INTRODUCTION

L’économie numérique a engendré une croissance exponentielle des besoins de

produire, de collecter, d’échanger et de transférer des données. Grâce aux technologies
actuelles, tant d’entreprises privées que les administrations publiques disposent aujourd’hui
d’une capacité inédite d’exploitation de données à caractère personnel.

À l’heure du big data1 et de l’intelligence artificielle2, ces données constituent une

opportunité d’innovation et de développement de nouveaux usages tout en soulevant un
certain nombre de questions du point de vue de la vie privée et des libertés publiques.

L’utilisation et la valorisation des données à caractère personnel sont devenues

des enjeux économiques et de société de premier plan, alors même que la confiance des
personnes physiques n’est pas souvent au rendez-vous.

Le développement des technologies de l’information et de la communication, leur

diffusion rapide à travers le monde ont révolutionné le quotidien de l’homme dans tous les
secteurs d’activités. L’accès à ces technologies, le recours aux services multiformes qu’elles
offrent pose toutefois aujourd’hui avec acuité le problème de la protection des droits des
personnes et de leur vie privée.

En effet, les États sont de plus en plus confrontés aux abus de toutes sortes, liés à
l’utilisation des données personnelles. La lutte contre la cybercriminalité est devenue une
préoccupation mondiale. De nombreux défis interpellent à cet égard la communauté
internationale.

Dans sa mission régalienne, l’État est tenu d’assurer la sécurité et l’intégrité des
personnes et des biens. De nos jours, tout le monde est exposé au numérique, à chaque étape
de la vie quotidienne. En tant que citoyen, comme en tant que consommateur, les
informations de la population doivent être protégées.

La protection des données à caractère personnel ne peut s’envisager en vase clos

parce que le cyberespace3 abolit toute idée de frontière. Ce constat met à nu une réalité qui

1
Le big data est un ensemble de données volumineux traitées et analysées à des fins plus souvent prédictives.
2
Ensemble des théories et des techniques développant des programmes informatiques complexes capables de
simuler certains traits de l'intelligence humaine (raisonnement, apprentissage…)
3
Ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à
l’interconnexion mondiale des ordinateurs.

1
appelle à une coopération internationale pour la protection des données personnelles des
populations.

Au regard de cette situation, où tout tourne autour des données à caractère personnel,
notamment les transactions civiles et commerciales, il nous revient d’apporter toute la
précision sur les contours juridiques du concept en relation avec l’usage du numérique
comme moyen indispensable de communication et d’échanges.

À partir de là, la question qui se pose est la suivante : qu’entend-on par données à
caractère personnel ? La réponse apparait simple, mais son impact juridique s’affiche très
complexe, eu égard à la transversalité des réglementations qui sont interpellées.

Les données sont à caractère personnel dès lors qu’elles portent sur une personne
identifiée ou la rendent identifiable, directement comme indirectement. Il en est ainsi pour
les contacts, le numéro d’identification, la plaque d’immatriculation et même l’adresse-email.
Ce sont des informations permettant d’identifier clairement une personne.

À cela s’ajoutent les données personnelles à caractère sensible. Ce sont toutes les
informations relatives à la race, l’état de santé, les opinions politiques ou religieuses et même
le contenu du casier judiciaire. Avec l’entrée en vigueur de la loi n° 2008 – 12 du 25 janvier
2008 sur la Protection des données à caractère personnel au Sénégal, il faut faire attention à
toute information que l’on communique sur une personne.

Par exemple, donner le nom d’une personne peut être considéré comme divulguer un
renseignement personnel, car l’identité (le nom et le prénom) est la donnée personnelle la
plus évidente.

D’ailleurs, les législateurs Gabonais comme Sénégalais ont prévu une haute protection
lors de la collecte, le traitement, la transmission, le stockage et l’usage des données. Il
convient de préciser que le traitement des données est toute opération, ou ensemble
d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification, extraction, consultation,
utilisation, communication par transmission diffusion ou toute autre forme de mise à
disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction ...).

Cette loi met ainsi, en place un dispositif permettant de lutter contre les atteintes à la
vie privée susceptibles d’être engendrées durant tout le processus de traitement des données
échangées. Elle veille à ce que les Technologies de l’Information et de la Communication

2
(TIC)4 ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie
privée.

Prenons quelques instants pour apporter des éclaircissements quant au concept

d’économie numérique : il englobe ici toutes activités économiques et sociales qui sont
activées par des plateformes telles que les réseaux internet, mobiles et de capteurs, y compris
le commerce électronique. Les données à caractère personnel sont au cœur de l’économie
avec de nouveaux usages exponentiels (l’intelligence artificielle des GAFAM 5, data mining6,
etc.).

L’Afrique s’éveille de façon brutale face à la problématique de collecte et du

traitement des DCP. Cette prise de conscience s’explique par l’utilisation croissante 7 des TIC.

Le Sénégal fait partie des premiers pays à avoir voté une loi dans ce sens depuis
l’année 2008. Puis, il a ratifié la convention de Malabo de 2014, lors de la 23e session
ordinaire du sommet de l’Union africaine (UA). Cet accord entre les pays membres vise à
renforcer la confiance et la sécurité dans le cyberespace en Afrique. Ainsi, l’Assemblée
nationale sénégalaise a adopté la loi sur la protection des données à caractère personnel le
mardi 15 janvier 2008. La loi assure donc le respect des libertés et droits fondamentaux de la
vie privée des personnes.

Le Gabon à son tour a adopté la loi N°001/2011 relative à la protection des données à
caractère personnel en créant la Commission nationale pour la protection des données à
caractère personnel (CNPDCP). « L’internet est un espace virtuel sans limites où tout le
monde peut dire n’importe quoi. Tout le monde peut filmer et vous présenter aux yeux de tout
le monde. Avec ce que nous regardons tous, les libertés individuelles sont violées », a confié
Joël Dominique LEDAGA8.

En effet, selon ce dernier, avec la révolution du numérique, on assiste au

développement des Nouvelles Technologies de l’Information et de la Communication (NTIC)
entrainant ainsi les enjeux importants liés à la protection des données personnelles,

4
Act 13/2004 du 27décembre 2004 de l’Ile Maurice portant protection des données définit les TIC comme
« toute technologies employées pour la collecte, le stockage, l’utilisation ou l’envoie d’information impliquant
l’utilisation d’ordinateur ou de tout autre système de télécommunication ».
5
(Google, Apple, Facebook, Amazon et Microsoft).
6
Exploration de données, ayant pour objet l’extraction d'un savoir ou d'une connaissance à partir de grandes
quantités de données, par des méthodes automatiques ou semi-automatiques.
7
Le Juge Papa Assane TOURE parle de « forte information de la société ». Voir Papa Assane TOURE « le
traitement de la cybercriminalité devant le juge » l’Harmattan, 2014 p 261.
8
Président de la Commission nationale pour la protection des données à caractère personnel du Gabon.

3
notamment dans un cyber espace aussi complexe et virtuel que l’internet. « Vous avez des
données conventionnelles, c’est-à-dire toutes les informations qui permettent de vous
identifier d’une manière directe ou indirecte. Toutes ces informations sont considérées
comme vos données personnelles. Ces données personnelles malheureusement aujourd’hui
sont vendues dans le monde », a-t-il ajouté. Cette autorité administrative indépendante est
chargée de veiller à ce que les traitements des données à caractère personnel soient mis en
œuvre conformément aux dispositions de la présente loi.

Au-delà des frontières africaines, il faut remarquer l’existence des mêmes législations
des DCP.

Si l’on fait l’historique des législations en matière de DCP, il apparait que les
premières exsudations d’une règlementation remontent à 1974 en France 9, avec l’institution
d’un identifiant unique. L’idée a depuis fait beaucoup de chemin, malgré l’opposition d’une
commission parlementaire française qui considère qu’il s’agit d’une atteinte aux libertés des
individus. C’est ainsi que la culture « protection des données à caractère personnel » est mise
en œuvre depuis 1978 avec la loi « Informatique et Liberté » instituant des règles essentielles
en la matière qui ont servi de support à la Convention 108 du Conseil de l’Europe.
Le projet de loi modifiant la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés
intégrant certains aspects du RGDP s’inscrit dans cette continuité.

Dans l’espace Union européenne il y a d’abord eu, l’adoption de la directive

95/46/CE qui constituait le texte de référence en matière de protection des données à
caractère personnel. Cette directive a été officiellement intitulée « directive 95/46/CE
du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données ».

La norme communautaire européenne a été renforcée par le règlement n° 2016/679,

dit règlement général sur la protection des données. Ce règlement de l'Union européenne qui constitue
le texte de référence en matière de protection des données à caractère personnel.

Après quatre années de négociations législatives, ce règlement a été définitivement

adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont devenues

9
Marie GEORGES, la problématique de la protection des données personnelles, contribution de l’Association
Francophone des Autorités de protection des données personnelles à l’élaboration du 3ème rapport sur l’état
des pratiques de la démocratie, des droits et libertés dans l’espace francophone –chapitre relatif à la
promotion de la culture démocratique et au plein respect des droits de l’Homme, 2008.

4
directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis
le 25 mai 2018.

Le Règlement Général sur la Protection des Données 10, loin d’être un frein, a comme
volonté de permettre à chaque acteur de mettre en œuvre sa conformité en définissant ses
propres mesures, procédures grâce notamment à une cartographie des données, des flux entre
les différents prestataires ainsi qu’une sécurisation des contrats (responsabilisation des
acteurs).

Cette conformité doit être « gagnant-gagnant » tant pour les usagers (consommateurs)
avec ce besoin de confiance, de transparence renforcée, que pour les professionnels en
renforçant leur crédibilité. N’oublions pas que dans cette économie digitale, les données à
caractère personnel sont des actifs immatériels ayant une valeur économique certaine.

L’existence de toutes ces dispositions sus-considérée en Afrique notamment au Gabon

et au Sénégal et comparativement dans l’espace UE, se justifie par les nombreuses situations
de vol et d’usurpation de DCP, avec un impact important, non seulement sur les individus
concernés, mais également sur la société en général, au point de mettre en danger les
systèmes démocratiques.

Au regard des incidences que les DCP ont sur la société moderne, présentant des
réalités rythmées par les leviers du numérique et de la technologie digitale, la protection de
droit commun de la vie privée, appelle à un renforcement de régime, afin de prendre en
considération les nouveaux contours de l’économie.

Dans ce contexte, ce nouveau marché au cœur duquel se trouvent les données,

nécessite un décryptage technologique des enjeux et un cadrage des opportunités et
responsabilités. En effet, l’usage du numérique révèle souvent des risques importants
notamment en termes de protection de la vie privée et de responsabilité pour les utilisateurs et
fabricants et le corpus juridique évolue sans cesse pour tenter d’imposer un ensemble
d’obligations que les entreprises doivent respecter.

Les données constituent un véritable enjeu de pouvoir entre les Etats qui veulent
s’assurer le contrôle sur celles qui circulent sur leur territoire, et entre les entreprises privées
qui fournissent les réseaux qu’elles empruntent. Le Professeur Abdoullah CISSE le justifie en

10
Le règlement nᵒ 2016/679, dit règlement général sur la protection des données, est un règlement de l'Union
européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il
renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

5
soulignant la nécessité de « penser à la protection des données personnelles est la manière
dont on gère l’information pour que le message officiel soit protégé » 11

C’est dans cette optique que nous traiterons la protection des données à caractère
personnel dans l’économie numérique en prenant les cas du GABON et du SÉNÉGAL. Eu
égard à ce qui précède, la protection des données à caractère personnelles renvoie à l'action
de protéger, de défendre toutes données se rapportant à l’identité ou l’identification d’un
individu dans le cyberspace.

Parler de la Protection des données à caractère personnel dans l’économie numérique

revient à démontrer le champ d’application de la protection des données, de déterminer les
caractères de la notion, mais surtout la mettre en rapport avec le e-commerce dans un
processus de sécurité, de régulation des contentieux liés aux différentes données et de lutte
contre la cybercriminalité12..

Pour satisfaire notre ambition d’analyse du sujet sur la protection des données à
caractère personnel, une série de questions nous interpelle :

Comment la réglementation accompagne-t-elle l’échange des données

informationnelles personnelles au travers des moyens modernes de communications
numérisées ?

À l’ère du commerce électronique et des transactions numérisées est-il toujours

possible d’assurer l’intendance légale par rapport aux comportements des acteurs virtuels ?

Le droit matériel s’adapte-t-il confortablement aux nouvelles réalités virtuelles du

monde ?

Quelle est aujourd’hui la position commune de l’Afrique face à ces nouveaux rapports
de force dans une société sous surveillance constante ?

Quelle place pour le citoyen africain, dans un contexte, où la législation, elle, a du

retard pour le protéger ?

11
Table ronde organisées par le Conseil pour le développement de la recherche en sciences sociales en Afrique
(CORDESRIA) sur le thème : « les Etats africains et le service public de cybersécurité », Dakar, 2016.
12
Une infraction criminelle ayant l'ordinateur pour objet (piratage informatique, hameçonnage, pollupostage)
ou pour instrument de perpétration principal (pornographie juvénile, crime haineux, fraude informatique)

6
 Quelles orientations à suivre face à la pénétration de ces normes dans un contexte
africain socioculturel différent du reste du monde ? Tout ceci pour mieux appréhender notre
sujet.

En somme, il convient de se poser la question de savoir : quelle est réellement l’effectivité

de la protection des données à caractère personnel ?

Véritable richesse immatérielle, l’intérêt que suscitent ses interrogations reflète bien
les transformations que connaît la géopolitique à l’ère numérique : remise en cause des
frontières physiques nationales, affirmation d’acteurs privés et non étatiques, «
Numérisation/digitalisation » des conflits (revendications de souveraineté sur le cyberespace,
attaques informatiques).

Outre l’information elle-même, c’est en effet la façon dont les données sont générées,
par qui, la façon dont elles circulent, dont elles sont stockées, qui font des données une
ressource précieuse. Maîtriser les données supposent de maîtriser ses moyens, et ses
conditions de production, ses canaux de transmission, et son mode et son lieu de stockage.

Récemment, l’entreprise Cambridge Analytica13, spécialisée dans le recueil et

l’analyse de données, est accusée d’avoir accédé illégalement aux informations de plus de 50
millions de comptes Facebook. Les enjeux sont donc colossaux. Pour se rendre compte de
l’acuité de cette problématique et de ses retombées sur la vie de tous les jours, il faut
parcourir la liste des infractions possibles et qui pourraient passer inaperçues, telle
l’installation des vidéosurveillances dans les lieux autres que ceux ouverts au public, ainsi
que la liste des peines et des pénalités encourues.

C’est tout un chantier qui est ouvert devant les organes et commissions de protection
des données qui, se donne pour mission d’inculquer et divulguer la culture de la préservation
des données personnelles et de sensibiliser le citoyen sur ses droits dans ce domaine.

Il convient de noter que l’étude d’une telle thématique est d’une importance majeure,
en ce sens qu’à l’air du numérique, comprendre les enjeux et savoir protéger les données
personnelles dans le monde notamment en Afrique est essentiel.

13
Cambridge Analytica est une société de publication stratégique combinant des outils d'exploration et
d'analyse des données. Créée en 2013 comme une filière des Strategic Communication Laboratories
spécialisée en politique américaine, elle possède des bureaux à New York, Washington et Londres.

7
 Ce sujet nous renseigne aussi sur l’état théorique des réglementations plurielles du
phénomène numérique et des différences de préoccupations entre les États et les
Organisations d’intégration économique.

Le constat général qui se dégage est qu’il faut multiplier les initiatives pour
accompagner les pays africains à légiférer davantage dans la protection des données
personnelles, et ce au regard de la perspective du développement de l’économie numérique.
L’idéal serait de protéger les données personnelles, accompagner l'innovation, et préserver les
libertés individuelles.

En tentant d’adopter une approche illustrative des législations en vigueur, nous nous
attèlerons d’examiner la protection mise en œuvre au Gabon et au Sénégal. Toutefois, la
difficulté constatée réside dans la multiplicité de l’ordre juridique actuelle 14 , s’y ajoutent la
multiplicité des branches du droit applicable. 15 La consécration successive, dans la plupart
des pays africains d’un droit de protection des données à caractère personnel devenue une
préoccupation dans toutes les grandes démocraties.16

Notre analyse sera essentiellement constituée de deux grandeurs articuler autour du

cadre réglementaire de la protection des données à caractère personnel (Première
partie) et des modalités de protection des données dans le commerce électronique
(Deuxième partie).

PREMIÈRE PARTIE : L’EXAMEN DU CADRE RÉGLEMENTAIRE DE

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL AU
GABON ET AU SÉNÉGAL

14
Ordre juridique (national, international, communautaire et continental)
15
Droit des télécommunications, droit public, droit civil, droit pénal, droit sur les transactions électroniques ou
sur la cybercriminalité, droit de l’audiovisuel etc.
16
Explique le Docteur Mouhamadou LO dans la protection des données à caractère personnel en Afrique :
règlementation et régulation, l’harmattan, 2017 p.32.

8
 La sécurité des informations ne peut être une réalité que si les règles de protection
sont strictement respectées. C’est pourquoi il est institué, par les différentes lois sur les
données à caractère personnel, un organisme qui, en conformité avec le système juridique
interne à chaque pays, est chargé de contrôler les dispositions législatives et règlementaires
en la matière. Nous examinerons successivement l’architecture institutionnelle de la
protection des données à caractère (Chapitre 1), puis le fondement de la protection des
données à caractère personnel (Chapitre 2).

CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE LA

PROTECTION DES DONNEES A CARACTERE PERSONNEL DANS
L’ECONOMIE NUMERIQUE

Aux termes des dispositions des textes régissant la protection des données à caractère
personnel dans l’exemple du Sénégal et du Gabon, chaque État Partie au regard du traité de
Malabo s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel.
Ainsi, en application de ces dispositions, l’article 1 paragraphe 1 du Protocole
additionnel à la Convention 108 pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel17, l’article 11 point 1 de la convention de
l’Union africaine sur la cybersécurité et la protection des données à caractère personnel 18,
l’article 14 point 1 de l’Acte additionnel A/SA.1/01/10 du 16 février 2010 relatif à la
protection des données à caractère personnel dans l’espace de la CEDEAO, il est
recommandé aux États de créer une autorité de protection des DCP.
Connues sous plusieurs appellations19, les autorités nationales de protection ont un statut
particulier (Section 2), exercent des missions très étendues et disposent de larges pouvoirs
coercitifs (Section 1).

17
« Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures
donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans
le présent Protocole ».

18
« Chaque État Partie s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel »
19
Les autorités de protection portent les noms suivant : Sénégal- Commission de protection des Données
Personnelles (CDP) ; au Gabon- Commission Nationale pour la protection des Données à Caractère Personnel
(CNPDCP) et bien d’autres.

9
SECTION 1 : LES COMMISSIONS DE PROTECTION DES DONNÉES
A CARACTÈRE PERSONNEL.

Au Gabon, la loi n°001/2011 du 25 septembre 2011 prévoit la mise en place d’une

autorité nationale de protection des données à caractère personnel dénommée, Commission
nationale pour la Protection des données à Caractère personnel (CNPDCP), mise en place
depuis novembre 2012.
Au Sénégal, c’est la Commission nationale de protection des Données Personnelle qui
voit le jour avec la loi n° 2008 – 12 du 25 janvier 2008.
Les État ayant mis en place des autorités de protection des données devaient accorder
à celles-ci un large mandat tel que spécifié dans les textes internationaux dont ils ont fait la
transposition dans leur corpus juridique national. Ainsi, ces autorités ont été dotées de
diverses missions (Paragraphe 1) et de pouvoirs (Paragraphe 2).

PARAGRAPHE 1 : LES MISSIONS DES AUTORITÉS PUBLIQUES DE

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

Les autorités de protection ont pour mission primordiale de protéger la vie privée et les
libertés individuelles ou publiques. Le président Saïd IHRAÏ résume cette prérogative en
définissant celle de la CNDP créée, selon lui, à la fois « pour faire bénéficier les citoyens et
les résidents au Maroc des atouts qu’offre la révolution numérique et aussi pour les
prémunir contre les méfaits de cette dernière sur cette vie privée des personnes »20. Dans
cette perspective, ces organismes exercent donc un service public 21 visant à veiller en priorité
au respect de la législation en vigueur (A), à conseiller les différents acteurs et à contrôler des
traitements mis en œuvre (B).

A-LES MISSIONS DE VEILLE EN MATIÈRE DE PROTECTION DES

DONNÉES A CARACTÈRE PERSONNEL
20
Entretien avec M. Saïd IHRAÏ président de la CNDP du Maroc « il faut prendre conscience qu’internet n’est
pas un espace neutre », le matin.com, 18 Septembre 2013.
21
Voir art.20 de la loi n°2009-09 du 22 mai 2009.

10
 Le rôle des autorités de protection consiste à contrôler la création et la mise en
œuvre des traitements. De ce fait, elles sont chargées de recevoir et d’instruire les
déclarations et demandes d’autorisations des traitements22.
C’est une mission essentielle de toutes autorités. Dans cet élan, elles doivent veiller à ce
que les traitements des DCP soient mis en œuvre conformément à la législation en vigueur,
notamment en exigeant, sur tous les dossiers, le respect strict des libertés et des droits
fondamentaux des personnes.
Ce travail se traduit en pratique par l’instruction des dossiers sous l’angle juridique et
technique.
Après examen et validation des dossiers, les organismes de protection délivrent des
autorisations obligatoires pour la mise en œuvre des traitements envisagés ou pour leur
régularisation23.
L’autorisation accordée aux responsables de traitement se traduit par la délivrance d’un
récépissé de déclaration ou d’une déclaration portant autorisation. La délibération doit
mentionner le rappel des faits, l’analyse de conformité aux principes de protection, la
décision et les motifs. Le récépissé relatif aux déclarations comporte uniquement la décision
et les motifs.
En vue de faciliter la compréhension des contraintes légales relatives au traitement des
DCP, certaines autorités de protections ont mis en place des procédures de validation des
codes de conduites.
À ce titre, si l’on s’en réfère de manière comparative & un autre État Ouest Africain
comme la Cote d’Ivoire le législateur considère le code de conduite comme une «charte
d’utilisation élaborée par le responsable de traitement afin d’instaurer un usage correct des
ressources informatiques, de l’internet et des communications électroniques de la structure
concernée et homologuée par l’autorité de protection »24. C’est une pratique à encourager,
car elle facilite l’appropriation des exigences légales avant, pendant et après le traitement sur
les données personnelles.
Hormis, sa mission de veille, l’autorité de protection fournit également des conseils et des
contrôles à tous les intervenants dans le processus de protection des données à caractère
personnel.

22
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon
23
Il peut arriver qu’une autorité délivre des autorisations portant régularisation notamment des traitements
mis en œuvre avant son installation.
24
Art. 1er de la loi n° 2013-450 du 19 juin 2013 de la Cote d’Ivoire.

11
B-LES MISSIONS DE CONSEILS ET CONTRÔLE EN MATIÈRE DE
PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL

La mission de sensibilisation, très capitale, se décline sous plusieurs formes telles que la
mise en d’un site Internet, la diffusion de guides adaptés aux besoins des secteurs d’activités,
l’organisation et la participation à des séminaires, salons, colloques ou conférences.
Les autorités de protection mettent également é la disposition du public des délibérations
portant sur un type de traitement particulier 25 ou sur des modèles de formulaires ainsi que la
liste des traitements de données autorisés26.

De plus, les conseils des autorités de protection s’adressent en priorité aux personnes
physiques et aux personnes morales. Cette mission reprise dans plusieurs législations est
consacrée par l’article 33 de la loi du Gabon selon lequel : « les autorités de protection
conseillent les personnes et organisations qui mettent en œuvre ou envisagent de mettre en
œuvre des traitements automatisés des données à caractère personnel ».
Il s’agit de conseils d’ordre général propres à renforcer le contrôle et la sécurité des
traitements envisagés.

Dans la législation Gabonaise, l’autorité de protection peut être associée, à la demande

du Premier ministre, à la préparation et à définition de sa position dans les négociations
internationales dans le domaine de la protection des DCP, en participant à la représentation
du pays dans les organisations internationales communautaires compétentes en ce domaine.
Également, la CDP effectue des contrôles et vérifications tel que prévu à l’article 25
de la loi 2008-12 du 25 janvier 2008 au Sénégal 27. Les commissions disposent d’un pouvoir
de contrôle l’autorisant à accéder aux systèmes d’information du responsable de traitement.
Les opérations de contrôle se déroulent dans les locaux des responsables de traitement parfois
assisté de coopération internationales à cause de l’extra- territorialité des TIC.
Dans la pratique, une fois que la décision de procéder à un contrôle adopté par
délibération, les agents de la commission, assistés par des agents assermentés d’autres

25
Délibération n°2016-00238/CDP du Sénégal du 11 novembre 2016 sur des vidéosurveillances ; délibération
n°2014-20/CDP du Sénégal du 30 mai 2014 sur le marketing politique.
26
Avis, autorisations, déclarations, recommandations …
27
Article 25.
« Les membres de la Commission des Données Personnelles ainsi que les agents de service assermentés ont
accès, dans les conditions prévues par l’article 45 et suivants du Code de
Procédure Pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations »

12
départements ministériels, par des experts ou par toute personne dument habilitée procèdent
aux vérifications.
Un contrôle peut être déclenché après réception d’une déclaration, d’une simple
demande émanant d’une personne, d’une demande d’accès indirect refusée ou d’une plainte.
Il peut également être effectué spontanément, suite à la constatation de manquements à la
législation.
Il peut aussi être effectué dans le cadre d’actions proactives et préventives ciblées
menées par l’autorité. Il est dressé contradictoirement un PV des vérifications. Le contrôle
s’exerce dans le respect des procédures contradictoires et du respect des droits de la défense.
Aussi, aucun secret professionnel ne peut être opposé à l’autorité de protection dans
l’exercice de sa mission de contrôle.
En dehors de ces missions, certes fondamentales, les autorités de protection disposent
également de prérogatives pour faire face à tout manquement à la législation.

PARAGRAPHE 2 : LES POUVOIRS DES AUTORITÉS DE

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

Les autorités de contrôle disposent de larges pouvoirs, notamment un pouvoir

règlementaire (A) et de sanction (B).

A- LES POUVOIRS RÉGLEMENTAIRES DES AUTORITÉS EN

MATIÈRE DE PROTECTION DES DONNÉES A CARACTÈRE
PERSONNEL

Pour l’accomplissement de ses missions, l’autorité de protection est habilitée à

prendre des décisions d’ordre règlementaire28. Cette possibilité accorde au président de la
commission un pouvoir réglementaire et à cet effet, il peut prendre des décisions et d’autres
catégories d’actes règlementaires.

Ce dernier est à concilier avec le pouvoir d’investigation des autorités de protection.

Les autorités de protection disposent d’un pouvoir leur permettent de procéder, sur place, sur

28
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon.

13
convocation ou sur pièces, à des investigations pour vérifier la conformité d’u traitement à la
législation.
Ce pouvoir est prévu par tous les textes de lois en la matière. Dans le cadre de
l’instruction d’un dossier, l’autorité de protection peut recueillir tout renseignement utile,
demander communication de tout document nécessaire à l’accomplissement de sa mission.
Les informations complémentaires à fournir portent le plus souvent sur la finalité de la
requête, l’existence éventuelle d’autres intervenants dans le traitement, les catégories de
données, le lieu stockage de données, les textes législatifs et/ ou règlementaire fixant la durée
de conservation, les modalités d’exercice des droits des personnes et les mesures de sécurité
prises.
À l’issue de l’instruction, la commission peut obliger le responsable du traitement à
rectifier des données incorrectes ou collectées de manière illégale de les effacer ou de les
détruire d’office, ou si l’individu n’est pas en mesure d’obtenir les mêmes résultats, en
agissant lui-même.
Elle peut également formuler des recommandations pour faire cesser des pratiques
contraires à la loi.
En complément des pouvoirs réglementaires et d’instruction, les autorités de
protection disposent d’un pouvoir de sanction très dissuasive.

B-LES POUVOIRS DE SANCTION DES AUTORITÉS EN MATIÈRE DE

PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL

Les traitements des données à caractère personnel obéissent à des formalités strictes
dont le non-respect est sanctionné par les autorités compétentes, notamment les organismes
de protection et le juge judiciaire.
La sanction peut être d’ordre administratif 29 ou pécuniaire. Les sanctions que les
autorités de protection sont amenées à prendre sont graduelles.

29
Art. 20 de l’Acte additionnel de 2010 adopté par la CEDEAO : « si le responsable du traitement ne se
conforme pas à la mise en demeure qui lui a été adressée, l’autorité de protection peut prononcer à son égard,
après procédure contradictoire (…) un retrait provisoire de l’autorisation accordée, un retrait définitif de
l’autorisation ou une amende pécuniaire » ; Art 12-3 et suivant de la convention africaine sur la cybersécurité
et la protection des données à caractère personnel.

14
 Les sanctions administratives applicables peuvent prendre la forme d’un
avertissement30, d’une mise en demeure31 ou d’une injonction32 en vue de faire cesser les
manquements constatés, d’une interdiction de mettre en œuvre un traitement ou d’une
décision de retrait de l’autorisation accordée.
Les autorités de protection peuvent prononcer des sanctions pécuniaires à l’égard des
responsables de traitement DCP pouvant aller d’un (1) million à cent (100) millions de franc
CFA33.
La responsabilité civile du responsable de traitement peut être engagée en raison du
préjudice direct et personnel subit par le personnel victime se ses négligences.
De plus, les sanctions pénales sont prévues par l’article 33 de l’Acte additionnel de la
CEDEAO, lequel donne compétence au juge répressif de pouvoir connaitre du contentieux
sur les données personnelles. La saisine du juge pénal est ouverte aussi bien à la commission
de protection qu’aux personnes dont les données font l’objet de traitement. Elle peut être
également d’office.
Pour ce qui est de l’action de la personne concernée, celle-ci dispose d’un recours
juridictionnel. Le juge étant considéré comme le « protecteur naturel des droits » des
individus, l’intervention d’une autorité de protection ne doit pas faire obstacle à la possibilité
pour tout individu, d’exercer un recours juridictionnel.
Les victimes des agissements d’un responsable de traitement peuvent donc saisir les
juridictions répressives à faire condamner à des peines d’amendes et/ou de peines
d’emprisonnements34
30
C’est un rappel à l’ordre destiné à inviter le responsable du traitement à respecter la règlementation en
vigueur, il peut être rendu public à titre d’exemple la CDP Sénégal a prononcé plusieurs avertissements :
Délibération n°2014-018/CDP du Sénégal du 30 avril 2014, société AK-Project ; Délibération n°2014-019/CDP
du Sénégal du 30 avril 2014, société CEGINUS ; Délibération n°2014-015/CDP du Sénégal du 3 avril 2014,
EXPRESSO Sénégal SA.
31
« Un avertissement peut s’accompagner d’une mise en demeure. Le plus souvent elle prévoit de faire cesser
le manquement constaté dans un délai déterminé. Ce délai tiendra compte de la gravité du manquement, de
l’urgence et du temps nécessaire pour la régularisation de la situation (...) la mise en demeure de faire cesser
un manquement n’est pas subordonnée à l’existence préalable d’un avertissement. En cas d’urgence, une mise
en demeure peut être prononcée d’office » Explique le Docteur Mouhamadou LO dans la protection des
données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017 p. 182-183.
32
Les mesures portant cessation d’un traitement ou retrait d’une autorisation ou d’un récépissé, prévues par
quelques les commission de protection, ne sont prises qu’après une mise en demeure infructueuse voir
délibération n°2016-302/CDP du Sénégal du 19 février 2016, société ABDXMEDIA- dans cette affaire la CDP
reprochait au responsable du traitement la collecte déloyale des données personnelles à partir de recherches
d’adresses sur les pages web et réseaux sociaux, l’absence d’information préalables des personnes concernées
et l’envoi de courriers électroniques de prospection commerciale sans autorisation.
33
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
34
Emprisonnement allant de 1 an à 5ans et une amende de 500.000 à 10.000.000. Au Sénégal AJOUTE LA LOI
ET LARTICLE

15
SECTION 2 : LE STATUT DE L’AUTORITÉ ADMINISTRATIVE DE
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

La création d’une autorité de protection représente une grande avancée dans le

processus de protection de la vie privée des citoyens. Toutefois, ces instances diffèrent selon
leur degré d’autonomie vis-à-vis du pouvoir en place dans les différents Etats en tant
qu’autorité administrative indépendante (Paragraphe 1), et leur composition hybride
(Paragraphe 2).

PARAGRAPHE 1 : L’INDÉPENDANCE DES ORGANISMES DE

PROTECTION

L’indépendance est la clé de voute des autorités de protection. Pour remplir de

manière effective leur mission, ces instances sont qualifiées d’autorités administratives
indépendantes35. L’indépendance est garantie lorsque plusieurs critères cumulatifs sont
constatés, notamment le mode de désignation des membres 36, la fixation de la durée des
mandats37, le respect du principe d’inamovibilité 38, l’immunité des membres39, l’obligation de
prêter serment40, l’autonomie financière (A) et l’autonomie administrative (B).

A- : L’AUTONOMIE FINANCIÈRE DES AUTORITÉS DE

PROTECTION

35
Voir la loi n°001/2011 du 25 septembre 2011 du Gabon ; art 11.1.B de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel.
36
En Afrique ; le mode de désignation des membres fait intervenir le plus souvent les plus hautes autorités du
pays (CDP Sénégal- Décret du Président de le République ; CNPDCP Gabon- Décret pris en Conseil de
Ministres).
37
4 ans au Sénégal et 5ans au Gabon renouvelables une fois.
38
Voir art. 25 al. 3 de la loi n°001/2011 du 25 septembre 2011 du Gabon
39
« Les membres des autorités de protection jouissent d’une immunité pour les opinions émises dans
l’exercice de leurs fonctions. Outre la consécration de ce principe par la plupart des pays, la convention
africaine sur la cybercriminalité et la protection des données à caractère personnel en son article 11-7 le
prévoit expressément en parlant d’une immunité totale » ; Explique le Docteur Mouhamadou LO dans la
protection des données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017
p.149-150.
40
Les membres des autorités de protection, avant leur entrée en fonction, prêtent serment devant une
instance judiciaire (au Gabon c’est le tribunal de 1ere instance de Libreville).

16
 Toute autorité de protection doit disposer de moyens suffisants pour exercer ses
missions41. Ses crédits sont inscrits le plus souvent au budget de l’État. Toutefois, le
rattachement des budgets varie d’un pays à un autre 42. Le Président de l’institution est
l’ordonnateur des recettes et des dépenses. Pour renforcer l’indépendance de ces instances de
régulation, les mécanismes de financement, hors budget, sont encadrés. Certains législateurs
interdisent aux autorités de protection de recevoir des financements d’un individu, d’un
organisme ou d’un État étranger que par l’intermédiaire des structures de compétences de
coopération. C’est l’exemple du Sénégal43 et du Gabon44.

B- L’AUTONOMIE ADMINISTRATIVE DES INSTANCES

CHARGÉES DE LA PROTECTION DES DONNÉES À CARACTÈRE
PERSONNEL

Les autorités de protection ne reçoivent ni d’injonction ni d’instruction, directement

ou par l’intermédiaire de ses membres, d’aucune autorité. Cette autonomie est prévue dans la
grande majorité des pays africains45. Pour renforcer ce principe, l’article 38 de la loi n°010-
2001/AN portant protection des données à caractère personnel du Burkina Faso précise que «
les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées,
responsables de groupements divers et plus généralement les détenteurs ou utilisateurs des
fichiers nominatifs doivent prendre toutes mesures utiles afin de faciliter la tâche de la
Commission de l’informatique des libertés. Ils ne peuvent s’opposer à son action pour
quelques motifs que ce soit ». Cette même disposition est présente également dans la loi du
Gabon en son article 29 alinéa 2.
L’organisation souple des autorités de protection est aussi caractérisée par le
personnel très réduit au sein de ces instances.

PARAGRAPHE 2 : LA COMPOSITION DES AUTORITÉS DE

PROTECTION

41
L’article 8 de la loi 2008-12 du 25 janvier 2008 au Sénégal ; art.28 de la loi n°001/2011 du 25 septembre 2011
du Gabon.
42
Décret n°2012-1223 du 5 novembre 2012 portant répartition des services de l’Etat du Sénégal.
43
Art. 15 de la loi de 2008
44
Art. 41 de la loi de 2011
45
Art. 29 al 1er de la loi de 2011 Gabon

17
 La composition des autorités dépend des États et des moyens mis à disposition. Les
critères de recrutement (A) varient également selon les législations. Une telle institution
requiert un personnel qualifié (B).

A-LES CRITÈRES DE NOMINATION DES MEMBRES

Certains législateurs exigent que les membres des autorités de protection possèdent «
des compétences techniques, juridiques, économiques, financières, ainsi qu’une expertise
dans le domaine de la protection des droits des technologies de l’information et de la
communication »46. La composition des autorités de protection varie d’un pays à un autre :
Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont désignés
comme suit : trois personnalités désignées par le Président de la République, dont le Président
de la Commission ; un Magistrat membre du Conseil d'État désigné sur proposition du
Président du Conseil d'État ; un Magistrat membre de la Cour de cassation désigné sur
proposition du Premier Président de la Cour de cassation ; un Avocat désigné par l'Ordre des
Avocats ; un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie de
l'information et de la communication désigné par le ministre en charge de l'Economie
Numérique .
S’agissant des Commissaires non permanents, ils sont désignés comme suit : un (1) député
désigné par le Président de l’Assemblée nationale ; un (1) sénateur désigné par le Président
du Sénat ; un (1) Commissaire du Gouvernement désigné par le Premier ministre ; un (1)
représentant du Patronat gabonais désigné par ses pairs.47
Au Sénégal, il est fait état de 11 onze membres répartis comme suite : trois
personnalités désignées par le Président de la République ; un (1) député désigné par le
Président de l’Assemblée nationale ; un (1) sénateur désigné par le Président du Sénat ; un (1)
représentant du Patronat gabonais désigné par ses pairs ; un Magistrat membre du Conseil
d'État désigné sur proposition du Président du Conseil d'État ; un Magistrat membre de la
Cour de cassation désigné sur proposition du Premier Président de la Cour de cassation ; un
Avocat désigné par le Bâtonnier de l'Ordre des Avocats du Sénégal ; un représentant des
organisations de défense des droits de l’homme désigné par le ministre de la Justice ; le
Directeur de l’Agence de l’Informatique de l’État48.

46
Art. 16 de la loi de 2011 Gabon
47
Art 17 et suivant de la loi de 2011 Gabon
48
Art .6 de la loi 2012-12 du 25 janvier 2012 au Sénégal

18
B- LE PERSONNEL DES AUTORITÉS DE PROTECTION

Les autorités de protection disposent d’un personnel pourvu par l’État et peuvent
recruter des agents conformément à la législation du Code du travail 49. Ce personnel est
reparti le plus souvent dans les services administratifs, juridiques, techniques et de contrôle.
Vu la charge du travail, la plupart des autorités de protection fonctionnent avec un Secrétariat
général qui assure l’administration de l’instance50. Il est nommé par décret au Gabon ou
directement par le président de l’autorité au Sénégal.

CHAPITRE 2 : LE FONDEMENT DE LA PROTECTION DES

DONNÉES À CARACTÈRE PERSONNEL DANS L’ÉCONOMIE
NUMÉRIQUE

La règlementation sur les données à caractère personnel fixe des normes applicables à
un territoire déterminé. Il relève alors d’une grande importance de démontrer comment
identifier les données qui entrent dans le champ de la protection, celles qui en sont excluent
(Section 1) et d’analyser l’objectif de la protection de ces données (Section 2).

SECTION 1: L’IDENTIFICATION DES DONNÉES PROTÉGEABLES

ET NON PROTÉGEABLES PAR LA RÉGLEMENTATION

49
Art. 36 de la loi de 2011 Gabon
50
Art. 37 de la loi de 2011 Gabon

19
 Le droit à la protection des données à caractère personnel est un droit autonome avec
un champ d’application bien déterminé. Il relève alors d’une grande importance de démontrer
comment identifier les données qui entrent dans le champ de la protection (Paragraphe 1) et
celles qui en sont exclues (Paragraphe 2).

PARAGRAPHE 1: LES CARACTÈRES DES DONNÉES

PROTÉGEABLES

Le vocabulaire utilisé dans la réglementation portant sur les DCP est différent d’un
pays à un autre. Ainsi, il convient d’examiner ce que l’on entend par DCP (A) et par données
sensibles (B).

A- LA DÉTERMINATION DES DONNÉES DITES A CARACTÈRE

PERSONNEL :

Toute information relative à une personne physique identifiée ou identifiable directement

ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments,
propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou
économique51, est considérée comme donnée à caractère personnel.
Il est communément admis de définir une donnée à caractère personnel comme
« Toute information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification ou à un ou
plusieurs éléments qui lui sont propres »52.

Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une
appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait.
Si l’identification53 ou «l’identifiabilité » des personnes concernées par les données
est au cœur de la définition de la notion de données à caractère personnel 54, certains
spécialistes de la matière ont considéré que cette identification ou cette identifiabilité était
51
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 7 de la loi n°1/2011 du 25
septembre 2011 relative à la protection des données à caractère personnel au Gabon.
52
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, France
53
« Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les aspects techniques
de la régulation des données personnelles : la question du numéro IP, in La régulation des données
personnelles, LEGICOM, n° 42 – 2009/1, p. 128

54
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005. L’identification est
présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les données et informations à
caractère personnel. Essai sur la notion et ses fonctions, Thèse de doctorat en droit, Université de Nantes, 14
décembre 2007

20
insuffisante et de proposer la « contactabilité » comme critère de définition de la notion de
données à caractère personnel55. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »56.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme des
identifiants, des données biométriques, un numéro de carte bancaire ou des données de
localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus
pratiques et simples de la définition de la notion de données à caractère personnel, nous
citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les
erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle57.

B-LE PARTICULARISME DES DONNÉES SENSIBLES

Parmi la catégorie des DCP, certaines sont qualifiées de données dites sensibles. Leur
traitement est particulier et fait l’objet d’une protection juridique renforcée. Ainsi, «toutes les
données à caractère personnel relatives aux opinions ou activités religieuse, philosophique,
politique, syndicales, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux
58
poursuites, aux sanctions pénales ou administratives » sont considérées comme données
sensibles.59
55
La contactabilité comme nouveau critère de définition de la notion de données à caractère personnel et
d’application de la loi vaudrait chaque fois que « des données permettent ou non de contacter un individu,
d’influencer son comportement ou de prendre une décision vis-à-vis de lui" peu importe que ces données
permettent ou non l’identification des personnes. (Y. Poullet, A. Rouvroy, D. Darquennes, Le droit à la
rencontre des technologies de l’information et de communication : le cas du RFID, in Cahiers Droit, Sciences &
Technologies, n° 1, avril 2008, CNRS Editions, pp. 129-130). Moins qu’une focalisation sur des données
permettant d’identifier les personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-
à-vis de certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième génération de
réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
56
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche
scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à
l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction
57
Voir annexe
58
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 9 de la loi n°001/2011 du
25 septembre 2011 relative à la protection des données à caractère personnel au Gabon ;
59
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère personnel :Le
traitement des données sensibles (appelées « catégories particulières »), qui révèlent l’origine raciale ou
ethnique, la religion, les opinions politiques, syndicales ou religieuses, la génétique, la biométrie, la santé ou la
sexualité, est interdit, sauf si :• la personne concernée a donné son consentement ou a déjà rendu ces
données publiques, ou si• le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou

21
 La notion de données de santé suscitant beaucoup de débats, le législateur européen a
profité de ce texte pour en donner une définition, ainsi que des données génétiques
et biométriques :
« Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires
ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie
ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un
échantillon biologique de la personne physique en question » donnée génétique ;
« Les données à caractère personnel résultant d’un traitement technique spécifique,
relatives aux caractéristiques physiques, physiologiques ou comportementales d’une
personne physique, qui permettent ou confirment son identification unique, telle que des
images faciales ou des données dactyloscopiques » données biométriques ;

« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne
physique, y compris la prestation de services de soins de santé, qui révèlent des informations
sur l’état de santé de cette personne » Données concernant la santé.

PARAGRAPHE 2 : LES DONNÉES NON PROTÉGEABLES.

Une base de données peut également contenir des données brutes 60 c’est-à-dire des
données qui ne remplissent pas les conditions fixées par la commission de protection, il s’agit
des données anonymisées ou pseudonymisées (A), mais il existe des exceptions d’usage privé
(B).

A-LES DONNÉES ANONYMISÉES OU PSEUDONYMISEES

Les données anonymisées sont exclues du champ d’application de la réglementation.
Il s’agit de données ne concernant pas une personne physique ou de données personnelles
ayant été rendues anonymes de manière irréversible, c’est-à-dire via un processus permettant
de garantir que la personne concernée ne pourra pas être identifiée à nouveau.
si• le traitement est effectué par une association ou un organisme syndical, religieux, politique, etc., pour la
gestion de ses membres et de ses contacts, ou si• le traitement est nécessaire à l’exercice de droits en matière
de droit du travail ou de protection sociale, et autorisé par une mesure légale ou conventionnelle, ou si• le
traitement est nécessaire à l’exercice de droits en justice, ou pour des motifs d’intérêt public, ou si• le
traitement est nécessaire à la médecine préventive ou aux soins et traitements de santé, ou si• le traitement
est nécessaire à des fins d’archivage d’intérêt public ou à des fins historiques, statistiques ou scientifiques
60
https://www.app.asso.fr/centre-information/base-de-connaissances/code-bases-de-donnees/le-regime-de-
protection-des-donnees/do

22
 Cette catégorie de donnée doit être distinguée des données pseudonymisées. Celles-
ci restent qualifiées de données à caractère personnel, car elles restent attachées à la
personne concernée à l’aide d’un identifiant. Les données sont dites pseudonymes
lorsqu’elles ne peuvent « plus être attribuées à une personne concernée précise sans
avoir recours à des informations supplémentaires ».
Ces données supplémentaires doivent, en outre, être « conservées séparément et
soumises à des mesures techniques et organisationnelles » afin de garantir qu’une
information ne soit pas attribuée à une personne physique. L’utilisation de données
pseudonymes permet cependant de réduire le risque pour les personnes concernées. En
effet, en cas de perte ou de vol, l’identité de l’individu n’est pas directement exposée. Il
est nécessaire de disposer de la table reliant les identifiants à l’identité des individus.

B-L’EXCEPTION D’USAGE PRIVÉE

Les activités purement personnelles ou domestiques sont exclues du champ d’application

de la réglementation. Les activités quotidiennes peuvent justifier de collecter des données
personnelles (par exemple la tenue d’un fichier d’adresses, ou d’une liste de contacts,
l’utilisation de réseaux sociaux, etc.). Pour autant, si ce traitement est utilisé à des fins
uniquement personnelles et « sans lien avec une activité professionnelle ou commerciale », il
n’est pas soumis au respect du RGPD. À noter cependant que les responsables du traitement
et les sous-traitants proposant des outils ou des solutions technologiques pour procéder à ces
traitements doivent respecter le RGPD. Ainsi, le fabricant d’un bracelet électronique utilisé à
des fins purement personnelles par ses utilisateurs sera tenu de mettre en œuvre le principe de
Privacy by design et Privacy by default61.

SECTION 2: L’OBJECTIF DE LA PROTECTION DES DONNÉES À

CARACTÈRE PERSONNEL

Pour être admissible, tout traitement de données à caractère personnel doit répondre à
un certain nombre d'exigences de fond. Vous devez donc respecter les principes suivants
lorsque vous êtes amenés à traiter des données à caractère personnel:

61
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche de
l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le concept de “Privacy
by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles
applications technologiques et commerciales dès leur conception

23
 Pour envisager sereinement la mise en conformité d’un traitement de données
personnelles avec le Règlement européen relatif à la protection des données (RGPD), il faut
connaître les grands principes prévus par le texte.

Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données.
Le RGPD consolide donc les droits existants comme le droit à l’information et crée
parallèlement de nouveaux droits notamment le droit à la portabilité, à l’oubli et à la
limitation du traitement. Il reste important d’analyser les principes de sécurité (Paragraphe
1) et de confidentialité (Paragraphe 2).

PARAGRAPHE 1 : LA SÉCURISATION ET LE RESPECT DE LA

CONFIDENTIALITÉ DES INFORMATIONS TRANSMISES PAR LES
MOYENS NUMÉRIQUES

L’auteur de manipulation ou traitement d’un fichier contenant des informations

personnelles doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit
en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.

Le responsable des traitements de données doit s'assurer que les données sont sécurisées
et que des tiers non autorisés n'y aient pas accès ; cette obligation s'étend en cas de sous-
traitance de l’utilisation des données.

La décision de collecter les données personnelles crée des obligations pour celui qui en a
pris la décision. C’est pourquoi les renseignements sur les données à caractère personnel
imposent aux maitres des traitements une obligation de confidentialité (B) et de sécurité (A).

A- LA SÉCURISATION DES DONNÉES ET INFORMATIONS

NUMÉRIQUES

Le recours à la technologie explique la nécessité de garantir une sécurité identique

dans le monde matériel et sur les réseaux numériques. A cet effet, toute personne qui
effectue, personnellement ou par une tierce personne, le traitement de données à
caractère personnel, est tenu à l’égard des personnes concernées de prendre toutes
précautions nécessaires pour assurer leur sécurité et empêcher les tiers de procéder à
leur modification, à leur altération ou à leur consultation sans autorisation62.
62
Art. 66 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; art 21 de la convention africaine sur la cybersécurité et la protection des données à

24
 Cette obligation se traduit donc par la nécessité de mettre en œuvre des mesures de
sécurité physique (verrous aux portes, coffre-fort…) et des mesures de sécurité logique
(gestion des habilitations, contrôle des accès, cryptage des données…).
Les précautions, prévues par les différentes législations, doivent garantir un niveau de
sécurité.

Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement,

celui-ci doit choisir un sous-traitant qui apporte des garanties suffisantes en matière de
confidentialité et de sécurité63.

Toutefois, cette exigence n’exonère pas le responsable du traitement de son obligation de

veiller au respect de ces mesures. Le sous-traitant ne peut agir que sur instruction du
responsable de traitement64.

Ainsi les informations échangées entre le cyberacheteur et le cybercommerçant se

rapportent au nom, numéro d’identification, adresse ou autres...

B- LE PRINCIPE DE RESPECT ET DE CONFIDENTIALITÉ DES

DONNÉES NUMÉRIQUES

Le traitement des données à caractère personnel est confidentiel. À cet effet, selon
Oumarou Ag Mouhamed Ibrahim Haidara, président de l’APDP, « le recours aux outils
technologiques qui nécessite l’agrégation des données personnelles entraine certaines
dérives, notamment en ce qui concerne leur confidentialité »65. Cette exigence est présente
donc de manière quasi similaire dans le droit de plusieurs pays66.

La réponse à cette préoccupation est « tout responsable du traitement doit mettre en

œuvre les mesures techniques et organisationnelles appropriées pour protéger les données
collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la
diffusion ou l’accès, notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement illicite »

caractère personnel.
63
Art. 64, 65 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ;
64
Article 70 de la loi n°2008-12 du 25 janvier 2008 du Sénégal.
65
Journal « l’essor » du 11/03/2016 : lancement des activités de l’APDP Mali.
66
Art. 38 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; art. 13 de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel

25
 Par ailleurs, l’obligation de confidentialité exige un engagement écrit et signé. À titre
d’exemple, chaque responsable de traitement doit prévoir des dispositions relatives à la
règlementation sur les données personnelles dans les contrats avec ses partenaires.
L’obligation de confidentialité, s’imposant aux responsables du traitement et aux sous-
traitants, est intimement liée à l’obligation de sécurité.

Prenons le cas de JUMIA Sénégal, un célèbre site de vente en ligne, qui reçoit de
nombreuses commandes d’article de tout genre. Plusieurs consommateurs en passant leurs
commandes, doivent se faire enregistrer et pour se faire il est nécessaire d’insérer des
données permettant d’identifier les clients individuellement. Le responsable du traitement ici
est tenu de respecter les principes de protections de données à caractère personnel.

PARAGRAPHE 2 : LE RESPECT DES DROITS DES PERSONNES

INTERVENANT DANS LES TRANSACTIONS ÉLECTRONIQUES

En cas de rectification ou d’effacement des données ou de limitation du traitement, le

responsable du traitement doit notifier l’information à chaque destinataire des données « à
moins qu’une telle communication se révèle impossible ou exige des efforts
disproportionnés ».

Les personnes doivent être informées de l'existence du traitement de leurs données et

ces mêmes personnes ont le droit d'accéder, de modifier ou supprimer ces données ; enfin, il
est possible de s'opposer à l'utilisation de ces données pour de la prospection commerciale.
Les données à caractère personnel doivent être traitées de manière licite, loyale et
transparente au regard de la personne concernée.

La collecte, l’enregistrement, l’utilisation et la transmission de données personnelles

doivent se faire en conformité au règlement, de bonne foi, et non pas à l’insu de la personne
concernée.

Les droits reconnus par les différentes législations aux personnes dont les données à
caractère personnel font l’objet d’un traitement constituent le fondement même de la
protection desdites données. Il s’agit du droit à l’information, du droit d’accès (A), mais,
également d’opposition de rectification et de suppression (B).

26
A-LE DROIT A L’INFORMATION ET LE DROIT D’ACCÈS

Le droit à l’information est le premier droit des personnes concernées et l’un des plus
importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits par leur
titulaire. Si la personne concernée ignore qu’une entreprise traite ses données, elle ne sera pas
en mesure de demander l’accès à ces informations, leur rectification ou de s’opposer au
traitement. L’article 1367 fixe la liste68 des informations à communiquer à la personne
concernée.

Le responsable du traitement doit mentionner : son identité et ses coordonnées ainsi que le
cas échéant celles du DPO69; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être précisé) ; les
destinataires des données ; le cas échéant, l’existence d’un transfert et les garanties mises en
place pour permettre ce transfert ; la durée de conservation des données (ou les critères
utilisés pour déterminer cette durée) ; les droits des personnes concernées (accès,
rectification, droit de retirer son consentement, etc.),

Dans le cadre de la RGPD. il est institué un droit de réclamation auprès de la CNIL ; L’article
14 de la RGPD est dédié aux informations à communiquer en cas de collecte indirecte, c’est-
à-dire dans l’hypothèse où les données ne sont pas fournies directement par la personne, mais
par un tiers. Ces deux listes sont pratiquement identiques, il faut cependant préciser, en
cas de collecte indirecte, les catégories de données et la source des données.

Au vu du volume d’information à transmettre, le CEPD 70 précise, dans ses lignes

directrices sur la transparence, que l’information peut être délivrée « en couches ». Ce
dispositif permet d’afficher, en bas de page ou sur un formulaire de collecte en ligne, une
mention d’information plus courte avec des liens renvoyant à l’intégralité de la mention. Ces
informations pourront également « être fournies accompagnées d’icônes normalisées » afin
d’accroître leur lisibilité. C’est la Commission européenne qui est chargée d’adopter ces
icônes par actes délégués.
67
Article 13 EU RGPD
"Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne
concernée
68
Article 58 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; Art. 59 de la loi n°001/2011 du 25 septembre
2011 relative à la protection des données à caractère personnel au Gabon
69
Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne
chargée de la protection des données au sein d'une organisation.
70
Est une autorité de contrôle indépendante qui a pour mission première d’assurer que les institutions et
organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des
données à caractère personnel et élaborent de nouvelles politiques.

27
 Le droit d’accès (peut-être direct ou indirect) est défini comme le droit reconnu à toute
personne physique, tout héritier ou tout tuteur, justifiant de son identité, d’interroger le
responsable d’un traitement de DCP en vue d’obtenir la communication, sous une forme
accessible intelligible ou compréhensible, des informations qui la concernent.

Concrètement, l’exercice du droit d’accès permet à la personne concernée de disposer

d’information sur le traitement de ses données, notamment la finalité, la catégorie des
données traitées, les destinataires ou les transferts éventuels envisagés à destination d’un pays
tiers71.

B-LES DROITS D’OPPOSITION, DE RECTIFICATION ET DE

SUPPRESSION DES INFORMATIONS DANS LES TRANSACTIONS
ÉLECTRONIQUES

Le droit d’opposition est une mesure permettant aux individus de protéger eux-mêmes
leurs données. Ce principe signifie que « toute personne physique a le droit de s’opposer,
pour des motifs légitimes, valables et sérieuses à ce que des données à caractère personnel la
concernât fassent l’objet d’un traitement ».

En pratique ce droit s’exerce au moment de la collecte d’information ou, au plus tard,

en envoyant un courrier au responsable du fichier. Elle peut donc s’opposer au traitement de
ses données.

L’opposition est de droit en matière de prospection commerciale. Cependant les

traitements donnant lieu à l’exercice de ce droit à ceux : reposant sur l’exécution d’une
mission d’intérêt public ou relevant de l’intérêt public dont est investi le responsable du
traitement ; nécessaires aux fins des intérêts légitimes poursuivis par le responsable du
traitement ou par un tiers sont limités.

Le droit de rectification et de suppression quant à lui, peut être exigé, par toute
personne physique justifiant de son identité au responsable d’un traitement que soient, selon
les cas, rectifiés, complétés, mis à jour, verrouillé ou supprimé, les données à caractère

71
; Art. 7 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.

28
personnel la concernant, qui sont inexactes, incomplètes, équivoques, primées, ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite 72.

La personne concernée a le droit d’interroger le responsable du traitement pour savoir

s’il traite des données la concernant et d’obtenir une copie de ces informations. Cette
communication doit être accompagnée d’une liste de mentions. Elle doit être faite dans des
termes clairs et simples, ainsi les codes sous lesquels l’information peut être stockée devront
donc être traduits.

DEUXIÈME PARTIE: LES MODALITÉS DE PROTECTION DES

DONNÉES DANS LE COMMERCE ÉLECTRONIQUE

Dans le domaine du commerce électronique, comme ailleurs, les données à caractère

personnel sont devenues des ressources indispensables au point de fonder les bases d’une
nouvelle économie dites « économie des données ». L’information personnelle se présente
comme « un bien économique de première importance » 73, une ressource fondamentale au
même titre que l’énergie et est donc intégrée dans un véritable marché 74 . Les informations
collectées sur les personnes sont nombreuses. Aux données de bases fournies par les personnes
elles-mêmes, les applications numériques permettent également de collecter, enrichir et de créer
de nouvelles données utiles pour le commerce électronique (exemple des algorithmes
prédictifs75 ).
Le commerce électronique ou vente en ligne désigne l’échange de biens et de
services entre deux entités sur le réseau internet ou via les réseaux téléphoniques
mobiles.
L’essor de l’internet et du commerce électronique a créé des menaces sans
précédent pour le respect de la vie privée du client consommateur. En effet, les sites de
vente en ligne sont souvent très imprudents quant à la protection des données
personnelles des consommateurs dans la mesure où ils minimisent les risques de vol ou
72
; Art. 14 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ; Article 69 de la loi n°2008-12 du 25 janvier 2008 du Sénégal
73
Groupe de l’article 29, Avis n° 7/2003 sur la réutilisation des informations émanant du secteur public et la
Protection des données à caractère personnel – Trouver le juste milieu – 10936/03/FR, GT 83, 12 décembre
2003, p. 2
74
5 A. Belleil, e-privacy. Le marché des données personnelles : protection de la vie privée à l’âge d’Internet,
Dunod, 2001
75
Lêmy D. Godefroy, Pour un droit du traitement des données par les algorithmes prédictifs dans le commerce
électronique, Recueil Dalloz, 2016, p. 438

29
d'utilisation frauduleuse des données personnelles : usurpation, fraude à la carte
bancaire, etc.
Protéger les données dans le commerce électronique demande un encadrement
légal du processus de contractualisation (Chapitre 1), mais aussi, des moyens de
régulation de certains types de traitement portant sur ces données (Chapitre 2).

CHAPITRE 1 : L’ENCADREMENT LÉGAL DU PROCESSUS DE

CONTRACTUALISATION

Le commerce électronique désigne l’activité économique par laquelle une

personne propose ou assure à distance et par voie électronique la fourniture de biens ou
de services ; « Les activités consistant à fournir des informations en ligne, qu’elles
soient rémunérées ou non, relèvent du commerce électronique conformément aux
dispositions de l’article 8 de la loi sur les transactions électroniques76 ».
Une recommandation de l’OCDE77 du 24 mars 2016 énonce certains principes
généraux au titre de « La protection du consommateur dans le commerce électronique »
que les entreprises sont invitées à respecter. Elle leur recommande notamment de
fournir aux cyberconsommateurs des niveaux de protection au moins équivalents à ceux
dont ils bénéficient dans l’univers physique par exemple; d’agir de façon loyale, au
travers du prisme de la bonne foi, en matière de commerce, de publicité ou de
marketing; de procurer des informations « claires, précises, exactes, facilement
accessibles et bien visibles » à leurs propos, mais également concernant les biens et
services proposés; de respecter la vie privée des internautes et de leur fournir des
niveaux de sécurité satisfaisants; et de participer à l’amélioration des compétences
numériques des consommateurs. Cette nouvelle recommandation vise donc à prendre
en considération tant la complexification de l’univers numérique, afin d’offrir une

76
Art. 3 du DECRET n° 2008-718 du 30 juin 2008 relatif au commerce électronique pris pour l’application de la
loi n° 2008 -08 du 25 janvier 2008 sur les transactions électroniques.
77
L'Organisation de coopération et de développement économiques est une organisation internationale
d'études économiques, dont les pays membres (des pays développés pour la plupart) ont en commun
un système de gouvernement démocratique et une économie de marché.

30
protection efficace aux consommateurs, que les innovations qui émergent sur ce
marché.
La consécration de nouvelles obligations dans les transactions électroniques
(Section 1) la sécurisation des transactions en ligne (Section 2) sont des moyens
d’encadrer le processus de contractualisation.

SECTION 1 : LA CONSÉCRATION DE NOUVELLES OBLIGATIONS

DANS LES TRANSACTIONS COMMERCIALES ÉLECTRONIQUES

Afin de gagner la confiance des clients et de satisfaire aux exigences légales, une
entreprise exploitant un site de commerce 78 doit appliquer une politique stricte de protection
des données personnelles dans la moindre transaction qu’elle réalise. De ce fait, il
conviendrait de traiter successivement : les obligations rattachées à la prospection en ligne
(Paragraphe 1) et le respect des libertés fondamentales par les acteurs du commerce
électronique (Paragraphe 2).

PARAGRAPHE 1: LES OBLIGATIONS RATTACHÉES A LA

PROSPECTION EN LIGNE

La voie électronique peut être utilisée pour mettre à disposition des conditions
contractuelles ou des informations sur des biens ou services 79. La prospection est un
processus commercial consistant, pour une entreprise, à rechercher des clients
potentiels (appelés des prospects) afin d'en faire des clients réels. C'est une étape
stratégique dans le processus de développement d'une société cherchant à accroître son
marché.
Elle nécessite au préalable la constitution ou l'acquisition d'une base de données
permettant de mettre en place un plan de prospection. En fonction de ses objectifs et
des clients visés, la prospection peut être gérée par les commerciaux ou par les
78
Le commerce électronique ou vente en ligne désigne l’échange de biens et de services entre deux entités sur
le réseau internet ou via les réseaux téléphoniques mobiles, L’essor de l’internet et du commerce électronique
ont créé des menaces sans précédent pour le respect de la vie privée du client consommateur.
79
Art. 22 de la LOI n° 2008-08 du 25 janvier 2008 sur les transactions électroniques.

31
publicitaires. Outre les annonces publicitaires, ces derniers disposent de quatre outils
principaux : le mailing (ou publipostage), le faxing (essentiellement utilisé dans le
B2B), le phoning (ou prospection téléphonique) et le meeting (ou prospection
physique).
Cette nouvelle obligation visant principalement les prestataires de services en
ligne a été mise en place dans un souci de transparence envers le consommateur (A),
mais aussi, de loyauté et de confidentialité dans les transactions électroniques (B).

A-L’OBLIGATION DE TRANSPARENCE DU CYBERCOMMERÇANT

Pour que le consommateur soit correctement informé avant de s’engager, le législateur

a créé un dispositif d’information. Le cyberconsommateur doit avoir la possibilité de
connaître les informations concernant l’éditeur du site, le cybercommerçant et les
caractéristiques essentielles du produit ou du service. La loi impose au cybercommerçant de
communiquer de nombreuses informations à l’acheteur, sur support durable, avant même que
la commande ne soit passée.

Dès lors que des données à caractère personnel sont collectées sur les utilisateurs ou
clients du site, un certain nombre d’obligations complémentaires doivent être respectées, en
vertu de la législation informatique et Liberté, notamment une déclaration à la CNIL et des
mentions à publier sur les formulaires de collecte d’information.

Il en sera de même pour les opérations de prospection commerciales mises en œuvre

par le cybercommerçant, qui doivent non seulement respecter ces règles, mais aussi celles
concernant plus spécifiquement la prospection directe par email, fax ou SMS80.

Lorsque ces publicités sont communiquées par courrier électronique, leur nature, leur
contenu et leurs modalités doivent être clairement identifiés et de manière non équivoque, et
cela dès la réception du message ou, en cas d’impossibilité technique, dans le corps du
message.

Ces messages doivent aussi indiquer une adresse ou moyen électronique permettant
effectivement au destinataire de transmettre une demande visant à obtenir que ces publicités

80
https://www.lesbros-avocats.com/les-obligations-a-respecter-par-les-sites-de-commerce-electronique/

32
cessent. Les conditions d’accès aux offres ou de participation aux concours doivent de la
même manière être accessibles facilement et clairement.

La transparence est obligatoire vis-à-vis de l'utilisateur sur ce que fait la plateforme 81

(critères de choix, critères sur l'ordre, etc.) ; pour lui permettre un contrôle de ce que fait
l'afficheur (modifier les choix) et lui garantir qu’il peut utiliser un autre afficheur (dans le cas
des plateformes, cela entraine une obligation de portabilité des données, pour changer de
plateforme, l'afficheur étant intégré).

B- L’OBLIGATION DE LOYAUTÉ ET DE CONFIDENTIALITÉ DANS

LES TRANSACTIONS ÉLECTRONIQUES

Les responsables de traitement doivent s’assurer que les données collectées aux
fins de prospection directe sont licites et loyales au sens de l’article 34 de la loi sur les
données personnelles au Sénégal.
Le cybercommerçant ne doit pas recourir à des pratiques commerciales
déloyales ou trompeuses. Le devoir de loyauté a été mis en place pour les plateformes
numériques qui seront désormais dans l'obligation d'informer les internautes de leurs
méthodes de référencement des différents services, produits et contenus proposés à un
internaute.82
L’obligation générale de loyauté pesant sur les opérateurs de plateformes en
ligne.
S’il existait déjà à la charge des plateformes en ligne une obligation de délivrer une
information loyale, claire et transparente aux consommateurs, la loi pour une
République numérique83 a pour objet de la renforcer. L’obligation générale de loyauté 84
pesant sur les opérateurs de plateformes en ligne se décline désormais en trois volets.
D’une part, tout opérateur est tenu de préciser « les conditions générales
d’utilisation du service d’intermédiation qu’il propose et (…) les modalités de

81
toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un
service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen
d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2°
Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de
l’échange ou du partage d’un contenu, d’un bien ou d’un service.
82
https://www.lecomparateurassurance.com/6-actualites-assurance/109148-obligation-loyaute-transparence-
plateformes-numeriques-ont-jusqu-1er-janvier-2018
83
La loi pour une République numérique est une loi française initialement proposée par la secrétaire d'État au
numérique Axelle Lemaire et promulguée le 7 octobre 2016.
84
L'obligation de loyauté découle de l'obligation d'exécuter le contrat de bonne foi, ainsi les opérateurs de
plateformes ne doivent pas causer de tort aux consommateurs.

33
référencement, de classement et de déréférencement des contenus, des biens ou des
services auxquels ce service permet d’accéder ».
D’autre part, chaque opérateur doit divulguer « l’existence d’une relation
contractuelle, d’un lien capitalistique ou d’une rémunération à son profit, dès lors
qu’ils influencent le classement ou le référencement des contenus, des biens ou des
services proposés ou mis en ligne ». Enfin, les consommateurs doivent être informés de
« la qualité de l’annonceur et des droits et obligation des parties en matière civile et
fiscale, lorsqu’ils sont mis en relation avec des professionnels ou des non-
professionnels ». Un décret précisera les conditions d’application de cette obligation en
fonction de la nature de l’activité des opérateurs de plateformes en ligne.

De plus, avec l’objectif de protéger les consommateurs, les opérateurs de

plateformes en ligne dont l’activité dépasse un certain nombre de connexions devront
élaborer de bonnes pratiques et les diffuser aux consommateurs. L’autorité
administrative compétente pourra procéder à des enquêtes afin d’évaluer et de comparer
les pratiques adoptées par les différents opérateurs.
Il est donc important que les sociétés commerciales de cette façon puissent
disposer de moyens de contrôle et de mécanismes de sécurité convenables pour
protéger leurs transactions et établir des relations de confiance avec leurs partenaires
commerciaux. Dans cette optique, la signature électronique représente un composant
important de la sécurité pouvant servir à protéger les informations et à donner, foi au
commerce électronique.

PARAGRAPHE 2 : LE RESPECT DES LIBERTÉS FONDAMENTALES

PAR LES ACTEURS DU COMMERCE ÉLECTRONIQUE

La Déclaration des droits de l’homme et du citoyen du 26 août 1789 reconnaît

un droit à la sûreté, il faut l’entendre essentiellement comme une protection de
l’individu contre les abus du pouvoir.
Les utilisateurs s’échangent sans cesse des données personnelles sur internet, et ces
données sont mises en ligne parfois sur l’initiative même de l’utilisateur (inscription à un
forum sur internet, achat en ligne…) ou sans que celui-ci ne s’en rende compte (traçage,
inscription d’adresse IP, etc.). Pour éviter les débordements, et assurer sans cesse le respect
des droits fondamentaux « le respect de la vie privée des acteurs du commerce électronique

34
(A), le respect de l’ordre public et des bonnes mœurs (B) », il faut encadrer ces échanges de
données.

A- LE RESPECT DE LA VIE PRIVÉE DES ACTEURS DU COMMERCE

ÉLECTRONIQUE
L’essor des objets connectés, capables d’échanger des données et des
informations via internet, est aujourd’hui une préoccupation supplémentaire par rapport
au respect de la vie privée et à la protection des données personnelles.
Pour recevoir des courriers électroniques, le cyberconsommateur doit donner son
consentement préalable.
La CNIL considère que la prospection électronique dans le cadre professionnel
n’est pas soumise au consentement préalable. Le professionnel peut toutefois s’opposer
à l’utilisation commerciale de ses coordonnées.
La vie privée est un concept relativement récent, d’un point de vue aussi bien
sociologique que juridique. Des philosophes comme Aristote ont distingué vie publique
(du citoyen) et vie familiale ; Montaigne estimait qu’on n’est libre que si l’on peut
s’isoler pour réfléchir dans la sphère privée. Mais la notion juridique d’un véritable
droit à l’intimité et à la vie privée n’a pris corps qu’au XIXe siècle dans les pays
industrialisés. Elle est formalisée pour la première fois dans un article de 1890 de
Brandeis et Warren dans la Harvard Law Review, intitulé « The Right to Privacy ».
Il s’agissait déjà de protéger cette vie privée contre les intrusions de la
technologie et des médias de l’époque : la presse et la photographie.
Il reste à donner une définition de la « vie privée ». Le droit à la vie privée consiste à
pouvoir conserver une part d’intimité, ce qui doit certes s’entendre comme le droit à ne
pas voir certaines actions surveillées ou divulguées, mais qui recouvre également le
droit à ne pas subir des sollicitations ou des discriminations en fonction d’une vie
privée que l’on ne souhaite pas divulguer. Mais cette notion n’est pas précisée par le
droit.
C’est donc par une construction progressive de la jurisprudence que l’on constate, au
gré des jugements, que ce concept peut englober aussi bien le droit à l’intimité et le
droit au secret des correspondances écrites, téléphoniques et électroniques, que la
protection contre l’informatique, voire le droit à l’image(qui est pourtant plutôt d’ordre
patrimonial).

35
 Non seulement les jurisprudences ne permettent pas de dégager une définition
globale de la vie privée, mais il apparaît que le respect qui lui est dû n’est pas absolu :
la liberté d’expression ou l’intérêt public peuvent éventuellement justifier des atteintes
à ce droit. S’il n’existe pas de définition positive de la vie privée, peut-on recourir à une
définition négative, en l’opposant à la vie publique ?
Relèverait alors du domaine privé tout ce qui n’advient pas dans le domaine
public ou qui n’est pas porté à la connaissance du public par la personne
concernée. Mais il ne s’agit pas là non plus d’un critère absolu. La notoriété de la
personne concernée, le lieu où se déroulent les faits concernés, la volonté plus ou moins
affichée de communiquer sur sa vie privée ou au contraire de la protéger jouent
également leur rôle.
Prenons l’exemple des informations concernant la santé, qui forment une part
éminemment sensible de la vie privée de chacun ; la santé du président de la
République, un débat oppose depuis des décennies les partisans du secret à ceux de la
transparence.
Il convient de souligner la différence entre « vie privée » et « données personnelles ».
Si le concept de vie privée existe depuis le XIXe siècle, c’est seulement avec la
généralisation de l’informatique qu’est apparue la nécessité de prévoir également une
protection pour les données personnelles.
Depuis les années 1970, la situation a encore évolué, et les États ne sont plus les
seuls à menacer les droits des individus : d’abord, les entreprises ont acquis elles aussi
la capacité de collecter et de traiter les données personnelles de leurs salariés, de leurs
clients ou de leurs prospects. Puis, plus récemment, chacun, muni de son PC, de sa
tablette ou de son smartphone, se retrouve dépositaire, sciemment ou inconscient.

B-LE RESPECT DE L’ORDRE PUBLIC ET DES BONNES MŒURS

Toutes les données personnelles ne relèvent pas de la vie privée, c’est le cas des
informations concernant l’activité publique d’un individu. L’Internet étant soumis aux
règles de droit, tous les propos ou représentations ne sont pas admis. C’est ainsi qu’au
Sénégal, il existe un système de libertés publiques qui trouvent leurs sources dans les
conventions internationales, dans la Constitution et dans les lois.

36
 D’une part, il est interdit de proposer à la vente sur Internet des produits illicites,
des CD piratés ; le contrat électronique est un vecteur privilégié pour les transactions
par Internet. Toutefois, il est « pris entre deux feux : celui du monde numérique, libéral
et privilégiant l'efficacité économique [et] celui du contrat qui repose sur un fragile
équilibre entre sécurité juridique et justice contractuelle »85
Dans l’espace virtuel, le risque de contracter par voie électronique est plus
important. Internet permet d'accélérer tout ce qui se vend dans le monde. Les
cyberconsommateurs peuvent ainsi acheter de nouveaux produits avant leur
commercialisation dans leur pays d’origine ou comparer plusieurs offres dans plusieurs
pays. Certains sites étrangers proposent même des produits interdits à la vente dans le
pays du cyberconsommateur aux risques et périls de ce dernier et d’autres cachent
certaines informations de nature à déprécier leurs produits ou leurs prestations et
influencer le choix du cocontractant.
De plus, il faut protéger les mineurs face aux images, messages, offres
commerciales au contenu violent, pornographique, raciste ou racoleur.

SECTION 2 : LA SÉCURISATION DES TRANSACTIONS EN LIGNE

Le système bancaire se trouve actuellement dans le tournant inéluctable de la

dématérialisation. Ce changement vise à simplifier et à rendre plus accessibles les
services des banques. Ces nouvelles fonctionnalités ne sont pas toutefois à l’abri des
éventuelles actions frauduleuses. C’est la raison pour laquelle les enseignes bancaires
digitales veulent prioriser la sécurité de leur clientèle.
Grâce à l’arrivée des banques sur Internet, la majorité des prestations bancaires
sont désormais digitalisées, notamment les moyens de paiement (Paragraphe 2). Leur
continuelle évolution ne minimise pas cependant les incidents, ce qui peut susciter des
inquiétudes auprès des détenteurs de compte en ligne , une analyse de l’encadrement du
processus de transmission des informations contractuelles (Paragraphe 1) nous
permettra d’apporter des éclaircissements.

85
M. MEKKI, « Le formalisme électronique : la " neutralité technique" n’emporte pas " neutralité
axiologique" », Revue des contrats, 01 juillet 2007, n° 3.

37
PARAGRAPHE 1: L’ENCADREMENT DU PROCESSUS DE
TRANSMISSION DES INFORMATIONS CONTRACTUELLES

Les banques de nouvelle génération mettent tout en œuvre afin de rassurer leur
clientèle, en mettant en place des moyens efficaces en vue d’optimiser la sécurité de
leurs données, ainsi que les opérations bancaires effectuées sur Internet.
Toujours est-il qu’en matière de sécurisation de leurs informations les
cybercommerçants (A) y accordent une certaine importance et qu’une obligation de
minimiser les informations requises du cyberconsommateur pèse sur lui (B).

A- L’OBLIGATION DE SÉCURISATION DES SITES DE VENTE EN

LIGNE DU CYBERMARCHAND

La mise en ligne d’un site internet e-commerce par un professionnel implique de

respecter plusieurs obligations légales, notamment au niveau du processus de commande, de
l’information des consommateurs et de la protection des données clients.
L’entreprise exploitant un site e-commerce doit respecter plusieurs règles en matière de
paiement à distance.
Tout d’abord, en cas d’utilisation frauduleuse d’une carte bancaire, c’est à l’entreprise
de supporter le risque. La banque peut débiter d’office le compte de l’entreprise pour tout
achat contesté par écrit par le titulaire de la carte bancaire. Ce droit figure dans la convention
de vente à distance liant l’entreprise à la banque.
Ensuite, l’entreprise doit également assurer la sécurité et la confidentialité des
données bancaires de ses clients. Certaines informations sur le client ne pourront être
conservées qu’avec le consentement de ce dernier (numéro de carte, expiration…).
La protection des données recueillies par l’offrant c’est-à-dire que les entreprises sont
amenées à collecter et à utiliser des données nominatives sur les consommateurs et les
prospects via Internet. Le législateur a instauré les règles qui assurent la protection des
données à caractère personnel collectées par l’offrant.

38
 Les techniques de collecte (questionnaires, cookies 86…) ne doivent pas être mises en
œuvre à l’insu et sans l’accord de l’internaute. Les données collectées doivent être exactes et
complètes, elles ne doivent pas contenir des données sensibles (origine raciale, appartenance
politique), mais, doivent pouvoir faire l’objet d’une rectification ou d’une suppression de la
part du consommateur.
Le consommateur doit être au courant de l’existence du fichier de données et de sa finalité.
C’est dans cette logique que le législateur sénégalais assimile à l’infraction de violation du
secret bancaire, le fait de procéder, même par imprudence, à un traitement automatisé
d’informations bancaires nominatives sans prendre toutes précautions utiles pour préserver la
sécurité des procédures, lorsque ce traitement est de nature à entraîner des dénaturations,
dommages ou communications à des tiers.
Enfin, l’on note dans ce domaine de la consécration du principe du secret
professionnel. Il signifie que les personnes qui procèdent au traitement des données
personnelles doivent s’abstenir de comportements de nature à entraîner la divulgation, la
diffusion, la communication ou la révélation des données personnelles ainsi traitées aux tiers
non habilités à en prendre connaissance.

B- L’OBLIGATION DE MINIMISATION DES INFORMATIONS

REQUISES DU CYBERCONSOMMATEUR

Selon le principe de minimisation des données, les données personnelles doivent

être adéquates, pertinentes et limitées à ce qui est nécessaire en lien avec la finalité pour
laquelle les données sont traitées.
L’objectif de ce principe est que le responsable du traitement ne traite que les
données qui sont indispensables aux finalités déterminées. Il ne faut donc traiter que le
strict minimum.
Ce principe exige, notamment, que le responsable du traitement garantisse une
durée de conservation des données qui soit limitée au strict minimum. Les données
personnelles ne devraient être traitées que si la finalité de traitement ne peut pas être
atteinte autrement87.
Une des déclinaisons du privacy by design est le concept de minimisation des
données, un principe qui reste généralement limité à la minimisation de la collecte des
86
Petit fichier déposé sur le disque dur à l'insu de l'internaute, lors de la consultation de certains sites web, et
qui conserve des informations en vue d'une connexion ultérieure.
87
https://www.autoriteprotectiondonnees.be/principe-de-minimisation-des-données

39
données personnelles. En effet la minimisation de la collecte n’est qu’une stratégie
parmi plusieurs autres : la minimisation des flux ; la minimisation de la réplication ; la
minimisation de la centralisation ; la minimisation des liens d’identification ; la
minimisation de la rétention (durée de conservation). La combinaison des stratégies de
minimisation citées vise à réduire le risque de violations de données en réduisant le
volume de données sous le contrôle d’un responsable de traitement ou un sous-traitant
en essayant de garder le maximum de données personnelles dans le domaine de
contrôle de la personne concernée.
Ces stratégies doivent être prises en compte dès le stade initial de la création
d’un nouveau système traitant des données personnelles

PARAGRAPHE 2 : LA PROTECTION DES DONNÉES À CARACTÈRE

PERSONNEL DANS LES CIRCUITS DE PAIEMENT EN LIGNE ET DE
DISTRIBUTION SUR INTERNET

La sécurisation du paiement en ligne doit permettre de garantir les montants prélevés

et la confidentialité des informations bancaires transmises.
Le paiement sur Internet fournit des moyens de paiement mis en œuvre pour payer sur
Internet à partir d'un ordinateur ou à partir d'un smartphone via un réseau de téléphonie
mobile. Outre la carte de paiement classique, on trouve aussi des moyens plus spécifiques
comme les transactions entre particuliers. En 2005, le commerce électronique enregistre de
35 à 40 % de croissance donnant ainsi une importance de plus en plus grande à ce qui est
parfois appelé l'e-Paiement88.
Les obligations de sécurisation élevée des données bancaires transmises par le
cyberconsommateur (A), et comment dissimuler ces données qui ont été recueillies (B) ?

A- LES OBLIGATIONS DE SÉCURISATION ÉLEVÉE DES DONNÉES

BANCAIRES TRANSMISES PAR LE CYBERCONSOMMATEUR

Le paiement électronique au Sénégal et de manière générale en Afrique est en train de se

développer d’une manière originale par rapport au reste du monde.

88
e-commerce : 2005, l'année des grandes manœuvres [archive]

40
La plateforme « Orbus Paiement 89» connait aujourd’hui un grand succès grâce à l’intégration
des différents opérateurs et moyens de paiement présents sur le marché : Post cash, UBA,
Wari, JONI JONI, Orange Money, Tigo Cash, Master card et Visa card. Toutefois, le
paiement électronique présente des risques qui doivent être mitigés, d’où l’importance de
maitriser le parcours client le long du processus afin d’éviter des cybers attaques
La CNIL se montre de plus en plus vigilante sur la protection des données bancaires des
particuliers, alors que s’accroît la fréquentation des sites marchands et que se généralise le
paiement en ligne pour toutes sortes de prestations. Exemple récent de ce principe de
précaution90.
Dans son communiqué qui précise à nouveau les règles que doivent normalement
appliquer tous les sites de e-commerce, la CNIL précise que « les données bancaires
communiquées par des clients lors d’un achat sur Internet sont des données dont la nature
justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées.
Depuis l’entrée en application du règlement européen sur la protection des données, les
commerçants doivent envisager leur système de paiement en tenant compte des principes de
protection des données par défaut et dès la conception.
En matière de paiement pour la vente de biens ou la fourniture de services à distance,
Les données strictement nécessaires à la réalisation d'un paiement sont par défaut : le numéro
de la carte, la date d'expiration, le cryptogramme visuel.
Les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs
données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs.
Le consentement ne se présume pas et doit prendre la forme d'un acte de volonté
univoque, par exemple au moyen d'une case à cocher (non précochée par défaut).
L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme
une modalité suffisante du recueil du consentement des personnes.

89
Orbus paiement est un concentrateur de moyens de paiement électronique qui vous permet de recevoir des
paiements de manière simple, transparente et sécurisée.
90
Le principe de précaution a été édicté lors de la conférence sur la diversité biologique de Rio (1992) qui
stipule que ''en cas de risque de dommages graves ou irréversibles, l'absence de certitude absolue ne doit pas
servir de prétexte pour remettre à plus tard l'adoption de mesures effectives, visant à prévenir la dégradation
de l'environnement ...''.

41
B-L’OBLIGATION DE CAMOUFLAGE DES DONNÉES BANCAIRES
TRANSMISES SUR DES PLATEFORMES DE PAIEMENT AUX
NORMES DE SÉCURITÉ

La carte bancaire n’est qu’un petit bout de plastique et de métal. Mais celle-ci
donne accès à un compte bancaire, mais aussi à toutes informations personnelles
bancaires, comme si elle était la clé d’un coffre-fort. Il faut donc bien protéger sa carte
bancaire, pour éviter qu’une personne malveillante puisse avoir accès à votre argent et à
votre épargne. Notons aussi que dans certains cas, s’il y a négligence de la part du
client, il pourrait être victime d’une arnaque à la carte, l’assurance peut ne pas vous
rembourser.
Il peut être difficile de retenir le numéro d’une carte bancaire, cependant le
cryptogramme à 3 chiffres à l’arrière de la carte est lui, très facile à retenir. Il est
nécessaire notamment pour faire des achats ou paiements en ligne. Une fois qu’il a été
bien mémorisé par le client, il peut soit l’effacer soit le rendre illisible en y passant du
marqueur noir dessus. Cela sécurisera déjà un peu plus la carte bancaire.
Le paiement sans contact est vraiment pratique et très utilisé en France.
Cependant le sans contact fonctionne avec une puce RFID ou NFC 91 qui peut être lu
aussi avec les smartphones iPad92 tablettes, etc.
Il est donc important de se munir d’une pochette qui empêche la carte d’être lue à votre
insu.
Le plus souvent le vol de donnée bancaire se fait dans le transport en commun
ou dans la foule, et cela sans que vous ne le remarquiez. Après ce genre de piratage,
une fausse carte peut être reproduite et utilisée dans les autres pays qui ne demandent
pas toujours le code PIN comme en France.

91
La RFID est un processus par lequel des données sont récupérées par le biais d'ondes radio alors que
la NFC est un sous-ensemble de la RFID, elle est conçu pour être une forme sécurisée d'échange de données,
elle permet aux appareils équipés de lecteurs et puces NFC de communiquer en peer-to-peer.
92
L'iPad est une tablette (ou ardoise tactile) conçue et commercialisée par Apple. Fine et légère, elle est
animée par le système d'exploitation iOS qui équipe aussi les iPhones. Son écran tactile permet de consulter
Internet, de gérer sa messagerie et de lire des livres et magazines électronique.

42
CHAPITRE 2 : LA RÉGULATION PAR LES AUTORITÉS DE
PROTECTION DE CERTAINS TYPES DE TRAITEMENT PORTANT
SUR DES DONNÉES À CARACTÈRE PERSONNEL

La prolifération de la société de l’information, caractérisée par l’innovation

quotidienne, est marquée par l’avènement de nouveaux services. Or, les technologies
soulèvent des problématiques spécifiques par rapport à la protection des données à
caractère personnel. Par ces motifs, les autorités de protection font face à beaucoup de
difficultés pour assurer leur conformité avec la législation. Suite à nos différentes
cherches voici quelques solutions apportées pour améliorer la régulation de de certains
types de traitement portant sur les données à caractère personnel, la régulation des
contentieux lies au stockage des données ( Section1) et le traitement des données à
caractère personnel en rapport avec les objets connectés (Section 2).

SECTION 1: LA RÉGULATION DES CONTENTIEUX LIES AU

STOCKAGE DES DONNÉES

Il peut arriver que les données que vous recevez soient illisibles pendant
l'importation ou les processus de réplication de poste en raison d'une insuffisance de
conversion de page de code pendant ces processus. Il devient donc impératif
d’envisager des mesures techniques et organisationnelles pour assurer la sécurité du

43
traitement (Paragraphe 1), en cas d’échec, comment se fait la régulation du traitement
des données à caractère personnel sur les réseaux sociaux (Paragraphe 2).

PARAGRAPHE 1 : LES MESURES TECHNIQUES ET

ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DU
TRAITEMENT

Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de
vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou
utilisation par des tiers non autorisés. En outre, nous demandons à ces tiers, visés ci-dessus,
de mettre en place des mesures de sécurité techniques et organisationnelles appropriées à
l'égard de ces données personnelles.

Le responsable du fichier est astreint à une obligation de sécurité : il doit notamment

prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et
éviter leur divulgation à des tiers non autorisés. Et pour ce faire, nous verrons successivement
l’exigence de la technique du cryptage (A) et la traçabilité de l’opération en ligne (B).

A-L’EXIGENCE DE LA TECHNIQUE DU CRYPTAGE DES DONNES

Le cryptage est une science dont l’objet est de rendre secret un message, une
information. Pour être opérationnelle dans le cadre du commerce électronique, la
cryptologie doit être mise en œuvre dans un système appelé architecture. Il en existe
deux qui sont fondés sur la notion de clef, qui est en fait l’élément logique permettant
de chiffrer ou déchiffrer un message. Ces deux clefs de chiffrement et de déchiffrement
sont identiques.
Appliqué des PET (privacy enhancing technologies93), le but des PET est de
réduire le volume et le flux des données sensibles entre le « Service Domaine 94 » et le «
User Domain ».

93
Nouvelles propositions pour la promotion des technologies permettant de renforcer la protection de la vie
privée au niveau européen.
94
L’utilité des services de domaine Active Directory consiste à stocker les données d’annuaire et gérer les
communications. Active Directory Domain Services ou AD DS s’occupe de la gestion des communications entre
utilisateurs, le processus d’ouverture de session, la recherche d’annuaire et l’authentification.

44
 La question qu’il faut toujours se poser lors de la définition des Dataset 95 est :
Est-ce que ces données sont nécessaires au « Service Domaine » ou y a-t-il une PET qui
permet de les garder dans le « User Domain ». Plusieurs PET permettent de réaliser cet
objectif, nous pouvons citer :
Le traitement des données en local c’est traiter les données sensibles au niveau du «
User Domain » et n’envoyer que le résultat du traitement au « Service Domain ».
Le chiffrement de données c’est convertir les données au niveau du « User Domain »
en un format lisible et envoyer le résultat au « Service Domain » tout en gardant la clé
de chiffrement sous la responsabilité de la personne concernée, certes les algorithmes
de chiffrement classiques (AES, RSA, …) ne permettent pas au « Service Domain » de
traiter les données chiffrées, par ailleurs des algorithmes avancés (ex chiffrement
homomorphe) permettent le traitement de données chiffrées et la production d’un
résultat qui est aussi chiffré. En déchiffrant le résultat, on retrouve le même résultat que
celui produit par un traitement de données non chiffrées.
Le protocole cryptographique de privacy , le principe de ce type de protocole
est de multiplier les interactions entre le « 8 » et le « Service Domain », ces interactions
permettent à la personne concernée de prouver l’exactitude des informations sans
devoir les transmettre vers le « User Domain » (ex. Zero knowledge proofs : permet de
prouver la valeur d’un attribut sans devoir transmettre sa valeur vers le responsable de
traitement (ex. prouver qu’on a plus de 18 ans sans devoir transmettre la date de
naissance).
Private information retrival, permet de réaliser des recherches sur une base de données
sans dévoiler la requête au responsable du traitement. Mise en gage : permet à une
personne de « mettre en gage » une valeur tout en la maintenant cachée aux autres, avec
la possibilité de révéler cette valeur plus tard en prouvant que c’est bien la valeur qui
avait été mise en gage).

B -LA TRAÇABILITÉ DE L’OPÉRATION EN LIGNE

La traçabilité d’une opération correspond à l’établissement d’un bilan des

conditions dans lesquelles une fabrication s’est déroulée : les différentes données qui
caractérisent l’opération doivent être enregistrées afin de pouvoir les restituer et les
analyser. S’il est essentiel de mettre en œuvre la collecte et l’archivage des données, il
95
Jeux de données.

45
est crucial de penser la stratégie de mise en relation de ces informations parce que c’est
bien cette cohérence des données qui donne corps à la traçabilité elle-même.
Une opération se caractérise par un début et une fin ; une durée d’opération peut
s’étendre de quelques secondes ou minutes à éventuellement plusieurs jours. Entre ces
tops de début et de fin, différentes données caractérisant l’opération doivent être
enregistrées afin de pouvoir fournir au client, le cas échéant, un justificatif des
conditions dans lesquelles une production s’est déroulée. Ces données, qui doivent être
horodatées par ailleurs, peuvent être classées en plusieurs catégories :
Les paramètres de l’opération qui sont mis en application pour produire : les
paramètres matière ou pièce par exemple le numéro de lot,les paramètres de réglage /
dosage par exemple la recette, la formulation et les dimensions.
Les données de contexte et de suivi de fabrication : les mesures physiques (consignes et
valeurs mesurées) pour suivre le respect des réglages / dosages, comme des
températures, pressions, débits … les alarmes comme les alarmes de dépassement de
seuil, les alarmes sur équipement (disjonction, casse mécanique), les commentaires de
l’opérateur et, si le processus est prévu ainsi, la qualification de l’opération par
l’opérateur.
La traçabilité est rendue possible par la relation que l’on peut faire entre une
opération et l’ensemble des paramètres et données de l’opération : le produit, la gamme
opératoire, les écarts entre consigne et valeur mesurée, les incidents …
Lors d’un projet de mise en œuvre d’une traçabilité, il est fréquent de voir que la
priorité est donnée à l’automatisation de la collecte de l’information, en pensant que le
plus important est de relever automatiquement les données pour fiabiliser et simplifier
la traçabilité. Même s’il est certain que la collecte automatique de données fiabilise et
améliore la traçabilité, le vrai enjeu réside dans l’automatisation des associations entre
les données de fabrication et les opérations. À une opération sont associées toutes les
données nécessaires pour qualifier la fabrication et ces informations sont
convenablement archivées et exploitables sans oubli ni erreurs.

PARAGRAPHE 2 : LA RÉGULATION DU TRAITEMENT DES

DONNÉES À CARACTÈRE PERSONNEL SUR LES RÉSEAUX
SOCIAUX

46
 Un réseau social est une technologie qui permet de mettre en relation des
personnes en fonction de leur centre d’intérêt commun 96 ou dans le cadre professionnel.
L’objectif de est ici de : sensibiliser sur les risques à la vie privée en cas de
communication de données sensibles97 ; lutter contre la publication d’un contenu
portant atteinte à la réputation d’une personne ; prévenir contre les menaces liées à la
cybercriminalité ; cyber- harcèlement ou cyber chantage ; lutter contre la prospection
directe illicite ; contrôler l’interconnexion de masse de données ; lutter contre
l’espionnage et surveillance de masse des populations ; et de lutter contre la mise à
disposition des données des internautes aux services de renseignement étrangers.
Nous analyserons successivement l’obligation de destruction des données collectées
(A) et le traitement des données du cloud computing (B).

A - L’OBLIGATION DE DESTRUCTION DES DONNÉES

COLLECTÉES

Toute personne physique ou morale de droit privé effectuant un traitement

portant sur les données personnelles doit, à la demande par écrit de toute personne
physique justifiant de son identité, rectifier, compléter, mettre à jour, verrouiller ou
supprimer les données à caractère personnel la concernant, qui sont inexactes,
incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication
ou la conservation est interdite.
Si les données ont été transmises à un tiers, le responsable du traitement doit
accomplir les diligences utiles afin de lui notifier les opérations à effectuer.
Lorsque la personne concernée demande par écrit la rectification ou la suppression d’un
fichier le concernant, quel que soit le support, le responsable du traitement doit justifier,
sans frais pour le demandeur, qu'il a procédé à la rectification ou à la suppression
exigée par le requérant dans un délai d’un (1) mois après l’enregistrement de la
demande.
Lorsqu’une personne ne souhaite plus que les données qui la concernent soient
traitées, vous avez l’obligation de supprimer ces données à moins qu’un motif légitime
ne justifie leur conservation. Un citoyen peut ainsi, par exemple, exiger le retrait
immédiat de données à caractère personnel collectées ou publiées sur un réseau social

96
Sport, musique, littérature, cinéma
97
Identité, données de santé, mode de vie…

47
alors qu'il n'était encore qu'un enfant et n'était pas pleinement conscient des risques
inhérents au traitement.
Le droit d’effacement ou droit à l’oubli consiste dans la suppression de toutes les
données relatives à une personne concernée98.

B: LE TRAITEMENT DES DONNÉES DU CLOUD COMPUTING

Le « cloud computing ou nuage informatique » est une technologie permettant

de délocaliser des données n’importe où, applications informatiques en ligne.
Il se caractérise par la valorisation en commun des ressources, notamment de
l’hébergement d’infrastructures, la fourniture de plateformes de développement ou de
logiciels. Il facilite le partage de données entre les ordinateurs, smartphones, tablettes
…
La loi préconise le respect des procédures déclaratives devant les autorités de protection
avec tout transfert des données vers un service cloud
1. La signature d’un contrat avec le prestataire cloud ;
2. Le choix d’un sous-traitant présentant des garanties suffisantes en matière de sécurité
des données ;
3. Le respect des droits des personnes99.
Les objectifs de la régulation sont les suivants : déterminer le statut juridique du
prestataire et de droit applicable en cas de litige ; veiller à la sécurité des données sur le
cloud en limitant les risques de piratage ; maitriser les catégories des données sur le
cloud ; éviter les risques de clauses abusives sur les contrats d’adhésion ; veiller à la
confidentialité des données ; déterminer les obligations du responsable de traitement ;
déterminer les lieux de stockage des données à l’étranger ; éviter l’utilisation
systématique des données hébergées dans le cloud pour faire du big data ; limiter les
risques de perte de gouvernance ou de souveraineté sur les données traitées ; encadrer
les pouvoirs du prestataire sur les données dans le cloud.
Eu égard à ce qui précède, les commissions de protections ont émis un certain
nombre de recommandations : identifier clairement les données et les traitements
hébergés dans le cloud ; informer les clients candidats au cloud sur les moyens de
traitement des données, les lieux de stockage des données ou du prestataire,
l’intervention éventuelle de sous-traitant et de son rôle ; informer les clients sur les

98
Art 17 du RGPD en France.
99
Droit d’information

48
conditions d’exercice de leurs droits100 ; exiger du prestataire cloud une protection
adéquate des données transférées, notamment leur sécurité et leur confidentialité ;
encadrer la durée de conservation des données ; insérer sur les conditions générales
d’utilisation des différents services cloud des dispositions relatives à la protection des
données personnelles ; privilégier le recours au cloud computing national.

SECTION 2 : LE TRAITEMENT DES DONNÉES À CARACTÈRE

PERSONNEL EN RAPPORT AVEC LES OBJETS CONNECTES

L’internet des objets désigne la connexion desdits objets 101 au réseau internet en
vue de récupérer, stocker, transférer et traiter des données collectées auprès des
utilisateurs ou de leur environnement. Les objets et applications connectés impliquent
le plus souvent un traitement de données sur des personnes physiques.
Pour prévenir les difficultés que rencontrent les utilisateurs des objets connectés, le
législateur s’est prononcé sur la question en édictant des directives notamment : le
respect des formalités déclaratives selon la technologie utilisée (drone) ; le traitement
loyal et licite pour des finalités déterminées explicites et légitimes ; le respect de la
durée de conservation des données ; le transfert des données dans des pays n’offrant pas
un niveau de protection adéquat.
En dehors de cela, quelques recommandations ont également été faites :
informer de maniéré claire et précise les utilisateurs des objets connectent ; requérir le
consentement de l’utilisateur ; s’assurer du niveau de sécurité des flux de données ;
éviter la captation et le stockage des données sensibles ; la déconnexion des objets non
utilisés ; éviter l’automatisation du partage des données vers d’autres services,
notamment vers les réseaux sociaux, etc. la tangibilité du traitement des données dite
sensibles (Paragraphe 1), régulation des contentieux lies aux traitements des données
biométriques et de prospection en ligne ( Paragraphe 2).

100
Doits d’accès, de rectification, de suppression, de conservation, de destruction ou de restitution des
données à la fin de la prestation ou en cas de rupture anticipée du contrat.
101
Jouets (poupée, robot, baby phone), capteurs corporels, téléviseurs, lunettes, voiture, valise, pèse-personne
bijou stylo…

49
PARAGRAPHE 1 : LA TANGIBILITÉ DU TRAITEMENT DES
DONNÉES DITE SENSIBLE

Toute opération ou ensemble d’opérations portant sur des données

personnelles : collecte, enregistrement, organisation, conservation, modification,
adaptation, extraction, consultation, utilisation, communication par transmission,
diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion,
verrouillage, effacement ou destruction est assimilée à un traitement. Ainsi à quoi nous
renvoie le traitement des données des clients de la banque (B) et les exigences
particulières du traitement des données de la santé (A) qui sont des données sensibles.

A- LES EXIGENCES PARTICULIÈRES DU TRAITEMENT DES

DONNÉES DE LA SANTÉ

Les données de la santé renvoient à toutes informations recueillies ou produites

à l’occasion des activités de dépistage, prévention, diagnostic ou soins.
Des informations sur l’état de santé et les maladies d’un individu ou d’une population
donnée bien portante ou décédée ainsi que, les informations concernant l’état physique
et mental d’une personne, y compris les données génétiques.
L’objectif à ce niveau est de : préserver la privée et l’intimité du patient afin de
le protéger de tout préjudice lié à la divulgation et l’exploitation des données de santé ;
interdire la vente des données des patients ; protéger les structures médicales contre
d’éventuelles plaintes des patients en cas de publication sur les réseaux sociaux de bilan
médical . Pour se faire, il faudrait éviter les manipulations ou l’accès aux dossiers
médicaux des salariés par le personnel non soignant ; éviter que les données des
patients ne fassent l’objet de cession ou d’une exploitation commerciale ; respecter le
secret professionnel et de déontologie médicale ; préciser les rôles et les responsabilités
de chaque membre du corps médical et enfin éviter l’hébergement des données de
santé.

B- LE TRAITEMENT DES DONNÉES DES CLIENTS DE LA

BANQUE

50
 Les données des clients des banques renvoient aux fichiers des comptent
bancaires clients particuliers, aux fichiers portefeuilles clients ou des particuliers 102, aux
données de transactions bancaires103, base de données des cartes bancaires ou des
chèques, etc.
Les enjeux de la régulation sont les suivants : éviter tout détournement de
finalité des fichiers ; limiter l’accès des données bancaires aux personnes durement
habilitées ; veiller à la mise à jour des données collectées ; veiller au respect du droit à
l’information en cas de communication des données bancaires à des tiers ou en cas de
transfert à l’étranger ; respecter la durée de conservation des données ; renforcer le
secret professionnel en limitant la conservation des fichiers.
Les autorités de protection recommandent de mettre à la disposition des clients
des instruments de sécurités et de paiement ; mettre en place des mesures appropriées
de sécurité ; respecter les conditions légales de prospection directe ; veiller au respect
des droits des personnes.

PARAGRAPHE 2 : REGULATION DES CONTENTIEUX LIES AUX

TRAITEMENTS DES DONNÉES BIOMÉTRIQUES ET DE
PROSPECTION EN LIGNE

La prospection regroupe l'ensemble des actions qui vise à identifier et contacter

de nouveaux clients potentiels ou prospects et a cherché à les transformer en clients
réels (prospection-vente).
La biométrie renvoie à l’analyse des caractéristiques physiques strictement
propres à une personne (voix, visage, iris, empreintes digitales. Il est donc judicieux de
montrer les exigences de sécurisation du traitement des données biométriques (A) et le
traitement des données dans la prospection commerciale (B).

A- LES EXIGENCES DE SÉCURISATION DU TRAITEMENT DES

DONNÉES BIOMÉTRIQUES

102
Fichiers de crédits ou de prêt
103
Versements, virements, transfert et retrait d’argent, données de connexion au système d’information de la
banque

51
 La biométrie est une technologie permettant d’analyser les caractéristiques
physiques, physiologiques104 ou comportementales105 d’une personne en vue de
l’identifier ou de vérifier son identité.
Les enjeux de cette régulation sont les suivants : faire respecter les droits et
libertés fondamentales ; exiger le respect des principes de finalité et de
proportionnalité ; éviter les risques de manipulation des données biométrique ; prévenir
contre les risques de piratage des bases de données ; encadrer l’interconnexion de
plusieurs fichiers contenant des données biométriques ; encadrer la création de bases de
données biométriques centralisées.
De ce fait, les législateurs recommandent de détruire les données biométriques
d’enrôlement achevées ; de prévoir des alternatives pour les personnes qui ne sont pas
en mesurant d’utiliser un système biométrique ; privilégier la conservation du gabarit
sur un support dont la personne concernée détient l’usage exclusif; dévier
l’identification d’une personne à partir de plusieurs données biométriques ; de chiffrer
les données dès leur enrôlement ; de vérifier périodiquement la finalité des gabarits ;
d’éviter la constitution de bas centralisée sur toute une population.

B- LE TRAITEMENT DES DONNÉES DANS LA PROSPECTION

COMMERCIALE
La prospection est une pratique consistant à faire des sollicitations par envoi de
messages, quel qu’en soit le support ou la nature( commerciale, politique, ou caritative) en vue
de promouvoir directement ou indirectement des biens, des services ou l’image de la personne
vendant des biens ou offrant des services.
La prospection est faite au moyen d’un automate d’appel, d’un télécopieur, d’un
courrier électronique ; elles sont composées de fichiers clients 106, des fichiers des
associations107, des fichiers administratifs108, des fichiers électoraux.
Les enjeux de la régulation sont de :
- éviter l’atteinte à la tranquillité des personnes prospectées ;

104
Adn, iris, empreinte digitale ou palmaire, rétine, reconnaissance faciale, système de configuration des
veines.
105
Voix, dynamique de signature, dynamique de frappe de clavier, l’écriture.
106
Opérateurs de télécommunication, prestataire de services, banques, universités, cliniques, hôtels etc.
107
Partis politiques
108
Ambassade ou consulat

52
 - limiter les spams ; lutter contre les abus (escroquerie, arnaques, propagande
électronique ;
- interdire la vente systématique des bases de données sans le consentement des
personnes concernées.
Les recommandations des autorités de protection préconisent de respecter un créneau
horaire d’envoi des messages de prospection ; éviter de cibler la consonance des noms
des personnes, les lieux de naissance, les origines raciales ou ethniques, l’appartenance
à une communauté religieuse ou les opinions politiques des personnes concernées ;
interdire la dissimulation de l’identité de la personne responsable de l’opération de
prospection ; mentionner un objet sans rapport avec la prestation ou le service proposé.

53
 CONCLUSION

La problématique de la protection des données à caractère personnel est sortie désormais de

l’anonymat pour figurer au centre de la vie publique et médiatique.
En effet, une prise de conscience de son importance est en train de s’opérer progressivement
auprès de tous acteurs.

En conséquence, la protection constitue aujourd’hui un sujet de grande préoccupation

nationale, voire internationale109. Cette nouvelle donne a conduit bon nombre de pays
africains à adopter une loi y relative et à mettre en place une instance de protection.

Cette tendance est encourageante pour le renforcement des droits individuels et l’État de droit
sur le continent africain. En tant que fondement essentiel de la démocratie, de la bonne
gouvernance et du respect de la vie privée, le droit à la protection des données
personnelles, « loin d’être un droit technophobe, vient au contraire en soutien au
développement des TIC, dans le respect des droits et libertés des individus »110.
Il constitue donc un élément essentiel de la société d’aujourd’hui en vue du renforcement de
la confiance du public à l’égard des outils technologiques.

Les autorités de protection, devenues des acteurs incontournables du processus de régulation,

permettent de prévenir d’éventuelles dérives ou de corriger les erreurs du passé lors des
traitements automatisés des données personnelles. Leur travail offre une plus grande visibilité
sur les types de traitement en cours. Chaque déclaration ou demande d’autorisation traitée
leur permet d’avoir une vue d’ensemble relative, notamment à l’identité du responsable du
109
L’organisation des Nations Unies a pris conscience de l’importance de la question au point de nommer un
Rapporteur spécial de la protection de la vie privée en 2015. Cette désignation est intervenue
après « l’extension des règles relatives à la protection des droits de l’Homme numérique ».
110
Intervention de Mme Isabelle FALQUE-PIERROTIN, conseiller d’Etat, Vice-présidente de le Commission
Nationale de l’Informatique et des Libertés (CNIL) en France lors de la 5ème conférence francophone à Dakar
2011.

54
traitement, à sa finalité, aux personnes concernées, aux catégories de données collectées, à
leur origine, à leur durée de conservation, aux lieux de stockages et aux mesures de sécurité
mises en œuvre.

Aujourd’hui, les pays tels que le Gabon et le Sénégal expérimentent la mise en place de la
règlementation et de la régulation des données à caractère personnel. De manière générale,
les organismes créés répondent à des objectifs communs.

Les fondamentaux de la protection demeurent constants dans la plupart des pays du fait que
les différentes législations ont les mêmes sources d’inspiration, notamment en ce qui
concerne les pays francophones.

Au-delà de l’action des instances régulatrices 111, la question de la protection des données à
caractère personnel nécessite naturellement une implication de toute société.
Certes, chaque personne doit connaitre les règles et les procédures pour protéger sereinement
sa vie privée, en choisissant les données qui seront collectées et traitées.
À cet effet, les législations accordent à chaque personne un droit à l’information, d’accès, de
vérification, de rectification et d’opposition. De tels droits doivent être préservés et renforcés
sur au Gabon et au Sénégal.

La protection prévue n’est pas seulement un droit individuel, mais également une
préoccupation nationale. De plus, le recours aux TIC dans le traitement des données
personnelles est devenu un enjeu de société.

À l’ère du numérique, la collecte et le stockage des informations rattachées à la personne

physique sont essentiels et incontournables pour les entreprises et l’Administration.
Ce sont des sociétés connues de tous, qui ont besoin de nos données d’où leur intérêt pour le
citoyen. Cette utilisation généralisée et spontanée des informations nominatives explique que
« la maitrise des principes de protection est toujours une bataille continuelle », ce qui fait
dire au Professeur Abdoullah CISSE « qu’il faut maitriser les risques numériques et le cadre
juridique et institutionnel pour lutter avec efficacité contre la cybercriminalité »112.

111
Force est de constater que la jurisprudence en matière de d’infractions liées aux traitements des données
personnelles est encore rare.
112
Professeur Abdoullah CISSE, Conférence internationale sur « l’Afrique et les dangers de la mondialisation
du crime »

55
La menace étant mouvante et évolutive, l’arrivée des OTT 113 facilite plus l’ingérence dans
l’espace privé.

Au-delà de tout cela, il convient de prendre conscience que les risques prennent une ampleur
de plus en plus inquiétante à l’aube du « big data », des objets connectés, de la portabilité des
données, et bien d’autres aux fins de lutter contre le terrorisme à titre d’exemple.

« Bien que la technologie participe à notre bien-être, restons vigilants. Chacun d’entre
nous devra être son propre surveillant de l’utilisation de ses données personnelles parce
que celui qui se déshabille ou se fait déshabiller se dévoile »114.

Cette assertion signifie que la règlementation par le droit de ce phénomène des données à
caractère personnel, qui devient une « adrénaline » de nos sociétés modernes, devra sa
réussite du comportement de chaque sujet de droit dans l’utilisation des TIC.

L’Afrique doit aussi mieux vulgariser son arsenal répressif sur la cybercriminalité, pour non
seulement décourager certains comportements, mais aussi pour en imposer d'autres, plus
sécurisants. Par ailleurs, la problématique de la protection des données à caractère personnel
renvoie inéluctablement à l'exigence de sauvegarde de notre souveraineté économique.

113
Over The Top est un service via le web (audio, vidéo, téléphone, télévision, etc.) sans passer par un
opérateur de câble, de téléphone ou de satellite.
114
» Explique le Docteur Mouhamadou LO dans la protection des données à caractère personnel en Afrique :
règlementation et régulation, l’harmattan, 2017 p.234

56
 ANNEXE

Tribunal de commerce d’Abidjan (Côte d’Ivoire), jugement du 30 janvier 2014

En l’espèce, suspectant une ancienne salariée de « piratage industriel », la société OGILVY

avait obtenu l’autorisation du juge de faire procéder à une expertise informatique. Pour
l’accomplissement de sa mission, l’expert avait pu accéder au poste informatique de la
salariée concernée, à des fichiers portant ses nom et prénom et à sa messagerie électronique
personnelle. Les avocats de la défenderesse avaient alors tenté de remettre en cause
l’expertise en soutenant qu’il a avait été porté atteinte aux données personnelles de madame
C. M. épouse B.

Pour rejeter ce grief, le tribunal considérera que « concernant l’exploitation des données et
documents personnels de Mme C. B., le tribunal note que les ordinateurs expertisés sont des
ordinateurs appartenant à la société OCEAN OGILVY, mis à la disposition de ses employés
dont Madame C. B. certes l’expert a révélé l’existence de mails litigieux dans la boîte
électronique de celle-ci, mais il n’est pas établi qu’il ait forcé sa messagerie, en violation des
règles légales. Ce qui a été fait, c’est que l’expert a constaté que les documents produits
avaient été sauvegardés par celle-ci sur le disque dur de l’ordinateur à elle remis dans le cadre
professionnel par la société OCEAN OGILVY, lequel ordinateur, est-il utile de le rappeler,
ne disposait pas de mot de passe. C’est donc à tort qu’il est reproché à l’expert d’avoir
exploité les données et documents personnels de Madame C. B. ».

Poursuivant son analyse et reprenant à son compte l’argumentaire de la demanderesse, le

tribunal note que celle-ci « précis[e] également que la mission de l’expert ne mettait en cause
aucune autre partie que la demanderesse en sorte qu’il n’avait pas à convoquer aucune autre
personne. Ainsi même les données personnelles invoquées n’en sont pas puisque c’est lors de

57
l’examen d’un ordinateur de la société portant la mention C. B. accessible sans mot de passe
que l’expert a fait les constats critiqués. »

Autrement dit, pour le tribunal de commerce d’Abidjan, les fichiers pourtant identifiés par les
nom et prénom de la salariée et sa messagerie électronique personnelle ne comportent pas de
données à caractère personnel dans la mesure où l’ordinateur utilisé par elle avait été mis à sa
disposition par l’employeur.

Nous dirons juste, ici, que le tribunal de commerce se trompe manifestement d’analyse. Que
les ordinateurs expertisés soient la propriété de la société OGILVY n’enlève rien au caractère
personnel des données auxquelles l’expert a pu avoir accès ! Que la messagerie et
l’ordinateur ne soient pas dotés de dispositifs de protection n’est pas non plus un obstacle à
l’existence de données personnelles ! Il en est manifestement ainsi de la messagerie
électronique de Madame C. M. Il est acquis qu’une adresse électronique est une donnée à
caractère personnel si elle permet l’identification directe ou indirecte de la personne à
laquelle elle se rapporte.

Ce faisant, dans le cadre d’une expertise, l’expert est tenu de faire la distinction entre les
données consultables et celles qui ne seraient pas, car relevant de la vie privée des personnes
concernées. Comme l’explique Monsieur Serge Migayron, expert judiciaire en matière
informatique : « nous ne pouvons accéder qu’aux informations professionnelles et exclure de
nos recherches les courriels présentés comme personnels »

58
 BIBLIOGRAPHIE

I/ OUVRAGES GÉNÉRAUX
• BANCK AURELIE et SCHULTIS CATHERINE, vade-mecum de la
protection des données personnelles pour le secteur bancaire et financier ; RB édition
2018 ;
• EYNARD JESSICA, les données personnelles : quelle définition pour un
régime de protection efficace ? Michalon Éditeur 2013 ;
• FOREST DAVID, droit des données personnelles, Lextenso éditions 2011 ;
• MATTIA FABRICE, le traitement des données personnelles, Eyrolles 2013 ;
• MATTIA FABRICE, RGPD et le droit des données personnelles ; Eyrolles
2018;

II/ OUVRAGES SPECIAUX

• BENSOUSSANE ALAIN, la protection des données personnelles de A à Z,
Bruylant, 13 nov. 2017 ;
• D’AUZON OLIVIER, les droits des internautes à l’ère de l’économie
numérique, édition du puits fleuri 2009 ;
• Dr LO MOUHAMADOU, la protection des données à caractère personnel en
Afrique : règlementation et régulation, l’harmattan 2018 ;

III/ RAPPORTS

59
• M. Josué MBADINGA MBADINGA Sénateur (Gabon) Vice-Président de
la Commission et M. N (Côte d’Ivoire) Les autorités de protection des données
personnelles dans l’espace francophone Hô-Chi-Minh-Ville (Vietnam) | 24 et 25 mars
2017

IV/ MÉMOIRES
• BOTO MANDAN NAOMIE ESTHER la protection des données à caractère
personnel sur les réseaux sociaux : cas de la cote d’ivoire Université Catholique de
l’Afrique de l’Ouest- Master 2 Droit des TIC 2017
;https://www.memoireonline.com/05/17/9962/La-protection-des-donnees--caractere-
personnel-sur-les-reseaux-sociaux-le-cas-de-la-Cte-d.html
• FEDAOUI SAMI, La protection des données personnelles face aux nouvelles
exigences de sécurité Université de Rouen- Master 2 Droit Public approfondi 2008
Mémoire online ; https://www.memoireonline.com/10/08/1573/m_la-protection-des-
donnees-personnelles-face-aux-nouvelles-exigences-de-securite1.html

V/ THÈSES
• COULIBALY (I.), La protection des données à caractère personnel dans le
domaine de la recherche scientifique, Thèse, Université de Grenoble, 2011

VI/ CONVENTIONS
• Convention de l’Union africaine sur la cyber sécurité et la protection des
données à caractère personnel du 27 juin 2014 ;
• Convention pour la protection des personnes à l'égard du traitement automatisé
des données à caractère personnel du 28 janvier 1981 ; convention 108

VII/ LÉGISLATIONS
• Loi n° 2001-03 DU 22 janvier 2001 portant CONSTITUTION, MODIFIÉE du
Sénégal
• Loi n° 2008 – 12 du 25 janvier 2008 sur la Protection des données à caractère
personnel au Sénégal

60
• Loi n°1/2011 du 25 septembre 2011 relative à la protection des données à
caractère personnel au Gabon ;
• Acte additionnel A/SA 1/01/10 de la CEDEAO (Communauté économique des
États d'Afrique de l'Ouest) relatif à la protection des données à caractère personnel dans
l'espace CEDEAO, adopté le 16 février 2010

VIII/ WEBOGRAPHIES

ARTICLES DE PRESSE
• CISS NDEYE NGONE, Sénégal : la situation effective de la protection des
données personnelles, 28 mai 2018 ; http://www.2bi.sn/senegal-situation-effective-de-
la-protection-des-donnees-personnelles
• COULIBALY IBRAHIM, Petit tour d'horizon international de quelques
erreurs législatives et jurisprudentielles, 14 aout 2014,
http://www.village-justice.com/articles/Protection-des-donnees,17540.html
• DIOKH EMMANUEL, Données personnelles au Sénégal : quelle protection ?
Emmanuel Diokh, 9 juillet 2017 ; https://juristicom.blogspot.com/2017/07/donnees-
personnelles-au-senegal-quelle.html
• EDJO MURIEL, Sans réelle protection des données personnelles, l’Afrique
prend le risque d’une nouvelle forme d’exploitation, Ecofin Hebdo, 21 septembre
2018 ; http://www.osiris.sn/Sans-reelle-protection-des-donnees.html
• FALQUE-PIERROTIN ISABELLE, Production et diffusion des données à
caractère personnel sur Internet : enjeux nouveaux et questions éthiques, Gazette des
Archives 2009/215/ pp. 175-178 ; https://www.persee.fr/doc/gazar_0016-
5522_2009_num_215_3_4584?q=donn%C3%A9es+%C3%A0+caractere+personnel;
• NDONNANG VICTOR, Le Sénégal devient le premier pays Africain à mettre
en œuvre les recommandations des Lignes Directrices sur la Protection des Données à

61
caractère Personnel pour l’Afrique, Internet Society, 16 octobre 2018 ;
http://www.osiris.sn/Le-Senegal-devient-le-premier-pays.html
• TOURE MARIAME TITY, L’usurpation d’identité numérique : un fléau
recrudescent au Sénégal ! Publi Tech Echo, 12 octobre 2018 ;
• TOURE PAPA ASSANE, L’accès transfrontalier aux données numériques et la
lutte contre la cybercriminalité : Quels enjeux pour l’Afrique ? Pressafrik, 23 octobre
2018 ; alier-aux.hthttp://www.osiris.sn/L-acces-transfrontml
• Protection des Données personnelles : Des défis à relever face au
développement des technologies, Dakar Actu, 11 octobre 2018 ;
http://www.osiris.sn/Protection-des-Donnees,21726.html

IX/ SOURCE ORALE

• Participation au forum national sur le développement des services numériques
TROISIÈME ÉDITION le 19 décembre 2018 à Dakar/ Sénégal

62
 TABLE DES MATIÈRES
DÉDICACES
REMERCIEMENTS
SIGLES ET ABRÉVIATIONS
SOMMAIRES
INTRODUCTION.................................................................................................................................1
PREMIERE PARTIE : L’EXAMEN DU CADRE REGLEMENTAIRE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL AU GABON ET AU SENEGAL...................................9
CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL DANS L’ECONOMIE NUMERIQUE...........................9
SECTION 1 : LES COMMISSIONS DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL..................................................................................................................................10
PARAGRAPHE 1 : LES MISSIONS DES AUTORITES PUBLIQUES DE PROTECTION DES
DONNEES A CARACTERE PERSONNELS............................................................................10
A-LES MISSIONS DE VEILLE EN MATIERE DE PROTECTION DES DONNEES A
CARACTERE PERSONNEL..................................................................................................11
B-LES MISSIONS DE CONSEILS ET CONTROLE EN MATIERE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL...........................................................................12
PARAGRAPHE 2 : LES POUVOIRS DES AUTORITES DE PROTECTION DES DONNEES
A CARACTERE PERSONNELS................................................................................................13
A- LES POUVOIRS REGLEMENTAIRES DES AUTORITES EN MATIERE DE
PROTECTION DES DONNEES A CARACTERE PERSONNEL.........................................14
B-LES POUVOIRS DE SANCTION DES AUTORITES EN MATIERE DE PROTECTION
DES DONNEES A CARACTERE PERSONNEL..................................................................15

63
 SECTION 2 : LE STATUT DE L’AUTORITE ADMINISTRATIVE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL..................................................................................16
PARAGRAPHE 1 : L’INDEPENDANCE DES ORGANISMES DE PROTECTION................16
A- : L’AUTONOMIE FINANCIERE DES AUTORITES DE PROTECTION.......................17
B- L’AUTONOMIE ADMINISTRATIVE DES INSTANCES CHARGEES DE LA
PROTECTION DES DONNEES A CARACTERE PERSONNEL.........................................17
PARAGRAPHE 2 : LA COMPOSITION DES AUTORITES DE PROTECTION.....................18
A-LES CRITERES DE NOMINATION DES MEMBRES.....................................................18
B- LE PERSONNEL DES AUTORITES DE PROTECTION..........................................19
CHAPITRE 2 : LE FONDEMENT DE LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL DANS L’ECONOMIE NUMERIQUE........................................................................19
SECTION 1: L’IDENTIFICATION DES DONNEES PROTEGEABLES ET NON
PROTEGEABLES PAR LA REGLEMENTATION.......................................................................19
PARAGRAPHE 1 : LES CARACTERES DES DONNEES PROTEGEABLES........................20
A- LA DETERMINATION DES DONNEES DITES A CARACTERE PERSONNEL :.. .20
B-LE PARTICULARISME DES DONNEES SENSIBLES....................................................21
PARAGRAPHE 2 : LES DONNEES NON PROTEGEABLES..................................................22
A-LES DONNEES ANONYMISEES OU PSEUDONYMISEES...........................................22
B-L’EXCEPTION D’USAGE PRIVEE..................................................................................23
SECTION 2: L’OBJECTIF DE LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL..................................................................................................................................24
PARAGRAPHE 1 : LA SECURISATION ET LE RESPECT DE LA CONFIDENTIALITE DES
INFORMATIONS TRANSMISES PAR LES MOYENS NUMERIQUES.................................24
A- LA SECURISATION DES DONNEES ET INFORMATIONS NUMERIQUES..............25
B- LE PRINCIPE DE RESPECT ET DE CONFIDENTIALITE DES DONNEES
NUMERIQUES.......................................................................................................................25
PARAGRAPHE 2 : LE RESPECT DES DROITS DES PERSONNES INTERVENANT DANS
LES TRANSACTION ELECTRONIQUES................................................................................26
A-LE DROIT A L’INFORMATION ET LE DROIT D’ACCES...........................................27
B-LES DROITS D’OPPOSITION, DE RECTIFICATION ET DE SUPPRESSION DES
INFORMATIONS DANS LES TRANSACTIONS ELECTRONIQUES...............................28
DEUXIEME PARTIE: LES MODALITES DE PROTECTION DES DONNEES DANS LE
COMMERCE ELECTRONIQUE.......................................................................................................30
CHAPITRE 1 : L’ENCADREMENT LEGAL DU PROCESSUS DE CONTRACTUALISATION. .31
SECTION 1 : LA CONSECRATION DE NOUVELLES OBLIGATIONS DANS LES
TRANSACTIONS COMMERCIALES ELECTRONIQUES........................................................32
PARAGRAPHE 1 : LES OBLIGATIONS RATTACHEES A LA PROSPECTION EN LIGNE
.....................................................................................................................................................32
A-L’OBLIGATION DE TRANSPARENCE DU CYBERCOMMERÇANT..........................33

64
 B- L’OBLIGATION DE LOYAUTE ET DE CONFIDENTIALITE DANS LES
TRANSACTIONS ELECTRONIQUES..................................................................................34
PARAGRAPHE 2 : LE RESPECT DES LIBERTES FONDAMMENTALES PAR LES
ACTEURS DU COMMERCE ELECTRONIQUE......................................................................35
A- LE RESPECT DE LA VIE PRIVEE DES ACTEURS DU COMMERCE
ELECTRONIQUE...................................................................................................................35
B-LE RESPECT DE L’ORDRE PUBLIC ET DES BONNES MŒURS.................................37
SECTION 2 : LA SECURISATION DES TRANSACTIONS EN LIGNE...................................38
PARAGRAPHE 1 : L’ENCADREMENT DU PROCESSUS DE TRANSMISSION DES
INFORMATIONS CONTRACTUELLES................................................................................38
A- L’OBLIGATION DE SECURISATION DES SITES DE VENTE EN LIGNE DU
CYBERMARCHAND.............................................................................................................39
B- L’OBLIGATION DE MINIMISATION DES INFORMATIONS REQUISES DU
CYBERCONSOMMATEUR..................................................................................................40
PARAGRAPHE 2 : LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
DANS LES CIRCUITS DE PAIEMENT EN LIGNE ET DE DISTRIBUTION SUR
INTERNET.................................................................................................................................41
B-L’OBLIGATION DE CAMOUFLAGE DES DONNEES BANCAIRES TRANSMISES
SUR DES PLATEFORMES DE PAIEMENT AUX NORMES DE SECURITE..................42
CHAPITRE 2 : LA REGULATION PAR LES AUTORITES DE PROTECTION DE CERTAINS
TYPES DE TRAITEMENT PORTANT SUR DES DONNEES A CARACTERE PERSONNEL.....44
SECTION 1: LA REGULATION DES CONTENTIEUX LIES AU STOCKAGE DES DONNEES
.........................................................................................................................................................44
PARAGRAPHE 1 : LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR
ASSURER LA SECURITE DU TRAITEMENT........................................................................44
A-L’EXIGENCE DE LA TECHNIQUE DU CRYPTAGE DES DONNES...........................45
B -LA TRAÇABILITE DE L’OPERATION EN LIGNE........................................................46
PARAGRAPHE 2 : LA REGULATION DU TRAITEMENT DES DONNEES A
CARACTERE PERSONNEL SUR LES RESEAUX SOCIAUX...............................................47
A - L’OBLIGATION DE DESTRUCTION DES DONNEES COLLECTEES.....................48
B: LE TRAITEMENT DES DONNEES DU CLOUD COMPUTING.............................49
SECTION 2 : LE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL EN
RAPPORT AVEC LES OBJETS CONNECTES...........................................................................50
PARAGRAPHE 1 : LA TANGIBILITE DU TRAITEMENT DES DONNEES DITE
SENSIBLES................................................................................................................................51
A- LES EXIGENCES PARTICULIERES DU TRAITEMENT DES DONNEES DE LA
SANTE....................................................................................................................................51
B- LE TRAITEMENT DES DONNEES DES CLIENTS DE LA BANQUE...................52
PARAGRAPHE 2 : REGULATION DES CONTENTIEUX LIES AUX TRAITEMENTS DES
DONNEES BIOMETRIQUES ET DE PROSPECTION EN LIGNE..........................................52

65
 A- LES EXIGENCES DE SECURISATION DU TRAITEMENT DES DONNEES
BIOMETRIQUES...................................................................................................................53
B- LE TRAITEMENT DES DONNEES DANS LA PROSPECTION COMMERCIALE....53
CONCLUSION...................................................................................................................................55
ANNEXE............................................................................................................................................58
BIBLIOGRAPHIE..............................................................................................................................60
TABLE DES MATIERES...................................................................................................................64

66