Le piège classique
L'article 10 est traite a tort comme une variante de l'article 9, alors que son regime est plus strict : les données d'infractions ne sont PAS dans la liste des données sensibles de l'article 9, donc aucune des exceptions de l'article 9(2) (consentement explicite, intérêt vital...) ne s'applique. Le traitement n'est licite QUE sous contrôle de l'autorité publique OU si une base légale nationale spécifique l'autorise avec des garanties appropriees. La CNPD et la CNIL sanctionnent régulièrement les employeurs qui collectent des extraits de casier judiciaire (B3) sans habilitation légale, ainsi que les plateformes qui constituent des fichiers d'antecedents ou de fraude sans fondement légal explicite.
Les pièges en pratique : ou les organisations basculent dans l'illicite
- Casier judiciaire au recrutement : exiger un extrait B3 sans texte sectoriel l'autorisant (sécurité, finance, petite enfance) est un traitement article 10 illicite, même avec le consentement du candidat.
- Fichiers anti-fraude internes : lister des clients ou partenaires soupconnes d'infractions sans base légale spécifique tombe sous l'article 10, pas sous le simple intérêt légitime article 6(1)(f).
- Procédures de due diligence et KYC : croiser des bases d'antecedents pénaux (PEP, sanctions, condamnations) sans encadrement légal precis.
- Conservation excessive : garder une donnée d'infraction au-dela de la finalité (litige clos, prescription) sans purge.
- Registres complets : reconstituer de fait un casier judiciaire privé est interdit, réservé a l'autorité publique.
- Sous-traitants RH : transmettre ces données a un prestataire sans vérifier sa propre habilitation légale.
Le test a passer : autorité publique ou base légale nationale
Pour chaque traitement d'infraction, la question est binaire. Etes-vous une autorité publique agissant dans ses missions ? Sinon, existe-t-il un texte de l'Union ou de droit national qui vous AUTORISE expressement et prevoit des garanties appropriees ? Si la réponse est non aux deux, le traitement est illicite, point. L'intérêt légitime ne suffit jamais a lui seul a fonder un traitement article 10.
Comment Luxgap automatise ce risque
Notre Luxgap Criminal Data Gatekeeper rend impossible la collecte sauvage de données d'infractions en interceptant ces données AVANT qu'elles n'entrent dans vos systèmes. Un agent IA spécialisé scanne en continu vos champs RH (Workday LU, Sopra Steria HR Suite, Sage BOB 50), vos pièces jointes M365 et vos formulaires Odoo pour détecter tout extrait de casier, mention de condamnation ou fichier d'antecedents, puis bloque ou marque la donnée tant qu'une base légale n'est pas documentee.
- Detecte automatiquement la presence d'extraits B3, mentions pénales et fichiers d'antecedents dans vos documents M365, Odoo et bases RH via reconnaissance semantique, sans formulaire a remplir.
- Verifie pour chaque traitement l'existence d'une base légale article 10 valide (texte sectoriel, habilitation, contrôle d'autorité publique) et bloque a defaut.
- Classifie chaque champ selon la grille EDPB et distingue données article 9 et données article 10, trop souvent confondues.
- Alerte en temps reel sur Teams des qu'un nouveau document contenant une donnée d'infraction est deverse dans un dossier RH ou un CRM.
- Applique des règles de purge automatique a l'echeance de la finalité (litige clos, prescription) pour eviter la conservation excessive.
- Produit un rapport PDF horodate, opposable a la CNPD lors d'un contrôle, demontrant que chaque traitement d'infraction repose sur une base légale documentee.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos données reelles, avec un scan gratuit sous 48h pour mesurer votre exposition avant tout engagement.