Article 10 RGPD : tout savoir sur les données pénales

Vous traitez des données judiciaires ? Vous touchez à l’article 10 du RGPD, le plus sensible de tous.
La loi ne laisse aucune place à l’improvisation : oubliez le consentement, la tolérance ou le “bon sens RH”.
📌 Voici les règles à connaître absolument pour éviter une violation… ou une sanction.

Décryptage complet de l’article 10 du RGPD

L’essentiel à comprendre sur l’article 10 du RGPD

Qui peut traiter les données relatives aux condamnations pénales ? Dans quelles conditions ? Quelles erreurs coûtent cher ?
L’article 10 du RGPD fait partie des plus méconnus… et pourtant les plus risqués à négliger.

Cet article est fait pour vous si vous êtes DPO, responsable conformité, dirigeant, ou responsable de traitement, et que vous traitez (ou pourriez traiter) des données judiciaires : antécédents, condamnations, casiers, interdictions…

L’article 10 du RGPD impose un encadrement strict du traitement des données pénales :

« Le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions (…) ne peut être effectué que sous le contrôle de l’autorité publique ou si le traitement est autorisé par le droit de l’Union ou d’un État membre. »

Concrètement :

• Ces données sont hors norme : plus sensibles encore que les données de santé, d’orientation sexuelle ou d’appartenance syndicale.
• Leur traitement n’est pas libre : il doit reposer sur une base légale explicite.
• Elles ne peuvent être manipulées que par certaines entités désignées, selon des règles précises.

Quelles données sont concernées exactement ?

L’article 10 du RGPD ne concerne pas uniquement les extraits de casier judiciaire. Il vise toute information à caractère personnel liée à une infraction ou une condamnation, qu’elle soit passée, en cours, ou potentielle.

Cela inclut notamment :

• Antécédents judiciaires, même s’ils ont été effacés, amnistiés ou prescrits : leur seule mention dans un fichier suffit.
• Procédures judiciaires en cours, même sans condamnation prononcée : une mise en examen, une plainte déposée, ou une mesure alternative (ex : médiation pénale).
• Sanctions et peines : peines de prison, TIG, interdictions d’exercer, amendes pénales…
• Mesures de sûreté : assignation à résidence, bracelet électronique, suivi judiciaire.
• Fichiers spécialisés : inscription dans des bases comme :
  • TAJ : fichier des antécédents judiciaires
  • FIJAIS : infractions sexuelles
  • FNAGP : interdits bancaires

🔎 À retenir : même si une donnée ne mentionne pas directement une condamnation, le simple fait qu’elle révèle une infraction potentielle ou passée suffit à la faire entrer dans le périmètre de l’article 10.

Qui peut traiter ces données en toute légalité ?

Le traitement de ces données est verrouillé par principe. Seuls quelques cas strictement encadrés sont autorisés.

1. L’autorité publique compétente

Organismes d’État agissant dans une mission d’intérêt général prévue par la loi :

• Forces de l’ordre (police, gendarmerie)
• Justice (tribunaux, parquet)
• Préfectures, douanes, administration pénitentiaire

📌 Exemple : un tribunal conserve les antécédents judiciaires pour évaluer la récidive d’un prévenu.

2. Traitement autorisé par une loi ou un décret

Certaines activités exigent légalement la vérification du casier judiciaire :

• Éducation, sport, sécurité : obligation légale de vérification pour protéger les publics fragiles.
• Accès à des fonctions réglementées : commissaire aux comptes, transport de fonds, etc.

📌 Exemple : une loi impose aux employeurs du secteur aérien de contrôler le passé pénal des candidats.

3. Un sous-traitant pour le compte de l’État

Dans ce cas :

• Le traitement est réalisé sous l’autorité exclusive d’un organisme public
• Un contrat RGPD conforme est obligatoire
• Les obligations en matière de sécurité, traçabilité et limitation d’accès sont accrues

📌 Exemple : une entreprise gérant une base technique pour la justice (comme un hébergeur) peut accéder à ces données, mais jamais pour son propre compte.

La loi interdit tout traitement en dehors de ces trois cas.
Même si la personne concernée donne son accord : ce consentement n’a aucune valeur légale ici.

Les erreurs fréquentes à éviter

Beaucoup de structures, souvent de bonne foi, tombent dans des pièges classiques.
Voici les fautes les plus fréquentes :

1. Demander un extrait de casier judiciaire pour un poste « sensible »

Par exemple, exiger un B2 pour un poste de comptable ou de chef d’équipe.
➡️ Interdit, sauf disposition légale. Même si le candidat accepte, vous enfreignez la loi.

2. Conserver le document « au cas où »

Une fois la vérification effectuée, l’extrait doit être :

• Ni archivé
• Ni numérisé
• Ni conservé au format papier ou électronique

📌 Même une copie PDF dans un dossier RH = infraction RGPD.

3. Partager ou transmettre à des tiers

Un RH partage une info judiciaire avec la direction ou un recruteur externe ?
➡️ Interdiction formelle sans base juridique. Cela constitue une violation de données.

Article 9 vs Article 10 : attention à la confusion

➡️ Beaucoup de responsables de traitement pensent à tort qu’un RGPD “général” suffit.
L’article 10 est un niveau de vigilance supérieur.

À l’international : des différences majeures

France : une application très verrouillée

Seuls les organismes publics ou ceux expressément autorisés par décret ou loi peuvent traiter les données de l’article 10.

La loi exclut quasi systématiquement les entreprises privées, sauf dans quelques cas très encadrés.

La CNIL applique une interprétation stricte : elle sanctionne rapidement les traitements non justifiés ou mal documentés.

📌 Exemple : une association demandant le B3 sans fondement légal s’expose à une mise en demeure.

Allemagne : rigueur fédérale et diversité locale

L’Allemagne applique le RGPD via la BDSG (loi fédérale sur la protection des données), qui encadre de façon très rigoureuse le traitement des données pénales.

Le traitement par des entités privées n’est autorisé que s’il est absolument nécessaire, proportionné, et prévu par une disposition légale claire.

Chaque Land (État fédéré) peut adopter des précisions spécifiques, ce qui complexifie l’interprétation.

Le principe de « Verbot mit Erlaubnisvorbehalt » s’applique : c’est interdit par défaut, sauf exception formelle.

📌 Exemple : une société de sécurité en Bavière peut consulter un extrait du casier, mais uniquement dans un cadre légal clairement défini par le Land.

Espagne : approche plus souple, mais documentation exigée

L’Espagne autorise un peu plus largement le traitement de ces données, notamment dans le domaine privé.

L’Espagne a intégré le RGPD dans la LOPDGDD (loi sur la protection des données).

Les traitements doivent être justifiés par une base d’intérêt public reconnue, et documentés de façon rigoureuse (analyse d’impact, registre…).

📌 Exemple : un prestataire espagnol qui traite les données judiciaires pour le compte d’une collectivité locale devra démontrer sa légitimité au regard du droit national + RGPD.

Belgique : conformité stricte et jurisprudence active

La Belgique suit une ligne proche de la France, mais la jurisprudence y est plus abondante.

L’Autorité de protection des données (APD) insiste sur :

L’extrême proportionnalité des traitements

La transparence auprès des personnes concernées

L’obligation de minimisation stricte

📌 Exemple : une entreprise belge qui consulte le casier B3 d’un prestataire externe doit prouver que ce traitement est nécessaire, légalement autorisé, et documenté.

FAQ – Les questions fréquentes

Comment auditer un traitement de données pénales sans risquer une violation du RGPD ?

Commencez par cartographier chaque point de contact avec des données judiciaires, même indirect.
Posez-vous 3 questions clés : Qui a accès ? Pourquoi ? Sur quelle base légale ? → Si l’une de ces réponses est floue ou absente, le traitement est non conforme. Formalisez tout dans un registre dédié, séparé des traitements classiques.

Un prestataire privé peut-il être sous-traitant sur des données pénales ?

Oui, mais uniquement pour le compte exclusif d’une autorité publique et dans un cadre contractuel ultra-verrouillé.
Il faut un contrat RGPD + clause spécifique sur l’article 10 + mesures renforcées (accès restreint, auditabilité, suppression immédiate après mission). Sans cela, c’est une exposition juridique directe pour les deux parties.

Quelle stratégie mettre en place pour éviter les erreurs de qualification juridique ?

Utilisez la méthode “données grises” : identifiez les informations à double lecture (ex : arrêt de travail long = suspicion d’infraction au travail, fichier RH = mention d’une sanction disciplinaire potentielle).
👉 Classez ces données dans un périmètre élargi de vigilance, même si elles ne relèvent a priori pas de l’article 10. En cas de doute, traitez-les comme telles.

Quels contrôles internes mettre en place pour anticiper un audit CNIL sur les données pénales ?

Mettez en place un double circuit de validation :

• ✅ En amont : validation juridique + DPO sur la légitimité du traitement.
• ✅ En aval : vérification documentaire (registre, analyses d’impact, journalisation des accès).
  Ajoutez un logbook confidentiel pour chaque accès ou manipulation des données pénales (même en simple lecture).

Comment documenter un traitement article 10 RGPD pour qu’il résiste à un contentieux ?

Ajoutez 3 pièces au dossier de conformité :

1. 🔒 Une analyse d’impact spécifique, avec l’identification du risque d’atteinte aux droits.
2. 📑 Une note juridique motivée, citant la base légale exacte (décret, loi nationale).
3. 🛡 Un plan de minimisation, détaillant pourquoi aucune autre donnée ne pouvait suffire.