La Cour de cassation précise la notion de "traitement de donnée à caractère personnel"

La notion de « traitement de donnée à caractère personnel » vient d’être précisée par un récent arrêt de la Cour de cassation.
Remarquons d’emblée que l’expression est ici utilisée au singulier, autant pour le traitement que pour la « donnée à caractère personnel ». C’est d’ailleurs sur cette question que la Haute Cour a eu à trancher.
Les faits d’origine
L’unique fiche d’un répertoire sur ordinateur, comportant des éléments d’appréciation sur un fonctionnaire stagiaire, insuffisamment protégée a été mise à disposition sur un intranet. La question s’est donc posée de savoir si une seule fiche concernant un seul individu constituait un « traitement de donnée » au sens de la loi Informatique, fichiers et libertés. En pareil cas, il y avait traitement automatisé.
L’absence fautive de déclaration préalable
Si donc il s’agissait d’un traitement automatisé, l’obligation de déclaration à la Cnil devait s’appliquer, à défaut de quoi le délit d’entrave à la loi (article 226-16 du code pénal) était constitué et la sanction pénale devait être prononcée. La chambre criminelle de la Cour de cassation, dans son arrêt du 8 septembre 2015 a répondu par l’affirmative.
On serait tenté de dire qu’il n’était pas nécessaire de mobiliser la Cour de cassation pour affirmer ce qui peut sembler évident, mais certains juristes apprécieront que la Cour ait délivré ainsi son analyse, émanant du plus haut degré de juridiction français.
Cette analyse de la Cour va totalement dans le sens de la loi, notamment de sa définition du « traitement » qui a été voulue comme le plus large possible. Restait cependant la question de l’expression données à caractère personnel, utilisé au pluriel. On pourra objecter qu’il peut y avoir nécessairement un « ensemble de données » (au moins nom et prénom) sur une seule personne. C’est implicitement le raisonnement de la Cour.
Cette décision vient confirmer que toute donnée personnelle est protégée par la loi quel que soit le type de traitement « automatisé ». C’est salutaire, surtout à une époque où la notion de fichier de données ou de base de données elle-même éclate de plus en plus sous l’influence des évolutions technologiques. Le temps des bases de données structurées est bien loin. Il est bon que la loi de protection du citoyen sur les données de sa vie personnelle protège celles-ci dans tous les cas de figure.
Voir l’arrêt de la chambre criminelle de la Cour de cassation du 8 septembre 2015 sur Légifrance : www.legifrance.gouv.fr/affichJuriJudi.do?&idTexte=JURITEXT000031192307

Didier Frochot

Didier Frochot est titulaire d’une maîtrise de droit privé et d’un DESS de gestion. Présent dans le secteur de l’information-documentation depuis 1982, il est Consultant et Formateur depuis 1984, il collabore à la rubrique Droit du mensuel professionnel Archimag depuis 2003. Il fut par le passé Responsable pédagogique du cycle supérieur de l’INTD/CNAM pendant 10 ans (1989-1998).

Spécialités
E-réputation – Propriété intellectuelle, Droit des technologies de l’information, de la documentation et des médiathèques, Données personnelles et RGPD – Technologies de l’information (Internet/Intranet : recherche d’informations conception de sites) – Documentation – Traitement de l’information – Information, documentation et veille juridiques.

Voir aussi

Nom de domaine d’une collectivité territoriale et cybersquatting

Délit d'information : le déplacement d'un article sur un site web constitue une nouvelle diffusion

La Cour de cassation rappelle les principes du droit au déréférencement