Les sanctions pénales
Les articles 40 et 41 (Chapitre VI - Dispositions pénales) de la loi n°78-17 du 6 janvier 1978 modifiée
Article 40
Les infractions aux dispositions de la présente loi sont prévues par la section 5 du chapitre VI du titre II du livre II du code pénal.
Article 41
Le procureur de la République avise le président de la Commission nationale de l'informatique et des libertés de toutes les poursuites relatives aux infractions prévues par la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.
La juridiction d'instruction ou de jugement peut appeler le président de la Commission nationale de l'informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l'audience.
Code pénal (Partie Législative)
Section 5 - Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
Art. 226-16
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 3° du III de l'article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Art. 226-16-1
Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-17
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l'article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-17-1
Le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 précité ou des dispositions du II de l'article 83 et de l'article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.
Est puni des mêmes peines le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement en méconnaissance de l'article 33 du règlement (UE) 2016/679 du 27 avril 2016 précité ou de l'article 102 de la loi n° 78-17 du 6 janvier 1978 précitée.
Art. 226-18
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-18-1
Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-19
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle ou à l'identité de genre de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.
Les dispositions du présent article sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l'exercice d'activités exclusivement personnelles.
Art. 226-19-1
En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de procéder à un traitement :
1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ;
2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.
Art. 226-20
Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.
Art. 226-21
Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-22
Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Art. 226-22-1
Le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à l'Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Art. 226-22-2
Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :
1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 10 de la loi n° 78-17 du 6 janvier 1978 précitée lorsque la visite a été autorisée par le juge ;
2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 10 de la même loi, ou aux agents d'une autorité de contrôle d'un Etat membre de l'Union européenne en application de l'article 62 du règlement (UE) 2016/679 du 27 avril 2016 précité, les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Art. 226-23
Dans les cas prévus aux articles 226-16 à 226-22-2, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.
Art. 226-24
Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section encourent, outre l'amende suivant les modalités prévues par l'article 131-38, les peines prévues par les 2° à 5° et 7° à 9° de l'article 131-39.
L'interdiction mentionnée au 2° de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.
Code pénal (Partie Réglementaire)
Section 6 - Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
Art. R. 625-10
Lorsque cette information est exigée par la loi, est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel :
1° De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant :
a) De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
b) De la finalité poursuivie par le traitement auquel les données sont destinées ;
c) Du caractère obligatoire ou facultatif des réponses ;
d) Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
e) Des destinataires ou catégories de destinataires des données ;
f) De ses droits d'opposition, d'interrogation, d'accès et de rectification ;
g) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat n'appartenant pas à l'Union européenne ;
2° Lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives :
a) A l'identité du responsable du traitement et, le cas échéant, à celle de son représentant ;
b) A la finalité poursuivie par le traitement auquel les données sont destinées ;
c) Au caractère obligatoire ou facultatif des réponses ;
d) Aux droits d'opposition, d'interrogation, d'accès et de rectification des personnes auprès desquelles sont recueillies les données ;
3° De ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques :
a) De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
b) Des moyens dont elle dispose pour s'y opposer ;
4° De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n'ont pas été recueillies auprès d'elle, les informations énumérées au 1° et au 2° dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
Est puni de la même peine le fait de ne pas fournir l'une des informations mentionnées à l'article 104 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ou aux articles 13 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Art. R. 625-11
Est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas répondre aux demandes d'une personne physique justifiant de son identité qui ont pour objet :
1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
2° Les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat n'appartenant pas à l'Union européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.
Est puni de la même peine le fait de refuser de délivrer, à la demande de l'intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d'une somme qui ne peut excéder le coût de la reproduction.
Est puni de la même peine le fait de ne pas répondre aux demandes tendant à la mise en œuvre des droits prévus à l'article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ou, hors les cas prévus à l'article 107 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'article 104 et à l'article 105 de cette même loi.
Les contraventions prévues par le présent article ne sont toutefois pas constituées si le refus de réponse est autorisé par la loi soit afin de ne pas porter atteinte au droit d'auteur, soit parce qu'il s'agit de demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique, soit parce que les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique.
Art. R. 625-12
Est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas procéder, sans frais pour le demandeur, aux opérations demandées par une personne physique justifiant de son identité et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est l'héritière, lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite.
Est puni de la même peine le fait de ne pas procéder aux opérations exigées par les articles 16 à 18 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ou, hors les cas prévus à l' article 107 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, par l'article 106 de cette même loi.
Art. R. 625-13
La récidive des contraventions prévues par la présente section est réprimée conformément aux articles 132-11 et 132-15.