Elles sont encadrées par la Loi N°007/PR/2015 portant Protection des Données à Caractère Personnel[1], qui est l’une des plus complètes en Afrique et ayant pour objet la protection des citoyens ainsi que la responsabilisation de toute personne pouvant accéder à leurs données.
Qu’est-ce qu’une donnée personnelle ?
Est qualifiée d’une donnée personnelle, toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique[2].
Il s’agit donc des informations relatives au nom, à l’adresse, au numéro de téléphone ou d’une pièce d’identité, à l’adresse IP (…), communiquées à des responsables de traitement ou sous-traitants (Etat, collectivités locales, personne physique, personne morale de droit public ou privé).
Toutefois, la Loi de 2015 ne se limite pas aux seules données personnelles énoncées ci-dessus. Elle régit également les données dites génétiques (en rapport avec les caractères héréditaires d’une personne) et les données sensibles (opinions ou activités religieuses, politique, syndicale, santé, etc.).
Toutes ces données ne peuvent être traitées que sur consentement indubitable[3] de la personne concernée. L’acteur à qui de telles informations sont communiquées est tenu de les traiter avec la plus grande transparence. C’est dire qu’il doit les utiliser dans un but déterminé en faisant preuve de licéité, de loyauté, d’explicité, de légitimité, d’exactitude, d’adéquation et de pertinence.
Autorisation préalable de l’autorité compétente
Evidemment, les acteurs ayant accès aux données personnelles, sensibles et génétique ne peuvent se permettre (de manière automatisée ou non) de les collecter, stocker, transmettre et/ou traiter, sans l’aval ou l’avis[4] de l’Agence Nationale de Sécurité Informatique et de Certification Electronique (ANSICE)[5], sous peine de sanctions administratives et/ou pénales[6].
Les données en rapport avec la sécurité publique, la défense, la recherche et la poursuite des infractions pénales ou la sûreté de l’Etat peuvent toutefois faire l’objet des dérogations lorsque la législation en dispose. De même, l’accord préalable de l’ANSICE n’est pas requis lorsqu’il s’agit d’une personne physique utilisant des données dans un cadre personnel ou domestique, à condition qu’elles ne soient pas communiquées ou diffusées à des tiers.
Droit des personnes
Toute personne dont les données font l’objet d’un traitement, a pleinement [7] :
- un droit à l’information et ce, que les données aient été recueillies directement ou non, auprès d'elle ;
- un droit d’accès gratuit aux données récoltées, à l’effet de connaitre, contester ou confirmer leurs exactitudes et finalités ;
- un droit d’opposition au traitement des données à caractère personnel lorsqu’il ne résulte pas d’une obligation légale. Cette opposition concerne également la divulgation des données pour la première fois à des tiers (cf. injonction de la Commission Nationale de l'Informatique et des Libertés en Allemagne, à WhatsApp sur ses nouvelles conditions d’utilisation) ;
- un droit de rectification et de suppression permettant de mettre à jour, verrouiller ou supprimer les données. Une telle demande doit-être satisfaite dans un délai d’un mois à compter de sa réception, sous peine de plainte de l’intéressé auprès de l’ANSICE.
Obligations des acteurs
En sus d’une utilisation légitime, licite et loyale, les acteurs traitant des données personnelles sont astreints[8] à :
- un traitement confidentiel et sécurisé en mettant en œuvre les mesures techniques et d’organisation appropriées ;
- une conservation pérenne des données, pendant une durée fixe réglementaire et uniquement pour des fins en vue desquelles elles ont été recueillies, sans que l’évolution de la technologie n’y fasse obstacle ;
- une notification à l’ANSICE, préalablement à la mise en œuvre d’un traitement ou d’un ensemble de traitements ayant une même finalité ou des finalités liées. Cette obligation ne s’applique toutefois pas à certains traitements.
L’utilisation accrue des nouvelles technologies d’information exposent beaucoup d’individus au risque de détournement abusif de leurs données à caractère personnel. Le phénomène de piratage des comptes et profils souvent décrié en est la parfaite illustration. Toutefois, la pratique délictuelle n’a pas échappé à la vigilance du législateur qui, dans sa diligence, a prévu des cadres de protection de ces données avec pour corollaires des mesures coercitives pour leur respect, un tant soit peu, effectif.
Le présent article est une ébauche qui ambitionne attirer la curiosité des utilisateurs des outils numériques en particulier et celle des individus en général sur leur droit à la protection de leurs données personnelles légalement encadré.
RONELNGUE Boris, Juriste d’affaires et étudiant en règlement alternatif de différends
[1] Suivie du Décret d’application N°075/PR/2019 du 21 Janvier 2019 fixant les dispositions d’application de la loi n°007-PR-2015 du 10-fév-2015 portant sur la protection des données à caractère personnel (modifié par le Décret 1619 portant rectification de l’article 5 du décret 075)
[2] Article 5 de la Loi N°007/PR/2015 portant Protection des Données à Caractère Personnel
[3] Exceptions : respect d’une obligation légale ou exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le tiers auquel les données sont communiquées ; exécution d’un contrat ou exécution de mesures précontractuelles auquel la personne concernée est partie ; sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée (Article 7 de la Loi N°007/PR/2015)
[4] Articles 51 à 58 de la Loi N°007/PR/2015
[5] Créée par la Loi N°006/PR/2015, l’ANSICE a pour missions la cybersécurité et la lutte contre la cybercriminalité ; la protection des données à caractère personnel ; les transactions électroniques
[6] Ces sanctions concernent également d'autres violations aux obligations légales et sont prévues par les articles 80 à 90 de la Loi N°007/PR/2015
[7] Articles 35 à 47 de la Loi N°007/PR/2015
[8] Articles 59 à 75 de la Loi N°007/PR/2015
