Est passible de cinq ans d'emprisonnement et de 300 000 € d'amende le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi Informatique et libertés du 6 janvier 1978 (C. pénal art. 226-16) : consentement des personnes concernées, déclaration à la Commission nationale de l'informatique et des libertés (Cnil) ou demande d’autorisation auprès de cette dernière.
Un chef de service d’une grande école fait consigner ses appréciations sur l'un de ses collaborateurs dans un répertoire informatique qui se révèle accessible à tous les personnels du service. Le collaborateur concerné porte plainte pour traitement automatisé de données à caractère personnel sans autorisation.
La cour d'appel de Colmar prononce un non-lieu estimant que le chef de service ne peut pas être considéré comme ayant créé un fichier de données personnelles : il s'est borné à établir deux notes concernant une seule personne et le répertoire, certes insuffisamment sécurisé, dans lequel elles ont été enregistrées n'est pas destiné à accueillir des notes concernant d'autres personnes du service.
La Cour de cassation censure cette décision : la loi de 1978 s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers.
à noter : Précision inédite à notre connaissance.
La loi du 6 janvier 1978 donne une définition très large du traitement de données à caractère personnel. Il s’agit de toute opération ou de tout ensemble d'opérations portant sur des données personnelles, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction (art. 2, al. 3). Le nombre de personnes concernées, de données traitées ou encore de fichiers est sans incidence.
Une procédure de la déclaration simplifiée de conformité est admise pour les traitements automatisés relatifs à la gestion du personnel des organismes publics ou privés dans la mesure où ils répondent à certaines conditions fixées par la Cnil (Délibération 2005-002 du 13-1-2005) : notamment, le traitement peut avoir pour finalité la gestion des carrières par une évaluation professionnelle des intéressés mais sont exclus les dispositifs ayant pour objet d’établir leur profil psychologique ; l’accès aux données doit être limité aux personnes chargées de la gestion du personnel, aux supérieurs hiérarchiques des employés concernés, au comité d'entreprise, aux délégués du personnel et aux délégués syndicaux pour les seules données nécessaires à l’accomplissement de leurs missions ; les données ne peuvent pas être conservées au-delà de la période d’emploi des employés.