Cadre juridique.
 
L'article 50 de la loi « Informatique et Libertés » renvoie aux articles 226-16 à 226-24 du code pénal qui posent les sanctions pénales relatives aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.
Le non-respect des obligations imposées au responsable de traitement est ainsi lourdement sanctionné, la peine prévue par le code pénal étant systématiquement de cinq ans d'emprisonnement et de 300 000 euros d'amende. Par ailleurs, le code prévoit, qu'en plus de cette sanction, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné.

Personnes morales. Au sujet des personnes morales, le code pénal précise que les sanctions énoncées leur sont applicables dans les conditions énoncées aux articles 131-38, c'est-à-dire que le taux maximum de l'amende applicable aux personnes morales est égal au quintuple de celui prévu pour les personnes physiques. Les personnes morales peuvent en outre faire l'objet de sanctions supplémentaires énoncées aux 2° à 5° et aux 7° à 9° de l'article 131-39 du code pénal (interdiction temporaire ou définitive d'exercice de l'activité professionnelle, placement temporaire sous surveillance judiciaire, fermeture temporaire ou définitive d'un ou plusieurs établissements de l'entreprise, exclusion temporaire ou définitive des marchés publics, interdiction d'émettre des chèques, confiscation ou encore affichage ou diffusion dans la presse écrite de la décision).

Les infractions concernées :
Traitement irrégulier du numéro d'inscription des personnes au répertoire national d'identification des personnes. L'article 226-16-1 du code pénal précise qu'en dehors des conditions spécifiques prévues par la loi « Informatique et Libertés » [art. 25-I 6° et 27-I 1°], le traitement de données parmi lesquelles se trouve le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (ou numéro de sécurité sociale) est puni des mêmes peines.
Non-respect des obligations de sécurité et de confidentialité. Selon les articles 226-17 et 226-17-1, le non-respect par le responsable de traitement des obligations mises à sa charge et relatives à la sécurité et la confidentialité des traitements de données à caractère personnel, énoncées aux articles 34 et 34 bis, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Non-respect des principes de licéité et de loyauté du traitement. Aux termes de l'article 226-18 du code pénal, le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Non-respect des droits des personnes dont les données sont traitées. Le non-respect des droits énoncés aux articles 32 et 38 à 40 de la loi « Informatique et Libertés » et accordés aux personnes dont les données sont traitées est puni aux termes de différents articles du code pénal :
manquement à l'obligation d'information préalable des personnes concernées : aux termes de l'article R. 625-10 du code pénal, le non-respect de cette obligation est puni d'une contravention de cinquième classe ;
manquement au droit d'accès aux données : aux termes de l'article R. 625-11 du code pénal, le non-respect de cette obligation est puni d'une contravention de cinquième classe ;
manquement au droit de rectification, de complément, de mise à jour, de verrouillage ou d'effacement des données : aux termes de l'article R. 625-12 du code pénal, le non-respect de cette obligation est puni d'une contravention de cinquième classe ;
non-respect du droit d'opposition au traitement : aux termes de l'article 226-18-1 du code pénal, le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Non-respect des règles liées au caractère sensible des données. Selon l'article 226-19 du code pénal, le fait de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de la loi et hors des cas prévus spécifiquement par la loi, des données dites « sensibles » au sens de l'article 8 de la loi « Informatique et Libertés » est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Est puni des mêmes peines, le fait de mettre ou de conserver en mémoire informatisée, en dehors des cas prévus par la loi, des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.
Enfin, selon l'article 226-19-1 du code pénal, le fait de procéder à un traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ; ou malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Non-respect des obligations relatives à la durée de conservation des données. Aux termes de l'article 226-20 du code pénal, le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission Nationale de l'Informatique et des Libertés, ou de traiter ces données est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende, sauf si cette conservation ou ce traitement est effectué à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Détournement de finalité du traitement. L'article 226-21 du code pénal dispose que le fait, par toute personne détentrice de données à caractère personnel à l'occasion du traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission Nationale de l'Informatique et des Libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Divulgation de données à caractère personnel portant atteinte à la considération de la personne concernée ou à l'intimité de sa vie privée. Selon l'article 226-22 du code pénal, le fait, par toute personne qui a recueilli, à l'occasion de leur traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de la personne concernée ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Si elle est commise par imprudence ou négligence, cette divulgation est punie de trois ans d'emprisonnement et de 100 000 euros d'amende. Dans ce cas précis, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Non-respect des règles relatives aux transferts de données à caractère personnel en dehors de l'Union européenne. Aux termes de l'article 226-22-1 du code pénal, le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un État n'appartenant pas à la Communauté européenne ou une organisation internationale en violation du chapitre V du RGPD ou des articles 70-25 à 70-27 de la loi « Informatique et Libertés » est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Entrave à l'action de la CNIL. L'article 51 de la loi « Informatique et Libertés » ajoute qu'est puni d'un an d'emprisonnement et de 15 000 euros d'amende le fait d'entraver l'action de la Commission Nationale de l'Informatique et des Libertés :
1° Soit en s'opposant à l'exercice des missions de contrôle de la mise en œuvre des traitements, régies par l'article 44 de la loi et confiées aux membres de la CNIL ou aux agents habilités en application du dernier alinéa de l'article 19, lors des missions de contrôle de la mise en œuvre des traitements.
2° Soit, dans le cadre des mêmes missions, en refusant de communiquer les renseignements et documents utiles à la mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître.
3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présente pas ce contenu sous une forme directement accessible.