- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Est déloyale, sur le fondement de l’article 226-18 du code pénal, la collecte de données à caractère personnel librement accessibles sur internet effectuée à l’insu de la personne concernée.
par Cécile Crichtonle 28 mai 2024

Rares sont les décisions françaises relatives à la notion obscure de loyauté du traitement de données à caractère personnel, et exceptionnelles sont les décisions rendues dans cette matière par la Cour de cassation. Publié au Bulletin, l’arrêt rendu par la chambre criminelle de la Cour de cassation le 30 avril 2024 brille par sa clarté, en énonçant que « le fait que les données à caractère personnel collectées par [un enquêteur privé] aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».
L’arrêt attaqué se fondait sur l’article 226-18 du code pénal qui sanctionne le fait de « collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ». Modifiée par la loi n° 2004-801 du 6 août 2004, cette disposition ne peut se lire qu’en parallèle avec le droit des données personnelles. En effet, la loi n° 2004-801 est le fruit d’une transposition de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à laquelle le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) a succédé.
La loi « Informatique et libertés » n° 78-17 du 6 janvier 1978 (LIL), pilier français du droit des données à caractère personnel, comporte en son article 4, 1°, le principe selon lequel les données à caractère personnel doivent être traitées de manière loyale. Antérieurement à la réforme de la loi par l’ordonnance n° 2018-1125 du 12 décembre 2018 ayant refondu la LIL après l’entrée en vigueur du RGPD, ce principe subsistait à l’ancien article 6, 1°, de la LIL, lui-même issu, comme l’article 226-18 du code pénal, de la loi n° 2004-801 du 6 août 2004. Ainsi, l’arrêt rendu par la chambre criminelle de la Cour de cassation sera analysé sous le double prisme des droits administratif et judiciaire.
En l’espèce, la Haute juridiction apporte une double analyse du principe de loyauté en droit des données à caractère personnel. D’une part, la décision confirme la corrélation entre le principe de loyauté et l’information de la personne concernée et, d’autre part, elle consacre le principe selon lequel des données personnelles librement accessibles sur internet ne peuvent être collectées sans en informer la personne concernée.
Loyauté de la collecte de données et obligations d’information
La chambre criminelle de la Cour de cassation affirme qu’est déloyale la collecte de données à caractère personnel réalisée à l’insu des personnes concernées, sans qu’elles en soient informées. Il en résulte une corrélation entre loyauté du traitement et information des personnes. À cet égard, la doctrine reste unanime. Par exemple, Olivia Tambou affirme que « les principes de loyauté et de transparence sont interdépendants » (Manuel de droit européen de la protection des données à caractère personnel, 1re éd., Bruylant, 2020, n° 123). Se référant à l’ouvrage de Cécile de Terwangne et Karen Rosier (Le règlement général sur la protection des données. Analyse approfondie, Larcier, Crids, 2018, p. 90), Yves Poullet estime également que la loyauté « exige un minimum de transparence quant à l’existence du traitement et à son fonctionnement » (Le RGPD face aux défis de l’intelligence artificielle, Larcier, Crids, 2020, n° 18). Enfin, Thibault Douville considère que l’un des versants de la loyauté « se traduit par l’exigence de transparence du traitement » (Droit des données à caractère personnel, 1re éd., Gualino, 2020, n° 166).
Cette assimilation se retrouve à la lecture des textes. Sous l’empire de la directive 95/46/CE, il était expressément spécifié que « le traitement loyal des données suppose que les personnes concernées puissent connaître l’existence des traitements...
Sur le même thème
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines du 14 et 21 avril 2025
-
[PODCAST] Le mensonge à l’ère numérique : nouveau rapport du droit à la vérité ?
-
Atteinte aux marques et signes distinctifs de Facebook par Fuckbook : un cumul de responsabilité mais une indemnisation sous contrôle
-
Voyage au bout du livre : de l’usage fautif de la mise au pilon
-
Petite pause printanière
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 7 avril 2025
-
Arrêt Lidl, quelques précisions sur l’objet de la divulgation durant la période de grâce
-
Marque de position : une marque clouée au sol
-
Principe d’exactitude des données contre hallucinations d’IA : NOYB (re)porte plainte contre OpenAI
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 31 mars 2025
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Alexandra Guérin-François, Jean Lessi, Jessica Eynard, Elodie Rançon