L’utilisation et la protection des données personnelles font l’objet d’un encadrement pénal strict, notamment lorsque ces données sont utilisées en dehors de leur finalité initiale. Dans un arrêt du 13 janvier 2026, la chambre criminelle de la Cour de cassation est venue préciser le champ d’application des infractions prévues aux articles 226-21 et 226-22 du code pénal, ainsi que les obligations du juge d’instruction saisi d’une plainte avec constitution de partie civile. Cette décision renforce la protection des données personnelles, y compris lorsqu’elles sont contenues dans des registres non informatisés.
🟠 Une distinction clarifiée entre traitements automatisés et traitements manuels
Le code pénal sanctionne le détournement de la finalité des données personnelles, c’est-à-dire leur utilisation à des fins autres que celles pour lesquelles elles ont été collectées. Toutefois, la Cour de cassation précise que l’article 226-21 du code pénal ne s’applique que lorsque les données sont intégrées dans un traitement automatisé, c’est-à-dire un système informatisé permettant leur traitement par logiciel.
En revanche, l’article 226-22 du code pénal a une portée plus large. Il s’applique aussi bien aux traitements automatisés qu’aux traitements manuels, notamment lorsque des données sensibles sont divulguées à des tiers et que cette divulgation est susceptible de porter atteinte à la vie privée ou à la réputation de la personne concernée. Cette interprétation élargit la protection pénale, en reconnaissant que les atteintes aux données personnelles peuvent survenir indépendamment du support utilisé.
🟠 Une décision rendue dans le contexte de l’utilisation des données policières
L’affaire concernait un plaignant qui reprochait à un fonctionnaire de police d’avoir utilisé abusivement ses données personnelles issues du registre des mains courantes. Ce registre pouvant exister sous forme manuelle ou informatisée, la qualification pénale dépendait du mode de traitement effectivement utilisé.
Le juge d’instruction avait refusé d’ouvrir une information judiciaire, estimant que les données provenaient d’un registre manuel et n’entraient pas dans le champ des infractions invoquées. Cette décision avait été confirmée par la chambre de l’instruction. Toutefois, la Cour de cassation a censuré ce raisonnement, considérant qu’il appartenait aux juges de vérifier concrètement si les données provenaient d’un traitement manuel ou automatisé, les deux pouvant coexister.
🟠 Le rappel du devoir d’instruction du juge
La Cour rappelle qu’en vertu de l’article 86 du code de procédure pénale, le juge d’instruction saisi d’une plainte avec constitution de partie civile a l’obligation d’instruire les faits dénoncés, sauf impossibilité manifeste de qualification pénale. Cela signifie qu’il ne peut pas rejeter une plainte sur la base d’une simple analyse théorique. Il doit, au préalable, effectuer les vérifications nécessaires afin de déterminer si les faits sont susceptibles de constituer une infraction.
En l’espèce, le juge aurait dû mener des investigations pour établir la nature du traitement des données en cause. En s’abstenant de cette vérification, il a rendu une ordonnance insuffisamment motivée, ce qui justifie la cassation de la décision.
🟠 Une protection renforcée des données personnelles, quel que soit leur support
Cette décision confirme que la protection pénale des données personnelles ne dépend pas uniquement de leur caractère informatisé. Certaines infractions, notamment celles relatives à la divulgation de données sensibles, s’appliquent également aux fichiers manuels. Cela reflète l’évolution du droit vers une protection plus complète des individus, conforme à la définition large du traitement des données retenue par le RGPD, qui inclut toute opération portant sur des données personnelles, qu’elle soit automatisée ou non.
🟠 Conclusion : un renforcement des garanties et du rôle du juge
Par cet arrêt, la Cour de cassation apporte une clarification importante sur l’application des infractions relatives aux données personnelles et rappelle les exigences pesant sur le juge d’instruction. La protection des données ne se limite pas aux systèmes informatiques et s’étend également aux registres traditionnels. Pour les autorités judiciaires, cette décision souligne la nécessité de vérifier concrètement les faits avant de refuser d’instruire une plainte. Pour les citoyens, elle constitue une garantie supplémentaire que toute utilisation abusive de leurs données personnelles, quel que soit le support, peut faire l’objet d’un contrôle et de poursuites.