Des notes faisant état d’appréciations personnelles sur la manière de servir de M. X. et rédigées par M. Y., son supérieur, ont été enregistrées au nom de la secrétaire de ce dernier sur un répertoire informatique qui était accessible à tous les personnels du service. M. X. a alors saisi la justice pour traitement automatisé de données à caractère personnel sans autorisation.
Dans un arrêt du 4 juillet 2013, la cour d’appel de Colmar a prononcé un non-lieu, au motif que M. Y. s’est borné à établir deux notes concernant uniquement M. X. et que le répertoire personnel de sa secrétaire, certes insuffisamment sécurisé, dans lequel elles ont été enregistrées n’était pas destiné à accueillir d’autres notes concernant d’autres agents du service. Il ne peut donc être considéré qu’il a créé un fichier de données personnelles.
La Cour de cassation censure les juges du fond.
Dans un arrêt du 8 septembre 2015, elle retient qu’est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi informatique et liberté qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers.