Traitement de données à caractère personnel : absence de seuil minimal

La chambre criminelle, par un arrêt du 8 septembre 2015, a précisé la portée de l’article 226-16 du code pénal. Celui-ci réprime le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans avoir procédé aux formalités préalables prévues par la loi n° 78-17 du 6 janvier 1978. Par un attendu de principe, la chambre criminelle a ajouté que cet article, lu à la lumière de la loi du 6 janvier 1978, « n’exige pas le franchissement d’un seuil de données ou de fichiers ». Par conséquent, elle casse l’arrêt d’appel qui lui était soumis et qui avait relaxé le prévenu en ce que le traitement de données en cause n’avait accueilli que deux notes et ne concernait qu’une seule personne.

En l’espèce, le responsable d’une direction d’une grande école avait rédigé deux notes contenant des appréciations personnelles sur le travail fourni par un des agents sous sa responsabilité. Ces notes ont été enregistrées dans un répertoire informatique qui était accessible par l’intranet de l’établissement. Pour déterminer si cet agissement est constitutif de l’infraction réprimée par l’article 226-16 du code pénal, il faut déterminer si le prévenu a accompli un traitement de...