Oui c’est ce dont parle Sid dans son blog, d’ailleurs je l’évoque aussi. Mais je n’ai pas cherché à développer ce point particulier du débat. (Il s’agit de l’article 226-17 du code pénal pour être précis). Sur le point de savoir s’il s’applique il faudrait effectivement évaluer la sécurité de l’entreprise concernée (les éléments qui ne sont plus apportés par le billet de Zataz – qui n’est plus publié – ne le permettent pas).

Sur le fait de savoir s’il fallait ou non que l’entreprise soit poursuivie, c’est un problème qui se pose effectivement souvent, encore faudrait-il évaluer cela au regard de la nature des données personnelles concernées, des mesures de sécurité mises en place, etc… D’ailleurs s’il s’agissait d’un incident ponctuel de sécurité (une erreur), mais que par ailleurs l’entreprise sécurisait habituellement bien ces données, l’infraction du 226-17 du code pénal ne serait pas forcément relevée.

Mais pour conclure, oui il y a bien une responsabilité pénale des gestionnaires de traitement de données personnelles en matière de sécurisation des données et on peut faire le constat qu’il n’y a pas souvent de condamnations pour de tels manquements. Mais une infraction n’en annule pas une autre.

Il serait injuste de poursuivre au titre du l’article 323 du CP le journaliste sans poursuivre l’hébergeur au titre de manquement à l’article 34 de la 78-17.

Dans cette affaire, il semble que tout soit allé de travers. Le journaliste a été mal défendu, l’hébergeur mal conseillé et le parquet ne connaissait les lois.

Votre dernière partie m’inspire en particulier une réflexion que j’ai laissée de côté dans mon billet. Il faudrait probablement s’interroger sur l’efficacité de la pénalisation du défaut de sécurisation des données personnelles. En tout cas en comparaison de l’approche de pas mal d’états aux US, comme la Californie, sur une obligation de communication en cas de fuite. Ça me semble peut-être plus pertinent, en ce que ça oblige le responsable des données à informer précisément toutes les personnes concernées en leur indiquant qu’il y a eu fuite, comment il y a eu fuite et quelles sont les données concernées. Ce qui implique un véritable travail de gestion d’incident.

J’ai l’impression que notre bonne vieille loi Informatique & Libertés ne fait qu’entretenir le silence pour éviter au maximum tout risque de plainte, quand ce n’est pas ce genre d’action en justice. Et aussi, et surtout, avec comme conséquence que ce sont souvent, pour ne pas dire toujours, les premiers concernés qui sont les derniers informés (quand ils le sont)…