Un arrêt de la Cour de cassation du 18 février 2026 marque une évolution importante : une information obtenue grâce à un délit peut désormais, à elle seule, constituer l’objet d’un recel, même sans support matériel. À partir de cette décision, un raisonnement par analogie conduit à une conclusion forte : la réutilisation, en connaissance de cause, de données personnelles issues d’une collecte ou d’une extraction illicite peut aujourd’hui entrer dans le champ du recel. Une avancée majeure pour les entreprises, les professionnels du numérique et toutes les personnes qui manipulent des fichiers clients ou des bases de données.
1. Un arrêt qui change la manière de penser le recel
Pendant longtemps, le recel évoquait surtout des biens matériels : un objet volé, un véhicule détourné, une marchandise frauduleusement obtenue. En droit pénal, l’idée paraissait simple : on ne peut pas profiter sciemment du produit d’une infraction sans s’exposer soi-même à une poursuite.
Mais avec l’économie numérique, cette lecture classique montrait ses limites. Aujourd’hui, la valeur réside souvent moins dans un objet que dans une information : un fichier prospects, une base clients, une liste de contacts, des prix confidentiels, des mémoires techniques, ou encore des données personnelles. Or une information peut être copiée, transmise et exploitée sans support physique identifiable.
C’est précisément ce que la chambre criminelle de la Cour de cassation a admis dans un arrêt du 18 février 2026. Elle juge que le fait de bénéficier, en connaissance de cause, d’une information provenant d’un délit peut constituer un recel au sens de l’article 321-1, alinéa 2, du code pénal. Autrement dit, il n’est plus nécessaire qu’il y ait un “objet” au sens matériel du terme : l’information elle-même peut être regardée comme le produit du délit dont un tiers profite.
Le texte légal s’y prête d’ailleurs assez bien. L’article 321-1 du code pénal ne vise pas seulement la détention d’une “chose”. Il incrimine aussi le fait, “en connaissance de cause”, de “bénéficier, par tout moyen, du produit d’un crime ou d’un délit”. Cette formule est large, et la décision du 18 février 2026 lui donne une portée nouvelle dans le monde de l’information.
2. Pourquoi cette décision ouvre la voie au recel de données personnelles
L’intérêt de cette décision dépasse largement le seul abus de confiance jugé par la Cour de cassation. Son apport est plus général : si une information issue d’un délit peut être recelée, alors il devient possible de raisonner de la même manière pour des données personnelles obtenues illégalement.
Le raisonnement est le suivant. Des données personnelles peuvent être obtenues par la commission d’un délit : extraction frauduleuse d’un fichier, détournement interne par un salarié, accès non autorisé à un système, conservation illicite d’une base, violation d’une obligation de sécurité, ou encore captation déloyale d’informations nominatives. Dans ce cas, ce qui est obtenu grâce au comportement délictueux, ce ne sont pas seulement des “documents”, mais une information exploitable : identité, coordonnées, habitudes d’achat, historique de navigation, données de santé, ou tout autre élément rattaché à une personne physique.
Si l’on suit la logique de l’arrêt du 18 février 2026, il devient difficile d’exclure ces données du champ du recel au seul motif qu’elles sont immatérielles. Bien au contraire : la Cour vient précisément de dire que l’absence de support matériel ne fait pas obstacle à la qualification, dès lors qu’une personne bénéficie sciemment du produit d’un délit.
C’est là que le raisonnement a pari prend tout son sens. Si le recel est admis pour une information confidentielle issue d’un abus de confiance, il doit, par cohérence, pouvoir être admis pour des données personnelles obtenues par un procédé délictueux. Dans les deux cas, il s’agit d’une information ayant de la valeur, obtenue illicitement, puis utilisée par un tiers qui sait ou ne peut ignorer son origine.
La conséquence pratique est majeure : le risque pénal ne pèse plus seulement sur l’auteur de la violation initiale, mais aussi sur celui qui exploite ensuite les données en connaissance de cause.
3. Ce que cela signifie concrètement pour les entreprises et les professionnels
Cette évolution concerne directement les entreprises, les dirigeants, les équipes commerciales, les recruteurs, les responsables marketing et, plus largement, tous ceux qui utilisent des données personnelles dans leur activité.
Prenons quelques exemples simples. Une société récupère un fichier clients transmis par un ancien salarié d’un concurrent. Une agence utilise une base de prospection dont elle sait qu’elle a été constituée sans autorisation. Un prestataire exploite des données nominatives extraites d’un système informatique piraté. Un acteur économique rachète une base de contacts à un prix anormalement bas alors que son origine est manifestement douteuse.
Dans tous ces cas, la question ne se limite plus au RGPD ou à une éventuelle sanction de la CNIL. Le sujet peut aussi devenir pénal. Celui qui réutilise les données n’est pas seulement exposé en raison d’un manquement à la réglementation sur les données personnelles ; il peut aussi être suspecté d’avoir tiré profit du produit d’un délit commis en amont.
Le point décisif sera souvent la connaissance de l’origine frauduleuse. Le recel suppose en effet que la personne sache, ou que les circonstances permettent d’établir qu’elle ne pouvait raisonnablement ignorer, que l’information provient d’une infraction. L’élément intentionnel reste donc central. Mais dans la pratique, certains indices peuvent peser lourd : absence de traçabilité, transmission occulte, prix dérisoire, provenance concurrente, conditions d’obtention floues, ou promesse d’un avantage commercial “exceptionnel”.
Autrement dit, l’excuse consistant à dire “je n’ai fait qu’utiliser le fichier” devient beaucoup moins protectrice dès lors que l’origine illicite des données était connue ou évidente.
4. Vers une nouvelle lecture pénale de la réutilisation illicite des données
Il faut rester mesuré : l’arrêt du 18 février 2026 ne porte pas explicitement sur des données personnelles, mais sur une information confidentielle issue d’un abus de confiance. Pour autant, son importance est considérable, car il fait tomber un verrou conceptuel ancien : l’idée selon laquelle le recel ne pourrait porter que sur une chose matérielle.
Cette évolution est d’autant plus notable qu’une jurisprudence plus ancienne avait pu apparaître plus restrictive à propos de l’information au regard du recel. L’article 321-1, dans sa rédaction actuelle, vise pourtant clairement le fait de bénéficier, par tout moyen, du produit d’un crime ou d’un délit, et la décision de 2026 confirme une lecture large de cette formule.
Dès lors, soutenir que le recel de violation de données personnelles est désormais admis n’a rien d’excessif. Certes, la formule la plus rigoureuse consiste à dire que la voie est désormais ouverte, et même très largement ouverte. Mais, en pratique, le message est clair : celui qui réutilise sciemment des données personnelles obtenues illégalement ne peut plus se réfugier derrière le caractère immatériel de ces données.
Pour les entreprises, cela impose une vigilance renforcée sur l’origine des fichiers, des bases prospects, des listes de contacts et de toute donnée reçue d’un partenaire, d’un salarié, d’un sous-traitant ou d’un apporteur d’affaires. Avant d’exploiter une base, il faut pouvoir répondre à des questions simples : d’où vient-elle ? dans quelles conditions a-t-elle été collectée ? existe-t-il une documentation ? les personnes concernées ont-elles été valablement informées ? la transmission est-elle légitime ?
La conformité n’est donc plus seulement un enjeu réglementaire ou d’image. Elle devient aussi, de plus en plus, un enjeu pénal.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
