Académique Documents
Professionnel Documents
Culture Documents
La sécurité des informations ne peut être une réalité que si les règles de protection
sont strictement respectées. C’est pourquoi il est institué, par les différentes lois sur les
données à caractère personnel, un organisme qui, en conformité avec le système juridique
interne à chaque pays, est chargées de Contrôler les dispositions législatives et règlementaires
en la matière. Nous examinerons successivement l’architecture institutionnelle de la
protection des données à caractère (Chapitre 1), puis le fondement de la protection des
données à caractère personnel (Chapitre 2).
Aux termes des dispositions des textes régissant la protection des données à caractère
personnel dans l’exemple du Sénégal et du Gabon, chaque État Partie au regard du traité de
Malabo, s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel.
Ainsi en application de ces dispositions, l’article 1 paragraphe 1 du Protocole additionnel à la
Convention 108 pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel1, l’article 11 point 1 de la convention de l’Union africaine sur
la cyber-sécurité et la protection des données à caractère personnel 2, l’article 14 point 1 de
l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à
1
« Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures
donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans
le présent Protocole ».
2
« Chaque État Partie s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel »
1
caractère personnel dans l’espace de la CEDEAO, il est recommandé aux Etats de créer une
autorité de protection des DCP.
Connus sous plusieurs appellations3, les autorités nationales de protection ont un statut
particulier (Section 2), exercent des missions très étendues et disposent de larges pouvoirs
coercitifs (Section 1).
Les autorités de protection ont pour mission primordiales de protéger la vie privée et les
libertés individuelles ou publiques. Le président Saïd IHRAÏ résume cette prérogative en
définissant celle de la CNDP créée, selon lui, à la fois « pour faire bénéficier les citoyens et
les résidents au Maroc des atouts qu’offre la révolution numérique et aussi pour les prémunir
3
Les autorités de protection portent les noms suivant : Sénégal- Commission de protection des Données
Personnelles (CDP) ; au Gabon- Commission Nationale pour la protection des Données à Caractère Personnel
(CNPDCP) et bien d’autres.
2
contre les méfaits de cette dernière sur cette vie privée des personnes »4. Dans cette
perspective, ces organismes exercent donc un service public 5 visant à veiller en priorité au
respect de la législation en vigueur (A), à conseiller les différents acteurs et à contrôler des
traitements mis en œuvre (B).
4
Entretien avec M. Saïd IHRAÏ président de la CNDP du Maroc « il faut prendre conscience qu’internet n’est
pas un espace neutre », le matin.com, 18 Septembre 2013.
5
Voir art.20 de la loi n°2009-09 du 22 mai 2009.
6
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon
7
Il peut arriver qu’une autorité délivre des autorisations portant régularisation notamment des traitements
mis en œuvre avant son installation.
3
élaborée par le responsable de traitement afin d’instaurer un usage correct des ressources
informatiques, de l’internet et des communications électroniques de la structure concernée et
homologuée par l’autorité de protection »8. C’est une pratique à encourager car elle facilite
l’appropriation des exigences légales avant, pendant et après le traitement sur les données
personnelles.
Hormis, sa mission de veille, l’autorité de protection fournit également des conseils et des
contrôles à tous les intervenants dans le processus de protection des données à caractère
personnel.
De plus, les conseils des autorités de protection s’adressent en priorité aux personnes
physiques et aux personnes morales. Cette mission reprise dans plusieurs législations est
consacrée par l’article 33 de la loi du Gabon selon lequel « les autorités de protection
conseillent les personnes et organisations qui mettent en œuvre ou envisagent de mettre en
œuvre des traitements automatisés des données à caractère personnel ». Il s’agit de conseils
d’ordre général propres à renforcer le contrôle et la sécurité des traitements envisagés.
8
Art. 1er de la loi n° 2013-450 du 19 juin 2013 de la Cote d’Ivoire.
9
Délibération n°2016-00238/CDP du Sénégal du 11 novembre 2016 sur des vidéosurveillances ; délibération
n°2014-20/CDP du Sénégal du 30 mai 2014 sur le marketing politique.
10
Avis, autorisations, déclarations, recommandations …
4
Egalement, la CDP effectue des contrôle et vérifications telles que prévues à l’article
25 de la loi 2008-12 du 25 janvier 2008 au Sénégal 11. Les commissions disposent de d’un
pouvoir de contrôle l’autorisant à accéder aux systèmes d’information du responsable de
traitement. Les opérations de contrôle se déroulent dans les locaux des responsables de
traitement parfois assisté de coopération internationales à cause de l’extra- territorialité des
TIC.
Dans la pratique, une fois que la décision de procéder à un contrôle adopté par délibération,
les agents de la commission, assistés par des agents assermentés d’autres départements
ministériels, par des experts ou par toute personne dument habilitée procèdent aux
vérifications.
Un contrôle peut être déclenché après réception d’une déclaration, d’une simple demande
émanant d’une personne, d’une demande d’accès indirect refusée ou d’une plainte. Il peut
également être effectué spontanément, suite à la constatation de manquements à la législation.
Il peut aussi être effectué dans le cadre d’actions proactives et préventives ciblées menées par
l’autorité. Il est dressé contradictoirement un PV des vérifications. Le contrôle s’exerce dans
le respect des procédures contradictoires et du respect des droits de la défense.
Aussi, aucun secret professionnel ne peut être opposé à l’autorité de protection dans
l’exercice de sa mission de contrôle.
En dehors de ces missions, certes fondamentales, les autorités de protection disposent
également de prérogatives pour faire face à tout manquement à la législation.
11
Article 25.
« Les membres de la Commission des Données Personnelles ainsi que les agents de service assermentés ont
accès, dans les conditions prévues par l’article 45 et suivants du Code de
Procédure Pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations »
5
A- LES POUVOIRS REGLEMENTAIRES DES AUTORITES EN
MATIERE DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL
Pour l’accomplissement de ses missions l’autorité de protection est habilitée à prendre
des décisions d’ordre règlementaire12. Cette possibilité accorde au président de la commission
un pouvoir réglementaire et à cet effet, il peut prendre des décisions et d’autres catégories
d’actes règlementaires.
Ce dernier est à concilier avec le pouvoir d’investigation des autorités de protection. Les
autorités de protection disposent d’un pouvoir leur permettent de procéder, sur place, sur
convocation ou sur pièces, à des investigations pour vérifier la conformité d’u traitement à la
législation.
Ce pouvoir est prévu par tous les textes de lois en la matière. Dans le cadre de l’instruction
d’un dossier, l’autorité de protection peut recueillir tout renseignement utile, demander
communication de tout document nécessaire à l’accomplissement de sa mission.
Les informations complémentaires à fournir portent le plus souvent sur la finalité de la
requête, l’existence éventuelle d’autres intervenants dans le traitement, les catégories de
données, le lieu stockage de données, les textes législatifs et/ ou règlementaire fixant la durée
de conservation, les modalités d’exercice des droits des personnes et les mesures de sécurité
prises.
A l’issue de l’instruction, la commission peut obliger le responsable du traitement à rectifier
des données incorrectes ou collectées de manière illégale de les effacer ou de les détruire
d’office, ou si l’individu n’est pas en mesure d’obtenir les mêmes résultats, en agissant lui-
même.
Elle peut également formuler des recommandations pour faire cesser des pratiques contraires
à la loi.
En complément des pouvoirs réglementaire et d’instruction, les autorités de protection
disposent d’un pouvoir de sanction très dissuasive.
12
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon.
6
Les traitements des données à caractère personnel obéissent à des formalités strictes
dont le non-respect est sanctionné par les autorités compétentes, notamment les organismes
de protection et le juge judiciaire.
La sanction peut être d’ordre administratif13 ou pécuniaire. Les sanctions que les autorités de
protection sont amenées à prendre sont graduelles.
Les sanctions administratives applicables peuvent prendre la forme d’un avertissement 14,
d’une mise en demeure15 ou d’une injonction16 en vue de faire cesser les manquements
constatés, d’une interdiction de mettre en œuvre un traitement ou d’une décision de retrait de
l’autorisation accordée.
Les autorités de protection peuvent prononcer des sanctions pécuniaires à l’égard des
responsables de traitement DCP pouvant aller d’un (1) million à cent (100) millions de Franc
CFA17.
13
Art. 20 de l’Acte additionnel de 2010 adopté par la CEDEAO : « si le responsable du traitement ne se
conforme pas à la mise en demeure qui lui a été adressée, l’autorité de protection peut prononcer à son égard,
après procédure contradictoire (…) un retrait provisoire de l’autorisation accordée, un retrait définitif de
l’autorisation ou une amende pécuniaire » ; Art 12-3 et suivant de la convention africaine sur la cybersécurité
et la protection des données à caractère personnel.
14
C’est un rappel à l’ordre destiné à inviter le responsable du traitement à respecter la règlementation en
vigueur, il peut être rendu public à titre d’exemple la CDP Sénégal a prononcé plusieurs avertissements :
Délibération n°2014-018/CDP du Sénégal du 30 avril 2014, société AK-Project ; Délibération n°2014-019/CDP
du Sénégal du 30 avril 2014, société CEGINUS ; Délibération n°2014-015/CDP du Sénégal du 3 avril 2014,
EXPRESSO Sénégal SA.
15
« Un avertissement peut s’accompagner d’une mise en demeure. Le plus souvent elle prévoit de faire cesser le
manquement constaté dans un délai déterminé. Ce délai tiendra compte de la gravité du manquement, de
l’urgence et du temps nécessaire pour la régularisation de la situation (...) la mise en demeure de faire cesser
un manquement n’est pas subordonnée à l’existence préalable d’un avertissement. En cas d’urgence, une mise
en demeure peut être prononcée d’office » Explique le Docteur Mouhamadou LO dans la protection des
données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017 p. 182-183.
16
Les mesures portant cessation d’un traitement ou retrait d’une autorisation ou d’un récépissé, prévues par
quelques les commission de protection, ne sont prises qu’après une mise en demeure infructueuse voir
délibération n°2016-302/CDP du Sénégal du 19 février 2016, société ABDXMEDIA- dans cette affaire la CDP
reprochait au responsable du traitement la collecte déloyale des données personnelles à partir de recherches
d’adresses sur les pages web et réseaux sociaux, l’absence d’information préalables des personnes concernées
et l’envoi de courriers électroniques de prospection commerciale sans autorisation.
17
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
7
personnelles. La saisine du juge pénal est ouverte aussi bien à la commission de protection
qu’aux personnes dont les données font l’objet de traitement. Elle peut être également
d’office.
Pour ce qui est de l’action de la personne concernée, celle-ci dispose d’un recours
juridictionnel. Le juge étant considéré comme le « protecteur naturel des droits » des
individus, l’intervention d’une autorité de protection ne doit pas faire obstacle à la possibilité
pour tout individu, d’exercer un recours juridictionnel. Les victimes des agissements d’un
responsable de traitement peuvent donc saisir les juridictions répressives à faire condamner à
des peines d’amendes et ou de peines d’emprisonnements18
18
Emprisonnement allant de 1 an à 5ans et une amende de 500.000 à 10.000.000. Au Sénégal AJOUTE LA LOI
ET LARTICLE
19
Voir la loi n°001/2011 du 25 septembre 2011 du Gabon ; art 11.1.B de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel.
20
En Afrique ; le mode de désignation des membres fait intervenir le plus souvent les plus hautes autorités du
pays (CDP Sénégal- Décret du Président de le République ; CNPDCP Gabon- Décret pris en Conseil de
Ministres).
8
mandats21, le respect du principe d’inamovibilité 22, l’immunité des membres23, l’obligation de
prêter serment24, l’autonomie financière (A) et l’autonomie administrative (B).
9
nominatifs doivent prendre toutes mesures utiles afin de faciliter la tâche de la Commission
de l’informatique des libertés. Ils ne peuvent s’opposer à son action pour quelque motifs que
ce soit ». Cette même disposition est présente également dans la loi du Gabon en son article
29 alinéa 2.
L’organisation souple des autorités de protection est aussi caractérisée par le
personnel très réduit au sein de ces instances.
Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont désignés
comme suit : trois personnalités désignées par le Président de la République, dont le Président
de la Commission ; un Magistrat membre du Conseil d'Etat désigné sur proposition du
Président du Conseil d'Etat ; un Magistrat membre de la Cour de Cassation désigné sur
proposition du Premier Président de la Cour de Cassation ; un Avocat désigné par l'Ordre des
Avocats ; un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie de
l'information et de la communication désigné par le Ministre en charge de l'Economie
Numérique .
S’agissant des Commissaires Non Permanents, ils sont désignés comme suit : un (1) député
désigné par le Président de l’Assemblée Nationale ; un (1) sénateur désigné par le Président
30
Art. 16 de la loi de 2011 Gabon
10
du Sénat ; un (1) Commissaire du Gouvernement désigné par le Premier Ministre ; un (1)
représentant du Patronat gabonais désigné par ses pairs.31
Au Sénégal, il est fait état de 11 onze membres repartis comme suite : trois personnalités
désignées par le Président de la République ; un (1) député désigné par le Président de
l’Assemblée Nationale ; un (1) sénateur désigné par le Président du Sénat ; un (1)
représentant du Patronat gabonais désigné par ses pairs ; un Magistrat membre du Conseil
d'Etat désigné sur proposition du Président du Conseil d'Etat ; un Magistrat membre de la
Cour de Cassation désigné sur proposition du Premier Président de la Cour de Cassation ; un
Avocat désigné par le Bâtonnier de l'Ordre des Avocats du Sénégal ; un représentant des
organisations de défense des droits de l’homme désigné par le Ministre de la Justice ; le
Directeur de l’Agence de l’Informatique de l’Etat32.
31
Art 17 et suivant de la loi de 2011 Gabon
32
Art .6 de la loi 2012-12 du 25 janvier 2012 au Sénégal
33
Art. 36 de la loi de 2011 Gabon
34
Art. 37 de la loi de 2011 Gabon
11
SECTION 1: L’IDENTIFICATION DES DONNEES PROTEGEABLES
ET NON PROTEGEABLES PAR LA REGLEMENTATION
Le droit à la protection des données à caractère personnel est un droit autonome avec
un champ d’application bien déterminé. Il relève alors d’une grande importance de démontrer
comment identifier les données qui entrent dans le champ de la protection (Paragraphe 1) et
celles qui en sont excluent (Paragraphe 2).
Il est communément admis de définir une donnée à caractère personnel comme « toute
information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification ou à un ou
plusieurs éléments qui lui sont propres »36.
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une
appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait.
35
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 7 de la loi n°1/2011 du 25
septembre 2011 relative à la protection des données à caractère personnel au Gabon.
36
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, France
12
Ainsi, si l’identification37 ou «l’identifiabilité » des personnes concernées par les données est
au cœur de la définition de la notion de données à caractère personnel 38, certains spécialistes
de la matière ont considéré que cette identification ou cette identifiabilité était insuffisante et
de proposer la « contactabilité » comme critère de définition de la notion de
données à caractère personnel39. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »40.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme des
identifiants, des données biométriques, un numéro de carte bancaire ou des données de
localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus
pratiques et simples de la définition de la notion de données à caractère personnel, nous
citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les
erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle41.
38
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005. L’identification est
présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les données et informations à
caractère personnel. Essai sur la notion et ses fonctions, Thèse de doctorat en droit, Université de Nantes, 14
décembre 2007
39
La contactabilité comme nouveau critère de définition de la notion de données à caractère personnel et
d’application de la loi vaudrait chaque fois que « des données permettent ou non de contacter un individu,
d’influencer son comportement ou de prendre une décision vis-à-vis de lui" peu importe que ces données
permettent ou non l’identification des personnes. (Y. Poullet, A. Rouvroy, D. Darquennes, Le droit à la
rencontre des technologies de l’information et de communication : le cas du RFID, in Cahiers Droit, Sciences &
Technologies, n° 1, avril 2008, CNRS Editions, pp. 129-130). Moins qu’une focalisation sur des données
permettant d’identifier les personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-
à-vis de certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième génération de
réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
40
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche
scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à
l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction
41
Voir annexe
13
42
poursuites, aux sanctions pénales ou administratives » sont considérées comme données
sensibles.43
La notion de données de santé suscitant beaucoup de débats, le législateur européen a
profité de ce texte pour en donner une définition, ainsi que des données génétiques et
biométriques :
« Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires
ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie
ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un
échantillon biologique de la personne physique en question » Données génétiques ;
« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne
physique, y compris la prestation de services de soins de santé, qui révèlent des informations
sur l’état de santé de cette personne » Données concernant la santé.
42
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 9 de la loi n°001/2011 du
25 septembre 2011 relative à la protection des données à caractère personnel au Gabon ;
43
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère personnel :Le
traitement des données sensibles (appelées « catégories particulières »), qui révèlent l’origine raciale ou
ethnique, la religion, les opinions politiques, syndicales ou religieuses, la génétique, la biométrie, la santé ou la
sexualité, est interdit, sauf si :• la personne concernée a donné son consentement ou a déjà rendu ces
données publiques, ou si• le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou
si• le traitement est effectué par une association ou un organisme syndical, religieux, politique, etc., pour la
gestion de ses membres et de ses contacts, ou si• le traitement est nécessaire à l’exercice de droits en matière
de droit du travail ou de protection sociale, et autorisé par une mesure légale ou conventionnelle, ou si• le
traitement est nécessaire à l’exercice de droits en justice, ou pour des motifs d’intérêt public, ou si• le
traitement est nécessaire à la médecine préventive ou aux soins et traitements de santé, ou si• le traitement
est nécessaire à des fins d’archivage d’intérêt public ou à des fins historiques, statistiques ou scientifiques
44
https://www.app.asso.fr/centre-information/base-de-connaissances/code-bases-de-donnees/le-regime-de-
protection-des-donnees/do
14
des données anonymisées ou pseudonymisées (A) mais il existe des exceptions d’usage
privée (B).
15
des fins purement personnelles par ses utilisateurs sera tenu de mettre en œuvre le principe de
Privacy by design et Privacy by default45.
Pour être admissible, tout traitement de données à caractère personnel doit répondre à
un certain nombre d'exigences de fond. Vous devez donc respecter les principes suivants
lorsque vous êtes amenés à traiter des données à caractère personnel:
Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données. Le RGPD
consolide donc les droits existants comme le droit à l’information et crée parallèlement de
nouveaux droits notamment le droit à la portabilité, à l’oubli et à la limitation du traitement. Il
reste important d’analyser les principes de sécurité (Paragraphe 1) et de
45
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche de
l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le concept de “Privacy
by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles
applications technologiques et commerciales dès leur conception
16
Le responsable des traitements de données doit s'assurer que les données sont sécurisées et
que des tiers non autorisés n'y aient pas accès ; cette obligation s'étend en cas de sous-
traitance de l’utilisation des données.
La décision de collecter les données personnelles crée des obligations pour celui qui en a
pris la décision. C’est pourquoi, les renseignements sur les données à caractère personnel
imposent aux maitres des traitements une obligation de confidentialité (B) et de sécurité (A).
Cette obligation se traduit donc par la nécessité de mettre en œuvre des mesures de
sécurité physique (verrous aux portes, coffre-fort…) et des mesures de sécurité logique
(gestion des habilitations, contrôle des accès, cryptage des données,…). Les
précautions, prévues par les différentes législations, doivent garantir un niveau de sécurité.
Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement, celui-ci
doit choisir un sous-traitant qui apporte des garanties suffisantes en matière de confidentialité
et de sécurité47.
46
Art. 66 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; art 21 de la convention africaine sur la cybersécurité et la protection des données à
caractère personnel.
47
Art. 64, 65 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ;
48
Article 70 de la loi n°2008-12 du 25 janvier 2008 du Sénégal.
17
Donner en exemple en matière de contrat électronique les informations données pour
entre cyber conso et cyber marchand
Le traitement des données à caractère personnel est confidentiel. A cet effet, selon
Oumarou Ag Mouhamed Ibrahim Haidara, président de l’APDP, « le recours aux outils
technologiques qui nécessite l’agrégation des données personnelles entraine certaines
dérives, notamment en ce qui concerne leur confidentialité »49. Cette exigence est présente
donc de manière quasi similaire dans le droit de plusieurs pays50.
Donnes un exemples par rapport au commerce électroniques avec les sites de vente en
ligne qui ne doivent pas dévoiler a d’autres les renseignelents sur les clients
49
Journal « l’essor » du 11/03/2016 : lancement des activités de l’APDP Mali.
50
Art. 38 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; art. 13 de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel
18
PARAGRAPHE 2 : LE RESPECT DES DROITS DES PERSONNES
INTERVENANT DANS LES TRANSACTION ELECTRONIQUES
Les personnes doivent être informées de l'existence du traitement de leur données et ces
mêmes personnes ont le droit d'accéder, de modifier ou supprimer ces données ; enfin, il est
possible de s'opposer à l'utilisation de ces données pour de la prospection commerciale. Les
données à caractère personnel doivent être traitées de manière licite, loyale et transparente au
regard de la personne concernée.
Les droits reconnus par les différentes législations aux personnes dont les données à
caractère personnel font l’objet d’un traitement constituent le fondement même de la
protection desdites données. Il s’agit du droit à l’information, du droit d’accès (A) mais,
également d’opposition de rectification et de suppression (B).
Le droit à l’information est le premier droit des personnes concernées et l’un des plus
importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits par leur
titulaire. Si la personne concernée ignore qu’une entreprise traite ses données, elle ne sera pas
en mesure de demander l’accès à ces informations, leur rectification ou de s’opposer au
traitement. L’article 1351 fixe la liste52 des informations à communiquer à la personne
concernée.
51
Article 13 EU RGPD
"Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne
concernée
52
Article 58 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; Art. 59 de la loi n°001/2011 du 25 septembre
2011 relative à la protection des données à caractère personnel au Gabon
19
Le responsable du traitement doit mentionner : son identité et ses coordonnées ainsi que le
cas échéant celles du DPO53; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être précisé) ; les
destinataires des données ; le cas échéant, l’existence d’un transfert et les garanties mises en
place pour permettre ce transfert ; la durée de conservation des données (ou les critères
utilisés pour déterminer cette durée) ; les droits des personnes concernées (accès,
rectification, droit de retirer son consentement, etc.),
54
Au vu du volume d’information à transmettre, le CEPD ( sigles et abréviations) précise,
dans ses lignes directrices sur la transparence, que l’information peut être délivrée « en
couches ». Ce dispositif permet d’afficher, en bas de page ou sur un formulaire de collecte en
ligne, une mention d’information plus courte avec des liens renvoyant à l’intégralité de la
mention. Ces informations pourront également « être fournies accompagnées d’icônes
normalisées » afin d’accroître leur lisibilité. C’est la Commission européenne qui est chargée
d’adopter ces icônes par actes délégués.
Le droit d’accès (peut être direct ou indirect) est défini comme le droit reconnu à toute
personne physique, tout héritier ou tout tuteur, justifiant de son identité, d’interroger le
responsable d’un traitement de DCP en vue d’obtenir la communication, sous une forme
accessible intelligible ou compréhensible, des informations qui la concernent.
53
Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne
chargée de la protection des données au sein d'une organisation.
54
Est une autorité de contrôle indépendante qui a pour mission première d’assurer que les institutions et
organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des
données à caractère personnel et élaborent de nouvelles politiques.
20
données traitées, les destinataires ou les transferts éventuels envisagés à destination d’un pays
tiers55.
Le droit d’opposition est une mesure permettant aux individus de protéger eux-mêmes
leurs données. Ce principe signifie que « toute personnes physiques a le droit de s’opposer,
pour des motifs légitimes, valables et sérieuses à ce que des données à caractère personnel la
concernât fassent l’objet d’un traitement ».
Le droit de rectification et de suppression quant à lui, peut être exigé, par toute personne
physique justifiant de son identité au responsable d’un traitement que soient, selon les cas,
rectifiées, complétées, mises à jour, verrouillées ou supprimées, les données à caractère
personnel la concernant, qui sont inexactes, incomplètes, équivoques, primées, ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite 56.
55
; Art. 7 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
56
; Art. 14 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; Article 69 de la loi n°2008-12 du 25 janvier 2008 du Sénégal
21
termes clairs et simples, ainsi les codes sous lesquels l’information peut être stockée devront
donc être traduits.
22