Cass. crim., 3 juin 2008, n° 08-80.467
COUR DE CASSATION
Arrêt
COMPOSITION DE LA JURIDICTION
Président :
M. Joly
Avocat :
SCP Gatineau
Vu le mémoire produit ;
Sur le premier moyen de cassation, pris de la violation des articles 112-1, 226-16 du code pénal, 459, 512, 575, 591 et 593 du code de procédure pénale, défaut de motifs, défaut de réponse à conclusions et manque de base légale ;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le juge d'instruction dans l'information ouverte sur plainte contre X, des chefs d'infractions à la réglementation sur le traitement informatique des données nominatives ;
"aux motifs que l'information a permis d'établir (D23) que l'AIMT 83 a effectué le 15 juillet 1992 auprès de la Commission nationale de l'informatique et des libertés la déclaration d'un traitement automatisé d'informations nominatives numéro 278742 et le 25 juin 2002 une déclaration modificative concernant le logiciel Stetho ; qu'il s'ensuit que les dispositions de l'article 20 de la loi 2004-801 du 6 août 2004 modifiant la loi 78-17 du 6 janvier 1978 ont été respectées et qu'il n'y a pas lieu à application de l'article 226-16, alinéa 1er, du code pénal ; qu'il résulte par ailleurs de l'information et notamment, des deux expertises informatiques diligentées que le logiciel Stetho comporte des paramètres de confidentialité permettant au médecin de rendre des données confidentielles pour tous les utilisateurs y compris les autres médecins, et dès lors de garantir le respect de la confidentialité des dossiers médicaux ; que l'information a permis d'établir que Jean-Paul X... et Jacques Y..., s'ils avaient pu avoir accès à des données protégées par le secret médical en leur qualité de super administrateur, avaient néanmoins agi dans le cadre de leur activité de consultant en informatique afin d'assurer le fonctionnement du logiciel Stetho et se trouvaient liés à l'AIMT par un contrat de travail comportant une clause de confidentialité en sorte qu'ils ne peuvent être considérés comme des tiers non autorisés au sens de l'article 34 de la loi du 6 janvier 1978 ; que par ailleurs, Jean-Paul X... et Jacques Y..., n'étant pas médecins, il ne peut leur être reproché la violation d'un secret dont ils n'étaient pas dépositaires ; que c'est, dès lors, à bon droit que le juge d'instruction a considéré qu'il ne résultait pas de l'information charges suffisantes contre quiconque d'avoir commis une atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques prévues et réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait pas davantage de charges suffisantes contre quiconque d'avoir commis le délit de violation du secret médical ; que les faits visés n'étant susceptibles d'aucune autre qualification pénale, l'ordonnance de non-lieu sera confirmée ;
"alors que, d'une part, il ressort des pièces du dossier produites devant la cour que l'AIMT 83 avait effectué en 1992 auprès de la CNIL la déclaration d'un système automatisé d'informations nominatives n°278742 dont la finalité « était les visites médicales du travail pour les salariés intérimaires », ainsi qu'une déclaration n°278743 dont la finalité était « la gestion de l'activité médicale et l'établissement du rapport annuel pour l'ensemble des médecins » ; que la déclaration de modification du 25 juin 2002 se contentait de mentionner le changement de logiciel (Stetho), alors même que ce changement de logiciel s'était accompagné de changements radicaux des caractéristiques du traitement ; qu'en l'état de cette refonte totale du système de données, le récépissé d'accord de la CNIL de 1992 ne pouvait en aucun cas tenir lieu d'accord pour la mise en place du logiciel Stetho ; qu'en se contentant, néanmoins, d'une simple référence à l'existence des déclarations n°278742 de 1992 et du 25 juin 2002 pour écarter le délit de non-respect des formalités préalables à la mise en oeuvre d'un traitement de données, alors que la déclaration n°278742 ne concernait qu'un système annexe sans rapport avec le traitement de données dont il était question, et que la simple déclaration modificative procédait en réalité à une refonte totale du système, la chambre de l'instruction a fondé sa décision de confirmation de l'ordonnance de non-lieu sur une dénaturation des déclarations susvisées, privant de ce fait sa décision de base légale ;
"alors que, d'autre part, il résulte de l'article 226-16, alinéa 1er, du code pénal que tout traitement automatisé d'informations nominatives doit être déclaré à la CNIL préalablement à sa mise en oeuvre ; qu'en l'espèce, le mémoire de la partie civile dénonçait le non-respect de cette disposition par l'AIMT 83 dès lors que la déclaration du logiciel Stetho à la CNIL datait du 25 juin 2002, alors que son installation s'était déroulée avant le 17 décembre 1999 ; qu'en se bornant à écarter l'application de l'article 226-16 au regard de la simple constatation que l'AIMT 83 avait procédé à une déclaration modificative concernant le logiciel Stetho le 25 juin 2002, sans préciser si cette déclaration était antérieure ou postérieure à sa mise en oeuvre, la chambre de l'instruction n'a pas répondu à un argument essentiel du mémoire de la partie civile, privant de ce fait sa décision des conditions essentielles de son existence légale ;
"alors que, encore, en vertu du principe de non-rétroactivité des lois nouvelles plus sévères défini à l'article 112-1 du code pénal, la loi du 6 août 2004 portant aggravation des peines prévues par l'article 226-16 du code pénal dans sa rédaction antérieure ne pouvait faire l'objet d'une application rétroactive aux faits de l'espèce commis avant son entrée en vigueur ; que dès lors, la chambre de l'instruction ne pouvait écarter l'application de l'article 226-16, alinéa 1er, du code pénal en invoquant l'application de la loi du 6 août 2004, sans méconnaître ce principe constitutionnel fondamental et les textes susvisés ;
"alors que, subsidiairement, à supposer que l'on considère que les dispositions de la loi du 6 août 2004 relatives à l'incrimination puissent être dissociées de celles relatives aux pénalités, le principe de légalité ne fait alors pas obstacle à ce que la nouvelle rédaction de l'article 226-16 du code pénal par la loi du 6 août 2004, en ses dispositions équivalentes, s'applique aux faits déjà incriminés par la loi ancienne sous l'empire de laquelle ils ont été commis ; mais, dès lors que les termes de la loi nouvelle, du 6 août 2004, ne modifiaient en rien les obligations de déclaration préalable à toute mise en oeuvre d'un traitement de données à caractère personnel, la chambre de l'instruction ne pouvait écarter l'application de l'article 226-16 du code pénal sur son seul fondement ; que la simple référence à l'article 20 de la loi susvisée, destiné à régir les dispositions transitoires, ne pourra qu'être déclarée inopérante dans la mesure où le délai de trois ans octroyé par la loi nouvelle aux responsables de traitement de données à caractère personnel pour mettre leurs traitements en conformité avec ses dispositions nouvelles ne vise que ceux « dont la mise en oeuvre est régulièrement intervenue avant la publication de la présente loi », ce qui, à l'évidence ne pouvait concerner les faits dénoncés en l'espèce puisque la mise en oeuvre du logiciel Stetho n'était justement, pas régulièrement intervenue ; qu'en statuant par ce motif inopérant, impropre à écarter l'application de l'article 226-16 du code pénal puisqu'il ne le concernait pas, la chambre de l'instruction n'a pas légalement justifié sa décision" ;
Sur le deuxième moyen de cassation, pris de la violation des articles 226-16, 226-17 du code pénal, 459, 512, 575, 591 et 593 du code de procédure pénale, défaut et contradiction de motifs, défaut de réponse à conclusions, manque de base légale ;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le juge d'instruction dans l'information ouverte sur plainte contre X, des chefs d'infractions à la réglementation sur le traitement informatique des données nominatives ;
"aux motifs que l'information a permis d'établir (D23) que l'AIMT 83 a effectué le 15 juillet 1992 auprès de la Commission nationale de l'informatique et des libertés la déclaration d'un traitement automatisé d'informations nominatives numéro 278742 et le 25 juin 2002 une déclaration modificative concernant le logiciel Stetho ; qu'il s'ensuit que les dispositions de l'article 20 de la loi 2004-801 du 6 août 2004 modifiant la loi 78-17 du 6 janvier 1978 ont été respectées et qu'il n'y a pas lieu à application de l'article alinéa 1er, du code pénal ; qu'il résulte, par ailleurs, de l'information et notamment, des deux expertises informatiques diligentées que le logiciel Stetho comporte des paramètres de confidentialité permettant au médecin de rendre des données confidentielles pour tous les utilisateurs y compris les autres médecins, et dès lors de garantir le respect de la confidentialité des dossiers médicaux ; que l'information a permis d'établir que Jean-Paul X... et Jacques Y..., s'ils avaient pu avoir accès à des données protégées par le secret médical en leur qualité de super administrateur, avaient néanmoins agi dans le cadre de leur activité de consultant en informatique afin d'assurer le fonctionnement du logiciel Stetho et se trouvaient liés à l'AIMT par un contrat de travail comportant une clause de confidentialité en sorte qu'ils ne peuvent être considérés comme des tiers non autorisés au sens de l'article 34 de la loi du 6 janvier 1978 ; que, par ailleurs Jean-Paul X... et Jacques Y..., n'étant pas médecins, il ne peut leur être reproché la violation d'un secret dont ils n'étaient pas dépositaires ; que c'est, dès lors, à bon droit que le juge d'instruction a considéré qu'il ne résultait pas de l'information charges suffisantes contre quiconque d'avoir commis une atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques prévues et réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait pas davantage de charges suffisantes contre quiconque d'avoir commis le délit de violation du secret médical ; que les faits visés n'étant susceptibles d'aucune autre qualification pénale, l'ordonnance de non lieu sera confirmée ;
"alors que, d'une part, l'article 226-17 du code pénal incrimine le fait de procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations, et notamment sans empêcher qu'elles ne soient communiquées à des tiers non autorisés ; qu'en l'espèce, il résulte des propres constatations de la décision attaquée que Jean-Paul X... et Jacques Y... ont pu avoir accès à des données protégées par le secret médical alors même qu'ils n'étaient pas médecins, dans le cadre de leur activité de consultant en informatique afin d'assurer le fonctionnement du logiciel Stetho ; qu'en décidant, néanmoins, d'écarter ce délit alors que le simple fait que des non médecins puissent accéder à des données médicales protégées par le secret professionnel pour les besoins de l'exploitation du système informatique qu'ils avaient pour mission de gérer suffisait à le caractériser, la chambre de l'instruction n'a pas tiré de ses constatations les conséquences légales qui en résultaient nécessairement ;
"alors que, d'autre part, il résulte des constatations de l'arrêt attaqué que la connexion au logiciel Stetho nécessitait deux mots de passe et que tous les utilisateurs n'avaient pas les mêmes droits d'accès, seul le statut de super administrateur, associé à un profil de médecin permettant d'avoir accès à l'ensemble des données médicales rendues non confidentielles pour les médecins utilisateurs de Stetho ; qu'il s'en déduit nécessairement qu'un super administrateur n'ayant pas la qualité de médecin ne pouvait être autorisé à avoir accès aux données médicales ; que dès lors, la chambre de l'instruction ne pouvait, sans se contredire ou mieux s'en expliquer, affirmer dans le même temps, non seulement que Jean-Paul X... et Jacques Y..., alors même qu'ils n'étaient pas médecins, avaient pu avoir accès à des données protégées par le secret médical en leur qualité de super administrateur, mais encore qu'ils ne pouvaient être considérés comme des tiers non autorisés ; que le fait que ces derniers n'aient pas la qualité de médecin étant exclusif de leur autorisation d'accéder à des données protégées par le secret médical, la chambre de l'instruction a statué par des motifs contradictoires, privant de ce fait sa décision de base légale ;
"alors que, encore, l'insertion d'une simple clause de confidentialité dans le contrat de travail, d'ailleurs commune à l'ensemble des salariés de l'AIMT, ne saurait en aucun cas constituer une autorisation pour ces derniers d'accéder à des données médicales protégées par le secret professionnel ; qu'en se bornant pourtant à invoquer l'existence de cette clause pour considérer que Jean-Paul X... et Jacques Y..., ne pouvaient être considérés comme des tiers non autorisés, la chambre de l'instruction a statué par un motif inopérant, qui loin d'établir l'absence d'un quelconque manquement à l'obligation de préserver la sécurité des informations au sens de l'article 226-17 du code pénal, le démontre au contraire ;
"alors que, en tout état de cause, la chambre de l'instruction ne pouvait considérer qu'il ne résultait pas de l'information charges suffisantes contre quiconque d'avoir commis des infractions à la réglementation sur le traitement informatique de données nominatives, sans répondre à l'argument essentiel du mémoire régulièrement déposé pour la partie civile, faisant valoir le constat d'huissier de justice du 15 novembre 2007 qui y était joint et transcrivant les propos tenus par Mme Z..., juriste de la CNIL, qui confirmait expressément non seulement qu'un informaticien ne peut avoir accès à des données qui sont couvertes par le secret médical, mais encore que l'AIST 83 ne pouvait mettre en oeuvre un nouveau traitement de données sans avoir obtenu auparavant le récépissé de la CNIL ; qu'en se bornant à confirmer l'ordonnance de non-lieu sans même s'expliquer sur cette pièce jointe au mémoire de la partie civile, particulièrement essentielle puisqu'elle attestait du non-respect des articles 226-16 et 226-17 du code pénal, la chambre de l'instruction n'a pas légalement justifié sa décision" ;
Sur le troisième moyen de cassation, pris de la violation des articles 226-13 du code pénal, L. 1110-4 du code de la santé publique, 575, 591 et 593 du code de procédure pénale, défaut de motifs, et manque de base légale ;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le juge d'instruction dans l'information ouverte sur plainte contre X, du chef de violation du secret médical ;
"aux motifs que, par ailleurs, Jean-Paul X... et Jacques Y..., n'étant pas médecins, il ne peut leur être reproché la violation d'un secret dont ils n'étaient pas dépositaires ; que c'est dès lors, à bon droit que le juge d'instruction a considéré qu'il ne résultait pas de l'information charges suffisantes contre quiconque d'avoir commis une atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques prévues et réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait pas davantage de charges suffisantes contre quiconque d'avoir commis le délit de violation du secret médical ; que les faits visés n'étant susceptibles d'aucune autre qualification pénale, l'ordonnance de non-lieu sera confirmée ;
"alors que, d'une part, il résulte de l'article L. 1110-4 du code de la santé publique que le secret médical «s'impose à tout professionnel de santé, ainsi qu'à tous les professionnels intervenant dans le système de santé » ; qu'en vertu de ce texte, le secret médical ne se limite pas aux seuls médecins mais s'impose également non seulement à toutes les professions de santé mais encore à leur entourage professionnel ; qu'en l'espèce, Jean-Paul X... et Jacques Y..., en étant tous deux employés par une association interprofessionnelle de médecine du travail (AIMT 83) comme adjoint de direction et consultant informatique, devaient bien être considérés comme des professionnels intervenant dans le système de santé ; que dès lors, la chambre de l'instruction ne pouvait affirmer qu'il ne peut leur être reproché la violation d'un secret dont ils n'étaient pas dépositaires au seul motif qu'ils n'étaient pas médecins, sans violer les textes visés au moyen" ;
Les moyens étant réunis ;
Attendu que les énonciations de l'arrêt attaqué mettent la Cour de cassation en mesure de s'assurer que, pour confirmer l'ordonnance de non-lieu entreprise, la chambre de l'instruction, après avoir analysé l'ensemble des faits dénoncés dans la plainte et répondu aux articulations essentielles du mémoire produit par la partie civile appelante, a exposé les motifs pour lesquels elle a estimé qu'il n'existait pas de charges suffisantes contre quiconque d'avoir commis les délits reprochés, ni toute autre infraction ;
Que le demandeur se borne à critiquer ces motifs, sans justifier d'aucun des griefs que l'article 575 du code de procédure pénale autorise la partie civile à formuler à l'appui de son pourvoi contre un arrêt de chambre de l'instruction en l'absence de recours du ministère public ;
Que, dès lors, les moyens sont irrecevables, et qu'il en est de même du pourvoi, par application du texte précité ;
Par ces motifs :
DÉCLARE le pourvoi IRRECEVABLE ;
Ainsi jugé et prononcé par la Cour de cassation, chambre criminelle, en son audience publique, les jour, mois et an que dessus ;
Etaient présents aux débats et au délibéré, dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Joly conseiller doyen faisant fonction de président en remplacement du président empêché, M. Finidori conseiller rapporteur, Mme Anzani conseiller de la chambre ;
Greffier de chambre : Mme Randouin ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre ;