Les sanctions pénales


Code pénal (Partie Législative)

Section 5 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Art. 226-16

Modifié par la loi n°2016-731 du 3 juin 2016 - art. 117 (V)
Modifié par la loi n°2018-493 du 20 juin 2018 - art. 18
Modifié par la loi n°2018-493 du 20 juin 2018 - art. 7

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Art. 226-16

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 3° du III de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

NOTA :

Conformément à l'article 7 II B de la loi n° 2018-493 du 20 juin 2018, le deuxième alinéa de l'article 226-16 du code pénal demeure applicable, dans sa rédaction antérieure à ladite loi, aux faits commis avant l'entrée en vigueur de celle-ci.

Art. 226-16-1

Créé par la loi  n°2004-801 du 6 août 2004 - art. 14

Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-17

Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-17-1

Modifié par la loi n°2016-731 du 3 juin 2016 - art. 117 (V)
Modifié par la loi n°2018-493 du 20 juin 2018 - art. 18

Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Art. 226-18

Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-18-1

Créé par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-19

Modifié par la loi n°2017-86 du 27 janvier 2017 - art. 171

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle ou à l'identité de genre de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Art. 226-19-1

Créé par la loi n°2004-801 du 6 août 2004 - art. 14

En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de procéder à un traitement :

1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ;

2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

Art. 226-20

Modifié par la loi n°2000-321 du 12 avril 2000 - art. 6
Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

Art. 226-21

Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-22

Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Art. 226-22-1

Modifié par la loi n°2018-493 du 20 juin 2018 - art. 27

Le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à l'Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 70-25 à 70-27 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Art. 226-22-2

Créé par par la loi n°2004-801 du 6 août 2004 - art. 14

Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.

Art. 226-23

Modifié par la loi n°2004-801 du 6 août 2004 - art. 14

Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles.

Art. 226-24

Modifié par la loi n°2009-526 du 12 mai 2009 - art. 124

Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section encourent, outre l'amende suivant les modalités prévues par l'article 131-38, les peines prévues par les 2° à 5° et 7° à 9° de l'article 131-39.

L'interdiction mentionnée au 2° de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.


Les articles 50 à 52 (Chapitre VIII - Dispositions pénales) de la loi n°78-17 du 6 janvier 1978 modifiée

Article 50

Créé par la loi n°2004-801 du 6 août 2004

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Article 51

Modifié par la loi n° 2011-334 du 29 mars 2011

Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :

Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 (habilitation par la commission) lorsque la visite a été autorisée par le juge ;

Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Article 52

Créé par la loi n°2004-801 du 6 août 2004

Le procureur de la République avise le président de la Commission nationale de l’informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l’informe de la date et de l’objet de l’audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.


Code pénal (Partie Réglementaire)

Section 6 - Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Art. R. 625-10

Modifié par le décret n°2018-687 du 1er août 2018 - art. 29

Lorsque cette information est exigée par la loi, est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel :

1° De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant :

a) De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

b) De la finalité poursuivie par le traitement auquel les données sont destinées ;

c) Du caractère obligatoire ou facultatif des réponses ;

d) Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

e) Des destinataires ou catégories de destinataires des données ;

f) De ses droits d'opposition, d'interrogation, d'accès et de rectification ;

g) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat n'appartenant pas à l'Union européenne ;

2° Lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives :

a) A l'identité du responsable du traitement et, le cas échéant, à celle de son représentant ;

b) A la finalité poursuivie par le traitement auquel les données sont destinées ;

c) Au caractère obligatoire ou facultatif des réponses ;

d) Aux droits d'opposition, d'interrogation, d'accès et de rectification des personnes auprès desquelles sont recueillies les données ;

3° De ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques :

a) De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

b) Des moyens dont elle dispose pour s'y opposer ;

4° De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n'ont pas été recueillies auprès d'elle, les informations énumérées au 1° et au 2° dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Est puni de la même peine le fait de ne pas fournir l'une des informations mentionnées au I de l'article 70-18 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ou aux articles 13 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Art. R. 625-11

Modifié par le décret n°2018-687 du 1er août 2018 - art. 29

Est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas répondre aux demandes d'une personne physique justifiant de son identité qui ont pour objet :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat n'appartenant pas à l'Union européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

Est puni de la même peine le fait de refuser de délivrer, à la demande de l'intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d'une somme qui ne peut excéder le coût de la reproduction.

Est puni de la même peine le fait de ne pas répondre aux demandes tendant à la mise en œuvre des droits prévus à l'article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ou, hors les cas prévus à l'article 70-21 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, au II de l'article 70-18 et à l'article 70-19 de cette même loi.

Les contraventions prévues par le présent article ne sont toutefois pas constituées si le refus de réponse est autorisé par la loi soit afin de ne pas porter atteinte au droit d'auteur, soit parce qu'il s'agit de demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique, soit parce que les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique.

Art. R. 625-12

Modifié par le décret n°2018-687 du 1er août 2018 - art. 29

Est puni de l'amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel, de ne pas procéder, sans frais pour le demandeur, aux opérations demandées par une personne physique justifiant de son identité et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est l'héritière, lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite.

Est puni de la même peine le fait de ne pas procéder aux opérations exigées par les articles 16 à 18 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ou, hors les cas prévus à l'article 70-21 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, par l'article 70-20 de cette même loi.

Art. R. 625-13

Modifié par le décret n°2010-671 du 18 juin 2010 - art. 4

La récidive des contraventions prévues par la présente section est réprimée conformément aux articles 132-11 et 132-15.