Sanction du non-respect de la protection des données personnelles

By 8 November 2012

D- La sanction du non respect de la protection des données personnelles

En France, le code pénal prévoit un certain nombre d’infractions, qu’il définit comme des « atteintes au droit de la personne résultant des fichiers ou des traitements informatiques ». Il s’agit notamment de:
– de l’omission de la déclaration préalable, qui constitue le délit de création de fichier clandestin247. L’élément matériel constitutif de l’infraction248 se trouve dans le manquement aux formalités déclaratives préalables auprès de la CNIL. C’est notamment, le cas des fichiers clandestins.
– le manquement à la sécurité249;
– la collecte frauduleuse, déloyale ou illicite de données250;
– délit de détournement de finalité d’informations nominatives251. Nous pouvons supposer que l’utilisation des données bancaires du client par le marchand en dehors de la transaction réalisée ou en vue de débiter un montant plus important que celui convenu, entre dans le champ d’application de cette incrimination.
– le délit de divulgation illicite d’informations nominatives252;
– enfin, la non-information des personnes interrogées, l’entrave au droit d’accès et de communication, l’entrave au droit de rectification sont punies des peines prévues pour les contraventions de 5e classe253.

L’Islande punit l’atteinte aux données personnelles dans sa loi n°82 de 1998. En effet, l’article 228 de la loi prévoit que toute personne qui prend connaissance de lettres, journaux intimes et autres documents de ce type [y compris sous forme de support numérique], contenant des informations privées sur autrui, sera passible d’amendes ou de peines d’emprisonnement pouvant aller jusqu’à un an.

En Grèce l’article 22§4 de la loi 2472/1997 punit d’un an d’emprisonnement et d’une amende de 1.000.000 à 10.000.000 drachmes celui qui s’introduit de manière frauduleuse dans des fichiers comportant des données personnelles.

Enfin, aux Etats Unis le Computer Fraud ans Abuse Act 1986 sanctionne cinq types d’accès frauduleux aux systèmes informatiques en fonction de la finalité de l’opération d’intrusion réalisée, et notamment le vol des données financières confidentielles (détournement de numéros de carte de crédit).

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA

______________________________________
247 Article 226-16 C.P. : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de trois ans d’emprisonnement et de 300.000 F d’amende ».
248 La doctrine et la jurisprudence se sont posé la question s’il s’agit d’un délit continu ou instantané. Le Tribunal correctionnel de Paris a estimé qu’il s’agissait d’un délit instantané, à propos de la non-déclaration d’un traitement automatisé visant à dresser un profil des consommations extra-professionnelles des employés de l’entreprise (T.corr. Paris 17e ch. 6 juill. 1988, cahiers Lamy, avril 1989 (B), p.23). Cependant, la Cour de Cassation a retenu la qualification de délit continu (Cass. Crim. 23 mai 1991, Bull. crim. n)218).
249 Art.226-17 C.P. : « Le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de 2.000.000 F d’amende ».
250 Art.226-18 al.1 C.P. : « Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d’informations nominatives concernant une personne physique malgré l’opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d’emprisonnement et de 2.000.000 F d’amende ».
251 Art.226-21 C.P. : « Le fait, pour toute personne détentrice d’informations nominatives à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité […], est puni de cinq ans d’emprisonnement et de 2.000.000 F d’amende ».
252 Art. 226-22 C.P. : « Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteint à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces informations à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni d’un an d’emprisonnement et de 100.000 F d’amende ».
253- 10.000 F d’amende.