La donnée personnelle est devenue une ressource stratégique majeure. Dans ce contexte, le législateur français et européen a progressivement renforcé l’encadrement juridique de son traitement. Depuis l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les obligations pesant sur les responsables de traitement comme sur les sous-traitants ont été précisées, renforcées, et accompagnées de sanctions administratives mais aussi pénales.
Cet article se concentre sur la dimension pénale de la protection des données personnelles : les comportements réprimés par le Code pénal (articles 226-16 à 226-24), les infractions connexes, les stratégies contentieuses, et la jurisprudence récente. Il vise à outiller les avocats et juristes confrontés à des dossiers mêlant droit pénal, droit des affaires et conformité RGPD.
I. Le socle pénal : les articles 226-16 à 226-24 du Code pénal
1. Collecte illicite de données (article 226-16)
Est puni d’un an d’emprisonnement et de 300 000 € d’amende le fait de collecter des données personnelles par un moyen frauduleux, déloyal ou illicite. Cela inclut notamment :
L’aspiration de bases de données via robots logiciels
L’accès non autorisé à des fichiers internes
La captation sans information préalable
Exemple : une société utilisant des cookies sans consentement pour suivre la navigation des internautes.
2. Conservation au-delà des délais (article 226-17)
Une donnée personnelle doit être conservée pour une durée proportionnée à sa finalité. La conservation excessive constitue une infraction.
Exemple : une entreprise qui stocke indéfiniment des données de candidatures non retenues sans justification.
3. Détournement de finalité (article 226-18)
Est puni le fait d’utiliser des données personnelles à des fins incompatibles avec celles prévues lors de la collecte.
Exemple : réutiliser une base de clients pour adresser des sollicitations politiques ou revendre les données à des partenaires commerciaux sans information.
4. Atteinte aux droits des personnes (article 226-18-1)
Constitue une infraction :
Le refus d’accès aux données à la personne concernée
Le refus d’effacement ou de rectification
L’obstacle au droit d’opposition
La charge de la preuve repose sur le responsable de traitement.
5. Manquement à la sécurité (article 226-19)
Le manquement aux obligations de sécurité ou la négligence dans la protection des données peut être poursuivi pénalement en cas de violation ou de fuite.
Exemple : une fuite massive due à un défaut de chiffrement ou à une absence de pare-feu.
II. Articulation avec le RGPD et la loi Informatique et Libertés
1. Le RGPD : socle européen applicable
Le RGPD impose :
Une base légale pour tout traitement
Un principe de transparence
Un principe de minimisation
Une logique de « privacy by design »
L’inobservation de ces principes peut constituer une infraction administrative (amende CNIL) mais aussi, en cas de manquement grave, un délit pénal.
2. La loi Informatique et Libertés (modifiée)
Elle complète le RGPD et précise les modalités françaises :
Le rôle de la CNIL
Les cas spécifiques (fichiers de police, données de santé)
Les régimes dérogatoires
L’arsenal pénal issu de cette loi est désormais partiellement intégré au Code pénal.
III. Responsabilités pénales en entreprise
1. Qui est responsable ?
Le responsable de traitement est pénalement exposé, mais aussi :
Le DPO (Data Protection Officer), en cas de complicité
Le sous-traitant, en cas de manquement aux instructions
L’administrateur réseau ou DSI, en cas de négligence grave
2. Responsabilité de la personne morale
Depuis 1994, les personnes morales peuvent être pénalement sanctionnées (article 121-2 du Code pénal), avec des peines adaptées :
Amendes jusqu’à 1,5 million d’euros (ou 5 % du CA)
Interdiction d’exercer certaines activités
Fermeture d’établissement
IV. Jurisprudence et sanctions récentes
1. Sanctions de la CNIL (avec implications pénales)
a. Doctissimo (2023)
Motif : collecte de données de santé via questionnaire sans base légale
Sanction : 380 000 €
Requalification potentielle en infraction pénale en cas de réitération
b. Clearview AI (2022)
Motif : collecte de visages sur Internet sans consentement
Interdiction de traitement et injonction de suppression
Transfert à la justice française pour suite pénale possible
c. Free Mobile (2023)
Motif : non-respect des demandes de suppression
Montant : 300 000 €
Mention d’un défaut structurel d’organisation interne
2. Jurisprudence judiciaire
TGI Paris, 2022 : affaire d’accès illégal à un fichier RH
Un cadre informatique est condamné pour avoir transmis à un tiers des données confidentielles de salariés, sans autorisation. L’entreprise est également sanctionnée pour défaut de surveillance.
CA Versailles, 2023 : violation volontaire du droit d’opposition
Une société a continué à envoyer des sollicitations malgré l’opposition exprimée par des clients. L’intentionnalité a été retenue.
V. Stratégies de défense et de conformité
1. Contrôle et documentation
La meilleure protection est la preuve de la conformité :
Tenue du registre des traitements
Conservation des preuves de consentement
Documentation des durées de conservation
2. Analyse de risques
L’analyse d’impact (AIPD) est obligatoire pour certains traitements. En cas d’infraction, son absence est un facteur aggravant.
3. Procédure pénale : éléments clés
a. Constitution de partie civile
Elle permet à une victime d’obtenir réparation (client, salarié, usager).
b. Enquête préliminaire et perquisitions
Les traitements illégaux peuvent entraîner :
Saisies informatiques
Réquisitions de logs
Expertise judiciaire des bases de données
4. Défense pénale
Elle s’articule autour de plusieurs axes :
Absence d’intentionnalité (faute administrative, non pénale)
Imputabilité floue (personne morale ? sous-traitant ? salarié isolé ?)
Mesures correctrices prises a posteriori
VI. Cas pratiques : types de clients concernés
1. Startups et EdTech
Souvent en retard sur les règles de sécurité ou de minimisation. Risque élevé lors des levées de fonds ou des audits.
2. Professionnels de santé
Utilisation de données sensibles : RGPD + régime pénal spécifique (données de santé, art. 226-19 CP).
3. E-commerce
Cas typiques :
Profilage illégal
Partage non autorisé avec des partenaires
Conservation excessive des historiques de navigation
4. Collectivités et administrations
Obligations renforcées. L’infraction peut aussi engager la responsabilité des élus ou des directeurs de service.
VII. Vers une pénalisation accrue du non-respect des données
La tendance actuelle montre une volonté politique claire :
Renforcement du rôle du parquet numérique
Coopération accrue CNIL / parquet / DGSI
Multiplication des signalements automatiques via plateformes (health data hub, cybermalveillance.gouv)
À l’horizon 2025, les sanctions pénales pour atteinte aux données personnelles devraient devenir aussi structurantes que celles du droit pénal des affaires traditionnel.
Voir aussi les stratégies relatives aux délits de presse