Article 10 Données relatives aux condamnations pénales et infractions

Notion de données relatives aux condamnations pénales et infractions

Les données visées par l'article 10 concernent notamment :

• les condamnations pénales définitives
• les infractions pénales
• les poursuites et mises en cause pénales
• les mesures de sûreté
• les informations relatives aux sanctions ou à l'exécution des peines

Il s'agit de données liées à la commission alléguée ou avérée d'infractions pénales, qu'elles aient donné lieu ou non à une condamnation définitive.

La qualification d'une donnée comme relevant de l'article 10 dépend de son contenu et de sa finalité, et non de la seule catégorie de responsable du traitement.

Principe d'encadrement strict du traitement

Contrairement aux données relevant de l'article 9, les données relatives aux condamnations pénales ne peuvent être traitées ni sur la base du seul consentement de la personne concernée, ni sur la base des intérêts légitimes du responsable du traitement.

Leur traitement est subordonné à une habilitation expresse par un texte juridique contraignant, ainsi qu'à l'existence de garanties appropriées.

Ce régime vise à éviter toute constitution de fichiers privés de nature pénale échappant au contrôle des autorités publiques.

Rôle du droit national et des garanties appropriées

Le RGPD renvoie explicitement au droit de l'Union ou au droit national le soin d'autoriser et d'encadrer ces traitements.

En droit français, ce régime est notamment précisé par la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, ainsi que par le code de procédure pénale et certaines dispositions sectorielles.

Ces textes définissent les catégories d'acteurs habilités, les finalités autorisées et les garanties applicables, telles que :

• la limitation stricte des finalités
• la durée de conservation
• les restrictions d'accès
• la traçabilité des consultations
• l'information des personnes concernées

Registres des condamnations pénales

L'article 10 interdit la tenue de registres complets de condamnations pénales par des acteurs privés.

Seules les autorités publiques, dans l'exercice de leurs missions légales, peuvent constituer et gérer de tels fichiers.

Cette règle vise à prévenir les risques de stigmatisation, de discrimination et d'exclusion sociale résultant de l'exploitation non contrôlée de données pénales.

Articulation avec les autres dispositions du RGPD

L'article 10 doit être interprété en articulation avec :

• l'article 5 relatif aux principes fondamentaux
• l'article 6 relatif aux bases juridiques
• l'article 9 relatif aux catégories particulières de données
• l'article 32 relatif à la sécurité du traitement
• l'article 35 relatif à l'analyse d'impact relative à la protection des données

Le traitement de données pénales suppose non seulement une base juridique spécifique au sens de l'article 10, mais également le respect de l'ensemble des principes du RGPD.

L'absence d'habilitation légale entraîne l'illicéité du traitement, indépendamment du respect formel des autres obligations du règlement.

Portée juridique et contrôle par les autorités

Les autorités de contrôle se fondent régulièrement sur l'article 10 pour sanctionner des traitements illicites portant sur des données pénales, notamment lorsqu'ils sont effectués par des acteurs privés sans base légale suffisante.

Les juridictions nationales et européennes considèrent ces données comme particulièrement sensibles en raison de leur impact potentiel sur la réputation, l'emploi et les relations sociales des personnes concernées.

Implications pratiques pour les responsables de traitement

Les organisations doivent identifier si leurs traitements portent sur des données relevant de l'article 10.

En présence de telles données, elles doivent vérifier l'existence d'un fondement juridique explicite en droit national ou européen autorisant le traitement.

Elles doivent également renforcer les mesures de sécurité, restreindre strictement les accès et documenter les garanties mises en œuvre.

Dans la plupart des cas, un traitement de ce type implique la réalisation d'une analyse d'impact relative à la protection des données.

Jurisprudence et pratique des autorités de contrôle

L'article 10 du RGPD fait l'objet d'une interprétation stricte par les autorités de contrôle, en raison de la nature particulièrement sensible des données concernées. La CNIL a prononcé plusieurs sanctions à l'encontre d'organismes privés traitant des données relatives à des condamnations pénales ou à des infractions sans disposer d'une habilitation légale expresse. Ces décisions rappellent que le simple consentement de la personne concernée ne peut constituer une base juridique valable pour ce type de traitement.

Les autorités de contrôle européennes considèrent que la notion de données relatives aux condamnations pénales et aux infractions doit être entendue largement et englobe non seulement les condamnations définitives, mais également les poursuites en cours, les mises en cause, les mesures alternatives aux poursuites et les informations relatives à l'exécution des peines. Toute information faisant état, directement ou indirectement, d'une implication dans une procédure pénale relève du champ d'application de l'article 10.

La pratique des autorités de contrôle montre également que les traitements effectués par des employeurs dans le cadre de vérifications d'antécédents ou de procédures de recrutement doivent être strictement encadrés et limités aux cas prévus par la loi. Le recours à des bases de données privées de type « casier judiciaire » est prohibé, seule la consultation du bulletin n°3 du casier judiciaire, lorsqu'elle est légalement autorisée, étant admise.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement de vérifier systématiquement l'existence d'une habilitation légale expresse avant de traiter des données relatives aux condamnations pénales ou aux infractions. Elle insiste sur la nécessité de documenter précisément le fondement juridique applicable, notamment les références législatives ou réglementaires autorisant le traitement.

Le Comité européen de la protection des données (CEPD) souligne que les traitements relevant de l'article 10 doivent être assortis de garanties appropriées, incluant notamment la restriction stricte des accès aux seules personnes habilitées, la traçabilité des consultations, la limitation des durées de conservation et la mise en œuvre de mesures de sécurité renforcées. Le CEPD recommande également la réalisation d'une analyse d'impact relative à la protection des données pour tout traitement de ce type.

La CNIL et le CEPD rappellent que les données relatives aux condamnations pénales et aux infractions ne peuvent être utilisées à des fins de profilage, de scoring ou de prise de décision automatisée, sauf dans des cas strictement encadrés par la loi et sous le contrôle de l'autorité publique. Ils insistent également sur la nécessité d'informer les personnes concernées de l'existence du traitement et de leurs droits, dans le respect des articles 13 et 14 du RGPD.