le 18/09/2018

Protection des données personnelles et sanctions pénales

Depuis le 25 mai 2018, le règlement européen sur la protection des données (RGPD) a introduit de nouvelles règles d’utilisation et de diffusion des données personnelles concernant l’ensemble des personnes physiques et morales ayant vocation à détenir et traiter des données à caractère personnel.

Outre les sanctions administratives alourdies prévues par le RGPD, celui-ci impose aux Etats de prévoir des sanctions autres qu’administratives ; rappelons en effet qu’aux termes de l’article 84 1° du RGPD :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives ».

En droit pénal français ces infractions existaient déjà et se trouvaient notamment :

  • Au Livre II, Titre II, chapitre VI, section 5 de la partie législative code pénal «les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » ;
  • Aux articles R. 625-10 à R. 625-13 du code pénal.

Ainsi sont punis d’une peine maximum de 5 ans d’emprisonnement et d’une amende pouvant aller jusqu’à 300.000 euros, le fait par les personnes responsables du traitement de :

  • procéder à celui-ci sans respecter des formalités préalables à leur mise en œuvre par la loi (articles 226-16 du Code pénal) ;
  • détourner la finalité des données personnelles (article 226-21 du Code pénal) ;
  • procéder à ce traitement en violation de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité (articles 226-17 et 226-17-1 du Code pénal) ;
  • collecter de données par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) ;
  • procéder à un traitement de données concernant une personne malgré son refus, lorsque ce traitement est fait à des fins de prospection ou lorsque cette opposition est fondée sur des motifs légitimes (articles 226-18-1 du Code pénal) ;
  • mettre ou conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci (articles 226-19 du Code pénal) ;
  • procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés (article 226-22-1 du Code pénal).

Par ailleurs, l’absence d’information des personnes concernées par le traitement et le non-respect de leurs droits peuvent faire encourir au responsable du traitement une peine pouvant aller jusqu’à 1.500 euros par infraction constatée (article R. 625-10 et suivants du Code pénal).

Rappelons enfin que le cumul des sanctions administratives et pénales étant possible, l’article 47 de Loi 78-17 du 6 janvier 1978 modifiée dispose que lorsque la formation restreinte de la CNIL a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.