Tribunal d’arrondissement, 14 janvier 2016

Jugt. 165/2015 not.27523/13/CD

susp.pr.

AUDIENCE PUBLIQUE DU 14 JANVIER 2016

Le Tribunal d’arrondissement de et à Luxembourg, chambre correctionnelle, a rendu le jugement qui suit : Dans la cause du Ministère Public contre X.) née le (…) à (…), demeurant à L -(…), (…), prévenue ________________________________________

FAITS :

Par citation du 20 novembre 2015 le Procureur d’Etat près le Tribunal d’arrondissement de et à Luxembourg a requis la prévenue de comparaître à l’audience publique du 14 décembre 2015 devant le Tribunal correctionnel de ce siège pour y entendre statuer sur les préventions suivantes : infractions aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, infraction à l’article 509- 1 du Code pénal.

A cette audience le vice -président constata l’identité de la prévenue et lui donna connaissance des actes qui ont saisi le tribunal. Le témoin Cédric BECKER fut entendu en ses déclarations orales après avoir prêté le serment prévu à l’article 155 du Code d’Instruction criminelle.

La prévenue X.) fut entendue en ses explications et moyens de défense, lesquels furent plus amplement développés par Maître Céline MERTES, avocat à la Cour, demeurant à Lux embourg.

La représentante du Ministère Public, Nadine SCHEUREN, premier substitut du Procureur d’Etat, résuma l’affaire et fut entendue en ses réquisitions. Le Tribunal prit l’affaire en délibéré et rendit à l’audience publique de ce jour, date à laquelle le prononcé avait été fixé, le

J U G E M E N T q u i s u i t :

Vu l'enquête de police. Vu la citation à prévenu du 20 novembre 2015 régulièrement notifiée à X.) . Vu l’ordonnance de renvoi numéro 1110/15 de la Chambre du Conseil du 29 avril 2015. Vu l’instruction diligentée par le Juge d’Instruction.

Le Ministère Public reproche à X.) des infractions à la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, ainsi qu’une infraction en matière informatique. 1. Quant aux faits

1..1. Eléments du dossier répressif

Lors d’un contrôle effectué en date du 20 août 2013 dans le « bar à champagne » CAB1.) à (…) en présence des exploitants A.) et B.), cette dernière s’est discrètement adressée aux agents pour demander un rendez -vous. Une date a été fixée et B.) s’est présentée ensemble avec sa fille C.) pour expliquer qu’elle rencontrerait des problèmes avec son associé A.) ; elle le soupçonnerait de prélever de l’argent de la société SOC1.) S.A. à des fins personnelles. Elle l’a encore accusé de diverses autres infractions. B.) et sa fille ont encore expliqué que A.) se vanterait souvent que sa fille – la prévenue X.) – travaillerait à la police et serait au courant de tout. Les vérifications ont permis de constater que X.) était employée privée auprès de la police grand- ducale et avait accès à diverses bases de données. Les informations d’accès ont été saisies et exploitées ; notamment les recherches suivantes ont attiré l’attention des enquêteurs :

— Consultation de la base de données MULTIPOL

— 15 janvier 2010. Plaques d’immatriculation (…) (L) (…) (L). Il est établi par le dossier répressif que le 15 janvier 2010, la prévenue effectuait une recherche avec le nom « X.) », sa propre date de naissance ( (…)) et les plaques d’immatriculation (…) et (…). Ces recherches n’ont pas fourni de résultat. Il découle encore du dossier que la prévenue est propriétaire d’une voiture immatriculée (…) .

— 25 février 2011 : «Plaque d’immatriculation (…)** et « SOC2.) Sàrl ». Il découle du dossier répressif que le 25 février 2011, la prévenue a fait une recherche combinant le nom de la société SOC2.) , pour laquelle travaillait son père A.), combiné avec les plaques d’immatriculation « (…)** ». La recherche n’a pas fourni de résultat, puisqu’il n’existe pas de données correspondantes.

— 22 février 2012 : « A.) ». Il découle du dossier répressif qu’en date du 22 février 2012, la prévenue a fait une recherche concernant son père A.), né le (…).

— Consultation de la base de données « Journal des Incidents JDI », mots-clés « X.) », « D.) », « CAB1.) », « CAB2.) », « C.) », C.) », « SOC1.) » et « B.) ». Le dossier répressif établit la réalité de ces recherches effectuées par la prévenue. Les enquêteurs notent en particulier que la société « SOC1.) S.A. » appartient à A.) et à B.). Les enquêteurs soulignent encore que l’enquête n’a pas permis d’établir ou de fournir d’indice que les informations ainsi obtenues auraient été continuées à des tiers. Lors de son audition par la police en date du 21 mai 2014, la prévenue a déclaré avoir eu accès à divers fichiers de la police. A la question de savoir si elle a fait des vérifications d’ordre privé, elle admet avoir fait des recherches quant à son père. Elle explique qu’elle s’inquiétait pour son père et que ni elle, ni sa mère n’étaient enchantées d’apprendre qu’il avait abandonné son ancienne activité d’entrepreneur pour s’investir dans le milieu des bars/cabarets. Son père serait souvent rentré tard et il y aurait eu des disputes. Son père lui aurait expliqué avoir fait une plainte parce qu’on aurait tenté de le renverser, ce qu’elle aurait voulu vérifier. Elle dit ne pas avoir de souvenir d’avoir fait des recherches à la demande de son père. Concernant sa voiture, elle explique : « Meng Autosplaque ass den (…), et kann sinn dass ech do eppes gekuckt hunn well ech den Auto op Leasing hat ». Lors de son audition par la police en date du 11 novembre 2014, la prévenue X.) déclare ne pas avoir de souvenirs précis des recherches effectuées. Elle explique que son père A.) détenait des parts dans le cabaret CAB1.) . Si elle devait ne pas avoir eu de motif professionnel pour effectuer ces recherches, elle l’aurait fait par simple curiosité pour s’informer sur son père. Elle n’aurait informé aucun tiers des

informations obtenues. La société SOC1.) S.A. serait une société dans laquelle son père détient des participations. C.) serait la fille de B.) . Auprès du juge d’instruction, la prévenue a fait des déclarations similaires. Elle n’aurait jamais transmis des informations à son père. Elle déclare : « Ich weiß, dass ich nicht richtig gehandelt habe, dass ich diese Überprüfungen nicht hätte tun dürfen ». Le prévenu A.) a expliqué lors de son audition qu’il n’aurait jamais demandé à sa sœur d’effectuer une recherche, sauf dans un cas précis (qui n’a finalement pas pu être vérifié par l’enquête). L’ordinateur portable de la prévenue a été saisi, mais ensuite restitué puisque son exploitation n’a pas fourni d’élément utile à l’enquête. 1.2. Déclarations à l’audience

L’enquêteur Cédric BECKER a résumé à l’audience le déroulement de l’enquête. Il précise que rien de concret n’aurait pu être constaté pour conclure à une violation du secret professionnel. La prévenue explique à l’audience s’être fait des soucis pour son père puisque ce dernier s’était associé à l’exploitation d’un bar-cabaret. Ses parents auraient eu beaucoup de disputes et elle- même aurait fait une fausse- couche. Elle aurait été très stressée et admet avoir consulté certaines informations pour se calmer. Elle admet : « Ech froen d’Polizisten net direkt selwer, well d’geet mech eigentlech näischt un ». Dans le GDI, elle n’aurait fait vérifier que le dossier dans lequel son père s’était fait renverser. Elle aurait conseillé à son père de déposer plainte et elle aurait voulu vérifier s’il avait suivi ses conseils. Quant à la personne dénommée « D.) », on lui aurait raconté beaucoup de choses difficiles à croire ; elle ne connaîtrait pas ces personnes et aurait voulu se faire sa propre image de la situation. A l’embauche, on lui aurait déclaré qu’elle n’avait pas le droit de faire sortir des informations de l’administration. Personne ne lui aurait cependant dit qu’il était interdit de consulter des données dans les bases de données ; cela ne correspondrait par ailleurs pas à la pratique quotidienne dans le service. Elle serait en charge des travaux de secrétariat ordinaires. Chaque jour, le GDI entier serait imprimé et les éléments importants seraient sortis pour les intégrer dans le bulletin interne sur Intranet. Il arriverait aussi qu’elle et ses collègues intègrent elles-mêmes des données dans le GDI. A l’audience, le mandataire de la prévenue donne lecture d’une note de plaidoirie dans les termes repris ci-après :

Après la lecture, elle a ajouté avoir oublié d’y prendre position concernant les faits du 22 février 2012 (mot-clef « A.) »). La prévenue admettrait qu’elle n’aurait pas dû faire cette recherche. 2. Quant aux infractions 2.1. Infractions à la loi du 2 août 2002

2.1.1. Données à caractère personnel

L’article 2 de la loi de 2002 définit la donnée à caractère personnel comme étant toute information de quelque nature qu’elle soit et indépendamment de son support, concernant une personne identifiée ou identifiable. L’article 1 er de la loi précise que son objet est la protection des libertés et des droits fondamentaux des personnes physiques. La question de savoir si une voiture est immatriculée au nom d’une personne physique, si elle a commis une infraction, ou de manière générale, si elle est connue de la police, sont des données à caractère personnel. Par contre, la loi ne protège pas les personnes morales, et donc notamment pas les données relatives à la « SOC2.) Sàrl » ni celles relatives aux cabarets « CAB1.) » et « CAB2.) ». Il y a dès lors lieu d’acquitter la prévenue X.) : « comme auteur, co- auteur ou complice, depuis un temps non prescrit, mais au moins depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, (…), sans préjudice quant aux indications de temps et de lieux plus exacts, 1) en infraction aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel,

en l’espèce d’avoir suivant le rapport SPJ11/JDA/2014- 33375-14 du 1 er

octobre 2014 du SPJ-Section Criminalité générale, traité des données personnelles pour avoir fait des recherches avec son login « (…) », aux fichiers de la police, plus particulièrement au journal des incidents (JDI) et au fichier de recherche de personnes (MULTIPOL) et notamment : a) d’avoir consulté à titre privé le fichier de données policières « MULTIPOL » : — en date du 25 février 2011 vers 11.40 heures pour vérifier une plaque d’immatriculation (…)** et le nom « SOC2.) S.à.r.l. », b) d’avoir, entre le 7 mai 2010 et le 7 mai 2014, consulté à titre privé le fichier des données du fichier « Journal des Incidents – JDI », notamment en utilisant les mots-clés « CAB1.) », « CAB2.) », comme suivant le rapport SPJ11/JDA/2014-33375-14 du 01.10.2014 du SPJ-Section Criminalité générale, page 8- 14, partant d’avoir : a) effectué un traitement de données personnelles en violation des dispositions de l’article 4 (1) a, sanctionné par l’article 4 (3) de la loi du 2 août 2002, en tant que responsable du traitement en sa qualité de membre du cadre administratif de la Section de Recherche et d’Enquête criminelle et du Service régional de Police spéciale de Luxembourg, pour les avoirs traitées de manière incompatible avec les finalités visées sub (1) (a) du même article, en l’espèce, pour avoir à titre privé et à des fins non- professionnelles, traité les données personnelles spécifiées ci-dessus. b) effectué un traitement de données personnelles en violation des dispositions de l’article 5 (1) a), b), c), d) et f) 5 sanctionnée par l’article 5 (2), en tant que responsable du traitement en sa qualité de membre de la Section de Recherche criminelle, puis du SRPS de Luxembourg pour les avoir traitées sans respecter la légitimité de traitement prévue aux dispositions (1) a), b), c), d), e) et f) dudit article, en l’espèce, d’avoir effectué à titre privé un traitement de données personnelles pour avoir traité des données personnelles spécifiées ci-dessus en dehors des hypothèses visées à l’article 5, c) effectué à titre privé un traitement de données personnelles en violation des dispositions de l’article 17 (1), sanctionnée par l’article 17(3), en l’espèce, d’avoir effectué à titre privé un traitement de données personnelles, pour avoir traité les données personnelles spécifiées ci — dessus ».

2.1.2. Réalisation d’un traitement de données

Selon l’article 2 de la loi de 2002, il faut entendre par « traitement de données à caractère personnel » : « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

En l’espèce, la prévenue a effectué des recherches dans une base de données informatisée , partant a réalisé une opération au moyen d’un procédé automatisé. Même si cette recherche n’a dans certains cas abouti à aucun résultat, il n’y en a pas moins eu un traitement des données qui a été lancé et dont le résultat a été affiché, l’absence de résultat dans la base de données ne faisant pas en sorte qu’il n’y aurait pas eu de « traitement » des données sous-jacentes. 2.1.3. Qualité de la prévenue

Il découle de l’agencement de l’article 4 que, malgré l’emploi du terme «quiconque », les obligations dont le respect est garanti par la sanction pénale, sont celles incombant au responsable du traitement. L’article 2 de la loi définit le responsable du traitement comme étant «la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu des dispositions légales, le responsable du traitement est déterminé par ou en vertu des critères spécifiques conformément aux dispositions légales ». Selon le règlement grand- ducal du 2 octobre 1992 relatif à la création et à l’exploitation d’une banque de données nominatives de police générale, cette base de données est gérée par le Centre Informatique de l’Etat et exploitée sous l’autorité du directeur de la police grand- ducale. En l’espèce, la prévenue faisait partie du personnel de la police grand- ducal. En sa qualité de secrétaire, elle était cependant une simple exécutante se servant dans son travail des bases de données ; elle n’avait aucune influence sur la structure des bases de données, sur leurs finalités, sur leur exploitation ou sur leur gestion informatique. Elle ne peut dès lors être sanctionnée en qualité de responsable du traitement.

Il y a dès lors lieu d’acquitter la prévenue X.) : « comme auteur, co- auteur ou complice, depuis un temps non prescrit, mais au moins depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, rue Glesener, sans préjudice quant aux indications de temps et de lieux plus exacts, en infraction aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, en l’espèce d’avoir suivant le rapport SPJ11/JDA/2014- 33375- 14 du 1 er

octobre 2014 du SPJ-Section Criminalité générale, traité des données personnelles pour avoir fait des recherches avec son login « (…) », aux fichiers de la police, plus particulièrement au journal des incidents (JDI) et au fichier de recherche de personnes (MULTIPOL) et notamment : a) d’avoir consulté à titre privé le fichier de données policières « MULTIPOL » : — en date du 15 janvier 2010 vers 7.53 heures, pour consulter les plaques d’immatriculation (…) (L) et (…) (L), — en date du 22 février 012 vers 13.36 heures, pour vérifier le nom de son père, b) d’avoir, entre le 7 mai 2010 et le 7 mai 2014, consulté à titre privé le fichier des données du fichier « Journal des Incidents – JDI », notamment en utilisant les mots-clés « X.) », « D.) », « C.) », C.) », SOC1.) », « B.) », comme suivant le rapport SPJ11/JDA/2014- 33375- 14 du 01.10.2014 du SPJ- Section Criminalité générale, page 8- 14, partant d’avoir : a) effectué un traitement de données personnelles en violation des dispositions de l’article 4 (1) a, sanctionné par l’article 4 (3) de la loi du 2 août 2002, en tant que responsable du traitement en sa qualité de membre du cadre administratif de la Section de Recherche et d’Enquête criminelle et du Service régional de Police spéciale de Luxembourg, pour les avoirs traitées de manière incompatible avec les finalités visées sub (1) (a) du même article, en l’espèce, pour avoir à titre privé et à des fins non- professionnelles, traité les données personnelles spécifiées ci -dessus ».

2.1.4. Infractions à l’article 17 de la loi de 2002

L’article 17 (1) de la loi de 2002 prévoit que des règlements grand- ducaux interviendront pour certains traitements spécifiques, tels des traitements dans le domaine pénal, de la sûreté de l’Etat ou de la sécurité publique. L’article 17 (2) prévoit des mécanismes et instances de contrôle de ces traitements. L’article 17 (3) incrimine « toute personne, agissant à titre privé, qui effectué un traitement en violation des dispositions » prémentionnées. Est donc sanctionnée la réalisation d’un traitement de données liées à la sûreté qui ne ferait pas l’objet d’un règlement grand- ducal. Le texte ne prévoit pas d’incrimination pour le cas où les règlements d’exécution ne seraient pas observés, mais sa finalité est d’éviter que des acteurs privés ne s’installent pour gérer des données relevant des prérogatives régaliennes fondamentales de l’Etat que sont les poursuites pénales et la sûreté extérieure et intérieure. En l’espèce, la prévenue a effectué un traitement sur une base de données ayant fait l’objet d’un règlement grand- ducal pris en conformité avec l’article 17 précité. Cette infraction n’est dès lors pas donnée. Il y a dès lors lieu d’acquitter la prévenue X.) : « comme auteur, co- auteur ou complice, depuis un temps non prescrit, mais au moins depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, rue Glesener, sans préjudice quant aux indications de temps et de lieux plus exacts, en infraction aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, en l’espèce d’avoir suivant le rapport SPJ11/JDA/2014- 33375- 14 du 1 er

octobre 2014 du SPJ-Section Criminalité générale, traité des données personnelles pour avoir fait des recherches avec son login « (…) », aux fichiers de la police, plus particulièrement au journal des incidents (JDI) et au fichier de recherche de personnes (MULTIPOL) et notamment : a) d’avoir consulté à titre privé le fichier de données policières « MULTIPOL » : — en date du 15 janvier 2010 vers 7.53 heures, pour consulter les plaques d’immatriculation (…) (L) et (…) (L),

— en date du 22 février 012 vers 13.36 heures, pour vérifier le nom de son père, b) d’avoir, entre le 7 mai 2010 et le 7 mai 2014, consulté à titre privé le fichier des données du fichier « Journal des Incidents – JDI », notamment en utilisant les mots-clés « X.) », « D.) », « C.) », C.) », SOC1.) », « B.) », comme suivant le rapport SPJ11/JDA/2014- 33375- 14 du 01.10.2014 du SPJ- Section Criminalité générale, page 8- 14, partant d’avoir : c) effectué à titre privé un traitement de données personnelles en violation des dispositions de l’article 17 (1), sanctionnée par l’article 17(3), en l’espèce, d’avoir effectué à titre privé un traitement de données personnelles, pour avoir traité les données personnelles spécifiées ci- dessus ». 2.1.5. Infractions à l’article 5 de la loi de 2002

L’article 5 (1) de 2002 prévoit que le traitement de données ne peut être effectué que : (a) s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou (b) s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le ou les tiers auxquels les données sont communiquées, ou (c) s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle- ci, ou (d) s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er, ou (e) s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou (f) si la personne concernée a donné son consentement.» Selon le libellé du Parquet, cette infraction aurait été commise par la prévenue « en tant que responsable du traitement en sa qualité de membre de la Section de

Recherche criminelle, puis du SRPS de Luxembourg ». Tel que développé ci-avant, la prévenue ne revêt pas cette qualité. Cette qualité n’est cependant pas exigée par l’article 5 de la loi de 2002 ; il y a dès lors lieu de l’omettre du libellé.

Concernant la recherche sur les plaques « (…)» et « (…)», la combinaison des critères de recherche utilisés par la prévenue ne pouvait aboutir qu’à des informations sur ses propres voitures. Le traitement mis en œuvre ne pouvait donc aboutit qu’à des données la concernant elle- même. Etant la personne concernée, en effectuant le traitement, elle a nécessairement donné son accord, de sorte que l’hypothèse (f) est donnée. Il y a dès lors lieu d’acquitter X.) : « comme auteur, co- auteur ou complice, depuis un temps non prescrit, mais au moins depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, rue Glesener, sans préjudice quant aux indications de temps et de lieux plus exacts, en infraction aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, en l’espèce d’avoir suivant le rapport SPJ11/JDA/2014- 33375- 14 du 1 er

octobre 2014 du SPJ-Section Criminalité générale, traité des données personnelles pour avoir fait des recherches avec son login « (…) », aux fichiers de la police, plus particulièrement au journal des incidents (JDI) et au fichier de recherche de personnes (MULTIPOL) et notamment : d’avoir consulté à titre privé le fichier de données policières « MULTIPOL » : — en date du 15 janvier 2010 vers 7.53 heures, pour consulter les plaques d’immatriculation (…) (L) et (…) (L), partant d’avoir : b) effectué un traitement de données personnelles en violation des dispositions de l’article 5 (1) a), b), c), d) et f) 5 sanctionnée par l’article 5 (2), en tant que responsable du traitement en sa qualité de membre de la Section de Recherche criminelle, puis du SRPS de Luxembourg pour les avoir traitées sans respecter la légitimité de traitement prévue aux dispositions (1) a), b), c), d), e) et f) dudit article, en l’espèce, d’avoir effectué à titre privé un traitement de données personnelles pour avoir traité des données personnelles spécifiées ci-dessus en dehors des hypothèses visées à l’article 5 ».

Pour les autres recherches, il ne résulte pas du dossier que les personnes aient donné leur consentement. La prévenue a fourni des explications pour sa démarche, lesquelles ne sauraient cependant être considérées comme étant nécessaires à la sauvegarde de ses « intérêts vitaux ». Les autres hypothèses de légitimité du traitement ne sont pas non plus données. L’infraction libellée sub 5) est dès lors à retenir à sa charge. 2.2. Infraction à l’article 509-1 du Code pénal

L’article 509- 1 du Code pénal incrimine « quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d’un système de traitement ou de transmission automatisé de données ». Les bases de données de la police constituent un système de traitement et de transmission automatisé de données. Le délit de l'article 509-1 du Code pénal réprime non seulement l'accès frauduleux à un système de traitement ou de transmission automatisé de données, mais également le maintien dans le système. L'un ou l'autre suffit à caractériser l'élément matériel du délit. Le fait d'accéder de manière autorisée à un serveur ou à un réseau n'implique pas que le maintien dans le système soit forcément régulier. Il est admis que le fait pour un employé, autorisé à accéder de manière inconditionnelle au réseau pour exécuter des tâches relevant de son activité, de se maintenir dans le réseau pour exécuter des opérations non autorisées rend le maintien frauduleux. Se rend coupable d’un maintien frauduleux dans un des éléments d'un système de données au sens de l'article 509- 1 du Code pénal le policer, autorisé à accéder aux bases de données consultées au moyen de son mot de passe pour exécuter des tâches relevant de ses missions de police administrative ou judiciaire, s'est maintenu dans lesdits fichiers pour y effectuer des recherches excédant le cadre professionnel, telles des recherches purement personnelles (CSJ, 27 juin 2012, n° 342/12 X). La prévenue X.) s’est ainsi maintenue de manière frauduleuse dans le système de traitement de données de la police. Le fait qu’elle n’ait pas été explicitement été informée de cette obligation est sans incidence, nul n’étant censé ignorer la loi. La prévenue devait par ailleurs nécessairement savoir que ces bases de données étaient sensibles et ne devaient pas servir à des fins purement privées. Cette infraction est dès lors à retenir à charge de la prévenue. L’accès initial à la base de données était cependant légitime, la prévenue disposant d’un Code d’accès. Il y a dès lors lieu d’acquitter la prévenue X.) :

« comme auteur, co- auteur ou complice, depuis un temps non prescrit, mais au moins depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, rue Glesener, sans préjudice quant aux indications de temps et de lieux plus exacts, en infraction à l’article 509- 1 du Code pénal, d’avoir frauduleusement accédé dans tout ou partie d’un système de traitement et de transmission automatisé de données, en l’espèce, d’avoir à des fins purement privées, en dehors de la finalité et des hypothèses prévues par la loi, partant frauduleusement en violation des dispositions de la loi du 2 août 2002, accédé aux fichiers « MULTIPOL » et « JDI » exploités par le Centre Informatique de l’Etat ». 2.3. Récapitulatif

Au vu des développements qui précèdent, la prévenue X.) est convaincue : « comme auteur ayant elle-même commis les infractions, depuis l’année 2010, dans l’arrondissement judiciaire de Luxembourg, notamment à Luxembourg, rue Glesener, 1) en infraction aux dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, en l’espèce d’avoir suivant le rapport SPJ11/JDA/2014- 33375- 14 du 1 er

octobre 2014 du SPJ-Section Criminalité générale, traité des données personnelles pour avoir fait des recherches avec son login « (…) », aux fichiers de la police, plus particulièrement au journal des incidents (JDI) et au fichier de recherche de personnes (MULTIPOL) et notamment : a) d’avoir consulté à titre privé le fichier de données policières « MULTIPOL » : — en date du 22 février 012 vers 13.36 heures, pour vérifier le nom de son père, b) d’avoir, entre le 7 mai 2010 et le 7 mai 2014, consulté à titre privé le fichier des données du fichier « Journal des Incidents – JDI », notamment en utilisant les mots-clés « X.) », « D.) », « C.) », « C.) », SOC1.) », « B.) », comme suivant le rapport SPJ11/JDA/2014- 33375- 14 du 01.10.2014 du SPJ- Section Criminalité générale, page 8-14,

partant d’avoir : b) effectué un traitement de données personnelles en violation des dispositions de l’article 5 (1) a), b), c), d) et f) 5 sanctionnée par l’article 5 (2), pour les avoir traitées sans respecter la légitimité de traitement prévue aux dispositions (1) a), b), c), d), e) et f) dudit article, en l’espèce, d’avoir effectué à titre privé un traitement de données personnelles pour avoir traité des données personnelles spécifiées ci — dessus en dehors des hypothèses visées à l’article 5, 2) en infraction à l’article 509- 1 du Code pénal, de s’être maintenue dans un système de traitement et de transmission automatisé de données, en l’espèce, d’avoir à des fins purement privées, en dehors de la finalité et des hypothèses prévues par la loi, partant frauduleusement en violation des dispositions de la loi du 2 août 2002, de s’être frauduleusement maintenu dans les fichiers « MULTIPOL » et « JDI » exploités par le Centre Informatique de l’Etat et plus spécialement aux dates reprises ci-dessus ». 3. Quant à la peine

Les délits retenus à charge de X.) sont en concours réel entre eux. En application de l’article 60 du Code pénal, la peine la plus forte sera dès lors seule prononcée ; cette peine pourra même être élevée au double du maximum, sans toutefois pouvoir excéder la somme des peines prévues pour les différents délits. — Les infractions à l’article 509- 1 du Code pénal sont sanctionnées d’un emprisonnement de 2 mois à 2 ans et d’une amende de 500 euros à 25.000 euros ou de l’une de ces deux peines. — Les infractions à l’article 5 de la loi du 2 août 2002 sont punies d’un emprisonnement de 8 jours à 1 an et d’une amende de 251 à 125.000 euros, ou d’une de ces peines seulement. La peine la plus lourde, donc celle à encourir par la prévenue, est en l’espèce celle prévue par le Code pénal. Dans l’appréciation de la peine, le Tribunal prend en l’espèce en considération le nombre limité de recherches effectuées, le fait que la prévenue a conservé les informations pour elle, le fait que les informations ont été recherchées par soucis familiaux, les aveux présentés au courant de l’enquête et à l’audience et les regrets exprimés par elle.

La prévenue n’est dès lors pas indigne de la clémence du Tribunal. Le tribunal estime que l'infraction commise par la prévenue ne comporte pas une peine d’emprisonnement correctionnel supérieur à deux ans. La prévenue n’a par ailleurs pas encore subi de condamnation excluant le bénéfice de la suspension du prononcé. D'autre part, elle a marqué à l'audience son accord pour que le prononcé soit suspendu. Eu égard aux éléments acquis en cause, et notamment au vu des repentirs exprimés par la prévenue, à l’absence d’antécédents judiciaires, à l’atteinte relativement faible à l’ordre public, il convient en l’espèce de suspendre le prononcé.

PAR CES MOTIFS :

le Tribunal d’arrondissement de et à Luxembourg, dix-huitième chambre, siégeant en matière correctionnelle, statuant contradictoirement , X.) et son mandataire en leurs explications et moyens de défense et la représentante du Ministère Public entendue en ses réquisitions,

acquitte X.) des infractions non retenues à sa charge, déclare X.) convaincue d'avoir commis les infractions retenues à sa charge, ordonne de l’accord du prévenu la suspension du prononcé de la condamnation, fixe la durée de la suspension à trois (3) ans à partir du jour du prononcé du présent jugement, avertit X.) que la révocation de la suspension est facultative si la nouvelle infraction commise pendant le temps d’épreuve de trois (3) ans a entraîné une condamnation irrévocable à un emprisonnement correctionnel principal sans sursis d’un mois au moins et ne dépassant pas six mois, avertit X.) qu'en cas de nouvelle infraction commise dans les conditions de l'article 624 alinéa 2, les peines de la première infraction seront prononcées et exécutées sans confusion possible avec celles prononcées du chef de la nouvelle infraction et que les peines de la récidive seront encourues dans les termes de l'article 56 alinéa 2 du Code pénal condamne X.) aux frais de sa poursuite pénale, ces frais liquidés à 34,62 euros, Le tout en application des articles 14, 60, 66 et 509- 1 du Code pénal, des articles 1, 2 et 5 de la loi du 2 août 2002 et des articles 155, 179, 182, 184, 184, 185, 190, 190-

1, 191, 195, 196, 621, 622 et 624-1du Code d'instruction criminelle, dont mention a été faite Ainsi fait et jugé par Henri BECKER, président, Christian SCHEER, premier juge et Jean- Luc PUTZ, premier juge, et prononcé en audience publique au Tribunal d’arrondissement de Luxembourg, assisté de Mike SCHMIT, greffier, en présence de Marc SCHILTZ, premier substitut du Procureur d’Etat, qui, à l’exception du représentant du Ministère Public, ont signé le présent jugement.