La collecte frauduleuse et le détournement de données informatiques de leur finalité

Written by Me Nicolas Rothe de Barruel. Posted in Justice générale

La protection des données personnelles qui se trouvent sur un fichier informatique est organisée par la loi informatique et liberté n°78-17 du 6 janvier 1978.

Le gardien de la protection de ces données est la CNIL (commission nationale informatique et liberté), autorité administrative indépendante agissant au nom de l’Etat tout en n’étant pas soumise à l’autorité de tutelle d’un ministre.

La CNIL agit, concurremment avec l’autorité judicaire, afin de contrôler la création et l’usage des fichiers informatiques à données personnelles, dont la mauvaise pratique est pénalement réprimée.

Ainsi, l’article 226-18 du Code pénal dispose : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

L’article 226-21 dispose : « Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

C’est sur cette base qu’un syndicaliste avait été poursuivi, accusé d’avoir : d’une part, collecté des données à caractère personnel, en l’espèce un fichier d’adhérents de son ancien syndicat ; d’autre part, utilisé ce fichier en le détournant de sa finalité, en l’espèce en relevant les noms et les adresses des membres de son ancien syndicat pour leur envoyer un message militant et un bulletin d’adhésion à son nouveau syndicat.

Au cours de la procédure, la CNIL, sur demande du Juge d’instruction, avait rendu un avis par lequel elle précisait :

  • Tout traitement de données à caractère personnel, tel qu’un fichier d’adresse, est soumis aux dispositions de la loi du 6 janvier 1978 modifiée, que le traitement soit manuel ou automatisé.
  • Il est interdit de collecter et de traiter des données à caractère personnel qui font apparaitre directement ou indirectement l’appartenance syndicale des personnes
  • Il faut que la collecte se fasse avec le consentement éclairé des personnes, au moyen d’une information précise et loyale sur ce qui est collecté et ce pourquoi les données seront utilisées
  • Il est interdit de réutiliser des données pour d’autres finalités que celles pour lesquelles elles ont été collectées

Par jugement du 17 septembre 2015, le Tribunal correctionnel de Bordeaux a relaxé le syndicaliste mis en cause des faits de collecte de données par un moyen frauduleux, déloyal ou illicite. En effet, la défense a fait valoir avec succès que celui-ci avait participé à la collecte initial des noms et adresses des personnes, au moment où il était membre de l’ancien syndicat, au service de cette institution et par des moyens licites, loyaux et non frauduleux. Cette liste de données personnelles non soumise à autorisation préalable de la CNIL, car constituée uniquement d’adresses pour les besoins des membres du syndicat, était librement accessible, non protégée par une quelconque sécurité et largement diffusée.

En revanche, le syndicaliste a été condamné pour avoir fait un usage détourné du fichier, le Tribunal relevant que les personnes de l’ancien syndicat n’avaient donné leur accord pour que soient collectées leurs adresses personnelles, uniquement pour une utilisation entre membres de l’ancien syndicat. Dès lors, en ayant utilisé la liste au bénéfice du nouveau syndicat, le syndicaliste avait commis l’infraction prévue à l’article 226-21 du Code pénal. Celui-ci n’a pas souhaité faire appel de cette décision qui aurait peut-être pu être contestée car ainsi que la défense l’avait fait observer, l’article 226-21 précité ne visait que les fichiers soumis à autorisation préalable ou ceux dont la finalité était définie par un règlement, une loi ou une décision de la CNIL, ce qui ne semblait pas être le cas en l’espèce.

Le Tribunal n’a condamné le syndicaliste qu’à une peine de 1000 € avec sursis, dont le montant ne sera pas payé si la personne ne commet pas de nouvelle infraction dans le délai de 5 ans.

Enfin, la défense a obtenu le rejet des demandes indemnitaires, sauf l’euro symbolique, car l’ancien syndicat n’avait pas démontré l’existence d’un lien de causalité direct entre la perte de cotisations imputable au départ d’une vingtaine d’adhérents et les actions menées par le syndicaliste.