PREMIERE PARTIE : L’EXAMEN DU CADRE

REGLEMENTAIRE DE LA PROTECTION DES DONNEES A

CARACTERE PERSONNEL AU GABON ET AU SENEGAL

La sécurité des informations ne peut être une réalité que si les règles de protection
sont strictement respectées. C’est pourquoi il est institué, par les différentes lois sur les
données à caractère personnel, un organisme qui, en conformité avec le système juridique
interne à chaque pays, est chargées de Contrôler les dispositions législatives et règlementaires
en la matière. Nous examinerons successivement l’architecture institutionnelle de la
protection des données à caractère (Chapitre 1), puis le fondement de la protection des
données à caractère personnel (Chapitre 2).

CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE LA

PROTECTION DES DONNEES A CARACTERE PERSONNEL DANS
L’ECONOMIE NUMERIQUE

Aux termes des dispositions des textes régissant la protection des données à caractère
personnel dans l’exemple du Sénégal et du Gabon, chaque État Partie au regard du traité de
Malabo, s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel.
Ainsi en application de ces dispositions, l’article 1 paragraphe 1 du Protocole additionnel à la
Convention 108 pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel1, l’article 11 point 1 de la convention de l’Union africaine sur
la cyber-sécurité et la protection des données à caractère personnel 2, l’article 14 point 1 de
l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à

1
« Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures
donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans
le présent Protocole ».

2
« Chaque État Partie s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel »

1
caractère personnel dans l’espace de la CEDEAO, il est recommandé aux Etats de créer une
autorité de protection des DCP.
Connus sous plusieurs appellations3, les autorités nationales de protection ont un statut
particulier (Section 2), exercent des missions très étendues et disposent de larges pouvoirs
coercitifs (Section 1).

SECTION 1 : LES COMMISSIONS DE PROTECTION DES DONNEES

A CARACTERE PERSONNEL.
Au Gabon, la loi n°001/2011 du 25 septembre 2011 prévoit la mise en place d’une
autorité nationale de protection des données à caractère personnel dénommée, Commission
Nationale pour la Protection des données à Caractère personnel (CNPDCP), mise en place
depuis novembre 2012.
Au Sénégal, c’est la Commission Nationale de protection des Données Personnelle qui voit le
jour avec la loi n° 2008 – 12 du 25 janvier 2008.
Les État ayant mis en place des autorités de protection des données devaient accorder à
celles-ci un large mandat tel que spécifié dans les textes internationaux dont ils ont fait la
transposition dans leur corpus juridique national. Ainsi, ces autorités ont été dotées de
diverses missions (Paragraphe 1) et de pouvoirs (Paragraphe 2).

PARAGRAPHE 1 : LES MISSIONS DES AUTORITES PUBLIQUES DE

PROTECTION DES DONNEES A CARACTERE PERSONNELS

Les autorités de protection ont pour mission primordiales de protéger la vie privée et les
libertés individuelles ou publiques. Le président Saïd IHRAÏ résume cette prérogative en
définissant celle de la CNDP créée, selon lui, à la fois « pour faire bénéficier les citoyens et
les résidents au Maroc des atouts qu’offre la révolution numérique et aussi pour les prémunir

3
Les autorités de protection portent les noms suivant : Sénégal- Commission de protection des Données
Personnelles (CDP) ; au Gabon- Commission Nationale pour la protection des Données à Caractère Personnel
(CNPDCP) et bien d’autres.

2
contre les méfaits de cette dernière sur cette vie privée des personnes »4. Dans cette
perspective, ces organismes exercent donc un service public 5 visant à veiller en priorité au
respect de la législation en vigueur (A), à conseiller les différents acteurs et à contrôler des
traitements mis en œuvre (B).

A- LES MISSIONS DE VEILLE EN MATIERE DE PROTECTION

DES DONNEES A CARACTERE PERSONNEL

Le rôle des autorités de protection consiste à contrôler la création et la mise en
œuvre des traitements. De ce fait, elles sont chargées de recevoir et d’instruire les
déclarations et demandes d’autorisations des traitements6.
C’est une mission essentielle de toutes autorités. Dans cet élan, elles doivent veiller à ce que
les traitements des DCP soient mis en œuvre conformément à la législation en vigueur,
notamment en exigeant, sur tous les dossiers, le respect strict des libertés et des droits
fondamentaux des personnes.
Ce travail se traduit en pratique par l’instruction des dossiers sous l’angle juridique et
technique.
Apres examen et validation des dossiers, les organismes de protection délivrent des
autorisations obligatoires pour la mise en œuvre des traitements envisagés ou pour leur
régularisation7.
L’autorisation accordée aux responsables de traitement se traduit par la délivrance d’un
récépissé de déclaration ou d’une déclaration portant autorisation.
La délibération doit mentionner le rappel des faits, l’analyse de conformité aux principes de
protection, la décision et les motifs. Le récépissé relatif aux déclarations comporte
uniquement la décision et les motifs.
En vue de faciliter la compréhension des contraintes légales relatives au traitement des DCP,
certaines autorités de protections ont mis en place des procédures de validation des codes de
conduites.
A ce titre, si l’on s’en réfère de manière comparative & un autre Etat Ouest Africain comme
la Cote d’Ivoire le législateur considère le code de conduite comme une «charte d’utilisation

4
Entretien avec M. Saïd IHRAÏ président de la CNDP du Maroc « il faut prendre conscience qu’internet n’est
pas un espace neutre », le matin.com, 18 Septembre 2013.
5
Voir art.20 de la loi n°2009-09 du 22 mai 2009.
6
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon
7
Il peut arriver qu’une autorité délivre des autorisations portant régularisation notamment des traitements
mis en œuvre avant son installation.

3
élaborée par le responsable de traitement afin d’instaurer un usage correct des ressources
informatiques, de l’internet et des communications électroniques de la structure concernée et
homologuée par l’autorité de protection »8. C’est une pratique à encourager car elle facilite
l’appropriation des exigences légales avant, pendant et après le traitement sur les données
personnelles.
Hormis, sa mission de veille, l’autorité de protection fournit également des conseils et des
contrôles à tous les intervenants dans le processus de protection des données à caractère
personnel.

B- LES MISSIONS DE CONSEILS ET CONTROLE EN MATIERE

DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL
La mission de sensibilisation, très capitale, se décline sous plusieurs formes telles que la
mise en d’un site Internet, la diffusion de guides adaptés aux besoins des secteurs d’activités,
l’organisation et la participation à des séminaires, salons, colloques ou conférences.
Les autorités de protection mettent également é la disposition du public des délibérations
portant sur un type de traitement particulier9 ou sur des modèles de formulaires ainsi que la
liste des traitements de donnée autorisés10.

De plus, les conseils des autorités de protection s’adressent en priorité aux personnes
physiques et aux personnes morales. Cette mission reprise dans plusieurs législations est
consacrée par l’article 33 de la loi du Gabon selon lequel « les autorités de protection
conseillent les personnes et organisations qui mettent en œuvre ou envisagent de mettre en
œuvre des traitements automatisés des données à caractère personnel ». Il s’agit de conseils
d’ordre général propres à renforcer le contrôle et la sécurité des traitements envisagés.

Dans la législation Gabonaise, l’autorité de protection peut être associée, à la demande du

Premier Ministre, à la préparation et à définition de sa position dans les négociations
internationales dans le domaine de la protection des DCP, en participant à la représentation
du pays dans les organisations internationales communautaires compétentes en ce domaine.

8
Art. 1er de la loi n° 2013-450 du 19 juin 2013 de la Cote d’Ivoire.
9
Délibération n°2016-00238/CDP du Sénégal du 11 novembre 2016 sur des vidéosurveillances ; délibération
n°2014-20/CDP du Sénégal du 30 mai 2014 sur le marketing politique.
10
Avis, autorisations, déclarations, recommandations …

4
 Egalement, la CDP effectue des contrôle et vérifications telles que prévues à l’article
25 de la loi 2008-12 du 25 janvier 2008 au Sénégal 11. Les commissions disposent de d’un
pouvoir de contrôle l’autorisant à accéder aux systèmes d’information du responsable de
traitement. Les opérations de contrôle se déroulent dans les locaux des responsables de
traitement parfois assisté de coopération internationales à cause de l’extra- territorialité des
TIC.
Dans la pratique, une fois que la décision de procéder à un contrôle adopté par délibération,
les agents de la commission, assistés par des agents assermentés d’autres départements
ministériels, par des experts ou par toute personne dument habilitée procèdent aux
vérifications.
Un contrôle peut être déclenché après réception d’une déclaration, d’une simple demande
émanant d’une personne, d’une demande d’accès indirect refusée ou d’une plainte. Il peut
également être effectué spontanément, suite à la constatation de manquements à la législation.
Il peut aussi être effectué dans le cadre d’actions proactives et préventives ciblées menées par
l’autorité. Il est dressé contradictoirement un PV des vérifications. Le contrôle s’exerce dans
le respect des procédures contradictoires et du respect des droits de la défense.
Aussi, aucun secret professionnel ne peut être opposé à l’autorité de protection dans
l’exercice de sa mission de contrôle.
En dehors de ces missions, certes fondamentales, les autorités de protection disposent
également de prérogatives pour faire face à tout manquement à la législation.

PARAGRAPHE 2 : LES POUVOIRS DES AUTORITES DE

PROTECTION DES DONNEES A CARACTERE PERSONNELS
Les autorités de contrôle disposent de larges pouvoirs, notamment un pouvoir
règlementaire (A) et de sanction (B).

11
Article 25.
« Les membres de la Commission des Données Personnelles ainsi que les agents de service assermentés ont
accès, dans les conditions prévues par l’article 45 et suivants du Code de
Procédure Pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations »

5
 A- LES POUVOIRS REGLEMENTAIRES DES AUTORITES EN
MATIERE DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL
Pour l’accomplissement de ses missions l’autorité de protection est habilitée à prendre
des décisions d’ordre règlementaire12. Cette possibilité accorde au président de la commission
un pouvoir réglementaire et à cet effet, il peut prendre des décisions et d’autres catégories
d’actes règlementaires.

Ce dernier est à concilier avec le pouvoir d’investigation des autorités de protection. Les
autorités de protection disposent d’un pouvoir leur permettent de procéder, sur place, sur
convocation ou sur pièces, à des investigations pour vérifier la conformité d’u traitement à la
législation.
Ce pouvoir est prévu par tous les textes de lois en la matière. Dans le cadre de l’instruction
d’un dossier, l’autorité de protection peut recueillir tout renseignement utile, demander
communication de tout document nécessaire à l’accomplissement de sa mission.
Les informations complémentaires à fournir portent le plus souvent sur la finalité de la
requête, l’existence éventuelle d’autres intervenants dans le traitement, les catégories de
données, le lieu stockage de données, les textes législatifs et/ ou règlementaire fixant la durée
de conservation, les modalités d’exercice des droits des personnes et les mesures de sécurité
prises.
A l’issue de l’instruction, la commission peut obliger le responsable du traitement à rectifier
des données incorrectes ou collectées de manière illégale de les effacer ou de les détruire
d’office, ou si l’individu n’est pas en mesure d’obtenir les mêmes résultats, en agissant lui-
même.
Elle peut également formuler des recommandations pour faire cesser des pratiques contraires
à la loi.
En complément des pouvoirs réglementaire et d’instruction, les autorités de protection
disposent d’un pouvoir de sanction très dissuasive.

B- LES POUVOIRS DE SANCTION DES AUTORITES EN

MATIERE DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL

12
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon.

6
 Les traitements des données à caractère personnel obéissent à des formalités strictes
dont le non-respect est sanctionné par les autorités compétentes, notamment les organismes
de protection et le juge judiciaire.
La sanction peut être d’ordre administratif13 ou pécuniaire. Les sanctions que les autorités de
protection sont amenées à prendre sont graduelles.

Les sanctions administratives applicables peuvent prendre la forme d’un avertissement 14,
d’une mise en demeure15 ou d’une injonction16 en vue de faire cesser les manquements
constatés, d’une interdiction de mettre en œuvre un traitement ou d’une décision de retrait de
l’autorisation accordée.

Les autorités de protection peuvent prononcer des sanctions pécuniaires à l’égard des
responsables de traitement DCP pouvant aller d’un (1) million à cent (100) millions de Franc
CFA17.

La responsabilité civile du responsable de traitement peut être engagée en raison du préjudice

direct et personnel subit par la personnel victime se ses négligences. De plus, les sanctions
pénales sont prévues par l’article 33 de l’Acte additionnel de la CEDEAO, lequel donne
compétence au juge répressif de pouvoir connaitre du contentieux sur les données

13
Art. 20 de l’Acte additionnel de 2010 adopté par la CEDEAO : « si le responsable du traitement ne se
conforme pas à la mise en demeure qui lui a été adressée, l’autorité de protection peut prononcer à son égard,
après procédure contradictoire (…) un retrait provisoire de l’autorisation accordée, un retrait définitif de
l’autorisation ou une amende pécuniaire » ; Art 12-3 et suivant de la convention africaine sur la cybersécurité
et la protection des données à caractère personnel.
14
C’est un rappel à l’ordre destiné à inviter le responsable du traitement à respecter la règlementation en
vigueur, il peut être rendu public à titre d’exemple la CDP Sénégal a prononcé plusieurs avertissements :
Délibération n°2014-018/CDP du Sénégal du 30 avril 2014, société AK-Project ; Délibération n°2014-019/CDP
du Sénégal du 30 avril 2014, société CEGINUS ; Délibération n°2014-015/CDP du Sénégal du 3 avril 2014,
EXPRESSO Sénégal SA.
15
« Un avertissement peut s’accompagner d’une mise en demeure. Le plus souvent elle prévoit de faire cesser le
manquement constaté dans un délai déterminé. Ce délai tiendra compte de la gravité du manquement, de
l’urgence et du temps nécessaire pour la régularisation de la situation (...) la mise en demeure de faire cesser
un manquement n’est pas subordonnée à l’existence préalable d’un avertissement. En cas d’urgence, une mise
en demeure peut être prononcée d’office » Explique le Docteur Mouhamadou LO dans la protection des
données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017 p. 182-183.
16
Les mesures portant cessation d’un traitement ou retrait d’une autorisation ou d’un récépissé, prévues par
quelques les commission de protection, ne sont prises qu’après une mise en demeure infructueuse voir
délibération n°2016-302/CDP du Sénégal du 19 février 2016, société ABDXMEDIA- dans cette affaire la CDP
reprochait au responsable du traitement la collecte déloyale des données personnelles à partir de recherches
d’adresses sur les pages web et réseaux sociaux, l’absence d’information préalables des personnes concernées
et l’envoi de courriers électroniques de prospection commerciale sans autorisation.
17
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.

7
personnelles. La saisine du juge pénal est ouverte aussi bien à la commission de protection
qu’aux personnes dont les données font l’objet de traitement. Elle peut être également
d’office.
Pour ce qui est de l’action de la personne concernée, celle-ci dispose d’un recours
juridictionnel. Le juge étant considéré comme le « protecteur naturel des droits » des
individus, l’intervention d’une autorité de protection ne doit pas faire obstacle à la possibilité
pour tout individu, d’exercer un recours juridictionnel. Les victimes des agissements d’un
responsable de traitement peuvent donc saisir les juridictions répressives à faire condamner à
des peines d’amendes et ou de peines d’emprisonnements18

SECTION 2 : LE STATUT DE L’AUTORITE ADMINISTRATIVE DE

PROTECTION DES DONNEES A CARACTERE PERSONNEL
La création d’une autorité de protection représente une grande avancée dans le
processus de protection de la vie privée des citoyens. Toutefois, ces instances diffèrent selon
leur degré d’autonomie vis-à-vis du pouvoir en place dans les différent Etats en tant
qu’autorité administrative indépendante (Paragraphe 1), et leur composition hybride
(Paragraphe 2).

PARAGRAPHE 1 : L’INDEPENDANCE DES ORGANISMES DE

PROTECTION
L’indépendance est la clé de voute des autorités de protection. Pour remplir de
manière effective leur mission, ces instances sont qualifiées d’autorités administratives
indépendantes19. L’indépendance est garantie lorsque plusieurs critères cumulatifs sont
constatés, notamment le mode de désignation des membres 20, la fixation de la durée des

18
Emprisonnement allant de 1 an à 5ans et une amende de 500.000 à 10.000.000. Au Sénégal AJOUTE LA LOI
ET LARTICLE
19
Voir la loi n°001/2011 du 25 septembre 2011 du Gabon ; art 11.1.B de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel.
20
En Afrique ; le mode de désignation des membres fait intervenir le plus souvent les plus hautes autorités du
pays (CDP Sénégal- Décret du Président de le République ; CNPDCP Gabon- Décret pris en Conseil de
Ministres).

8
mandats21, le respect du principe d’inamovibilité 22, l’immunité des membres23, l’obligation de
prêter serment24, l’autonomie financière (A) et l’autonomie administrative (B).

A- L’AUTONOMIE FINANCIERE DES AUTORITES DE

PROTECTION
Toute autorité de protection doit disposer de moyens suffisants pour exercer ses
missions25. Ses crédits sont inscrits le plus souvent au budget de l’Etat. Toutefois, le
rattachement des budgets varie d’un pays à un autre 26. Le Président de l’institution est
l’ordonnateur des recettes et des dépenses. Pour renforcer l’indépendance de ces instances de
régulation, les mécanismes de financement, hors budget, sont encadrés. Certains législateurs
interdisent aux autorités de protection de recevoir des financements d’un individu, d’un
organisme ou d’un Etat étranger que par l’intermédiaire des structures de compétences de
coopération. C’est l’exemple du Sénégal27 et du Gabon28.

B- L’AUTONOMIE ADMINISTRATIVE DES INSTANCES

CHARGEES DE LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL
Les autorités de protection ne reçoivent ni d’injonction, ni d’instruction, directement
ou par l’intermédiaire de ses membres, d’aucune autorité. Cette autonomie est prévue dans la
grande majorité des pays Africains29. Pour renforcer ce principe, l’article 38 de la loi n°010-
2001/AN portant protection des données à caractère personnel du Burkina Faso précise que «
les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables
de groupements divers et plus généralement les détenteurs ou utilisateurs des fichiers
21
4 ans au Sénégal et 5ans au Gabon renouvelables une fois.
22
Voir art. 25 al. 3 de la loi n°001/2011 du 25 septembre 2011 du Gabon
23
« Les membres des autorités de protection jouissent d’une immunité pour les opinions émises dans
l’exercice de leurs fonctions. Outre la consécration de ce principe par la plupart des pays, la convention
africaine sur la cybercriminalité et la protection des données à caractère personnel en son article 11-7 le
prévoit expressément en parlant d’une immunité totale » ; Explique le Docteur Mouhamadou LO dans la
protection des données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017
p.149-150.
24
Les membres des autorités de protection, avant leur entrée en fonction, prêtent serment devant une
instance judiciaire (au Gabon c’est le tribunal de 1ere instance de Libreville).
25
L’article 8 de la loi 2008-12 du 25 janvier 2008 au Sénégal ; art.28 de la loi n°001/2011 du 25 septembre 2011
du Gabon.
26
Décret n°2012-1223 du 5 novembre 2012 portant répartition des services de l’Etat du Sénégal.
27
Art. 15 de la loi de 2008
28
Art. 41 de la loi de 2011
29
Art. 29 al 1er de la loi de 2011 Gabon

9
nominatifs doivent prendre toutes mesures utiles afin de faciliter la tâche de la Commission
de l’informatique des libertés. Ils ne peuvent s’opposer à son action pour quelque motifs que
ce soit ». Cette même disposition est présente également dans la loi du Gabon en son article
29 alinéa 2.
L’organisation souple des autorités de protection est aussi caractérisée par le
personnel très réduit au sein de ces instances.

PARAGRAPHE 2 : LA COMPOSITION DES AUTORITES DE

PROTECTION
La composition des autorités dépend des Etats et des moyens mis à disposition. Les
critères de recrutement (A) varient également selon les législations. Une telle institution
requiert un personnel qualifié (B).

A- LES CRITERES DE NOMINATION DES MEMBRES

Certains législateurs exigent que les membres des autorités de protection possèdent « des
compétences techniques, juridiques, économiques, financières, ainsi qu’une expertise dans le
domaine de la protection des droits des technologies de l’information et de la
communication »30. La composition des autorités de protection varie d’un pays à un autre :

Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont désignés
comme suit : trois personnalités désignées par le Président de la République, dont le Président
de la Commission ; un Magistrat membre du Conseil d'Etat désigné sur proposition du
Président du Conseil d'Etat ; un Magistrat membre de la Cour de Cassation désigné sur
proposition du Premier Président de la Cour de Cassation ; un Avocat désigné par l'Ordre des
Avocats ; un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie de
l'information et de la communication désigné par le Ministre en charge de l'Economie
Numérique .

S’agissant des Commissaires Non Permanents, ils sont désignés comme suit : un (1) député
désigné par le Président de l’Assemblée Nationale ; un (1) sénateur désigné par le Président
30
Art. 16 de la loi de 2011 Gabon

10
du Sénat ; un (1) Commissaire du Gouvernement désigné par le Premier Ministre ; un (1)
représentant du Patronat gabonais désigné par ses pairs.31

Au Sénégal, il est fait état de 11 onze membres repartis comme suite : trois personnalités
désignées par le Président de la République ; un (1) député désigné par le Président de
l’Assemblée Nationale ; un (1) sénateur désigné par le Président du Sénat ; un (1)
représentant du Patronat gabonais désigné par ses pairs ; un Magistrat membre du Conseil
d'Etat désigné sur proposition du Président du Conseil d'Etat ; un Magistrat membre de la
Cour de Cassation désigné sur proposition du Premier Président de la Cour de Cassation ; un
Avocat désigné par le Bâtonnier de l'Ordre des Avocats du Sénégal ; un représentant des
organisations de défense des droits de l’homme désigné par le Ministre de la Justice ; le
Directeur de l’Agence de l’Informatique de l’Etat32.

B- LE PERSONNEL DES AUTORITES DE PROTECTION

Les autorités de protection disposent d’un personnel pourvu par l’Etat et peuvent
recruter des agents conformément à la législation du code du travail 33. Ce personnel est
reparti le plus souvent dans les services administratifs, juridiques, techniques et de contrôle.
Vue la charge du travail, la plupart des autorités de protection fonctionnent avec un
Secrétariat général qui assure l’administration de l’instance 34. Il est nommé par décret au
Gabon ou directement par le président de l’autorité au Sénégal.
CHAPITRE 2 : LE FONDEMENT DE LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL DANS L’ECONOMIE
NUMERIQUE
La règlementation sur les données à caractère personnel fixe des normes applicables à
un territoire déterminé. Il relève alors d’une grande importance de démontrer comment
identifier les données qui entrent dans le champ de la protection, celles qui en sont excluent
(Section 1) et d’analyser l’objectif de la protection de ces données (Section 2).

31
Art 17 et suivant de la loi de 2011 Gabon
32
Art .6 de la loi 2012-12 du 25 janvier 2012 au Sénégal
33
Art. 36 de la loi de 2011 Gabon
34
Art. 37 de la loi de 2011 Gabon

11
SECTION 1: L’IDENTIFICATION DES DONNEES PROTEGEABLES
ET NON PROTEGEABLES PAR LA REGLEMENTATION

Le droit à la protection des données à caractère personnel est un droit autonome avec
un champ d’application bien déterminé. Il relève alors d’une grande importance de démontrer
comment identifier les données qui entrent dans le champ de la protection (Paragraphe 1) et
celles qui en sont excluent (Paragraphe 2).

PARAGRAPHE 1: LES CARACTERES DES DONNEES

PROTEGEABLES
Le vocabulaire utilisé dans la réglementation portant sur les DCP est différent d’un
pays à un autre. Ainsi, il convient d’examiner ce que l’on entend par DCP (A) et par données
sensibles (B).

A- LA DETERMINATION DES DONNEES DITES A CARACTERE

PERSONNEL :

Toute information relative à une personne physique identifiée ou identifiable

directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs
éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle,
sociale ou économique35,est considérée comme donnée à caractère personnel.

Il est communément admis de définir une donnée à caractère personnel comme « toute
information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification ou à un ou
plusieurs éléments qui lui sont propres »36.

Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une
appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait.

35
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 7 de la loi n°1/2011 du 25
septembre 2011 relative à la protection des données à caractère personnel au Gabon.
36
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, France

12
Ainsi, si l’identification37 ou «l’identifiabilité » des personnes concernées par les données est
au cœur de la définition de la notion de données à caractère personnel 38, certains spécialistes
de la matière ont considéré que cette identification ou cette identifiabilité était insuffisante et
de proposer la « contactabilité » comme critère de définition de la notion de
données à caractère personnel39. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »40.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme des
identifiants, des données biométriques, un numéro de carte bancaire ou des données de
localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus
pratiques et simples de la définition de la notion de données à caractère personnel, nous
citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les
erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle41.

B-LE PARTICULARISME DES DONNEES SENSIBLES

Parmi la catégorie des DCP, certaines sont qualifiées de données dites sensibles. Leur
traitement est particulier et fait l’objet d’une protection juridique renforcée. Ainsi, «toutes les
données à caractère personnel relatives aux opinions ou activités religieuse, philosophique,
politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux
37
« Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les aspects techniques
de la régulation des données personnelles : la question du numéro IP, in La régulation des données
personnelles, LEGICOM, n° 42 – 2009/1, p. 128

38
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005. L’identification est
présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les données et informations à
caractère personnel. Essai sur la notion et ses fonctions, Thèse de doctorat en droit, Université de Nantes, 14
décembre 2007
39
La contactabilité comme nouveau critère de définition de la notion de données à caractère personnel et
d’application de la loi vaudrait chaque fois que « des données permettent ou non de contacter un individu,
d’influencer son comportement ou de prendre une décision vis-à-vis de lui" peu importe que ces données
permettent ou non l’identification des personnes. (Y. Poullet, A. Rouvroy, D. Darquennes, Le droit à la
rencontre des technologies de l’information et de communication : le cas du RFID, in Cahiers Droit, Sciences &
Technologies, n° 1, avril 2008, CNRS Editions, pp. 129-130). Moins qu’une focalisation sur des données
permettant d’identifier les personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-
à-vis de certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième génération de
réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
40
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche
scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à
l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction
41
Voir annexe

13
 42
poursuites, aux sanctions pénales ou administratives » sont considérées comme données
sensibles.43
La notion de données de santé suscitant beaucoup de débats, le législateur européen a
profité de ce texte pour en donner une définition, ainsi que des données génétiques et
biométriques :
« Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires
ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie
ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un
échantillon biologique de la personne physique en question » Données génétiques ;

« Les données à caractère personnel résultant d’un traitement technique spécifique,

relatives aux caractéristiques physiques, physiologiques ou comportementales d’une
personne physique, qui permettent ou confirment son identification unique, telles que des
images faciales ou des données dactyloscopiques » Données biométriques ;

« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne
physique, y compris la prestation de services de soins de santé, qui révèlent des informations
sur l’état de santé de cette personne » Données concernant la santé.

PARAGRAPHE 2 : LES DONNEES NON PROTEGEABLES.

Une base de données peut également contenir des données brutes 44 c’est-à-dire des
données qui ne remplissent pas les conditions fixées par la commission de protection, il s’agit

42
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 9 de la loi n°001/2011 du
25 septembre 2011 relative à la protection des données à caractère personnel au Gabon ;
43
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère personnel :Le
traitement des données sensibles (appelées « catégories particulières »), qui révèlent l’origine raciale ou
ethnique, la religion, les opinions politiques, syndicales ou religieuses, la génétique, la biométrie, la santé ou la
sexualité, est interdit, sauf si :• la personne concernée a donné son consentement ou a déjà rendu ces
données publiques, ou si• le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou
si• le traitement est effectué par une association ou un organisme syndical, religieux, politique, etc., pour la
gestion de ses membres et de ses contacts, ou si• le traitement est nécessaire à l’exercice de droits en matière
de droit du travail ou de protection sociale, et autorisé par une mesure légale ou conventionnelle, ou si• le
traitement est nécessaire à l’exercice de droits en justice, ou pour des motifs d’intérêt public, ou si• le
traitement est nécessaire à la médecine préventive ou aux soins et traitements de santé, ou si• le traitement
est nécessaire à des fins d’archivage d’intérêt public ou à des fins historiques, statistiques ou scientifiques
44
https://www.app.asso.fr/centre-information/base-de-connaissances/code-bases-de-donnees/le-regime-de-
protection-des-donnees/do

14
des données anonymisées ou pseudonymisées (A) mais il existe des exceptions d’usage
privée (B).

A- LES DONNEES ANONYMISEES OU PSEUDONYMISEES

Les données anonymisées sont exclues du champ d’application de la réglementation. Il
s’agit de données ne concernant pas une personne physique ou de données personnelles ayant
été rendues anonyme de manière irréversible, c’est-à-dire via un processus permettant de
garantir que la personne concernée ne pourra pas être identifiée à nouveau.
Cette catégorie de donnée doit être distinguée des données pseudonymisées. Celles-
ci restent qualifiées de données à caractère personnel car elles restent attachées à la
personne concernée à l’aide d’un identifiant. Les données sont dites pseudonymes
lorsqu’elles ne peuvent « plus être attribuées à une personne concernée précise sans
avoir recours à des informations supplémentaires ». Ces données supplémentaires
doivent, en outre, être « conservées séparément et soumises à des mesures techniques et
organisationnelles » afin de garantir qu’une information ne soit pas attribuée à une
personne physique. L’utilisation de données pseudonymes permet cependant de réduire
le risque pour les personnes concernées. En effet, en cas de perte ou de vol, l’identité de
l’individu n’est pas directement exposée. Il est nécessaire de disposer de la table reliant
les identifiants à l’identité des individus.

B- L’EXCEPTION D’USAGE PRIVEE

Les activités purement personnelles ou domestiques sont exclues du champ d’application

de la réglementation. Les activités quotidiennes peuvent justifier de collecter des données
personnelles (par exemple la tenue d’un fichier d’adresses, ou d’une liste de contacts,
l’utilisation de réseaux sociaux, etc.). Pour autant, si ce traitement est utilisé à des fins
uniquement personnelles et « sans lien avec une activité professionnelle ou commerciale », il
n’est pas soumis au respect du RGPD. À noter cependant que les responsables du traitement
et les sous-traitants proposant des outils ou des solutions technologiques pour procéder à ces
traitements doivent respecter le RGPD. Ainsi, le fabricant d’un bracelet électronique utilisé à

15
des fins purement personnelles par ses utilisateurs sera tenu de mettre en œuvre le principe de
Privacy by design et Privacy by default45.

SECTION 2: L’OBJECTIF DE LA PROTECTION DES DONNEES A

CARACTERE PERSONNEL

Pour être admissible, tout traitement de données à caractère personnel doit répondre à
un certain nombre d'exigences de fond. Vous devez donc respecter les principes suivants
lorsque vous êtes amenés à traiter des données à caractère personnel:

Pour envisager sereinement la mise en conformité d’un traitement de données personnelles

avec le Règlement européen relatif à la protection des données (RGPD), il faut connaître les
grands principes prévus par le texte.

Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données. Le RGPD
consolide donc les droits existants comme le droit à l’information et crée parallèlement de
nouveaux droits notamment le droit à la portabilité, à l’oubli et à la limitation du traitement. Il
reste important d’analyser les principes de sécurité (Paragraphe 1) et de

confidentialité (Paragraphe 2).

PARAGRAPHE 1 : LA SECURISATION ET LE RESPECT ET LE

RESPECT DE LA CONFIDENTIALITE DES INFORMATIONS
TRANSMISES PAR LES MOYENS NUMERIQUE

L’auteur de manipulation ou traitement d’un fichier contenant des informations

personnelles doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit
en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.

45
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche de
l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le concept de “Privacy
by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles
applications technologiques et commerciales dès leur conception

16
Le responsable des traitements de données doit s'assurer que les données sont sécurisées et
que des tiers non autorisés n'y aient pas accès ; cette obligation s'étend en cas de sous-
traitance de l’utilisation des données.

La décision de collecter les données personnelles crée des obligations pour celui qui en a
pris la décision. C’est pourquoi, les renseignements sur les données à caractère personnel
imposent aux maitres des traitements une obligation de confidentialité (B) et de sécurité (A).

A- LA SECURISATION DES DONNEES ET

INFORMATIONS NUMERIQUES
Le recours à la technologie explique la nécessité de garantir une sécurité identique
dans le monde matériel et sur les réseaux numériques. A cet effet, toute personne qui
effectue, personnellement ou par une tierce personne, le traitement de données à
caractère personnel, est tenu à l’égard des personnes concernées de prendre toutes
précautions nécessaires pour assurer leur sécurité et empêcher les tiers de procéder à
leur modification, à leur altération ou à leur consultation sans autorisation46.

Cette obligation se traduit donc par la nécessité de mettre en œuvre des mesures de
sécurité physique (verrous aux portes, coffre-fort…) et des mesures de sécurité logique
(gestion des habilitations, contrôle des accès, cryptage des données,…). Les
précautions, prévues par les différentes législations, doivent garantir un niveau de sécurité.

Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement, celui-ci
doit choisir un sous-traitant qui apporte des garanties suffisantes en matière de confidentialité
et de sécurité47.

Toutefois, cette exigence n’exonère pas le responsable du traitement de son obligation de

veiller au respect de ces mesures. Le sous-traitant ne peut agir que sur instruction du
responsable de traitement48.

46
Art. 66 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; art 21 de la convention africaine sur la cybersécurité et la protection des données à
caractère personnel.
47
Art. 64, 65 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ;
48
Article 70 de la loi n°2008-12 du 25 janvier 2008 du Sénégal.

17
Donner en exemple en matière de contrat électronique les informations données pour
entre cyber conso et cyber marchand

B-LE PRINCIPE DE RESPECT DE CONFIDENTIALITE DES

DONNEES NUMERIQUES

Le traitement des données à caractère personnel est confidentiel. A cet effet, selon
Oumarou Ag Mouhamed Ibrahim Haidara, président de l’APDP, « le recours aux outils
technologiques qui nécessite l’agrégation des données personnelles entraine certaines
dérives, notamment en ce qui concerne leur confidentialité »49. Cette exigence est présente
donc de manière quasi similaire dans le droit de plusieurs pays50.

La réponse à cette préoccupation est « tout responsable du traitement doit mettre en

œuvre les mesures techniques et organisationnelles appropriées pour protéger les données
collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la
diffusion ou l’accès, notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement illicite »

Par ailleurs, l’obligation de confidentialité exige un engagement écrit et signé. A titre

d’exemple, chaque responsable de traitement doit prévoir des dispositions relatives à la
règlementation sur les données personnelles dans les contrats avec ses partenaires.
L’obligation de confidentialité, s’imposant aux responsables du traitement et aux sous-
traitants, est intimement liée à l’obligation de sécurité.

Donnes un exemples par rapport au commerce électroniques avec les sites de vente en
ligne qui ne doivent pas dévoiler a d’autres les renseignelents sur les clients

Donnes des noms de sites et développes l’idée

49
Journal « l’essor » du 11/03/2016 : lancement des activités de l’APDP Mali.
50
Art. 38 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; art. 13 de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel

18
PARAGRAPHE 2 : LE RESPECT DES DROITS DES PERSONNES
INTERVENANT DANS LES TRANSACTION ELECTRONIQUES

En cas de rectification ou d’effacement des données ou de limitation du traitement, le

responsable du traitement doit notifier l’information à chaque destinataire des données « à
moins qu’une telle communication se révèle impossible ou exige des efforts
disproportionnés ».

Les personnes doivent être informées de l'existence du traitement de leur données et ces
mêmes personnes ont le droit d'accéder, de modifier ou supprimer ces données ; enfin, il est
possible de s'opposer à l'utilisation de ces données pour de la prospection commerciale. Les
données à caractère personnel doivent être traitées de manière licite, loyale et transparente au
regard de la personne concernée.

La collecte, l’enregistrement, l’utilisation et la transmission de données personnelles doivent

se faire en conformité au règlement, de bonne foi, et non pas à l’insu de la personne
concernée.

Les droits reconnus par les différentes législations aux personnes dont les données à
caractère personnel font l’objet d’un traitement constituent le fondement même de la
protection desdites données. Il s’agit du droit à l’information, du droit d’accès (A) mais,
également d’opposition de rectification et de suppression (B).

A- LE DROIT A L’INFORMATION ET LE DROIT D’ACCES

Le droit à l’information est le premier droit des personnes concernées et l’un des plus
importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits par leur
titulaire. Si la personne concernée ignore qu’une entreprise traite ses données, elle ne sera pas
en mesure de demander l’accès à ces informations, leur rectification ou de s’opposer au
traitement. L’article 1351 fixe la liste52 des informations à communiquer à la personne
concernée.

51
Article 13 EU RGPD
"Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne
concernée
52
Article 58 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; Art. 59 de la loi n°001/2011 du 25 septembre
2011 relative à la protection des données à caractère personnel au Gabon

19
Le responsable du traitement doit mentionner : son identité et ses coordonnées ainsi que le
cas échéant celles du DPO53; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être précisé) ; les
destinataires des données ; le cas échéant, l’existence d’un transfert et les garanties mises en
place pour permettre ce transfert ; la durée de conservation des données (ou les critères
utilisés pour déterminer cette durée) ; les droits des personnes concernées (accès,
rectification, droit de retirer son consentement, etc.),

Dans le cadre de la RGPD il est institué un droit de réclamation auprès de la CNIL ;

L’article 14 de la RGPD est dédié aux informations à communiquer en cas de collecte

indirecte, c’est-à-dire dans l’hypothèse où les données ne sont pas fournies directement par la
personne mais par un tiers. Ces deux listes sont pratiquement identiques, il faut
cependant préciser, en cas de collecte indirecte, les catégories de données et la source des
données.

54
Au vu du volume d’information à transmettre, le CEPD ( sigles et abréviations) précise,
dans ses lignes directrices sur la transparence, que l’information peut être délivrée « en
couches ». Ce dispositif permet d’afficher, en bas de page ou sur un formulaire de collecte en
ligne, une mention d’information plus courte avec des liens renvoyant à l’intégralité de la
mention. Ces informations pourront également « être fournies accompagnées d’icônes
normalisées » afin d’accroître leur lisibilité. C’est la Commission européenne qui est chargée
d’adopter ces icônes par actes délégués.

Le droit d’accès (peut être direct ou indirect) est défini comme le droit reconnu à toute
personne physique, tout héritier ou tout tuteur, justifiant de son identité, d’interroger le
responsable d’un traitement de DCP en vue d’obtenir la communication, sous une forme
accessible intelligible ou compréhensible, des informations qui la concernent.

Concrètement, l’exercice du droit d’accès permet à la personne concernée de disposer

d’information sur le traitement de ses données, notamment la finalité, la catégorie des

53
Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne
chargée de la protection des données au sein d'une organisation.
54
Est une autorité de contrôle indépendante qui a pour mission première d’assurer que les institutions et
organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des
données à caractère personnel et élaborent de nouvelles politiques.

20
données traitées, les destinataires ou les transferts éventuels envisagés à destination d’un pays
tiers55.

B- LES DROITS D’OPPOSITION, DE RECTIFICATION ET DE

SUPPRESSION DES INFORMATIONS DANS LES TRANSACTIONS
ELECTRONIQUES

Le droit d’opposition est une mesure permettant aux individus de protéger eux-mêmes
leurs données. Ce principe signifie que « toute personnes physiques a le droit de s’opposer,
pour des motifs légitimes, valables et sérieuses à ce que des données à caractère personnel la
concernât fassent l’objet d’un traitement ».

En pratique ce droit s’exerce au moment de la collecte d’information ou, au plus tard, en

envoyant un courrier au responsable du fichier. Elle peut donc s’opposer au traitement de ses
données.

L’opposition est de droit en matière de prospection commerciale. Cependant les traitements

donnant lieu à l’exercice de ce droit à ceux : reposant sur l’exécution d’une mission d’intérêt
public ou relevant de l’intérêt public dont est investi le responsable du traitement ;
nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par
un tiers sont limités.

Le droit de rectification et de suppression quant à lui, peut être exigé, par toute personne
physique justifiant de son identité au responsable d’un traitement que soient, selon les cas,
rectifiées, complétées, mises à jour, verrouillées ou supprimées, les données à caractère
personnel la concernant, qui sont inexactes, incomplètes, équivoques, primées, ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite 56.

La personne concernée a le droit d’interroger le responsable du traitement pour savoir s’il

traite des données la concernant et d’obtenir une copie de ces informations. Cette
communication doit être accompagnée d’une liste de mention. Elle doit être faite dans des

55
; Art. 7 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
56
; Art. 14 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; Article 69 de la loi n°2008-12 du 25 janvier 2008 du Sénégal

21
termes clairs et simples, ainsi les codes sous lesquels l’information peut être stockée devront
donc être traduits.

22