Vous êtes ici : Accueil > Actualités > L’enregistrement de notes de services sur un répertoire informatique peut constituer un traitement de données à caractère personnel

L’enregistrement de notes de services sur un répertoire informatique peut constituer un traitement de données à caractère personnel

Le 05 février 2016

La Cour de cassation a récemment rappelé dans un arrêt en date du 8 septembre 2015 que la création d’un répertoire, comportant deux notes d’évaluation sur une seule personne, rendu accessible sur un réseau intranet, constitue un traitement de données à caractère personnel devant faire l’objet de formalités préalables auprès de la Commission Informatique et Libertés.

L’article 2 de la loi n°78-17 du 6 janvier 1978 définit son champ d’application a tous les « traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ».

Au terme de cet article, constitue une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Ainsi, tout traitement, toute opération ou tout ensemble d’opérations portant sur de telles données doit préalablement répondre aux conditions des articles 6 et 7 de la loi précitée et notamment l’obtention du consentement de la personne faisant l’objet d’un tel traitement ou encore le caractère loyal et licite de celui-ci.

En outre, l’article 25 de cette même loi dispose précisément que les traitements automatisés de telles données doivent être soumis à autorisation de la CNIL.

Le fait « y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 € d'amende » par les dispositions de l’article 226-16 du Code pénal.

La notion de traitement de données à caractère personnel a d’ailleurs fait l’objet d’une interprétation stricte par la jurisprudence.

A titre d’exemple, la Chambre criminelle de la Cour de cassation a refusé d’accorder une telle qualification à des relevés d’adresses IP obtenus par des agents assermentés de sociétés de gestion collective, au moyen d’un logiciel informatique destiné à localiser le fournisseur d’accès d’un contrefacteur, estimant que de telles démarches rentrent dans leur prérogatives au sens des dispositions de l’article L.331-2 du Code de la propriété intellectuelle (Cass.crim, 13 janvier 2009 n°08-84088 ; Cass.crim, 16 juin 2009 n°08-88560).

Au terme de son arrêt du 8 septembre 2015, la Chambre criminelle de la Cour de cassation rompt avec cette position et tend désormais à élargir la notion de traitement de données à caractère personnel, laquelle n’est au demeurant subordonnée à « aucun seuil de données ou de fichiers ».

En l’espèce, deux notes établies les 1er février et 14 mars 2007 par un responsable de direction de l’ENA faisait état d’appréciations personnelles d’un salarié, lesquelles étaient enregistrées sur un répertoire informatique ouvert au nom de la secrétaire du rédacteur et restaient accessibles à tous les membres du service.

La personne visée par ces notes porta plainte et se constitua partie civile du chef de traitement automatisé de données à caractère personnel réalisé en méconnaissance des formalités préalables au traitement.

La Cour d’appel de Colmar dans son arrêt du 4 juillet 2013 estimait dans un premier temps que les notes précitées ne pouvaient faire l’objet de la protection instaurée par la loi du 6 janvier 1978 dans la mesure où « en deçà d’un certain seuil de données traitées, la mise en œuvre de finalités simples, tel un traitement de texte, pour mettre en forme des données personnelles ou un document (…) servant de support ne peut être considéré comme un traitement de données personnelles au sens de la loi (…) ».

En outre, et dans la mesure où ni l’instruction, ni les suppléments d’information n’ont permis d’établir que l’intéressé ait entendu traiter ces informations dans un but déterminé « autre que de procéder à l’évaluation lui incombant en qualité de supérieur hiérarchique et de les adresser à qui de droit, en l’occurrence au directeur de l’ENA », l’élaboration et l’enregistrement de ces notes d’évaluation ne pouvaient constituer un traitement de données personnelles donnant lieu à s’interroger sur les conditions d’accès à ces informations.

En conséquence, la Cour d’appel estimait que l’article 226-16 du Code pénal ne pouvait trouver application et qu’il n’y avait donc pas lieu à se prononcer sur une éventuelle négligence du responsable de direction de l’ENA.

La Cour de cassation devait donc se prononcer sur le point de savoir si un simple traitement de texte, permettant de mettre en forme des données personnelles, pouvait être considéré comme un traitement de données personnelles au sens de la loi du 6 janvier 1978 ?

La Haute juridiction répond clairement par l’affirmative et infirme l’arrêt d’appel en rappelant que les formalités préalables relatives au traitement de données personnelles n’exige aucun seuil de données ou de fichiers.

Il importe donc peu que les données à caractère personnel ne concernent qu’une seule personne dans un cadre spécifique.

Ce faisant, la Cour rompt avec une jurisprudence interprétant strictement la notion de « traitement automatisé de données personnelles » laquelle excluait de sa définition la seule utilisation d’un dispositif informatique (Cass.crim, 16 mars 2004, n° 04-80.048).

Une telle appréciation semble donc plus conforme à la philosophie de la loi n°78-17 du 6 janvier 1978 et davantage protectrice des intérêts des personnes faisant l’objet d’un tel traitement de données.

La Cour de cassation entend ainsi contraindre l’employeur à procéder à un examen plus rigoureux des données qu’il utilise et ce en dépit de leur quantité, invitant ainsi à la plus grande prudence lors de l’élaboration de tout document informatique en lien avec des informations personnelles.

c