La curiosité est un vilain défaut

Le 24 avril 2019, la 7ème chambre du Conseil d’Etat a considéré qu’il n’était pas disproportionnel pour le Ministre de la défense de prononcer un arrêt de 15 jours en guise de sanction disciplinaire pour un gendarme. En effet, ce dernier avait consulté, sans justification et à des fins personnelles, des fichiers de gendarmerie comprenant des informations personnelles sur l’employeur de sa fille ainsi que d’autres personnes. En tout 300 fichiers personnels ont été consultés sans justification.

Ces fichiers contenant a priori des informations personnelles, il s’agit très certainement de données à caractère personnel. Or, les données à caractère personnel ne peuvent être détournées de leur finalité selon l’article 6-1-(a) du RGPD. En d’autres termes, n’est licite que le traitement des données à caractère personnel correspondant aux finalités pour lesquelles les données ont été collectées. C’est donc en raison du détournement de finalité que le Conseil d’Etat a considéré que la consultation de ces fichiers à des fins personnelles était illicite. En outre, l’arrêt précise que selon l’article 226-21 du code pénal est illicite le fait de détourner de leur finalité des données à caractère personnel et est passible de 5 ans d’emprisonnement ainsi que de 300 000 euros d’amende. Le Conseil d’Etat a ainsi considéré que le « caractère répété et persistant » des faits reprochés justifiait la décision du Ministre de la défense.

Il apparait que depuis quelques années la protection et la sécurité des données à caractère personnel sont une préoccupation majeure de l’Union européenne. Le détournement de finalité constitue l’un des cas habituels de contrôle et de sanction de la part de la CNIL, mais potentiellement aussi des juridictions pénales, un tel manquement étant également pénalement réprimé.