance de non-lieu. M. M. a interjeté appel.
La cour d'appel a
retenu que M. T. a expliqué qu'il s'était borné à établir deux notes concernant
uniquement M. M. et que le répertoire personnel de sa secrétaire, certes
insuffisamment sécurisé, dans lequel elles ont été enregistrées, n'était pas
destiné à accueillir d'autres notes concernant d'autres agents du service. Les
juges de la Cour d’appel en ont déduit qu'il ne peut être considéré qu'il a
créé un fichier de données personnelles.
La décision de la Cour
d’appel a été censurée par la Cour de cassation. En statuant comme elle l’a
fait, la chambre de l'instruction a méconnu les articles 226-16 du Code pénal
et la loi du 6 janvier 1978.
Source : Cass. crim., 8
septembre 2015, n°13-85.587.