Données personnelles et droit pénal

DROIT LUXEMBOURGEOIS

La réglementation sur les données personnelles touche à tous les secteurs d'activité. Son objectif premier est de protéger la sphère privée et l'auto-détermination informationnelle des individus. Ces enjeux, au coeur des droits fondamentaux, pourraient naturellement appeler à une intervention du droit pénal afin de garantir le respect des normes et la protection des citoyens.

Pourtant, avec l'entrée en vigueur du RGPD, nous avons assisté à une très large décriminalisation de cette branche du droit, privilégiant désormais les sanctions administratives. Avec ses amendes administratives très élevées, cette forme de répression est sévère à certains égards, mais elle n'embrasse pas l'intégralité des situations que le droit pénal permettrait de couvrir.

De façon presque inaperçue, les « données personnelles » ont cependant réintégré le droit pénal en 2023. Depuis, l'article 509-1 du Code pénal sanctionne ceux qui, disposant d'une autorisation d'accès à un système, y effectuent un traitement de données à caractère personnel pour des finalités autres que celles pour lesquelles l'autorisation d'accès a été accordée. De prime abord, cette nouvelle incrimination peut convaincre. Néanmoins, une analyse plus approfondie révèle une multitude d'interrogations que le présent ouvrage ambitionne de déchiffrer.