SANCTION PENALE POUR NON RESPECT DU RGPD
Collecte de données personnelles des salariés – les sanctions pénales sont rares, mais possibles ! Les faits en cause dans cet arrêt de cassation concernent l’activité d’une société effectuant pour le compte de ses clients « des recherches sur des personnes portant sur des données à caractère personnel telles qu’antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l’étranger ».
Les personnes objet de ces enquêtes pouvaient être des salariés, des candidats, des clients, des prestataires, etc.
Le prévenu, dirigeant de la société prestataire, a été condamné à un an d’emprisonnement avec sursis et 20 000 euros d’amende pour collecte de données personnelles par un moyen déloyal et complicité, et complicité de détournement de la finalité d’un fichier.
La Cour de cassation confirme l’arrêt d’appel sur la caractérisation de l’infraction : « le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».
L’arrêt d’appel est toutefois cassé sur un moyen relatif à l’imprécision de la période sur laquelle le tribunal était saisi, ce qui viole l’article 388 du code de procédure pénale. L’ordonnance de renvoi visait des faits commis entre 2009 et 2012. Or, le tribunal a pris en compte également des faits remontant jusqu’à 2003.
