La création d’un répertoire comportant deux notes d’évaluation sur une seule personne et qui a été rendu accessible sur un intranet, constitue un traitement de données à caractère personnel, a conclu la Cour de cassation dans un arrêt du 8 septembre 2015. A ce titre, il aurait dû faire l’objet d’une formalité préalable auprès de la Cnil comme l’impose l’article 226-16 du code pénal, « attendu qu’est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi susvisée qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers ». Il n’existe donc pas de seuil minimal de données ou de personnes concernées à partir duquel un traitement est constitué.
Dans cette affaire, le répertoire comportant deux notes d’un supérieur hiérarchique sur un collaborateur de l’ENA (Ecole nationale d’administration) qui était mal sécurisé avait été rendu involontairement accessible sur l’intranet de l’école par la secrétaire. Le répertoire en question n’était pas destiné à comporter d’autres documents. Suite à cet incident, la personne en question a porté plainte et s’est constituée partie civile pour la mise en œuvre d’un traitement de données personnelles sans autorisation. La chambre de l’instruction avait rendu une ordonnance de non-lieu, confirmée en appel. La Cour de cassation casse et annule l’arrêt de la cour d’appel de Colmar et renvoie la cause devant la cour de Nancy.