Les sanctions pénales dans la loi 78-17 relative à l’informatique, aux fichiers et aux libertés

Le droit à la vie privée concerne tout traitement de données qui se rattachent à l’identité d’une personne et qui sont collectées notamment via Internet. En particulier, l’offre de service en ligne facilite le traçage des données, qui permet de dresser des profils complets de l’internaute et de connaître ses habitudes de consommation. Les entreprises peuvent ainsi mieux cibler leur clientèle potentielle pour répondre à ses exigences. Lors de la consultation d’un site, l’internaute doit fréquemment remplir des formulaires qui requièrent l’adresse électronique, l’identité, les références postales ou téléphoniques et des informations sociales ou économiques qui lui sont relatives, et qui constituent des données nominatives entrant dans le champ d’application de la réglementation relative à la protection des données nominatives/personnelles. De la même manière, en participant à des forums de discussion, les internautes sont également amenés à s’identifier. Une protection particulière des données nominatives est prévue par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dont le champ d’application a été étendu par la Loi du 6 août 2004 prise en application de la directive n°95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Loi informatique et liberté :

– table pierre angulaire de la société française informatisée depuis 27 ans

– instituée en réponse au projet SAFARI de 1974

– en effet, les risques d’atteintes à la vie privée du fait de la création de bases de données à caractère personnel ont été très tôt identifiés par la France. Cette dernière a d’ailleurs été le premier état à se doter d’une législation spécifique en matière de protection des libertés individuelles avec la loi 78/17 du 6 janvier 1978 qui pose en principe que si « l’informatique doit être au service de chacun «, il « …ne doit porter atteinte ni à l’identité humaine ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques «.

– modification de la LIL était nécessaire pour permettre une meilleure adaptation aux situations actuelles

– objectif de transposer en droit interne la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

-dans l’exposé précédent, on a vu les atteintes au STAD-système de traitement automatisé de données- avec la loi Godfrain, cette fois nous allons voir les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques de données personnelles (Loi Informatique et liberté)

Donc la loi de 1978 protège les informations « nominatives «, c’est-à-dire celles qui permettent, sous quelque forme que ce soit, directement ou indirectement l’identification des personnes physiques auxquelles elles s’appliquent. Les fichiers logs (ou données de connexion), qui sont des outils permettant l’identification et la traçabilité de l’internaute lors de sa connexion, constituent des données indirectement nominatives.

Quant à la directive, elle s’applique au traitement de données à caractère « personnel «, soit toute information concernant une personne physique identifiée ou identifiable. Une personne est identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

La notion de «données nominatives« de la Loi de 1978 est ainsi remplacée par celle de «données à caractère personnel«, dont la définition est très proche et inclut l’identification par la voix ou l’image, en plus des progrès techniques d’identification comme les moteurs de recherche, les logiciels de reconnaissance vocale ou morphologique.

Donc la Directive et la Loi concernent les responsables du traitement de données à caractère personnel. Ils se définissent comme les personnes physiques ou morales, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement de données à caractère personnel (Art 3 directive)
Il s’agit aussi de définir ce que signifie le « traitement de données à caractère personnel « qui remplacera celle de « traitement automatisé d’informations nominatives «, définie dans la Loi de 1978. cela correspond à « toute information relative à une personnes physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un niveau d’identification ou à un ou plusieurs éléments qui lui sont propres « (Art. 2 directive)

Les sanctions pénales existant dans la loi de 1978 sont alourdies et demeurent applicables aux personnes physiques et morales.

Il est à noter que l’Article 52 : introduit enfin un mécanisme original d’information de la CNIL par les autorités judiciaires, et le cas échéant, d’intervention de son Président ou de son représentant devant les juridictions.

Dispositif non prévu par la Directive 95/46

Il s’agit de permettre à la CNIL d’avoir connaissance des suites données à ses contrôles et donc de même en apprécier la pertinence, tout en défendant l’opportunité.

En effet, c’est un mécanisme dont l’objectif est de lutter contre certains dysfonctionnements, notamment celui du régime répressif en matière de fichiers informatiques, la grande sévérité des textes tranchant avec la faiblesse de la jurisprudence.

1. respect formalités préalables (chap IV de la loi) :

– déclaration auprès de la CNIL

– autorisation préalable à la CNIL

– déclaration simplifiée

La loi du 6 août 2004 vise à harmoniser les régimes mis en place antérieurement fondés sur une distinction entre les traitements mis en oeuvre par le secteur public et ceux mis en oeuvre par le secteur privé.

En effet, antérieurement, les traitements mis en oeuvre par le secteur public devaient systématiquement faire l’objet d’un avis préalable de la CNIL alors que les traitements mis en oeuvre par le secteur privé ne devaient faire l’objet que d’une déclaration auprès de la CNIL.

Désormais, le principe est celui d’une déclaration préalable du traitement auprès de la CNIL que le traitement soit mis en oeuvre par le secteur privé ou par le secteur public.

Par exception, la loi prévoit des cas dans lesquels, le traitement devra faire l’objet d’une déclaration simplifiée

2. mesures de sécurité.

Elles sont définies àl’Article 34 :« précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. « (chapitre V : obligations incombant aux responsables de traitements et droits des personnes)

La LIL impose une obligation de sécurité des informations, prévoyant que toute personne procédant à un traitement d’informations nominatives doit s’engager, vis-à-vis des personnes morales concernées, à prendre toute précaution utile afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers. La circulation des données sur Internet, par l’envoi notamment de messages électroniques, pose d’importants problèmes de sécurité, les données pouvant facilement être altérées ou détournées par des tiers.

Cette obligation de sécurité parcourt tout l’édifice de protection des données personnelles. La CNIL recommande, à juste titre, aux responsables des traitements de « prendre en compte ces problèmes dès la conception des systèmes, de faire un effort d’information auprès de tous les personnels concernés et de tenir un livre de bord de la sécurité «. Elle demande souvent au déclarant la fourniture de la charte de sécurité du système.

Obligation de Vigilance. Les maîtres de fichiers sont surtout confrontés à des problèmes de sensibilisation des personnes à ces impératifs de sécurité. Ils sont nécessairement voués à la constante vigilance… et parfois rappelés à l’ordre !

Mesures de sécurité. Sur le plan technique les exemples fourmillent de dispositifs de sécurité. L’on mentionnera, pour mémoire, les dispositions prises en matière de traitements de recherche.

Affaire Kitetoa : journaliste en informatique a pénétré le site Internet de la société TATI, assez profondément pour parvenir au répertoire des fichiers de données nominatives. Quid des mesures de sécurité (art.34) ???

Cette affaire était basée sur le loi Godfrain. Selon l’arrêt, pour qu’il y ait un accès ou un maintien frauduleux, son responsable doit avoir au préalable indiqué le caractère confidentiel des données ou avoir pris des mesures destinées à les protéger.
!!! Responsable du traitement aurait pu être puni sur le fondement de la loi de 78, et notamment de son art. 34.

 Vers la responsabilisation du maître du traitement ??

Il est donc nécessaire qu’il y ait :

Sécurisation des accès (mots de passe sur les postes, etc…)

Sécurisation des transferts. Ceux-ci doivent si possible se faire par l’intermédiaire d’un réseau indépendant (fermé). Dans tout autre cas, toute mesure doit être prise pour assurer la confidentialité (cryptage des données, etc…)

Il est à noter que les niveaux d’habilitation des différents utilisateurs si, par exemple le fichier d’un cabinet médical contient en même temps les dates de rendez-vous et les données comptables et médicales d’un patient, la secrétaire n’a pas obligatoirement besoin d’avoir accès à la partie médicale.

3. collecte loyale des données (art.6)

Consentement des personnes concernées (art.7) mais existe 5 exceptions (obligation légale, sauvegarde de la vie, mission service public , exécution contrat, réalisation de l’intérêt légitime).

La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d’informations nominatives.

Ce principe se traduit par:

-le fait que lorsque des données nominatives sont collectées sur un site Web, la Loi de 1978 impose au responsable du fichier de se conformer à une obligation générale d’information. Les personnes concernées par la diffusion des données doivent être informées du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d’un défaut de réponse, des personnes physiques ou morales destinataires des informations et de l’existence d’un droit d’accès et de rectification

-l’obligation de recueillir l’accord exprès des personnes avant de collecter des données sensibles (race, religion, opinions politiques …). De même, la loi subordonne l’utilisation du numéro national d’identification (NIR, ou encore n° INSEE, n° de sécurité sociale) à une autorisation par décret en Conseil d’État pris après avis de la CNIL. L’utilisation du NIR sans cette autorisation est sanctionnée pénalement.

l’interdiction d’enregistrer les condamnations pénales ; la loi réserve aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d’un avis conforme de la CNIL, l’enregistrement de ces données. Le non-respect de cette interdiction est sanctionné pénalement.

l’interdiction d’utiliser comme source d’information, des fichiers constitués à d’autres fins.

De plus La Loi de 1978 prévoit au bénéfice de toute personne physique, le droit de s’opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un traitement informatique . Le non-respect de l’opposition pour raisons légitimes d’une personne à un fichage est sanctionné pénalement .

D’autre part, il faut aussi considérer le fait que certains logiciels (comme ANAISS) sont écrits de façon à se bloquer lorsque certaines informations ne sont pas entrées. Or le fait d’imposer, de façon technique, l’entrée de certaines informations sans l’accord des personnes (aussi bien celui de la personne concernée que, parfois, celui de la personne entrant les données, comme les assistantes sociales) doit rendre automatiquement la saisie illicite… Il convient donc, lorsque l’on examine un logiciel de saisie, d’examiner non seulement la qualité des données demandées, mais aussi de voir si le logiciel accepte que les données ne soient pas entrées.

Quid de la collecte des données pour les SPAM ??
TGI Paris, 7 décembre 2004 : un spammeur français relaxé. L’internaute en question a été poursuivi pour avoir collecté des données nominatives afin de constituer des fichiers ou traitements informatiques par un moyen illicite (ces faits étaient punis par les articles 226-18 et 226-31 du code pénal). L’auteur utilisait des logiciels de collecte d’adresses de mails.

La collecte implique, d’après les juges, « leur enregistrement ou leur conservation dans un fichier «. Or, les logiciels utilisés en l’espèce ne procédaient pas au stockage des données mais procédaient à un envoi automatique dès la détection de l’adresse de courriel.

Les juges estiment que la collecte de données nominatives par de tels logiciels dans les espaces publics de l’Internet ne constitue pas une collecte frauduleuse au sens du Code pénal. Cela s’explique par une séparation opérée par les magistrats entre l’acte de collecte et la finalité de cette collecte. Sur le fondement de l’art.226-18, pour qu’une sanction puisse être prononcée la collecte en elle-même doit être frauduleuse ou déloyale peu importe l’utilisation qui peut en être faite.

Pourtant, les juges ouvrent une brèche en abordant la possibilité d’invoquer les autres dispositions de l’art.226-18 relative au non-respect du droit d’opposition.

Quid des cookies
L’utilisation des cookies, notamment sans information préalable de l’utilisateur, porte atteinte au principe de collecte loyale.

L’utilisation des cookies comme méthode de traçage apparaît désormais surannée eu égard à l’apparition récente de nouveau programme d’espionnage, les spyware. Il s’agit de petits logiciels qui emploient la connexion Internet de l’internaute, bien évidemment sans son consentement préalable, dans le but de collecter et de transmettre tout informations, même non nominative.

Or nous savons que le consentement des personnes concernées est omniprésent dans la loi et constitue la base quasi-exclusive de la légitimité des traitements sur le net. Il est donc de plus en plus demandé aux éditeurs de logiciel, quelque soit leur pays d’établissement, de revenir les utilisateurs que leur programme intègre un spyware et qu’ils révèlent quelles sont les informations privées collectées. Or, une collecte déloyale entraîne des sanctions lourdes

Enfin il est à noter que dans le dispositif de la Loi de 1978, toute personne physique a également le droit d’interroger les services ou organismes chargés de mettre en oeuvre les traitements automatisés afin de savoir si ces traitements portent sur des informations nominatives la concernant . Le titulaire de ce droit d’accès peut obtenir communication des informations le concernant, notamment par voie électronique, et en exiger la rectification, la clarification, la mise à jour ou l’effacement de ces données.

4. Données sensibles

L’Art 8 énumère la liste des données dites sensibles dont la collecte et le traitement sont en principe interdits : il s’agit des données relevant de l’art 31 ancien de la loi de 78 (origines raciales, opinion politiques, philosophiques ou religieuses, appartenance syndicale, moeurs) complétées désormais de l’origine ethnique et des données relatives à la santé et a la vie sexuelle, conformément à l’art 8 de la directive.

Par dérogation à cette interdiction, certains traitements de données sensibles sont possibles dans la mesure où la finalité du traitement l’exige et moyennant le respect de certaines conditions. Ces dérogations sont au nombre de 10 (consentement express ; sauvegarde de la vie humaine ; associations et organismes à caractère religieux, philosophique politique ou syndical ; données à caractère personnel rendues publiques par la personnes concernée ; constatation, exercice ou défense d’un droit en justice ; médecine préventive, diagnostics médicaux… ; traitements statistiques réalisés par l’INSEE ; recherches médicales ; traitements de données sensibles susceptibles de faire l’objet, à bref délai, d’un procédé d’anonymisation reconnu conforma à la loi par la CNIL ; intérêt public et autorisé par la cnil-art 25)

Art 9 : dresse limitativement la liste des personnes pouvant procéder au traitement, automatisé ou non, d’informations relatives aux infractions, condamnations et mesures de sûreté.

Opportunité de la collecte.
La CNIL s’est réservée la possibilité d’apprécier l’opportunité de la collecte de la nationalité, en vérifiant qu’elle ne pouvait pas avoir de conséquences dangereuses. Ainsi a-t-elle pris acte que « la nationalité n’est enregistrée sous une forme détaillée que lorsque des raisons précises le justifient : nécessité, par exemple, de disposer de données chiffrées fines pour équilibrer les échanges d’étudiants dans le cadre d’accords bilatéraux ou encore pour apprécier, conformément aux demandes du Haut Commissariat à l’Intégration, l’efficacité de différentes actions sous l’angle de l’intégration «.

5. durée du traitement (art.226-20 code pénal)

Droit à l’oubli = Obligation de limiter dans le temps la conservation des informations sous forme nominative

Art 36 de la loi: « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’art 6 conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

Les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lesquelles elles ont été enregistrées.
Le Code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée.

Lorsque l’organisme qui détient le fichier a connaissance de l’inexactitude ou du caractère incomplet d’une information, il a l’obligation de procéder à sa mise à jour.
En cas de transmission à un tiers, la rectification ou l’annulation d’une information nominative doit être notifiée à ce tiers.

Les informations conservées ne peuvent faire l’objet d’un traitement à d’autres fins qu’à des fins historiques, statistiques ou scientifiques, à moins :

– que ce traitement n’ait reçu l’accord exprès des intéressés

– ou ne soit autorisé par la commission dans l’intérêt des personnes concernées.

– ou dans les conditions prévues au 8° du II traitement nécessaires dans le domaine de la santé et IV intérêt public de l’art 8 s’agissant des données mentionnées au I de ce même article données sensibles

6. finalité (art. 226-21 code pénal)

Le principe de finalité est l’un des piliers de la protection. Un traitement d’informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d’autres fins. Le choix des données que l’on décide d’enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.

Le principe de finalité constitue une des pierres angulaires des dispositifs de protection des données personnelles. Il est clairement énoncé à l’article 5 de la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, appelée encore « Convention 108 «, lequel dispose que les données à caractère personnel faisant l’objet d’un traitement automatisé sont : « (…) b) enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ; c) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées (…) «. Il est de plus énoncé dans l’article 6 de la Directive de 1995 sur la Protection des Données personnelles, qui évoque des « finalités déterminées, explicites et légitimes «.

La loi de 78 ne se référait au principe de finalité que de manière incidente, dans les dispositions relatives aux obligations de déclaration.

Désormais :

Art. 6-2 : « finalités déterminées, explicites et légitimes «

Art. 6-3 : le traitement ne doit porter que sur des données qui sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement « ==> exigence supplémentaire, en imposant qu’elles données respectent le principe de proportionnalité.

Art. 31: impose, lors des formalités préalables, l’exposé de la finalité du traitement. La CNIL est donc susceptible de refuser ou de suggérer la modification du système de traitement envisagé ou encore de discuter la nature des données dont la collecte est projetée.

INNOVATION IMPORTANTE : en évoquant la question de l’utilisation future des données collectées. La nouvelle loi pose désormais le principe de l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées «: les données à caractère personnel sont « collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités « (art.6-2). Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou à des fins de recherche scientifique ou historique, sous certaines conditions

.

Les collectes ayant une finalité particulière :

Des dispositions spécifiques sont prévues pour les traitements ayant une finalité particulière, à savoir :

1. La recherche dans le domaine de la santé ( art. 53 à 61)

2. L’évaluation ou l’analyse des pratiques ou des activités de soins et de prévention (article 62 à 66)

3. Le journalisme et l’expression littéraire et artistique (article 67

Problème de l’extension de finalité.
Pourtant, « afin de ne pas gêner le développement de la recherche (CNIL, Dix ans d’informatique et libertés, Economica, 1988, p. 37) «, la CNIL a élaboré le concept « d’extension de finalité «, autorisant l’accès à des fichiers administratifs (L’utilisation de fichiers administratifs comme bases de sondages permet, par exemple, au chercheur de bénéficier de la technique de l’échantillon aléatoire) « lorsque l’objet du traitement envisagé par les chercheurs se situait dans le champ ou le prolongement de la finalité du fichier de base (CNIL, 3° rapport 1982, Doc. fr. 1982, p. 148) «. Il en fut ainsi d’une étude sur l’insertion professionnelle des jeunes diplômés effectuée à partir d’un échantillon tiré de fichiers universitaires ou de fichiers nominatifs de gestion pouvant bénéficier à des traitements statistiques. En revanche, la CNIL a estimé que le fichier électoral ne pouvait pas servir une campagne de dépistage du cancer du sein dès lors que les fichiers des caisses d’assurance maladie pouvaient s’y prêter plus logiquement.

Garanties supplémentaires.
Ces autorisations s’accompagnent de l’exigence de garanties supplémentaires. Il a, par exemple, été demandé aux chercheurs qu’ils informent les personnes enquêtées du mode d’obtention de leur adresse (lors de la constitution de l’échantillon) et qu’ils limitent la durée de conservation des données nominatives pour éviter « tout détournement potentiel ultérieur des fichiers de base «. D’autres conditions peuvent être posées aux chercheurs, comme l’anonymisation des données ou, du moins, leur être rappelées, comme l’obligation de confidentialité, voire le respect du secret professionnel.

Le principe d’extension de finalité est consacré à l’ article 6.2, et qui dispose que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées «. Ce principe se combine avec les dispositions relatives à la durée de conservation des données, lesquelles ne peuvent être conservées au delà de la durée initialement prévue qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

CONSEQUENCES DU PRINCIPE DE FINALITE :

1. proportionnalité

2. pertinence

3. séparation fonctionnelle.

1. PINCIPE DE PROPORTIONNALITE.
Une fois étudiée la finalité du système, la CNIL vérifie le respect du principe de proportionnalité entre les moyens technologiques mis en oeuvre et l’objectif poursuivi.

2. PRINCIPE DE PERTINENCE.
C’est au regard de la finalité déclarée d’un traitement que doit être appréciée la pertinence des données collectées. L’évaluation de cette pertinence des données enregistrées par rapport à la nature du traitement envisagé peut s’avérer délicate. Ainsi, la diffusion, sur un site d’école, des travaux des élèves, ne nécessite pas la mention de leur nom. Leur prénom, voire le prénom et l’initiale du nom suffisent.

Données strictement nécessaires.
Il importe surtout d’appeler l’attention sur l’importance de limiter la collecte aux données strictement nécessaires, afin, tout simplement, de ne pas stocker de données inutiles. L’on vérifiera, par exemple, que la date de naissance de l’individu, donnée extrêmement identifiante, est indispensable au fonctionnement de l’application quand la seule mention du mois et de l’année, voire de l’année seulement, suffirait.

3. PRINCIPE DE SEPARATION FONCTIONELLE (ou de sectorisation)
A l’occasion d’études nécessitant la collecte conjointe de données issues de fichiers administratifs et d’entretiens effectués auprès des personnes, la CNIL a été amenée à affiner le principe de la «séparation fonctionnelle« des traitements. Ce principe postule que « les données à caractère personnel recueillies pour la recherche ne doivent pas être utilisées à d’autres fins « et qu’en particulier, « elles ne doivent pas être utilisées pour prendre des décisions ou des mesures qui affectent directement la personne concernée, sauf dans le cadre de la recherche ou avec le consentement exprès de la personne concernée V. art. 4.1 de l’annexe à la Recommandation n° R (83) 10 du 23 sept. 1983 du Conseil de l’Europe relative à la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistiques «.

Selon la Commission, ce principe « garantit les intéressés contre le risque que, sous couvert de recherche, d’autres buts ne soient poursuivis « et « apporte aux chercheurs la sincérité et la qualité des données recueillies«. Toutefois, pour la CNIL, l’application de ce principe ne doit pas « faire échec, dans certains domaines, souvent expérimentaux, à des recherches liées à l’action «. La CNIL songe aux recherches menées en matière pédagogique, pour lesquelles, selon elle, le consentement des intéressés devrait alors être sollicité.

L’exemple type (et pourtant le cas le moins réprimé actuellement..), concerne la ré-utilisation du fichier des abonnés d’un journal. En effet, le fichier a été créé pour gérer les abonnements et garder trace des adresses où envoyer les journaux. Réutiliser ces adresses pour envoyer autre chose (par exemple pour envoyerde la publicité) est donc un détournement de finalité.

Le Conseil d’Etat a d’ailleurs consacré ce principe de sectorisation posé par la CNIL, à propos des « listes noires « (arrêt du 28 juillet 2004, arrêt n° 262851). Le CE a estimé que les données à caractère personnel faisant l’objet d’un traitementdoivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées. Ainsi, le CE en conclut que la mise en oeuvre et l’accès à un fichier de « mauvais payeurs « doivent être limités à un secteur et aux seuls professionnels du secteur. En effet, une large diffusion, tous secteurs confondus, des informations relatives à des « mauvais payeurs « serait une atteinte disproportionnée à la vie privée en raison du risque de détournement de finalité.

Illustrations jurisprudentielles du détournement principe de finalité :

1.TC Rennes, 8 dec 88, a condamné un dirigeant de la caisse d’épargne pour avoir mis son fichier à la disposition de campagne publicitaire sans lien avec l’activité de son établissement.

2.De même en 92, la Cour d’Appel de Rennes a condamné le responsable d’un établissement bancaire dans une affaire où cet établissement avait diffusé auprès de commerçants une liste noire de personnes présentant un risque pour le remboursement de crédits (CA de Rennes, ch. Correct., 13.01.92)

3.TGI Paris, 17eme ch. Correctionnelle, 16 déc 1994.

Réception de plusieurs plaintes par la CNIL.

Quelques jours après leur emménagement, les plaignants avaient reçu une proposition de souscription d’un contrat d’assurance multirisque habitation émanant de Risqu’assur, entreprise de courtage en assurances, située dans le 15e arrondissement de Paris.

Les premières investigations de la CNIL montraient que l’entreprise recevait des information relatives à des emménagements récents, qui étaient saisies sur un micro-ordinateur, et permettaient la création et la tenue d’un fichier de «prospects«, ainsi que l’édition de lettres types et de courriers de relance.

Sur le même ordinateur était assurée la gestion d’un fichier «clients«.

Cependant, il apparaissait que cette collecte devait, en fait, être réalisée auprès d’organismes, comme l’EDF ou France Télécom, ayant régulièrement connaissance de l’emménagement des personnes concernées ; ainsi, des erreurs d’orthographe communes à des factures EDF et aux lettres de prospection étaient constatées, des situations connues de ces seuls organismes étaient révélées à Risqu’assur, par exemple.

Les agents de l’EDF, ont à répondre de trois infractions à la loi du 6 janvier 1978, et notamment détournement de finalité des informations :

Le fait de détourner des informations nominatives de leur finalité, sanctionné par l’article 44 de la loi de 1978, est à présent réprimé par l’article 226-21 du Code pénal.

Cette incrimination s’applique à «tout détenteur d’informations, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement«.

Tel était le cas des prévenus qui, dans l’exercice de leurs fonctions, étaient appelés à manipuler des bons de travaux récapitulant les informations recensées par EDF auprès de ses clients, et conservées dans son fichier, afin d’effectuer les opérations matérielles requises par les abonnés.

Ces informations, recueillies avec cette finalité de gestion des contrats d’abonnés, ont été détournées par les agents de leur objet, par leur transmission, en connaissance de cause, au cabinet Risqu’assur, ce qui caractérise le délit visé.

4.TGI Paris, 25 avril 2003, Société SONACOTRA/ Syndicat SUD.

La société SONACOTRA expose avoir créé un annuaire d’adresses électroniques de l’ ensemble de ses salariés pour l’utilisation de la messagerie électronique «implémentée « dans le système informatique de l’entreprise.

Cet annuaire constitue selon elle, un recueil de données disposées de manière systématique et individuellement accessibles et correspond à la définition d’une base de données.

Il n’est pas diffusé à l’extérieur de l’entreprise et les salariés ne peuvent en faire usage en tant que liste de diffusion qu’avec l’autorisation d’un supérieur hiérarchique, comme le leur impose une charte du 16 mai 200 1 en vigueur dans l’entreprise.

Or, la société SONACOTRA constata que le syndicat SUD SONACOTRA, qui n’était pas encore représentatif, avait adressé les 12 septembre, 17 octobre et 22 octobre 2001, «des envois massifs« de mails, sous forme de tracts et parfois en «copie cachée«.

Estimant que le syndicat SUD SONACOTRA avait nécessairement procédé à une extraction et à une réutilisation de la banque de données, la société SONACOTRA a, par acte du Il février 2002, fait assigner le syndicat pour voir jugé que ce dernier avait commis des actes de contrefaçon visés par les articles L 342-1 et L 342-2 du Code de la propriété intellectuelle, à titre subsidiaire, des actes de détournement de fichier et d’agissements parasitaires et avait commis en outre un détournement de finalité du fichier de données nominatives (prévu par l’article 226-21 du nouveau Code pénal) et un détournement des moyens de communication de l’entreprise pour servir une communication syndicale irrégulière.

Jugement : IV Sur le détournement de finalité du fichier déclaré auprès de la CNIL:

« Attendu que la messagerie et son annuaire ont fait l’objet d’une déclaration à la CNIL, le 16 août 2001, au terme de laquelle la SONACOTRA a précisé le propos de la messagerie intégrée à l’annuaire de l’entreprise et notamment l’absence de fourniture d’information nominative à un organisme extérieur ; que la charte d’utilisation du système d’information et de communication conforme à la finalité de ce service destiné à permettre uniquement les échanges entre les collaborateurs de la SONACOTRA et entre ceux-ci et des correspondants accessibles sur internet, mais choisis par eux ;

Attendu que le syndicat SUD a donc également détourné de sa finalité le fichier déclaré auprès de la CNIL.«

7. Art. 226-22 du code pénal : la communication des informations

Seuls sont destinataires des informations contenues dans un traitement automatisé les catégories de personnes désignées lors des formalités préalables auprès de la CNIL. Un nombre limité de personnes clairement identifiées est donc habilité à recevoir tout ou partie des informations.

Si la Loi Informatique et Libertés comporte des dispositions à propos du transfert des données vers un pays tiers, elle prévoit aussi que la simple divulgation à une personne tiers ne doit pas porter atteinte à la vie privée de la personne concernée.

De plus, la transmission à un tiers n’ayant pas qualité à les recevoir, et sans autorisation de la personne concernée, est pénalement répréhensible.

C’est une obligation qui peut par exemple s’appliquer aux médecins (qui sont tenus au secret médical, et qui en plus traitent de données sensibles) lors de la transmission des données entre eux.

Exemple : TGI Paris, 17eme ch correctionnelle, 16 déc 94 :
l’art 226.22 du Code pénal (divulgation à des tiers d’informations portant atteinte à l’intimité de la vie privée) « ne s’applique qu’à une catégorie déterminées d’informations nominatives «. Par exemple, la divulgation des noms et adresses des personnes sollicitant un contrat ou une modification d’un abonnement avec EDF ne porte pas atteinte à cette disposition, car la communication de ces seuls renseignements n’est pas de nature à porter atteinte à la considération des intéressés. « Par ailleurs, la notion d’ « intimité de la vie privée « doit être entendue dans une acception strict, et ne saurait s’appliquer à des renseignements courants (noms et adresses), appelés à être connus d’un grand nombre de personne, et échappant à la sphère de l’intimité«.

8. Responsabilité des personnes morales (art. 226-24 code pénal)

La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve des dispositions du quatrième alinéa de l’article 121-3.

En effet, outre le responsable du traitement qui peut, à titre personnel faire l’objet des sanctions pénales, les personnes morales peuvent également être déclarées responsables pénalement.

Par Céline BOYER

Et Nicolas COURTHEOUX

Annexes:

ANNEXE 1:chapitre VIII de la loi Informatique et libertés, Dispositions pénales.

Art. 50:

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Art. 51:

Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :

1° Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 ;

2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Art.52:

Le procureur de la République avise le président de la Commission nationale de l’informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l’informe de la date et de l’objet de l’audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience

ANNEXE 2: Articles du code pénal (sanctions pénales dans la loi de 1978)

Art. 226-16

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Art. 226-17

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art.226-18

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-19

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Art. 226-20

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

Art. 226-21

Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 266-22

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 € d’amende lorsqu’elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Art. 226-23

Les dispositions de l’article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.

Art. 226-24

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies à la présente section.

Les peines encourues par les personnes morales sont :
1º L’amende, suivant les modalités prévues par l’article 131-38 ;
2º Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l’article 131-39.

L’interdiction mentionnée au 2º de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise.

ANNEXE 3: Responsabilité pénales des personnes morales.

Art. 121-2:

Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7 et dans les cas prévus par la loi ou le règlement, des infractions commises, pour leur compte, par leurs organes ou représentants.
Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l’exercice d’activités susceptibles de faire l’objet de conventions de délégation de service public.
La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve des dispositions du quatrième alinéa de l’article 121-3

Art.131-8:

Le taux maximum de l’amende applicable aux personnes morales est égal au quintuple de celui prévu pour les personnes physiques par la loi qui réprime l’infraction.
Lorsqu’il s’agit d’un crime pour lequel aucune peine d’amende n’est prévue à l’encontre des personnes physiques, l’amende encourue par les personnes morales est de 1 000 000 Euros.

Art.131-39:

Lorsque la loi le prévoit à l’encontre d’une personne morale, un crime ou un délit peut être sanctionné d’une ou de plusieurs des peines suivantes :
1º La dissolution, lorsque la personne morale a été créée ou, lorsqu’il s’agit d’un crime ou d’un délit puni en ce qui concerne les personnes physiques d’une peine d’emprisonnement supérieure ou égale à trois ans, détournée de son objet pour commettre les faits incriminés ;
2º L’interdiction, à titre définitif ou pour une durée de cinq ans au plus, d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales ;
3º Le placement, pour une durée de cinq ans au plus, sous surveillance judiciaire ;
4º La fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ;
5º L’exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus ;
6º L’interdiction, à titre définitif ou pour une durée de cinq ans au plus, de faire appel public à l’épargne ;
7º L’interdiction, pour une durée de cinq ans au plus, d’émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ou d’utiliser des cartes de paiement ;
8º La confiscation de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit ;
9º L’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique.
Les peines définies aux 1º et 3º ci-dessus ne sont pas applicables aux personnes morales de droit public dont la responsabilité pénale est susceptible d’être engagée. Elles ne sont pas non plus applicables aux partis ou groupements politiques ni aux syndicats professionnels. La peine définie au 1º n’est pas applicable aux institutions représentatives du personnel.

Tweet about this on TwitterShare on Facebook

One thought on “Les sanctions pénales dans la loi 78-17 relative à l’informatique, aux fichiers et aux libertés

  1. You nailed it. Thank you for taking the time. I’ll check again to see what’s new and recommend my coworkers about it.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.