La jurisprudence et l’obligation de sécurité des données personnelles

• Thiébaut Devergranne

L’essentiel : la jurisprudence n’hésite pas à exiger du responsable du traitement une obligation de résultat. Contrairement à une opinion répandue, celle-ci est parfaitement normale et est la conséquence d’une interprétation traditionnelle de la loi en matière pénale.

 

Précédent : Les obligations

 

La jurisprudence et l’appréciation de l’obligation de sécurité

1. – Si la jurisprudence reste assez rare, son étude révèle que les juges font preuve de sévérité. En témoigne la décision du TGI de Versailles, du 4 mars 2002, qui va pratiquement jusqu’à imposer une obligation de résultat au responsable du traitement. Dans cette espèce, le tribunal condamnait en effet le directeur des ressources humaines d’une grande entreprise pour avoir constitué un fichier de gestion du personnel dont une partie avait été transmise à la presse. Le raisonnement de la Cour est intéressant : il « appartenait à X qui dirigeait la constitution du fichier d’assurer la totale confidentialité des opérations. La fuite des 38 documents communiqués à la presse montre qu’il n’a pas pris toute les précautions utiles ; Il sera donc déclaré coupable de ces faits ». Le raisonnement, pour le moins sévère est le suivant : parce que le résultat n’a pas été obtenu (la confidentialité des documents), c’est donc que les moyens de sécurité n’étaient pas suffisants_._

2. – En réalité, cette jurisprudence est une application normale de la loi. Mais pour le comprendre il faut segmenter deux aspects de la loi informatique et libertés : d’un côté son aspect civil – l’article 34 de la loi du 6 janvier 1978 qui impose une obligation de sécurité – et de l’autre son aspect pénal – l’article 226-17 du Code pénal qui sanctionne le responsable du traitement de ne pas avoir mis en œuvre les précautions de sécurité adéquates (rappelons simplement les termes de ces dispositions : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende« ). Car l’interprétation de ces deux textes se fait selon des préceptes différents.

La question juridique qui se pose est de savoir comment interpréter l’article 226-17 du Code pénal

Pour le comprendre il faut simplement se rappeler qu’un manquement du responsable du traitement à son obligation de sécurité va générer en réalité deux questions : celle de l’indemnisation des victimes, qui sera traitée sur le plan civil, et celle de la sanction du responsable, qui sera traitée sur le plan pénal. D’un point de vue civil, il est traditionnel effectivement de distinguer entre obligation de moyen et obligation de résultat pour déterminer l’intensité d’une obligation – encore que cette distinction soit utilisée plus spécifiquement en droit des contrats. Toutefois ces deux concepts ne peuvent pas être transposés en matière pénale, car le Code pénal a édicté des règles spécifiques concernant l’interprétation des obligations de sécurité. Et c’est bien la question juridique qui se pose à nous, à savoir comment procéder à l’interprétation de l’obligation de sécurité posée par l’article 226-17 du Code pénal ? Or, cette interprétation doit être faite à la lumière d’une disposition spécifique qui est l’article 121-3 ; ce qui nous intéresse ici sont les troisième et quatrième alinéas :

«Il n’y a point de crime ou de délit sans intention de le commettre.

Toutefois, lorsque la loi le prévoit, il y a délit en cas de mise en danger délibérée de la personne d’autrui.

Il y a également délit, lorsque la loi le prévoit, en cas de faute d’imprudence, de négligence ou de manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement, s’il est établi que l’auteur des faits n’a pas accompli les diligences normales compte tenu, le cas échéant, de la nature de ses missions ou de ses fonctions, de ses compétences ainsi que du pouvoir et des moyens dont il disposait.

Dans le cas prévu par l’alinéa qui précède, les personnes physiques qui n’ont pas causé directement le dommage, mais qui ont créé ou contribué à créer la situation qui a permis la réalisation du dommage ou qui n’ont pas pris les mesures permettant de l’éviter, sont responsables pénalement s’il est établi qu’elles ont, soit violé de façon manifestement délibérée une obligation particulière de prudence ou de sécurité prévue par la loi ou le règlement, soit commis une faute caractérisée et qui exposait autrui à un risque d’une particulière gravité qu’elles ne pouvaient ignorer.

Il n’y a point de contravention en cas de force majeure.»

Ce qui importe pour déterminer la responsabilité pénale du responsable du traitement, c’est donc de savoir si l’auteur a accompli les diligences normales compte tenu de sa fonction, de sa mission, de ses compétences, de ses pouvoirs mais également des moyens dont il disposait. D’un point de vue pénal, l’exigence ne sera pas la même si l’intéressé avait en son pouvoir des moyens importants, une connaissance fine des problématiques de sécurité et les pouvoirs nécessaires pour assurer ses missions. L’intensité de cette obligation va donc varier en fonction des critères posés par l’article 121-3 du Code pénal.

Plusieurs critères entrent en jeu pour déterminer l’intensité de l’obligation de sécurité.

Ainsi, on tendra alors plus volontiers vers une « obligation de résultat » qu’une simple « obligation de moyen », si le responsable avait des moyens importants à sa disposition, que la complexité technique était limitée, qu’il disposait de personnels compétents et que la sensibilité du traitement était importante, par exemple – encore que l’obligation reste intrinsèquement limitée par la complexité et l’évolution de la technique, naturellement : à l’impossible nul n’est tenu ! A contrario, la loi sera plus clémente pour les personnes n’ayant pas à leur disposition les moyens nécessaires pour assurer leur mission de sécurité. La distinction est subtile mais d’importance dans la perspective d’un jugement.

3. – Au-delà de cet exemple, qui permet d’expliciter les mécaniques internes de l’article 34, l’obligation de sécurité a également suscité d’autres condamnations. Dans une affaire plus vieille (Cass. crim 19 déc. 1995, n°94-81.431), la Cour de cassation avait eu également l’occasion de confirmer la mise en cause d’un responsable de traitement pour la mise en œuvre d’un fichier de mauvais payeurs. Celui-ci était sanctionné pour avoir omis de collecter les lieux de naissance des personnes, rendant ainsi possible certaines homonymies, dont se plaignait une victime qui s’était vu refuser un prêt bancaire. La Cour de cassation confirmait l’arrêt des juges d’appel sur le fondement du manquement à l’obligation de sécurité précitée. Celle-ci considérait en l’espèce que le responsable du traitement n’avait pas pris toutes les précautions utiles pour éviter que les données ne soient en l’occurrence déformées (la cour juge que c’était par l’« absence systématique d’enregistrement du lieu de naissance rendant possible les homonymies que la  » déformation  » reprochée avait pu se produire »).

Lire la suite : Les pouvoirs de la CNIL en matière de sécurité

Le plan de l'article :
- La sécurité des données personnelles (introduction)
- Le détail des obligations de sécurité
- La jurisprudence et l'obligation de sécurité des données personnelles
- Le pouvoir de la CNIL d'édicter des règlements de sécurité
- Les obligations de sécurité des données personnelles et la sous-traitance


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)