Infraction prévue par l'article 226-16 du Code pénal (défaut de formalités préalables à la mise en oeuvre d'un traitement de données personnelles) : en subordonnant les formalités préalables à la réalisation d'opérations d'une technicité spécifique, les juges ont ajouté à l'article 226-16 du code pénal une condition qu'il ne prévoit pas. Par ailleurs il leur appartenait de rechercher si un tel traitement de données, compte tenu de sa finalité de gestion du personnel, correspondait ou non à l'obligation de déclaration ou à la norme simplifiée n° 46 (NS-046)
Cour de cassation, chambre commerciale
23 mai 2018, pourvoi 16-84.096
LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
-
M. Laurent Y..., partie civile,
contre l'arrêt de la chambre de l'instruction de la cour d'appel de NANCY, en date du 31 mars 2016, qui, sur renvoi après cassation (Crim., 8 septembre 2015, n° 13-85.587), dans l'information suivie, sur sa plainte, contre M. F... D... des chefs d'infractions à la réglementation sur le traitement des données informatiques, a confirmé l'ordonnance de non-lieu rendue par le juge d'instruction ;
La COUR, statuant après débats en l'audience publique du 10 avril 2018 où étaient présents : M. Straehli, conseiller doyen faisant fonction de président en remplacement du président empêché, M. Ricard, conseiller rapporteur, Mme Durin-Karsenty,MM. Cathala, Parlos, Bonnal, Mme Ménotti, conseillers de la chambre, MM. Barbier, Talabardon, conseillers référendaires ;
Avocat général : M. Lemoine ;
Greffier de chambre : Mme Hervé ;
Sur le rapport de M. le conseiller RICARD, les observations de la société civile professionnelle LYON-CAEN et THIRIEZ, de la société civile professionnelle FABIANI, LUC-THALER et PINATEL, avocats en la Cour, et les conclusions de M. l'avocat général LEMOINE ;
Vu les mémoires en demande, en défense et les observations complémentaires produits ;
Attendu qu'il résulte de l'arrêt attaqué et des pièces de la procédure que M. F... D... , responsable à compter du mois de janvier 2006 de l'ancien centre d'études européennes de Strasbourg (CEES), qui était devenu, en 2005, une direction de l'Ecole nationale d'administration, a rédigé au début de l'année 2007 deux notes faisant état d'appréciations personnelles sur la manière de servir de M. Y..., dirigeant le pôle "études" dudit centre ; que ces notes ont été enregistrées au nom de la secrétaire de M. D... dans un répertoire informatique rendu accessible à tous les personnels du service, tiers non autorisés, à l'insu de son responsable, par suite des caractéristiques momentanées du réseau intranet du CEES pendant la période au cours de laquelle avaient été mises en oeuvre les opérations de fusion du système informatique du CEES avec celui de l'ENA lesquelles ont pris fin en novembre 2007 ; que M. Y... a porté plainte et s'est constitué partie civile du chef d'infractions à la réglementation sur le traitement des données informatiques ; que le juge d'instruction ayant rendu une ordonnance de non-lieu, appel a été interjeté par la partie civile ;
En cet état ;
Sur le premier moyen de cassation, pris de la violation des articles 226-16 du code pénal, 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, 177, 591 et 593 du code de procédure pénale ;
"en ce que l'arrêt attaqué a dit qu'il n'y avait pas lieu à suivre sur la procédure ouverte à la suite de la plainte avec constitution de partie civile de M. Laurent Y... ;
"aux motifs que, sur l'application de l'article 226-16 du code pénal et la violation de l'obligation de déclaration préalable d'un traitement de données à caractère personnel, que M. F... D... a rédigé deux notes portant appréciation sur ta qualité de servir de M. Y... dont il était le supérieur hiérarchique ; qu'il a remis ces deux notes à son assistante, Mme Catherine B... à charge pour elle de les dactylographier et mettre en forme sur son ordinateur ; que, pour ce faire, elle a utilisé un traitement de texte au format Word puis a enregistré ces deux documents dans un répertoire ouvert à son nom sous les références : AD-Y... 0l-02~07 et note AD Y...-14-13-07 (cf. copies écrans D46-47) ; que ces deux notes ont été accessibles à d'autres agents du CEES par suite des caractéristiques du réseau bureautique du centre qui permettaient à cette époque et avant la fusion du système informatique du CEES avec celui de l'ENA, l'accès aux répertoires d'autres agents et à leur insu; que tant Mme B... que M. D... n'ont été avisés de cette absence de confidentialité que le 2 mai 2007, après une intrusion d'un cadre de l'établissement dans le répertoire de la secrétaire ; qu'il est acquis que ces deux notes permettent l'identification directe de M. Y... qui y est expressément dénommé et comportent des données à caractère personnel notamment à titre professionnel ; que selon l'arrêt rendu par la Cour de cassation le 8 septembre 2015, il y a lieu de considérer que le répertoire personnel de la secrétaire créé sur son ordinateur dans lequel ont été enregistrées ces deux notes est devenu un fichier de données à caractère personnel ; que pour pouvoir bénéficier de la protection prévue par la loi du 6 janvier 1978 modifiée le 6 août 2004 et caractériser s'il y a lieu les infractions pénales résultant de la violation de certaines dispositions de la loi, les données à caractère personnel doivent non seulement être insérées dans un fichier constituant un ensemble structuré, stable accessible selon des critères déterminés, ce qui a été jugé acquis en l'espèce, mais encore faire l'objet d'un traitement automatisé ou non ; que les opérations susceptibles de recevoir la qualification de "traitement de données à caractère personnel" sont énoncées de manière non exhaustive au troisième alinéa de l'article 2 de la loi susvisée ; que les opérations réalisées par la secrétaire (dactylographie et sauvegarde par le nommage du document au format Word) sont susceptibles de correspondre à l'une ou l'autre de ces opérations et spécialement à la conservation et/ou l'enregistrement ; que néanmoins, elles font appel à des fonctionnalités simples s'agissant d'un classement ou d'un simple archivage sans automatisme particulier ou règles techniques d'extraction, de diffusion ou autre finalité inexistante lors de la création de ces documents ; que dans ces conditions, à défaut de la caractérisation d'un traitement automatisé de données à caractère personnel contenues dans un fichier, il n'incombait à quiconque une obligation de déclaration de ce fichier à la CNIL selon les modalités prévues par l'article 22 de la loi du 6 janvier 1978, seul susceptible de s'appliquer à ce type de données à l'exclusion de tout régime d'autorisation ; qu'ainsi, il n'existe aucune charge contre M. D... d'avoir violé les dispositions de l'article 226-16 du code pénal ; que sur l'application de l'article 226-17 du code pénal et la violation de l'obligation de mise en oeuvre des mesures prescrites par l'article 34 de la loi du 6 janvier 1978, qu'il incombe au responsable du traitement de prendre toutes précautions utiles (
) pour préserver la sécurité des données et notamment (
) empêcher que des tiers non autorises y aient accès (article 24 de la loi du 6 janvier 1978) ; que cette disposition ne fait aucune distinction selon que le traitement est automatisé ou non ; qu'il résulte de la procédure que le CEES et l'ENA avaient un ingénieur informatique unique occupant les fonctions de chef du service informatique au moment des faits ; que M. Didier C... a ainsi expliqué que le réseau bureautique du CEES était repris en charge pour fusionner avec celui de l'ENA de 2006 à novembre 2007 ; qu'il a précisé que les caractéristiques de ce réseau avaient permis que le document classé dans le répertoire de Mme B... était potentiellement visible par d'autres agents du centre et que seule la nouvelle organisation mise en place et achevée le 14 novembre 2007 a rendu les répertoires personnels accessibles uniquement à leurs propriétaires ; qu'ainsi, il est acquis que les règles d'accessibilité aux : répertoires informatiques ne relevaient pas de la responsabilité et de l'autorité du directeur du CEES, entité devenue une direction de l'ENA dès le 18 avril 2005 alors que M. D... a pris ses fonctions à Strasbourg le 9 février 2006 ; qu'il ne peut, à ce titre, être considéré comme le responsable du traitement des données d'un système préexistant à sa nomination ; qu'il sera d'ailleurs relevé que dans les déclarations précédemment effectuées à la CNIL en 1996 et 1999, le responsable du traitement désignée était "l'Ecole Nationale d'Administration" ; qu'ainsi il n'existe aucune charge contre M. D... d'avoir commis l'infraction prévue et réprimée par l'article 226-17 du code pénal ;
"1°) alors que, est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu'aient été respectées les formalités préalables prévues par la loi susvisée ; que l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ; que seuls les traitements non automatisés de données personnelles doivent en outre faire l'objet d'une insertion dans un fichier établi selon des critères déterminés pour entrer dans le champ d'application de ladite loi ; que, s'agissant des traitements automatisés de données personnelles, la loi n'exige pas qu'ils présentent des caractéristiques d'exploitation particulière que, pour juger que les deux notes concernant M. Y... enregistrées dans le répertoire informatique de la secrétaire de M. D... ne constituaient pas un traitement automatisé de données personnelles, imposant une déclaration préalable, dont le non-respect était constitutif du délit de l'article 226-16 et confirmer le non-lieu entrepris, la chambre de l'instruction a estimé que le traitement de texte utilisé pour établir ces notes faisait appel à des fonctionnalités simples s'agissant d'un classement ou d'un simple archivage sans automatisme particulier ou règles techniques d'extraction, de diffusion ou autre finalité inexistante lors de la création de ces documents n'en faisant pas un traitement automatisé ; qu'ainsi en ajoutant à la définition des traitements automatisés de données personnelles un critère d'exploitation que la loi ne prévoit pas, la chambre de l'instruction a méconnu les articles 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et 226-16 du code pénal ;
"2°) alors que les traitements automatisés de données personnelles, autres que ceux réalisés à des fins purement personnelles, doivent faire l'objet de formalité préalables auprès de la CNIL, indépendamment de leur finalité ; que la finalité de tels traitements permet seulement de déterminer s'ils doivent être précédés d'une déclaration simplifiée ou ordinaire, d'une demande d'autorisation ou d'un avis de la CNIL ; qu'en l'espèce, en estimant que les notes concernant M. Y... n'avaient pas de finalité précise mais constituaient seulement du traitement de texte pour en déduire qu'elles n'étaient pas des traitements de données personnelles imposant le respect d'obligations préalables, la chambre de l'instruction a encore méconnu les dispositions des articles précités ;
"3°) alors que, à supposer qu'un traitement automatisé de données personnelles implique l'existence d'un système d'exploitation déterminé par une finalité particulière pour être soumis à l'obligation de déclaration, dès lors qu'elle constatait que les notes établies à l'attention du directeur de l'ENA avaient été enregistrées par la secrétaire du mis en examen dans son répertoire informatique sous les références AC-Y... et portaient sur l'appréciation par le directeur du CEES de l'activité professionnelle de la partie civile, il en résultait que ces deux notes impliquaient un procédé d'exploitation par référence au nom de l'agent et qu'elles constituaient ainsi les éléments d'un dossier d'évaluation de cet agent qui devait faire l'objet d'une déclaration à la CNIL, en vertu de l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que la chambre de l'instruction qui n'a pas tiré les conséquences de ses propres constatations, a violé les articles 22 de la loi du 6 janvier 1978 et 226-16 du code pénal ;
"4°) alors qu'enfin, la contradiction de motifs équivaut au défaut de motifs ; que, pour confirmer le non-lieu à suivre sur le délit de non-respect des formalités préalables à la mise en oeuvre de traitements de données personnelles, la chambre de l'instruction a estimé que les notes inscrites dans le répertoire informatique de la secrétaire du mis en examen ne constituait pas un traitement de données personnelles ; que, par ailleurs pour se prononcer sur le délit de méconnaissance de l'obligation d'assurer la confidentialité du traitement de données personnelles, la chambre de l'instruction a admis qu'était en cause un traitement de données personnelles ; qu'en l'état de motifs contradictoires, la chambre de l'instruction n'a pas justifié sa décision" ;
Vu les articles 226-16 du code pénal, 593 du code de procédure pénale, 2 et 22 de la loi n° 78-17 du 6 janvier 1978 ;
Attendu qu'est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu'aient été respectées les formalités préalables prévues par la loi susvisée ;
Attendu que tout arrêt de la chambre de l'instruction doit comporter les motifs propres à justifier la décision ; que l'insuffisance ou la contradiction des motifs équivaut à leur absence ;
Attendu que, pour dire n'y avoir lieu à suivre du chef de traitement automatisé de données à caractère personnel sans déclaration à la Commission nationale de l'informatique et des libertés (CNIL), l'arrêt retient que, si les opérations de dactylographie, d'enregistrement et de sauvegarde des deux notes en cause par la secrétaire de M. D... , suivant les instructions de ce dernier, auraient pu être qualifiées de traitement de données à caractère personnel au sens du troisième alinéa de l'article 2 de la loi du 6 janvier 1978 modifiée, lesdites opérations ont consisté au seul recours à des fonctionnalités simples, limitées à un classement et un archivage, sans mise en oeuvre d'un automatisme particulier ou de règles techniques d'extraction ou de diffusion, toutes finalités inexistantes lors de la création de ces documents ; que les juges en déduisent l'absence de caractérisation d'un traitement automatisé de données à caractère personnel, dont il ne pouvait résulter aucune obligation de déclaration selon les modalités prévues à l'article 22 de la loi du 6 janvier 1978, seul susceptible de s'appliquer à ce type de données à l'exclusion de tout régime d'autorisation ;
Mais attendu qu'en statuant ainsi, alors que, d'une part, en subordonnant les formalités préalables à la mise en oeuvre de traitement de données à caractère personnel à la réalisation d'opérations d'une technicité spécifique, les juges ont ajouté à l'article 226-16 du code pénal une condition qu'il ne prévoit pas, d'autre part, il leur appartenait de rechercher si un tel traitement de données, compte tenu de sa finalité de gestion du personnel, correspondait à l'obligation de déclaration instituée à l'article 22 de la loi du 6 janvier 1978, ou, le cas échéant, à une des normes destinées à simplifier l'obligation de déclaration, telles que visées à l'article 24 de ladite loi, auquel renvoie la norme n°46 édictée par la CNIL selon la délibération n° 2005-002 du 13 janvier 2005 modifiée, la chambre de l'instruction a méconnu les textes susvisés et les principes ci-dessus rappelés ;
D'où il suit que la cassation est encourue ;
Et sur le second moyen de cassation, pris de la violation des articles 121-1, 121-2, 121-4, 226-27 du code pénal, 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, 177, 201, 204, 591 et 593 du code de procédure pénale ;
"en ce que l'arrêt attaqué a dit qu'il n'y avait pas lieu à suivre sur la procédure ouverte à la suite de la plainte avec constitution de partie civile de M. Y... ;
"aux motifs que sur l'application de l'article 226-17 du code pénal et la violation de l'obligation de mise en oeuvre des mesures prescrites par l'article 34 de la loi du 6 janvier 1978, qu'il incombe au responsable du traitement de prendre toutes précautions utiles (
) pour préserver la sécurité des données et notamment (
) empêcher que des tiers non autorises y aient accès (article 24 de la loi du 6 janvier 1978) ; que cette disposition ne fait aucune distinction selon que le traitement est automatisé ou non ; qu'il résulte de la procédure que le CEES et l'ENA avaient un ingénieur informatique unique occupant les fonctions de chef du service informatique au moment des faits ; que M. Didier C... a ainsi expliqué que le réseau bureautique du CEES était repris en charge pour fusionner avec celui de l'ENA de 2006 à novembre 2007 ; qu'il a précisé que les caractéristiques de ce réseau avaient permis que le document classé dans le répertoire de Mme B... était potentiellement visible par d'autres agents du centre et que seule la nouvelle organisation mise en place et achevée le 14 novembre 2007 a rendu les répertoires personnels accessibles uniquement à leurs propriétaires ; qu'ainsi, il est acquis que les règles d'accessibilité aux répertoires informatiques ne relevaient pas de la responsabilité et de l'autorité du directeur du CEES, entité devenue une direction de l'ENA dés le 18 avril 2005 alors que M. D... a pris ses fonctions à Strasbourg le 9 février 2006 ; qu'il ne peut, à ce titre, être considéré comme le responsable du traitement des données d'un système préexistant â sa nomination ; qu'il sera d'ailleurs relevé que dans les déclarations précédemment effectuées à la CNIL en 1996 et 1999, le responsable du traitement désignée était "l'Ecole Nationale d'Administration" ; qu'ainsi il n'existe aucune charge contre M. D... d'avoir commis l'infraction prévue et réprimée par l'article 226-17 du code pénal ;
"1°) alors que constitue le délit réprimé par l'article 226-27 du code pénal, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978, notamment celle destinées à assurer la confidentialité des données traitées ; que le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens ; que, pour estimer que le mis en examen qui avait fait rédiger les deux notes d'évaluation de la partie civile qui avait été enregistré dans le répertoire informatique de sa secrétaire et auquel les autres agents du centre avaient pu avoir accès, n'était pas le responsable du traitement et comme tel ne pouvait se voir imputer le délit, la chambre de l'instruction a relevé qu'il n'était pas à l'origine de l'organisation du système informatique du CEES qui existait avant son arrivée et que ce système relevait de la seule responsabilité du service informatique de l'ENA ; qu'en statuant ainsi sans avoir recherché qui était à l'origine du traitement des données personnelles de la partie civile et comme tel responsable du traitement et si le mis en examen qui admettait avoir fait établir les notes litigieuses et avoir voulu créer des dossiers du personnel ne présentait pas de ce fait la qualité de responsable du traitement auquel pouvait être imputé le défaut de garantie de la confidentialité des données traitées, la chambre de l'instruction n'a pas justifié sa décision au regard de l'article 226-17 du code pénal ;
"2°) alors qu'en relevant seulement qu'il résultait des pièces produites pour le mis en examen que l'ENA était désignée comme responsable des traitements de données personnelles qu'elle avait déclarés à la CNIL, sans constater que les traitements ainsi déclarés portaient sur l'utilisation de données personnelles aux fins d'évaluation de l'agent en cause en l'espèce, la chambre de l'instruction n'a pas justifié sa décision ;
"3°) alors qu'enfin, le juge d'instruction est tenu de rechercher les personnes ayant pu participer, comme auteur ou comme complice, à la commission des infractions dont il se trouve saisi ; que cette obligation s'impose également à la chambre de l'instruction ; qu'en ne recherchant pas s'il existait de charges suffisantes permettant d'imputer l'infraction à toute personne pouvant être considérée comme le responsable du traitement des données personnelles de la partie civile, aurait-ce été l'ENA dont l'arrêt attaqué constatait que cette école avait repris en charge l'informatique du centre dans lequel travaillait la partie civile ou toute personne physique la représentant, la chambre de l'instruction, chargée du règlement de la procédure, a méconnu l'étendue de ses attributions susmentionnées" ;
Vu les articles 201, 204 et 593 du code de procédure pénale, ensemble les articles 81, 202 et 205 du même code ;
Attendu que le juge d'instruction est tenu de rechercher toute personne ayant pu participer, comme auteur ou complice, à la commission des infractions dont il se trouve saisi ; que cette obligation s'impose également à la chambre de l'instruction ;
Attendu que tout arrêt de la chambre de l'instruction doit comporter les motifs propres à justifier la décision ; que l'insuffisance ou la contradiction des motifs équivaut à leur absence ;
Attendu que, pour dire n'y avoir lieu à suivre du chef de traitement de données à caractère personnel sans mesure de sécurité, l'arrêt retient qu'à l'occasion des opérations nécessaires à la fusion du réseau informatique du CEES avec celui de l'ENA, les caractéristiques de ce réseau ont rendu accessibles à d'autres agents du centre les documents classés dans le répertoire de la secrétaire de M. D... , cette défaillance n'ayant pris fin que par l'achèvement de cette nouvelle organisation ; que les juges relèvent que ces opérations avaient débuté antérieurement à la prise de fonction du mis en examen à la direction du CEES et que les règles d'accessibilité aux répertoires informatiques ne relevaient ni de la responsabilité, ni de l'autorité du directeur du CEES ; qu'ils ajoutent que, lors de précédentes déclarations effectuées à la CNIL, le responsable du traitement désigné était "l'Ecole Nationale d'Administration" ; qu'ils en déduisent qu'il n'existe aucune charge contre M. D... d'avoir commis le délit prévu et réprimé par l'article 226-17 du code pénal ;
Mais attendu qu'en se déterminant ainsi, alors que la chambre de l'instruction étant chargée du règlement de la procédure, il lui appartenait de rechercher l'existence ou non de charges suffisantes à l'encontre de toute personne susceptible d'avoir commis, intentionnellement ou non, l'infraction prévue et réprimée à l'article 226-17 du code pénal, et, en cas de manquement involontaire, selon les conditions prévues à l'article 121-3, alinéa 3, du code pénal, les juges ont méconnu les textes susvisés et les principes ci-dessus rappelés ;
D'où il suit que la cassation est de nouveau encourue ;
Par ces motifs :
CASSE et ANNULE, en toutes ses dispositions, l'arrêt susvisé de la chambre de l'instruction de la cour d'appel de Nancy, en date du 31 mars 2016, et pour qu'il soit à nouveau jugé, conformément à la loi,
RENVOIE la cause et les parties devant la chambre de l'instruction de la cour d'appel de Paris, à ce désignée par délibération spéciale prise en chambre du conseil ;
ORDONNE l'impression du présent arrêt, sa transcription sur les registres du greffe de la chambre de l'instruction de la cour d'appel de Nancy et sa mention en marge ou à la suite de l'arrêt annulé ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le vingt-trois mai deux mille dix-huit ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre.
Retour à la liste des décisions