La réglementation Informatique et libertés prévoit des infractions pénales pour non-respect de certaines obligations.
C’est d’abord dans la loi du 6 janvier 1978 que se trouvent des infractions Informatique et libertés puisque son chapitre VIII s’intitule « Dispositions pénales ».
Est ainsi puni d’un an d’emprisonnement et de 150 000 euros d’amende le fait d’entraver l’action de la Cnil et ce, en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en refusant de leur communiquer, en dissimulant ou en faisant disparaître les renseignements et documents utiles à leur mission, ou en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande ou qui ne présentent pas ce contenu sous une forme directement accessible (1).
L’article 50 de cette même loi renvoie à la partie législative du code pénal pour un panorama plus complet des infractions Informatique et liberté, contenues dans une section 5, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles 226-16 à 226-24.
Toutes ces infractions sont punies de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques. Quant aux personnes morales, elles encourent 1,5 millions euros d’amende (2), ainsi qu’une interdiction d’exercer (à titre définitif ou pour une durée maximale de 5 ans), l’exclusion des marchés publics (à titre définitif ou pour une durée maximale de 5 ans), l’interdiction d’émettre des chèques ou d’utiliser des cartes de paiement (pour une durée maximale de 5 ans) et l’affichage de la décision prononcée ou la diffusion de celle-ci (3).
Ces infractions répondent à des matérialités diverses, dont notamment :
- la mise en œuvre de traitements sans respecter les formalités légales préalables ou de traitements ayant fait l’objet d’une injonction de cesser ou d’un retrait d’autorisation, ces deux premières infractions étant caractérisées y compris en cas de simple négligence. L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (4) ;
- le non-respect des normes simplifiées ou d’exonération établies par la Cnil pour les traitements ne nécessitant, selon la loi de 1978, qu’une simple déclaration (5) ;
- la mise en œuvre, hors les cas où la loi de 1978 l’autorise, de traitements incluant parmi les données en cause le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (6) ;
- la mise en œuvre de traitements sans avoir pris les mesures utiles pour préserver la sécurité des données (7) ;
- le fait, pour un fournisseur de services de communications électroniques, de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé (8) ;
- le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite (9) ;
- le fait de procéder à des traitements concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospections, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes (10) ;
- hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans consentement exprès, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci. Est également réprimé ainsi le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté (11). Ces restrictions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles (12) ;
- la conservation et le traitement de données à caractère personnel au-delà de la durée prévue, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (13) ;
- le détournement de leur finalité, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, de ces informations (14) ;
- le fait de porter, sans autorisation, à la connaissance d’un tiers n’ayant pas la qualité pour les recevoir, pour toute personne ayant recueilli des données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée (15). La peine est diminuée si cette infraction est commise par imprudence ou négligence et s’élève alors à 3 ans d’emprisonnement et 100 000 euros d’amende ;
- la mise en œuvre d’un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne, hors les cas prévus par la loi et les mesures prises par la Commission européenne et la Cnil (16). L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (17).
Ce panorama des infractions Informatique et liberté doit être complété par les infractions contenues dans la partie réglementaire du code pénal, dans une section 6, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles R625-10 à R625-13.
Toutes ces infractions sont punies de l’amende prévue pour les contraventions de 5e classe (soit 1500 euros (18)). En cas de récidive, et selon les prescriptions des articles 132-11 et 132-15 du Code pénal (19), le maximum de la peine d’amende encoure est portée à 3 000 euros pour les personnes physiques et à 30 000 euros pour les personnes morales.
Est réprimé ainsi :
- le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas informer la personne concernée de façon satisfaisante, la liste des informations devant être délivrées se trouvant dans l’article R625-10 du Code pénal ;
- le fait de ne pas faire droit aux demandes des personnes concernées exercées au regard de la loi de 1978 (20).
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
(1) Loi 78-17 du 6-1-1978, art.51
(2) Selon l’article 131-8 du Code pénal, auquel renvoie l’article 226-24
(3) Selon l’article 226-24 du Code pénal, qui renvoie partiellement à l’article 131-9
(4) C. pén. art. 226-22-2
(5) C. pén. art. 226-16-1-A
(6) C. pén. art. 226-16-1
(7) C. pén. art. 226-17
(8) C. pén. art. 226-17-1
(9) C. pén. art. 226-18
(10) C. pén. art. 226-18-1
(11) C. pén. art. 226-19
(12) C. pén. art. 226-23
(13) C. pén. art. 226-20
(14) C. pén. art. 226-21
(15) C. pén. art. 226-22
(16) C. pén. art. 226-22-1
(17) C. pén. art. 226-22-2
(18) C. pén. art. 131-13
(19) Auxquels renvoie l’article R625-13 du Code pénal
(20) Selon les articles R625-11 et R625-12 du Code pénal