Loi Informatique et libertés, aucun seuil minimal de données
La Cour de cassation est venue rappeler le champ d’application de la loi Informatique et libertés (1). Ainsi, dès lors qu’une donnée à caractère personnel fait l’objet d’un traitement, la loi Informatique et libertés s’applique.
En l’espèce, il s’agit de deux notes faisant état d’appréciations personnelles sur la manière de travailler d’un collaborateur de l’ENA, rédigées par son supérieur hiérarchique à destination du directeur de l’Ecole.
Ces notes ont ensuite été enregistrées dans un répertoire, et ont été rendues accessibles, par négligence, sur le réseau intranet de l’ENA. Ce répertoire n’avait pas vocation à contenir d’autres notes.
A la suite de ce manquement, le collaborateur concerné a porté plainte et s’est constitué partie civile pour mise en œuvre d’un traitement de données personnelles sans autorisation.
La Cour de cassation a dû donc déterminer l’application de la loi Informatique et libertés à ses deux notes enregistrées dans un répertoire accessible sur l’intranet de l’ENA.
La Cour considère que « même si ce fichier ne concerne qu’une seule personne, sans qu’il soit besoin d’atteindre un certain seuil de données traitées », la loi Informatique et libertés s’applique à celui-ci.
Par conséquent, la création d’un fichier comprenant des données à caractère personnel d’une seule personne constitue un traitement de données à caractère personnel.
A ce titre, ce traitement aurait dû faire l’objet d’une formalité préalable auprès de la Cnil comme l’impose l’article 226-16 du Code pénal (2).
Ainsi, la Cour de cassation annule et casse l’arrêt de la Cour d’appel de Colmar en rappelant que la loi Informatique et libertés s’applique dès lors qu’on est en présence d’un traitement de données à caractère personnel, sans considération d’un seuil minimal de données à caractère personnel.
Il ressort de cet arrêt une application large de la loi Informatique et libertés. En conséquence, il est donc essentiel de recenser l’ensemble de ses traitements de données à caractère personnel, y compris ceux pouvant être qualifiés d’invisibles, à savoir les traitements enregistrés sur des répertoires informatiques accessibles à très peu de personnes, et ce quelque soit la forme du traitement (traitement de texte, fichier Excel, etc.).
En effet, la simple création d’un fichier de données personnelles ne mettant qu’en œuvre des fonctionnalités simples, tel un traitement de texte, constitue au sens de la loi Informatique et libertés un traitement de données.
Ce recensement permettra ensuite de réaliser les formalités nécessaires auprès de la Cnil et d’assurer la conformité Informatique et libertés.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Cass. crim., 8-9-2015, n°13-85587.
(2) C. pén., art. 226-16.