LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
- M. Laurent X..., partie civile,
contre l'arrêt de la chambre de l'instruction de la cour d'appel de COLMAR, en date du 4 juillet 2013, qui, dans l'information suivie, sur sa plainte, contre M. François-Gilles Y... du chef de traitement de données à caractère personnel sans autorisation, a confirmé l'ordonnance de non-lieu rendue par le juge d'instruction ;
La COUR, statuant après débats en l'audience publique du 27 mai 2015 où étaient présents dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Guérin, président et conseiller rapporteur, MM. Straehli, Finidori, conseillers de la chambre ;
Greffier de chambre : Mme Randouin ;
Sur le rapport de M. le président GUÉRIN, conseiller rapporteur, les observations de la société civile professionnelle LYON-CAEN et THIRIEZ, de la société civile professionnelle FABIANI, LUC-THALER et PINATEL, avocats en la Cour, et les conclusions de M. le premier avocat général BOCCON-GIBOD ;
Vu les mémoires en demande, en défense et les observations complémentaires produits ;
Sur le moyen unique de cassation, pris de la violation des articles 2 et 5 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, des articles 226-16 et 226-19 du code pénal, des articles 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
"en ce que l'arrêt attaqué a dit n'y avoir lieu à suivre du chef de traitement de données à caractère personnel sans autorisation ;
"aux motifs propres que l'article 2 de la loi n°78-17 du 6 janvier 1978, dite "informatique et libertés" précise son champ d'application et dispose comme suit : "la présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5 ; que constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ; que pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ; que constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ; que la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement" ; que l'objet de ce texte est de protéger les libertés individuelles contre les atteintes qui pourraient provenir de la création de fichiers comportant des données personnelles, notamment grâce à l'utilisation de l'informatique ; que, pour bénéficier de la protection de la loi du 6 janvier 1978, ces données à caractère personnel doivent faire l'objet d'un traitement et être insérées dans un fichier constituant un ensemble structuré et stable accessible selon des critères déterminés ; que constitue un traitement de données personnelles l'usage fait de telles données pour une ou des finalités déterminées qui peuvent être effectuées grâce à un fichier manuel ou automatisé ; que cependant, en-deçà d'un certain seuil de données traitées, la mise en oeuvre de fonctionnalités simples, tel un traitement de texte, pour mettre en forme des données personnelles ou un document leur servant de support, ne peut être considérée comme un traitement de données personnelles au sens de la loi de 1978 ; qu'en l'espèce, aucune partie ne conteste que les deux notes des 1er février et 14 mars 2007 destinées à M. Z..., directeur de l'ENA, faisant état d'appréciations personnelles et sur la manière de servir de M. X... de la part de son supérieur hiérarchique, contiennent des données à caractère personnel, ni qu'elles ont été enregistrées dans un répertoire informatique ouvert au nom de la secrétaire de M. Y..., accessible à tous les personnels du CEES sur le réseau ; que si M. Y... a admis avoir reconstitué de façon partielle les dossiers personnels des agents sous son autorité, notamment au fur et à mesure des entretiens individuels, ni l'instruction, ni les suppléments d'information, n'ont permis d'établir que l'intéressé a entendu traiter ces informations dans un but déterminé, autre que de procéder aux évaluations lui incombant en qualité de supérieur hiérarchique et de les adresser à qui de droit, en l'occurrence au directeur de l'ENA ; qu'en effet, lors de son interrogatoire de première comparution, M. Y... a expliqué qu'il s'était borné à établir deux notes concernant uniquement M. X... et que le répertoire personnel de Mme A..., certes insuffisamment insécurisé, dans lequel elles ont été enregistrées n'était pas destiné à accueillir d'autres notes concernant d'autres agents du service ; qu'il ne peut être considéré, au vu de ces éléments, que M. Y... a créé un fichier de données personnelles, de sorte que l'élaboration et l'enregistrement, même sur le réseau interne de l'ENA, des notes d'évaluation litigieuses n'étaient pas soumis aux dispositions de la loi susvisée et qu'il n'y a pas lieu, à ce titre, de s'interroger sur les conditions d'accès à ces informations, notamment quant à une négligence ou une imprudence dans le fonctionnement du système informatique ; que les indices graves ou concordants ayant, en leur temps, justifié la mise en examen de M. Y..., ne peuvent être transformés en charges en vue de la saisine de la juridiction de fond ; qu'il s'ensuit que, les faits dénoncés ne pouvant revêtir aucune qualification pénale, l'ordonnance de non-lieu rendue du chef du traitement de données à caractère personnel sans autorisation doit être confirmée ;
"aux motifs, à les supposer adoptés, qu'il ne résulte pas de l'information qu'il existe des charges suffisantes contre quiconque pour que les infractions soient constituées ; que quant à la diffusion des dites notes sur le réseau intranet de l'ENA, elle semble bien n'être due qu'à une anomalie générale dans le réseau intranet résultant d'une erreur du service informatique ; qu'il n'existe pas de preuve matérielle qui permette d'établir que ces documents aient été laissés à la portée de tous de manière volontaire par M. Y... ; que l'infraction d'atteinte aux droits de la personne résultant de fichiers ou de traitements informatiques n'est donc pas constituée ; qu'en conséquence, il sera ordonné non-lieu ;
"1°) alors qu'il résulte de l'article 226-16, alinéa 1er, du code pénal que tout traitement de données à caractère personnel doit être déclaré à la CNIL préalablement à sa mise en oeuvre ; que la loi du 6 janvier 1978 s'applique à la création d'un seul fichier de données personnelles accessible à des tiers même si ce fichier ne concerne qu'une seule personne, sans qu'il soit besoin d'atteindre un certain seuil de données traitées ; qu'en refusant de considérer que les notes du 1er février et 14 mars 2007 contenant des données à caractère personnel concernant M. X... enregistrées dans un répertoire informatique, créé par M. Y... et accessible par le personnel de l'ENA sur l'intranet, n'était pas soumis à la loi du 6 janvier 1978, au motif inopérant que la création de ce fichier se trouvait en deçà d'un certain seuil, la chambre de l'instruction a violé les textes susvisés ;
"2°) alors que constitue un traitement de données à caractère personnel au sens de la loi du 6 janvier 1978 la simple création d'un fichier de données personnelles ne mettant qu'en oeuvre des fonctionnalités simples tel un traitement de texte ; qu'en refusant, néanmoins, de considérer que les notes du 1er février et 14 mars 2007 contenant des données à caractère personnel concernant M. X... enregistré dans un répertoire informatique, crée par M. Y... accessible par le personnel de l'ENA sur l'intranet n'était pas soumis à la loi du 6 janvier 1978, au motif inopérant que la création de ce fichier mettait en oeuvre de fonctionnalités simples, tel un traitement de texte, pour mettre en forme des données personnelles ou un document leur servant de support, la chambre de l'instruction a violé les textes susvisés ;
"3°) alors que seuls sont exclus du champ d'application de la loi du 6 janvier 1978 les fichiers contenant des données à caractère personnel mis en oeuvre lors d'activités exclusivement personnelles ; qu'en revanche ne sont pas exclus du champs de la loi les fichiers contenant des données à caractère personnel créés afin de procéder aux évaluations des salariés ou des agents incombant au supérieur hiérarchique ; qu'en décidant, néanmoins, que le fichier contenant des données à caractère personnel sur M. X... n'était pas soumis à la loi du 6 janvier 1978, au motif inopérant que M. Y... n'avait pas entendu traiter ces informations dans un but déterminé, autre que de procéder aux évaluations lui incombant en qualité de supérieur hiérarchique et de les adresser à qui de droit, en l'occurrence au directeur de l'ENA, la chambre de l'instruction a violé les textes susvisés ;
"4°) alors qu'à titre subsidiaire, le délit de mise en oeuvre d'un traitement de données à caractère personnel sans déclaration préalable a le caractère d'une infraction matérielle, le fait incriminé impliquant une faute dont le prévenu ne peut se disculper que par la force majeure ; que ne constitue pas un cas de force majeure l'existence d'un réseau interne insuffisamment sécurisé ; qu'en considérant que le fichier contenant des données à caractère personnel concernant M. X... mis sur le réseau interne de l'ENA n'étaient pas soumis aux dispositions de la loi du 6 janvier 1978, aux motifs que la diffusion des dites notes sur le réseau intranet de l'ENA, semblait n'être due qu'à une anomalie générale dans le réseau intranet résultant d'une erreur du service informatique, la chambre de l'instruction a violé les textes susvisés" ;
Vu l'article 226-16 du code pénal, ensemble la loi du 6 janvier 1978 ;
Attendu qu'est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu'aient été respectées les formalités préalables prévues par la loi susvisée qui s'applique aux traitements de données à caractère personnel et n'exige pas le franchissement d'un seuil de données ou de fichiers ;
Attendu qu'il résulte de l'arrêt attaqué et des pièces de la procédure que des notes faisant état d'appréciations personnelles sur la manière de servir de M. X..., responsable du pôle "études" au centre d'études européennes, devenu, en 2006, une direction de l'Ecole nationale d'administration, et rédigées par M. Y..., responsable de cette direction, ont été enregistrées au nom de la secrétaire de ce dernier sur un répertoire informatique qui était accessible à tous les personnels du service ; que M. X... a porté plainte et s'est constitué partie civile du chef de traitement automatisé de données à caractère personnel sans autorisation ; que le juge d'instruction ayant rendu une ordonnance de non-lieu, appel a été interjeté par la partie civile ;
Attendu que, pour confirmer, après l'exécution d'un supplément d'information, l'ordonnance entreprise, l'arrêt retient que M. Y... a expliqué qu'il s'était borné à établir deux notes concernant uniquement M. X... et que le répertoire personnel de sa secrétaire, certes insuffisamment sécurisé, dans lequel elles ont été enregistrées n'était pas destiné à accueillir d'autres notes concernant d'autres agents du service ; que les juges en déduisent qu'il ne peut être considéré qu'il a créé un fichier de données personnelles ;
Mais attendu qu'en statuant ainsi, la chambre de l'instruction a méconnu les textes susvisés et le principe ci-dessus rappelé ;
D'où il suit que la cassation est encourue ;
Par ces motifs :
CASSE et ANNULE, en toutes ses dispositions, l'arrêt susvisé de la chambre de l'instruction de la cour d'appel de Colmar, en date du 4 juillet 2013, et pour qu'il soit à nouveau jugé, conformément à la loi ;
RENVOIE la cause et les parties devant la chambre de l'instruction de la cour d'appel de Nancy, à ce désignée par délibération spéciale prise en chambre du conseil ;
DIT n'y avoir lieu à application de l'article 618-1 du code de procédure pénale ;
ORDONNE l'impression du présent arrêt, sa transcription sur les registres du greffe de la chambre de l'instruction de la cour d'appel de Colmar et sa mention en marge ou à la suite de l'arrêt annulé ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le huit septembre deux mille quinze ;
En foi de quoi le présent arrêt a été signé par le président, et le greffier de chambre.
