L'incrimination concerne essentiellement le traitement de données à caractère personnel.
Selon le Code pénal, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (C. pén., art. 226-16 N° Lexbase : L4979LAN et loi n° 78-17, 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS). Un arrêt du 8 septembre 2015 a, par ailleurs, précisé que, pour que l'infraction soit constitué, il n'était pas exigé le franchissement d'un seuil de données ou de fichiers (Cass. crim., 8 septembre 2015, n° 13-85.587, F-P+B N° Lexbase : A3811NPT). La Chambre criminelle a, également, précisé que l'intention délictueuse n'est pas un élément constitutif du délit (Cass. crim., 3 novembre 1987, n° 87-83429 N° Lexbase : A9361CEG).

A défaut de déclaration à la CNIL d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché (Cass. soc., 6 avril 2004, n° 01-45.227, FS-P+B+R+I N° Lexbase : A8004DB3).

Est, également, sanctionné le fait de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le NIRPP (C. pén., art. 226-16-1 N° Lexbase : L4477GTY).

Selon l'article 226-17 du Code pénal (N° Lexbase : L4479GT3), le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Les personnes auxquelles la loi du 6 janvier 1978 accorde protection s'entendent des personnes faisant personnellement l'objet du traitement d'informations nominatives. Mais elles s'entendent aussi de toutes celles qui peuvent être directement ou indirectement concernées par l'exploitation de ce traitement (Cass. crim., 19 décembre 1995, n° 94-81.431 N° Lexbase : A8752ABR).

Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende (C. pén., art. 226-18-1 N° Lexbase : L4481GT7).

Est également puni en cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, le fait de procéder à un traitement sans avoir préalablement informé les intéressés ou malgré leur opposition (C. pén., art. 226-19-1 N° Lexbase : L4482GT8).

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende (C. pén., art. 226-18 N° Lexbase : L4480GT4).
Pour que soit constitué le délit, il faut non seulement que des données aient été collectées par des moyens frauduleux, déloyaux ou illicites mais encore que ces données soient enregistrées ou conservées dans un fichier, qu'il soit ou non automatisé (Cass. crim., 3 novembre 1987, n° 87-83429 N° Lexbase : A9361CEG).
Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques (Cass. crim., 14 mars 2006, n° 05-83.423, F-P+F N° Lexbase : A8111DNQ).

Aux termes de l'article 226-19 du Code pénal (N° Lexbase : L7884LCY), le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation ou identité sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa (C. pén., art. 226-20 N° Lexbase : L4484GTA).
Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles (C. pén., art. 226-23 N° Lexbase : L4489GTG).

La clandestinité est inhérente au délit visé par l'article 226-19 du Code pénal, qui ne peut donc être prescrit avant qu'il ait pu être constaté en tous leurs éléments et que soit révélée, aux victimes, l'atteinte qui a pu être portée à leurs droits (Cass. crim., 4 mars 1997, n° 96-84773 N° Lexbase : A0021CGU).

L'article 226-22 du Code pénal (N° Lexbase : L4486GTC) réprime la divulgation de données à caractère personnel. Selon cet article, le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Les personnes morales déclarées responsables pénalement encourent, outre l'amende, la dissolution, l'interdiction, à titre définitif ou pour une durée de cinq ans au plus, d'exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales -cette interdiction porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise, le placement, pour une durée de cinq ans au plus, sous surveillance judiciaire, la fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés, l'affichage de la décision prononcée ou la diffusion de celle-ci (C. pén., art. 226-24 N° Lexbase : L2353IEU).
Les personnes physiques coupables d'atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques encourent également des peines complémentaires telles que l'interdiction des droits civiques, civils et de famille, l'interdiction d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise, l'interdiction, pour une durée de cinq ans au plus, de détenir ou de porter une arme soumise à autorisation et l'affichage ou la diffusion de la décision prononcée (C. pén., art. 226-31 N° Lexbase : L2319AMT).

L'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données (C. pén., art. 226-22-2 N° Lexbase : L4488GTE).