Un arrêt de la Cour de cassation est venu éclairer d'un jour presque évident mais utile la notion de "traitement de donnée à caractère personnel".
Remarquons d'emblée que l'expression est ici utilisée au singulier, autant pour le traitement que pour la "donnée à caractère personnel". C'est précisément sur cette question que la Haute Cour a eu à trancher.
Les faits d'origine
L'unique fiche d'un répertoire sur ordinateur, comportant des éléments d'appréciation sur un fonctionnaire stagiaire, insuffisamment protégée a été mise à disposition sur un intranet. La question s'est donc posée de savoir si une seule fiche concernant un seul individu constituait un "traitement de donnée" au sens de la loi Informatique, fichiers et libertés. En pareil cas, il y avait traitement automatisé.
L'absence coupable de déclaration préalable
Si donc il s'agissait d'un traitement automatisé, l'obligation de déclaration à la Cnil devait s'appliquer, à défaut de quoi le délit d'entrave à la loi (article 226-16 du code pénal) était constitué et la sanction pénale devait être prononcée.
La chambre criminelle de la Cour de cassation, dans son arrêt du 8 septembre 2015 a répondu par l'affirmative.
On serait tenté de dire qu'il n'était pas nécessaire de mobiliser la Cour de cassation pour affirmer ce qui peut sembler évident, mais certains juristes apprécieront que la Cour ait délivré ainsi son analyse, émanant du plus haut degré de juridiction français.
Une loi très largement protectrice des données personnelles…
Cette analyse de la Cour va totalement dans le sens de la loi, notamment de sa définition du "traitement" qui a été voulue comme le plus large possible. On sait que l'article 2 al.3 de la loi du 6 janvier 1978 modifiée stipule :
"Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction."
On le voit, la définition est la plus large possible. Restait cependant la question de l'expression données à caractère personnel, utilisé au pluriel. On pourra objecter qu'il peut y avoir nécessairement un "ensemble de données" (au moins nom et prénom) sur une seule personne. C'est implicitement le raisonnement de la Cour.
… Suivie par une protection large par la chambre criminelle
Dans le but logique de protéger l'intéressé (le fonctionnaire pour lequel des données ont été diffusées) la Cour fait une application extensive d'une loi qui se veut elle-même extensive pour être très protectrice. Elle constate donc que l'article 226-16 du code pénal, pour incriminer l'absence de déclaration d'un traitement de données "n’exige pas le franchissement d’un seuil de données ou de fichiers".
Tout est dit...
On conséquence, la protection de la loi joue dès lors qu'un seul jeu de données est traité pour un seul individu. Et si elle est traitée automatiquement, les obligations déclaratives de la loi s'appliquent.
Au-delà du cas d'espèce
Cette décision vient confirmer que toute donnée personnelle est protégée par la loi quel que soit le type de traitement "automatisé". C'est salutaire, surtout à une époque où la notion de fichier de données ou de base de données elle-même éclate de plus en plus sous l'influence des évolutions technologiques. Le temps des bases de données structurées est bien loin. Il est bon que la loi de protection du citoyen sur les données de sa vie personnelle protège celles-ci dans tous les cas de figure.
En savoir plus
Voir l'arrêt de la chambre criminelle de la Cour de cassation du 8 septembre 2015 sur Légifrance :
www.legifrance.gouv.fr/affichJuriJudi.do?&idTexte=JURITEXT000031192307
Et la présentation qu'en a fait Legalis.net :
www.legalis.net/spip.php?page=breves-article&id_article=4871