RGPD

Article 10 RGPD : données pénales et infractions

Q: Le traitement LCB-FT impose-t-il un consentement du client ?

Non. La base légale est l’ obligation légale de l’ Art. 6(1)© , combinée à l’autorisation issue du Code monétaire et financier (Art. L. 561-1 et s. CMF). Le client ne peut donc pas s’opposer aux contrôles KYC obligatoires. Il conserve en revanche son droit d’accès indirect via la CNIL pour les fichiers Tracfin (Art. 41 LIL).

Q: Quelle est la différence avec l’article 9 du RGPD ?

L’ Art. 9 encadre les données sensibles (santé, biométrie, opinions, etc.) avec une interdiction de principe et dix exceptions ouvertes à tous. L’Art. 10 encadre les données pénales avec une logique différente : il n’y a pas d’exceptions au cas par cas, mais une liste fermée d’acteurs autorisés par le droit national. Une même donnée peut relever des deux régimes simultanément — par exemple une donnée biométrique collectée dans un fichier de police — auquel cas il faut cumuler une exception Art.

Article 10 RGPD : régime des données relatives aux condamnations et infractions, liste limitative de l'Art. 46 LIL, jurisprudence CJUE, sanctions CNIL.

Par Thiebaut DevergrannePublie le 15 mai 2026Mis a jour le 15 mai 202620 min de lecture

Sommaire

Ce que dit exactement l’article 10 du RGPD
Quelles données sont visées par l’Art. 10 ?
Les acteurs autorisés en France : l’Art. 46 LIL
Les obligations sectorielles qui se cumulent
La jurisprudence CJUE structurante
Le cumul des régimes Art. 6, Art. 9 et Art. 10
Les obligations renforcées à respecter
Les erreurs qui reviennent dans les sanctions CNIL
Plan opérationnel en six chantiers
Sanctions encourues
Articulation avec les autres articles du RGPD
Ce qu’il faut retenir
FAQ

L’article 10 du RGPD est l’une des dispositions les plus mal connues — et l’une de celles qui exposent le plus rapidement à une sanction de la CNIL. Sa portée est très large : il ne vise pas seulement les condamnations pénales définitives, mais aussi les infractions, les mesures de sûreté connexes et toute donnée qui les révèle. Sa rigueur est plus forte qu’on ne le croit : en France, la liste des acteurs autorisés à traiter ces données est limitative (Art. 46 LIL), et tout traitement hors liste constitue, par défaut, une infraction.

Cet article décompose le régime de l’Art. 10 RGPD, en présente l’interprétation par la CJUE et la CNIL, et précise les conditions concrètes que doivent remplir les entreprises confrontées à des données pénales — RH, fraude, LCB-FT, KYC, contentieux, presse.

Ce que dit exactement l’article 10 du RGPD

Le texte est court, dense, et chacun de ses termes a une portée juridique précise :

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. »

L’Art. 10 contient en réalité trois règles qu’il faut lire ensemble :

Renvoi à l’Art. 6. Le traitement doit reposer sur une base légale du paragraphe 1 de l’Art. 6 (consentement, contrat, obligation légale, mission d’intérêt public, intérêt légitime…). Comme pour les données sensibles de l’Art. 9, le régime de l’Art. 10 s’ajoute à celui de l’Art. 6 — il ne s’y substitue pas.
Condition de contrôle ou d’autorisation. Le traitement n’est licite qu’à deux conditions alternatives : soit il est effectué sous le contrôle de l’autorité publique, soit il est autorisé par le droit de l’Union ou par le droit national avec garanties appropriées. En droit français, cette autorisation prend la forme de la liste limitative de l’Art. 46 de la loi Informatique et Libertés.
Monopole sur le registre complet. Aucun acteur privé ne peut tenir un « registre complet des condamnations pénales » : ce monopole est réservé à l’autorité publique. En France, ce monopole est exercé par le casier judiciaire national tenu par le ministère de la Justice et par le fichier des antécédents judiciaires (TAJ) tenu par les services de police et de gendarmerie.

Ces trois règles forment un régime aussi restrictif que celui de l’Art. 9, mais selon une logique différente : là où l’Art. 9 énumère dix exceptions ouvertes à tous, l’Art. 10 énumère une liste fermée d’acteurs habilités par le droit national.

Quelles données sont visées par l’Art. 10 ?

La notion de « données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes » est plus large qu’il n’y paraît. La CJUE et la CNIL retiennent une interprétation extensive qui couvre quatre catégories.

Les condamnations définitives

Toute donnée tirée du casier judiciaire ou émanant d’une décision pénale définitive — nature de l’infraction, quantum de la peine, juridiction, dates — relève de l’Art. 10. Cette catégorie englobe les bulletins n° 2 et n° 3 du casier judiciaire, dont le régime est fixé par les articles 775 et suivants du Code de procédure pénale.

Les infractions, même non encore jugées

Cette catégorie est la plus large et la plus souvent ignorée. Une simple mise en examen, une garde à vue, une plainte non encore qualifiée, voire un soupçon documenté (signalement Tracfin, alerte interne) entre dans le champ de l’Art. 10. La CJUE l’a confirmé dans l’arrêt Latvijas Republikas Saeima (C-439/19, 22 juin 2021) : un système national de points de pénalité pour infractions routières, qui ne donne lieu à aucune condamnation pénale au sens technique, relève bien de l’Art. 10 dès lors qu’il porte sur des infractions à la loi pénale.

Les mesures de sûreté connexes

Mesures de placement sous contrôle judiciaire, interdictions d’exercer, inscription au fichier des auteurs d’infractions sexuelles (FIJAIS), au fichier des auteurs d’infractions terroristes (FIJAIT), au fichier national automatisé des empreintes génétiques (FNAEG) — toutes ces mentions sont des données de l’Art. 10. La CJUE l’a précisé dans l’arrêt V.S. c. Ministerstvo na vatreshnite raboti (C-205/21, 26 janvier 2023), qui traitait du fichage biométrique et génétique des personnes mises en cause par les autorités bulgares.

Les données qui « révèlent » l’existence d’une procédure pénale

Comme pour l’Art. 9, le critère n’est pas la qualification formelle de la donnée, mais ce qu’elle révèle. Un commentaire RH du type « salarié en arrêt suite à un signalement procureur » ou une note CRM « client visé par une enquête PNF » sont des données de l’Art. 10. La conséquence pratique est lourde : la moindre note libre, le moindre champ de commentaire dans un applicatif métier peut faire basculer l’ensemble du traitement sous le régime restrictif de l’Art. 10.

Les acteurs autorisés en France : l’Art. 46 LIL

L’article 46 de la loi Informatique et Libertés transpose la condition d’autorisation nationale de l’Art. 10 RGPD. Il pose le principe : seules les personnes et entités limitativement énumérées peuvent traiter des données pénales en dehors du contrôle direct de l’autorité publique.

Cette liste comporte cinq catégories.

1. Les juridictions et autorités publiques

Tribunaux, ministère de la Justice, services de police et de gendarmerie, administrations pénitentiaire et fiscale, douanes, autorités administratives indépendantes (AMF, ACPR, ARCOM…) traitent des données pénales dans le cadre de leurs attributions légales. Cette catégorie couvre les fichiers de police (TAJ, FIJAIS, FIJAIT, FNAEG, FAED, NEPP), les registres pénitentiaires, les fichiers du ministère de la Justice (Cassiopée, casier judiciaire national).

2. Les auxiliaires de justice

Avocats, huissiers de justice, mandataires judiciaires, administrateurs judiciaires, notaires, experts judiciaires peuvent traiter des données pénales pour les stricts besoins des missions confiées par la loi. Un avocat qui constitue le dossier pénal d’un client agit dans ce cadre ; un avocat qui exploiterait les données pénales d’un client pour une fin marketing ou commerciale en sortirait.

3. Les sociétés d’auteurs et de gestion des droits

L’Art. 46-I-3° vise les organismes de gestion collective des droits d’auteur et des droits voisins (Sacem, SCAM, SACD, ADAGP). Leur faculté de traiter des données pénales est strictement liée à la lutte contre la contrefaçon — recherche, constatation et poursuite des atteintes aux droits qu’elles gèrent.

4. Les réutilisateurs de décisions de justice

Depuis la loi pour une République numérique du 7 octobre 2016 et les décrets d’application de 2020, les décisions de justice administratives et judiciaires sont mises à disposition du public. Les opérateurs qui les réutilisent (Doctrine, Lexbase, éditeurs juridiques) sont autorisés à traiter ces données pénales sous réserve des obligations de pseudonymisation imposées par les articles L. 10 CJA et L. 111-13 COJ.

5. Les victimes d’infractions et leurs mandataires (prévention de la fraude)

C’est la catégorie qui irrigue le plus grand nombre de situations pratiques en entreprise. L’Art. 46-I-5° permet aux personnes morales victimes d’infractions ou agissant pour leur compte, de traiter des données pénales pour les besoins de la prévention et de la lutte contre la fraude.

Cette faculté est précisée par les délibérations de la CNIL — notamment la délibération n° 2018-152 du 3 mai 2018 sur les dispositifs de gestion des fraudes par les assureurs, et la délibération n° 2014-307 du 17 juillet 2014 (toujours utilisée comme référentiel) sur les listes de personnes présentant un risque d’impayé. Ces référentiels exigent : finalité strictement limitée à la lutte contre la fraude, base contractuelle ou pseudonyme avec l’organisme victime, conservation limitée (cinq ans pour les fraudes constatées), droit d’accès et de contestation renforcé, séparation logique avec les fichiers commerciaux ordinaires.

Les obligations sectorielles qui se cumulent

Au-delà de l’Art. 46 LIL, plusieurs cadres sectoriels prévoient leurs propres autorisations de traiter des données pénales. Trois sont particulièrement importants pour les entreprises.

LCB-FT et KYC : Code monétaire et financier

Les obligés au titre de la lutte contre le blanchiment et le financement du terrorisme (établissements de crédit, sociétés de gestion, experts-comptables, avocats lorsqu’ils interviennent en conseil financier, etc.) ont l’obligation légale d’effectuer des vérifications sur leurs clients (Art. L. 561-1 et s. CMF). Le criblage des personnes politiquement exposées (PPE), des sanctions internationales (gel des avoirs) et des bases de données type World-Check ou Dow Jones implique le traitement de données pénales. La base légale est l’obligation légale de l’Art. 6(1)©, combinée à l’Art. 46-I-1° par renvoi du CMF qui qualifie ces organismes de personnes participant à une mission d’intérêt général.

La CNIL a posé un cadre strict dans sa délibération n° 2019-076 du 13 juin 2019 sur les traitements LCB-FT : pertinence des sources, traçabilité des décisions, droit d’accès indirect, conservation limitée à cinq ans après la fin de la relation d’affaires.

Background checks en recrutement

Le recours à un tiers (cabinet de vérification, plateforme de background check) pour vérifier le casier judiciaire d’un candidat est interdit en France, sauf cas très limités. L’employeur ne peut demander un bulletin n° 3 que pour les professions où la loi le prévoit expressément (transport de fonds, sécurité privée, professions de santé, magistrats, fonction publique, métiers en contact avec les mineurs, etc., articles 706-53-7 CPP, L. 5151-1 du Code des transports, L. 4111-1 CSP).

La CNIL a sanctionné à plusieurs reprises des employeurs ayant systématisé la demande de B3, ou ayant fait appel à des prestataires étrangers pour effectuer du « social media background check » visant à reconstituer un casier officieux. Le grief retenu est triple : violation de l’Art. 10 (absence d’autorisation), violation de l’Art. 6 (intérêt légitime non démontré, contrôle de proportionnalité défaillant), violation de l’Art. 5 (minimisation).

Presse et journalisme : Art. 80 LIL et exception journalistique

L’article 80 de la loi Informatique et Libertés prévoit une dérogation pour les traitements à des fins journalistiques, universitaires, artistiques ou littéraires. Cette dérogation permet aux journalistes de traiter des données pénales sans figurer sur la liste de l’Art. 46, sous réserve de respecter les règles déontologiques et les principes de l’Art. 10 RGPD. La CJUE a précisé dans l’arrêt Buivids (C-345/17, 14 février 2019) que la qualification de traitement journalistique est fonction de la finalité, non du statut de l’auteur — un particulier peut agir à des fins journalistiques.

La jurisprudence CJUE structurante

Quatre arrêts récents de la CJUE éclairent la portée et les limites de l’Art. 10.

CJUE C-439/19, Latvijas Republikas Saeima, 22 juin 2021. La Cour juge qu’un système national qui rend public le nombre de points de pénalité associés aux infractions routières d’une personne entre dans le champ de l’Art. 10, alors même que les infractions routières ne donnent lieu à aucune condamnation pénale stricto sensu. Conclusion pratique : le champ matériel de l’Art. 10 englobe l’ensemble des sanctions administratives répressives à coloration pénale.

CJUE C-180/21, VS c. Inspektor v Inspektorata kam Visshia sadeben savet, 8 décembre 2022. La Cour précise que les données collectées par les autorités d’enquête pénale peuvent ensuite être traitées à d’autres fins — par exemple défensives dans un litige civil contre l’autorité — mais sous le régime de l’Art. 6 et non plus de la directive police-justice 2016/680. Distinction utile pour la doctrine, mais qui ne dispense pas de l’autorisation de l’Art. 10 RGPD.

CJUE C-205/21, V.S. c. Ministerstvo na vatreshnite raboti, 26 janvier 2023. L’arrêt traite du fichage biométrique et génétique automatique des personnes mises en cause en Bulgarie. La Cour rappelle que les données traitées dans ce cadre relèvent à la fois de l’Art. 10 (infractions) et de l’Art. 9 (données biométriques/génétiques), et que le cumul des deux régimes impose un standard renforcé. La Cour censure l’absence de proportionnalité dans le système bulgare.

CJUE C-118/22, Direktor na Glavna direktsia « Natsionalna politsia », 30 janvier 2024. Sur la durée de conservation : la Cour juge qu’une conservation potentiellement à vie des données pénales dans un fichier de police, sans réévaluation périodique, est disproportionnée. La proportionnalité de la durée doit être appréciée selon la gravité de l’infraction et la dangerosité de la personne. Conséquence transposable au secteur privé : les durées de conservation des fichiers anti-fraude doivent être motivées et limitées.

Le cumul des régimes Art. 6, Art. 9 et Art. 10

L’articulation entre les régimes est techniquement piégeuse. Une donnée peut relever des trois en même temps : une donnée génétique collectée dans un cadre pénal relève de l’Art. 9 (génétique) ET de l’Art. 10 (infraction). Le tableau suivant éclaire la combinaison :

Type de donnée	Art. 6	Art. 9	Art. 10	Régime cumulé
Données pénales seules (ex : casier B3)	Oui	Non	Oui	Base légale + Art. 46 LIL
Données pénales + santé (ex : addiction visée dans une procédure)	Oui	Oui	Oui	Base légale + exception Art. 9(2) + Art. 46 LIL
Données pénales + biométriques (FAED, FNAEG)	Oui	Oui	Oui	Base légale + exception Art. 9(2) + Art. 46 LIL
Sanctions administratives non pénales (ex : sanction CNIL)	Oui	Non	Non (sauf qualification CJUE C-439/19)	Base légale seule

La CJUE retient une lecture extensive : dès qu’une sanction a une coloration répressive (gravité de la peine, finalité de dissuasion, qualification potentielle pénale), elle bascule dans l’Art. 10.

Les obligations renforcées à respecter

Tout traitement couvert par l’Art. 10 déclenche une série d’obligations dont l’inobservation est, en pratique, le premier grief retenu par la CNIL.

AIPD obligatoire. L’Art. 35(3)(b) prévoit une analyse d’impact obligatoire en cas de traitement à grande échelle de données de l’Art. 10. La liste des traitements soumis à AIPD publiée par la CNIL (délibération n° 2018-327) vise expressément plusieurs traitements de données pénales (lutte contre la fraude, systèmes d’alerte, profilage anti-fraude).

Désignation d’un DPO souvent obligatoire. L’Art. 37(1)© impose la désignation d’un délégué à la protection des données dès lors que les activités de base impliquent un traitement à grande échelle de données pénales. C’est notamment le cas des établissements financiers, des assureurs, des grandes plateformes.

Sécurité renforcée. L’Art. 32 impose un niveau de sécurité adapté au risque, qui est ici maximal. Bonnes pratiques : chiffrement, cloisonnement strict des accès, traçabilité nominative des consultations, journalisation conservée a minima un an, séparation logique avec les bases commerciales.

Information précise. L’Art. 13 et l’Art. 14 exigent que la base légale soit mentionnée. Pour les traitements de l’Art. 10, la bonne pratique consiste à mentionner également la disposition de l’Art. 46 LIL (ou du CMF, ou autre) sur laquelle repose l’autorisation, ainsi que les sources des données (bases internes, listes publiques, prestataires).

Conservation limitée et motivée. À la lumière de l’arrêt CJUE C-118/22, toute conservation supérieure à cinq ans doit faire l’objet d’une justification écrite et d’une réévaluation périodique.

Les erreurs qui reviennent dans les sanctions CNIL

Dans mon expérience de conseil, six fautes structurelles reviennent dans les dossiers de contrôle portant sur l’Art. 10.

Considérer qu’une donnée de fraude n’est pas une donnée pénale. Un signalement interne « tentative de carambouille » ou « usurpation d’identité » est une donnée pénale dès lors qu’elle décrit une infraction au sens de la loi pénale.
Demander un B3 hors des cas autorisés par la loi. L’employeur qui généralise la demande de bulletin n° 3 viole l’Art. 10 et l’Art. 5. La CNIL traite ces dossiers avec une fermeté constante.
Recourir à un prestataire étranger pour reconstituer un casier officieux. Les « social media background checks » ou les agrégateurs offshore exposent à la triple violation Art. 10 / Art. 6 (intérêt légitime non démontré) / Art. 44-49 (transferts hors UE).
Croiser un fichier anti-fraude avec un fichier marketing. La séparation logique est exigée par les référentiels CNIL. Le croisement est presque toujours sanctionné.
Conserver indéfiniment les signalements. La CJUE et la CNIL imposent une durée motivée. Les durées par défaut SIRH ou CRM ne sont jamais conformes.
Ne pas réaliser d’AIPD. La CNIL retient ce grief séparément. Le montant des sanctions est détaillé dans ma revue annuelle des sanctions CNIL 2026.

Plan opérationnel en six chantiers

Pour les responsables de traitement confrontés à des données pénales — DPO accidentels et juristes conformité — la mise en conformité passe par six chantiers structurés.

Chantier 1 — Cartographie. Recenser au registre des traitements tous les traitements impliquant directement ou indirectement des données pénales. Inclure les zones de commentaires libres, les fichiers d’alerte interne, les notes commerciales, les processus KYC, les contentieux.

Chantier 2 — Qualification juridique. Pour chaque traitement, identifier la base légale Art. 6 et l’autorisation Art. 10. Si l’autorisation manque, le traitement doit cesser ou être restructuré (anonymisation, suppression, transfert vers une entité habilitée).

Chantier 3 — Mise à jour documentaire. Mentionner l’Art. 46 LIL (ou le CMF) dans les politiques de confidentialité, les contrats de sous-traitance (Art. 28), les chartes informatiques. Mettre à jour le registre Art. 30.

Chantier 4 — Procédures opérationnelles. Encadrer les remontées d’alerte (formulaire, qualification, validation hiérarchique), les contrôles KYC (script, sources, traçabilité), les contentieux (consigne aux conseils sur le traitement des données pénales).

Chantier 5 — Sécurité et conservation. Mettre en place les contrôles techniques (chiffrement, accès cloisonné, journalisation) et les durées de conservation motivées avec réévaluation périodique. Voir mon guide sur la conformité de la sous-traitance.

Chantier 6 — AIPD et formation. Réaliser l’AIPD prévue par l’Art. 35, former les fonctions exposées (RH, conformité, sécurité, contentieux, audit interne), et anticiper les demandes d’accès indirect via la CNIL (Art. 41 LIL).

Sanctions encourues

Le non-respect de l’Art. 10 expose à plusieurs leviers de sanction qui peuvent se cumuler.

Plafond haut de l’Art. 83(5). Le traitement de données pénales en violation de l’Art. 10 relève du plafond le plus élevé : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé (voir mon guide complet Article 83 RGPD).

Sanctions pénales nationales. L’article 226-19 du Code pénal (mis en œuvre via l’Art. 84 RGPD) punit de cinq ans d’emprisonnement et 300 000 € d’amende la mise ou conservation en mémoire informatisée de données pénales hors des cas prévus par la loi. Pour les personnes morales, l’amende est portée à 1,5 million d’euros.

Sanction civile. L’Art. 82 ouvre un droit à réparation pour toute personne dont les données pénales auraient été traitées illicitement, avec une jurisprudence CJUE récente qui rejette tout seuil de minimis du préjudice moral (C-300/21 Österreichische Post, 4 mai 2023). L’action de groupe est désormais ouverte par la loi n° 2024-364 du 22 avril 2024.

Action de l’autorité publique sur le monopole. Le maintien d’un « registre complet » par un acteur privé constitue une violation distincte du monopole de l’autorité publique, exposant à un démantèlement du fichier sur ordonnance du Conseil d’État.

Articulation avec les autres articles du RGPD

L’Art. 10 ne fonctionne jamais seul. Sa mise en œuvre implique au minimum la lecture combinée de :

l’Art. 6 (base légale, cumul obligatoire) ;
l’Art. 5 (principes de minimisation, exactitude, durée de conservation) ;
l’Art. 9 (cumul fréquent lorsque la donnée pénale est aussi sensible) ;
l’Art. 13 et l’Art. 14 (information renforcée sur les sources et les bases légales) ;
l’Art. 28 (sous-traitance, clauses spécifiques sur les données pénales) ;
l’Art. 30 (registre des activités de traitement) ;
l’Art. 32 (sécurité renforcée) ;
l’Art. 35 (AIPD obligatoire pour traitement à grande échelle) ;
l’Art. 37 (DPO obligatoire en pratique).

Ce qu’il faut retenir

L’Art. 10 RGPD encadre le traitement des données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes, lesquelles incluent les soupçons documentés et les sanctions administratives à coloration répressive (CJUE C-439/19).
Le régime est cumulatif avec l’Art. 6 : il faut une base légale ET une autorisation par le droit de l’Union ou national.
En France, cette autorisation prend la forme de la liste limitative de l’Art. 46 LIL, complétée par des dispositifs sectoriels (LCB-FT, professions réglementées, presse).
Le monopole sur les registres complets est réservé à l’autorité publique : aucun acteur privé ne peut tenir une base exhaustive des condamnations.
Tout traitement de données pénales déclenche les obligations renforcées : AIPD présumée, DPO souvent obligatoire, sécurité maximale, conservation motivée et limitée.
La sanction administrative relève du plafond haut (20 M€ ou 4 % CA mondial) et se cumule avec une sanction pénale de 5 ans + 300 000 € (Art. 226-19 C. pénal), et avec la réparation civile (Art. 82).

FAQ

Une entreprise peut-elle vérifier le casier judiciaire d’un candidat ?

Non, sauf cas prévus par la loi. La demande de bulletin n° 3 n’est autorisée que pour les professions limitativement énumérées (transports, sécurité, santé, fonction publique, mineurs, etc.). Pour les autres postes, la demande systématique de B3 viole à la fois l’Art. 10 RGPD et le principe de minimisation de l’Art. 5(1)©. Les services de « background check » offshore qui reconstituent un casier officieux exposent également l’employeur à des sanctions cumulatives.

Un fichier interne de gestion de la fraude est-il licite ?

Oui, mais sous conditions strictes. L’Art. 46-I-5° LIL autorise les personnes morales victimes d’infractions à traiter des données pénales pour la prévention de la fraude, à condition de respecter les référentiels CNIL (notamment la délibération n° 2018-152). Le fichier doit être strictement séparé des fichiers commerciaux, sa durée de conservation motivée, les droits d’accès et de rectification garantis, et une AIPD réalisée.

Le traitement LCB-FT impose-t-il un consentement du client ?

Non. La base légale est l’obligation légale de l’Art. 6(1)©, combinée à l’autorisation issue du Code monétaire et financier (Art. L. 561-1 et s. CMF). Le client ne peut donc pas s’opposer aux contrôles KYC obligatoires. Il conserve en revanche son droit d’accès indirect via la CNIL pour les fichiers Tracfin (Art. 41 LIL).

Un avocat peut-il conserver indéfiniment les données pénales d’un dossier ?

Non. Bien que la conservation des données d’un dossier soit nécessaire à l’exercice de la défense, la CNIL et la CJUE (C-118/22, 30 janvier 2024) imposent des durées motivées et limitées. La pratique professionnelle se stabilise autour de cinq ans après la fin du mandat, étendus à dix ans pour les dossiers susceptibles d’engager la responsabilité civile professionnelle. Toute conservation au-delà doit être documentée.

Quelle est la différence avec l’article 9 du RGPD ?

L’Art. 9 encadre les données sensibles (santé, biométrie, opinions, etc.) avec une interdiction de principe et dix exceptions ouvertes à tous. L’Art. 10 encadre les données pénales avec une logique différente : il n’y a pas d’exceptions au cas par cas, mais une liste fermée d’acteurs autorisés par le droit national. Une même donnée peut relever des deux régimes simultanément — par exemple une donnée biométrique collectée dans un fichier de police — auquel cas il faut cumuler une exception Art. 9(2) et une autorisation Art. 10.

Thiébaut Devergranne, Docteur en droit privé (Paris II), +20 ans d’expérience en droit des nouvelles technologies. Ancien des services du Premier Ministre (SGDN/DCSSI). Fondateur de donneespersonnelles.fr et de Legiscope.