Intervention de Christian Cointat

Mon argumentation sera un peu longue, car je m’attendais, mon cher collègue, à votre demande.

L’amendement n° 23 tend à exclure des sanctions pénales les alinéas 2 et suivants du texte proposé à l’article 7 de la proposition de loi pour l’article 34 de la loi informatique et libertés.

Ses auteurs font valoir que l’application de sanctions pénales au responsable du traitement, qui est tenu d’avertir le correspondant « informatique et libertés » ou, à défaut, la CNIL, d’une faille de sécurité, reviendrait à obliger ce même responsable à se dénoncer lui-même, ce qui serait contraire à un principe de notre droit pénal. Ces craintes ne me paraissent pas fondées.

Tout d’abord, le premier alinéa de l’article 34 de la loi informatique et libertés qui impose au responsable du traitement l’obligation de mettre en œuvre toutes mesures adéquates pour assurer la sécurité des données définit une obligation de moyens, et non une obligation de résultat. Dès lors, il peut y avoir violation des données sans que la responsabilité du responsable du traitement soit nécessairement engagée. Ce sera également le cas lorsque le responsable du traitement qui a pris les mesures nécessaires à la sécurisation des données n’est pas la même personne que celle qui est tenue de signaler une perte de données, un certain laps de temps pouvant, par exemple, séparer la mise en œuvre du traitement et l’atteinte à la sécurité des données.

En revanche, l’adoption de l’amendement n° 23 aboutirait à exclure du champ du droit pénal l’obligation faite au responsable du traitement d’avertir le correspondant « informatique et libertés » ou la CNIL en cas de violation des données, ainsi que celle qui est faite au correspondant de prendre immédiatement toutes les mesures nécessaires au rétablissement de la protection des données, d’en informer la CNIL et, le cas échéant, les personnes physiques concernées et de tenir un inventaire des atteintes aux traitements de données à caractère personnel.

Il s’agit là d’obligations de résultat, et il ne paraît pas opportun de les exclure du champ du droit pénal.

En outre, il convient de noter que notre droit pénal reconnaît explicitement le principe de l’auto-dénonciation. L’article 132-78 du code pénal dispose ainsi que « dans les cas prévus par la loi, la durée de la peine privative de liberté encourue par une personne ayant commis un crime ou un délit est réduite si, ayant averti l’autorité administrative ou judiciaire, elle a permis de faire cesser l’infraction, d’éviter que l’infraction ne produise un dommage ou d’identifier les autres auteurs ou complices ».

Toutes les conditions sont donc réunies, mon cher collègue, pour que vous acceptiez de retirer votre amendement.