juripole information juridique
informatique juridique droit de l'informatique

Défaut de déclaration cnil - Sanction pénale - obligation de prendre les mesures nécessaires pour empêcher l'accès aux données par des tiers non autorisés

Sanction de l'obligation de prendre les mesures nécessaires pour empêcher l'accès aux données par des tiers non autorisés



Cour de Cassation
Chambre criminelle

Audience publique du 30 octobre 2001
Rejet

N° de pourvoi : 99-82136

Inédit

Président : M. COTTE

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

LA COUR DE CASSATION, CHAMBRE CRIMINELLE, en son audience publique tenue au Palais de Justice à PARIS, le trente octobre deux mille un, a rendu l’arrêt suivant :

Sur le rapport de M. le conseiller référendaire DESPORTES, les observations de la société civile professionnelle DELAPORTE et BRIARD et de la société civile professionnelle MASSE-DESSEN, GEORGES et THOUVENIN, avocats en la Cour, et les conclusions de M. l’avocat général MARIN ;

Statuant sur les pourvois formés par :

- C. Jean,

- D. Jean-Claude,

- LE SYNDICAT NATIONAL PROFESSIONNEL DES MEDECINS DU TRAVAIL, partie civile,

contre l’arrêt de la cour d’appel d’AIX-EN-PROVENCE, 7ème chambre, en date du 18 janvier 1999, qui, pour infractions à la loi du 6 janvier 1978, a condamné le premier à 50 000 francs d’amende et le deuxième à 30 000 francs d’amende et qui a prononcé sur les intérêts civils ;

Joignant les pourvois en raison de la connexité ;

Vu les mémoires produits en demande, en défense et en réplique ;

Attendu qu’il résulte de l’arrêt attaqué qu’en 1991 et 1992, le Syndicat interprofessionnel des médecins du travail du pays d’Aix (SIMTPA) a fait procéder à l’informatisation de l’ensemble de ses services ; qu’à la suite de cette opération, le Syndicat national professionnel des médecins du travail a porté plainte avec constitution de partie civile pour infractions à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et violation du secret professionnel, faisant valoir que la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) était intervenue tardivement et que le système informatique mis en place n’assurait pas une protection suffisante de la confidentialité des données enregistrées ; qu’à l’issue de l’information suivie sur cette plainte, Jean C., président du SIMTPA et Jean-Claude D., directeur de ce syndicat, ont été renvoyés devant le tribunal correctionnel de ces chefs, sur le fondement, tant des articles 41 et 42 anciens de la loi du 6 janvier 1978 et 378 ancien du Code pénal, que des articles 226-13, 226-16 et 226-17 de ce Code en vigueur depuis le 1er mars 1994 ;

En cet état ;

I - Sur le pourvoi formé par le SIMTPA :

Sur le premier moyen de cassation, pris de la violation des articles 29 et 42 de la loi du 6 janvier 1978, de l’article 378 ancien du Code pénal, des articles 226-13, 226-16 et 226-17 du Code pénal, de l’article 6 de la Convention du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, approuvée par la loi n° 82-890 du 9 octobre 1982, de l’article 593 du Code de procédure pénale, défaut de motif et manque de base légale ;

"en ce que l’arrêt attaqué a déclaré les prévenus Jean C. et Jean-Claude D. non coupables du délit de manquement à l’obligation de préserver la sécurité des informations nominatives prévue par les articles 29 et 42 de la loi du 6 janvier 1978 et 226-17 du Code pénal à raison de l’absence de cloisonnement entre les différents dossiers médicaux constitués au sein du SIMTPA au regard des différents médecins du travail et de leur secrétaire médicale ;

"aux motifs que les médecins et les secrétaires médicales sont tenus au secret professionnel ; qu’un médecin (ou sa secrétaire médicale tenue au secret) ne saurait être considéré dans ses rapports avec les autres médecins comme un tiers non autorisé au sens tant de la loi du 4 janvier 1978 que de l’article 226-16 du Code pénal ; qu’il n’est pas sans intérêt de relever que le même système d’informatisation avait été mis en place dans d’autres régions, la plupart du temps sans cloisonnement, et que la CNIL, comme le fait valoir la défense, n’a formulé aucune observation sur un tel système, ni au moment de la déclaration, ni, semble-t-il, après ; qu’il est clair que les difficultés qui opposent depuis plusieurs années les médecins du travail au SIMTPA et qui ont donné lieu à de nombreux contentieux judiciaires ne sont pas étrangères au dépôt de la plainte ; que le Syndicat National Professionnel des Médecins du Travail a reconnu lui-même que la situation était surtout devenue préoccupante à l’occasion de la nomination d’un médecin chef, exerçant des fonctions administratives et pouvant, en sa qualité de médecin, avoir accès aux données médicales ; que, finalement, le cloisonnement, sur demande de l’inspection du travail, a été institué en septembre 1994 ; que, pour autant, son absence ne caractérise pas l’élément matériel de l’infraction reprochée ;

"alors que, s’agissant de l’accès à des données médicales, le tiers non autorisé visé tant par la loi du 4 janvier 1978 que l’article 226-17 du Code pénal ne saurait s’entendre qu’à la lumière des dispositions de l’article 378 ancien ou 226-13 du Code pénal établissant et sanctionnant le secret professionnel des médecins ; que, hormis les cas où la loi en dispose autrement, il s’agit de toute personne autre que le médecin (ou sa secrétaire médicale) et la personne examinée par celui-ci ; qu’en l’espèce, en affirmant qu’un médecin (ou sa secrétaire médicale) ne saurait être considéré dans ses rapports avec les autres médecins comme un tiers non autorisé au sens des dispositions susvisées ou de la loi du 4 janvier 1978, de sorte que l’absence de cloisonnement des dossiers médicaux des salariés à l’égard du groupe “médecins et secrétaires" ne caractérisait pas l’élément matériel de l’infraction reprochée, la cour d’appel a violé lesdites dispositions" ;

Attendu qu’il est notamment reproché aux prévenus, du chef du délit prévu par les articles 42 ancien de la loi du 6 janvier 1978 et 226-17 du Code pénal, d’avoir, jusqu’en 1994, mis en place un système permettant à chacun des médecins utilisateurs et à leurs secrétaires d’accéder aux informations d’ordre médical figurant dans les fichiers créés par les autres médecins ;

Attendu que, pour relaxer les prévenus à raison de ces faits, la cour d’appel retient que les médecins appartenant au SIMTPA et leurs secrétaires médicales, tenus au secret professionnel, ne peuvent être considérés comme des tiers non autorisés au sens des articles 29 de la loi du 6 janvier 1978 et 226-17 du Code pénal ; que les juges ajoutent, surabondamment, que l’absence de “cloisonnement" des informations entre médecins, adopté dans des systèmes informatiques identiques mis en place dans d’autres régions, n’avait jamais soulevé d’objection de la part de la CNIL ;

Attendu qu’en prononçant ainsi, la cour d’appel a fait l’exacte application des articles précités ;

D’où il suit que le moyen doit être écarté ;

Sur le second moyen de cassation, pris de la violation des articles 378 ancien et 226-13 du Code pénal, des articles 121-6 et 121-7 dudit Code, de l’article 593 du Code de procédure pénale, défaut de motifs et manque de base légale ;

"en ce que l’arrêt attaqué a dit non établi le délit poursuivi de violation de secret professionnel à la charge des prévenus Jean C. et Jean-Claude D. ;

"aux motifs que la Cour adopte les motifs par lesquels le tribunal a renvoyé les prévenus des fins de la poursuite concernant ce délit qui, comme l’a relevé le tribunal, suppose un acte positif de divulgation, lequel n’a nullement été établi à l’encontre des prévenus ; que, pas davantage, n’est établi à l’encontre de ces derniers un acte de complicité de ce délit ; que le fait qu’à un moment donné, la mauvaise utilisation des motifs de passe ait pu permettre à des administratifs de prendre connaissance des données médicales - au demeurant limitées - recueillies dans le système, constitue en l’espèce le seul délit de l’article 42 de la loi du 6 janvier 1978 devenu 226-16 du Code pénal ;

"et aux motifs, adoptés, des premiers juges qu’il convient de rappeler que les deux prévenus ne sont pas médecins du travail et que leur responsabilité pénale ne peut être recherchée qu’en leur qualité respective de président et de directeur de SIMTPA ; qu’aucun élément du dossier ne permet d’établir que Jean C. et Jean-Claude D. aient à un moment quelconque révélé à un tiers une information relative au secret médical ; que ce délit suppose un acte positif de divulgation nullement démontrée en l’espèce ;

"alors qu’il résulte des constatations de l’arrêt attaqué que le système informatique mis en place par les prévenus avait permis à des administratifs de prendre connaissance des données médicales recueillies dans le système et qu’un cloisonnement entre les dossiers médicaux dans le groupe médecins et secrétaires n’avait été institué qu’en septembre 1994, permettant jusqu’alors l’accès aux dossiers médicaux de l’ensemble de ce groupe ; qu’il s’en déduit nécessairement que l’utilisation par les prévenus de ce système informatique avait permis la révélation d’informations à caractère secret dont ils étaient dépositaires, en fait, par la détention d’un logiciel ; que, de ce chef, la cour d’appel n’a pas tiré de ses constatations les conséquences légales qui en résultaient nécessairement ;

"alors, en tous cas, qu’il résulte de ces constatations que les prévenus avaient volontairement empêché les médecins du travail du service de respecter le secret professionnel auquel ils sont tenus ; qu’ils s’étaient ainsi rendus, à tout le moins, complices du délit de violation du secret professionnel" ;

Attendu que les prévenus ont été renvoyés devant le tribunal correctionnel pour violation du secret professionnel aux motifs que, malgré la protection prévue, des personnels administratifs avaient pu avoir accès aux données d’ordre médical traitées par le système, lesquelles étaient par ailleurs accessibles à l’ensemble des médecins ;

Attendu que, pour relaxer les prévenus de ce chef, la cour d’appel énonce qu’en l’absence de tout acte positif de divulgation, la violation du secret professionnel n’est pas constituée ; qu’elle précise que la négligence ayant permis à des membres du personnel administratif d’accéder à certaines informations médicales protégées ne peut caractériser que le délit réprimé par les articles 42 ancien de la loi du 6 janvier 1978 et 226-17 du Code pénal et par ailleurs retenu à l’encontre des prévenus, à raison de ces mêmes faits ;

Attendu qu’en prononçant ainsi, par des motifs exempts d’insuffisance ou de contradiction, la cour d’appel a justifié sa décision ;

D’où il suit que le moyen n’est pas fondé ;

II - Sur les pourvois formés par Jean C. et Jean-Claude D. :

Sur le premier moyen de cassation, pris de la violation des articles 16 et 41 de la loi du 6 janvier 1978, 226-16 du Code pénal, 427, 485, 512, 591 et 593 du Code de procédure pénale, défaut de motifs, manque de base légale ;

"en ce que l’arrêt attaqué a déclaré Jean C. et Jean-Claude D. coupables de mise en oeuvre d’un traitement automatisé d’informations nominatives sans déclaration préalable à la Commission Nationale de l’Informatique et des Libertés ;

"aux motifs propres que sur la mise en oeuvre de l’informatisation sans déclaration préalable à la CNIL, l’article 16 de la loi du 6 janvier 1978, sous peine des sanctions délictuelles prévues par l’article 41, repris en ce qui concerne l’incrimination par l’article 226-16 nouveau du Code pénal, a subordonné la mise en oeuvre de traitements automatisés d’informations nominatives, ce qui est le cas en l’espèce, à une déclaration préalable à la CNIL, laquelle peut refuser de délivrer le récépissé si elle estime que le système mis en place est contraire à la loi ; que l’infraction est constituée aussi longtemps qu’en l’absence de la déclaration prescrite, il est procédé au traitement automatisé ; qu’en l’espèce, il est constant que la mise en place du système informatisé a commencé en 1991 (module administratif) et s’est terminée en 1992 ;

que le récépissé de la déclaration à la CNIL est seulement du 16 mars 1992 ; que, dans ces conditions, c’est à bon droit que le tribunal a déclaré non seulement Jean C., président du SIMTPA, mais également Jean-Claude D., qui s’est chargé du projet de sa mise en oeuvre, coupables de cette infraction (arrêt, pages 11 et 12) ;

"et aux motifs, adoptés, des premiers juges qu’il résulte des éléments du dossier que l’informatisation du SIMTPA a commencé de fonctionner au mois de janvier 1992 et que ce n’était que le 16 mars 1992 que la CNIL accusait réception de la déclaration relative à sa mise en oeuvre ; que, dès lors, le délit prévu et réprimé par l’article 226-16 du Code pénal (anciennement article 41 de la loi du 6 janvier 1978) apparaît constitué, celui-ci ayant un caractère purement matériel, le fait incriminé impliquant une faute dont le prévenu ne peut se disculper que par la force majeure, l’intention délictueuse n’étant pas un élément constitutif du délit (jugement, page 5) ;

1 ) alors que, dans leurs conclusions d’appel (page 10), les prévenus ont expressément fait valoir - au vu des résultats de l’expertise ordonnée par le magistrat instructeur - que la date de réception de la déclaration à la CNIL, soit le 16 mars 1992, coïncidait avec la date de la mise en service de la version définitive du logiciel GEMETIX grâce auquel était réalisé le traitement automatisé des données ;

"qu’ainsi, en se bornant à énoncer, par voie d’affirmation, que la mise en place du système aurait commencé en 1991 pour se terminer en 1992, pour en déduire que la déclaration effectuée par les demandeurs était tardive, sans réponse à ce chef péremptoire des conclusions des prévenus, la cour d’appel a privé sa décision de toute base légale ;

"2 ) alors que, depuis l’entrée en vigueur, le 1er mars 1994, de l’article 121-3 nouveau du Code pénal, applicable aux faits commis antérieurement et non encore jugés à cette date, il n’y a point de délit sans intention de le commettre ou, lorsque la loi spéciale le prévoit, lorsque le comportement de l’agent caractérise à tout le moins une imprudence, ou une négligence ;

"qu’en l’espèce, pour retenir les demandeurs dans les liens de la prévention, la cour d’appel a rejeté, par motifs adoptés des premiers juges, que le délit prévu à l’article 41 de la loi du 6 janvier 1978 présente un caractère purement matériel et qu’ainsi, l’intention délictueuse n’est pas requise en la matière ;

"qu’en statuant ainsi, sans rechercher si les prévenus avaient sciemment méconnu l’obligation de déclaration préalable prévue à l’article 16 de la loi du 6 janvier 1978 ou si, à tout le moins, la tardiveté de la déclaration résultait d’une imprudence prévue par le texte incriminateur, la cour d’appel a violé les textes susvisés" ;

Sur le second moyen de cassation, pris de la violation des articles 29 et 41 de la loi n° 78-17 du 6 janvier 1978, 226-17 du Code pénal, 427, 485, 512, 591 et 593 du Code de procédure pénale, défaut de motifs, manque de base légale ;

"en ce que l’arrêt attaqué a déclaré Jean C. et Jean-Claude D. coupables de traitement automatisé d’informations nominatives sans mesures assurant la sécurité des données ;

"aux motifs que, s’agissant de la possibilité à tout utilisateur de prendre connaissance de l’ensemble des données aussi bien administratives que médicales, il résulte du rapport d’expertise que sous réserve que chaque utilisateur suive la procédure normale, soit fasse usage de la clé et de son mot de passe strictement personnel, les administratifs, d’une part, et les médicaux, d’autre part, (médecins et secrétaires), ne pouvaient avoir accès aux informations recueillies par le groupe dont ils ne faisaient pas partie ; qu’il résulte, cependant, des diverses auditions recueillies au cours de l’enquête que les services administratifs ont pu, en tout cas au cours de l’année 1994, avant l’expertise, avoir connaissance des données médicales ; que l’on peut penser que cette situation qui, comme cela a été rapporté, a permis par exemple à une secrétaire administrative de proposer un mot de passe à un médecin qui l’avait perdu, ce qui bien entendu lui permettait alors si le médecin choisissait un tel mot de passe, de rentrer elle-même dans le fichier médical, est due aux tâtonnements de la mise en route, certains médecins, selon la procédure, ayant eu des difficultés d’adaptation ; qu’il a fallu plusieurs notes de services pour rappeler une évidence à savoir qu’un mot de passe, ce qui est de sa nature même, devait rester personnel ; qu’il appartenait aux deux prévenus, indépendamment des notes de service, de faire assurer la formation suffisante pour que chacun connaisse parfaitement le fonctionnement du système, lequel, dès lors que les règles étaient

respectées, ne permettait pas une telle intercommunication ; que n’ayant pas à l’évidence pris toutes les précautions utiles, les deux prévenus, en tout cas jusqu’en 1994, se sont bien rendus coupables de cette infraction (arrêt, pages 12 et 13) ;

"1 ) alors que, pour déclarer les demandeurs coupables d’avoir mis en place un traitement automatisé d’informations nominatives, sans prendre toutes les précautions utiles pour préserver des informations et notamment empêcher qu’elles ne soient communiquées à des personnes non autorisées, la cour d’appel a reproché aux prévenus d’avoir - indépendamment des notes de service rappelant la nécessité de garder à chaque mot de passe un caractère confidentiel - omis de faire assurer une formation suffisante pour que chacun connaisse le fonctionnement du système, lequel ne permettait aucune intercommunication dès lors que les règles étaient respectées ;

"qu’en statuant ainsi, tout en relevant, d’une part, que l’usage régulier d’un mot de passe personnel permettait de satisfaire aux exigences légales, en empêchant l’accès des données aux personnes non autorisées, d’autre part, que le caractère personnel du mot de passe constituait une évidence, rappelée par les notes de service, ce dont il résultait que ces dernières étaient de nature à satisfaire aux exigences de préservation de la sécurité des informations, et rendaient inutile toute formation complémentaire, dont le seul objet aurait été de rappeler le caractère évidemment personnel des mots de passe, déjà souligné par les notes de service, la cour d’appel s’est déterminée par des motifs contradictoires ;

"2 ) alors que l’obligation de préservation de la sécurité des données nominatives est une obligation de moyen et non de résultat ;

"qu’ainsi, en retenant les demandeurs dans les liens de la prévention, tout en relevant que la procédure normale, prévoyant l’usage d’une clé informatique et d’un mot de passe personnel empêchait l’accès aux informations par des personnes non autorisées, et que seuls des comportements individuels avaient pu provoquer un dysfonctionnement du système, notamment par la révélation volontaire, par son titulaire, du mot de passe choisi par lui, la cour d’appel a omis de tirer les conséquences légales de ses propres constatations et violé, par fausse application, les textes susvisés" ;

Les moyens étant réunis ;

Attendu que les énonciations de l’arrêt attaqué mettent la Cour de Cassation en mesure de s’assurer que la cour d’appel a, par des motifs exempts d’insuffisance ou de contradiction et répondant aux chefs péremptoires des conclusions qui lui étaient soumises, caractérisé à l’encontre des prévenus en tous leurs éléments constitutifs, tant matériels qu’intentionnel, les délits réprimés par les articles 41 et 42 anciens de la loi du 6 janvier 1978, 226-16 et 226-17 du Code pénal, résultant de ce que le système de traitement automatisé d’informations nominatives avait été mis en oeuvre sans qu’ait été effectuée la déclaration préalable à la CNIL exigée par l’article 16 de la loi du 6 janvier 1978 et sans qu’aient été prises toutes les précautions utiles en vue d’empêcher la communication des informations médicales aux membres du personnel administratif, tiers non autorisés ;

D’où il suit que les moyens, qui reviennent à remettre en cause l’appréciation souveraine, par les juges du fond, des faits et circonstances de la cause et des éléments de preuve contradictoirement débattus, ne peuvent être admis ;

Et attendu que l’arrêt est régulier en la forme ;

REJETTE les pourvois.



Retour à la liste de jurisprudence

droit informatique droit de l'informatique
formation contrats informatiques