Académique Documents
Professionnel Documents
Culture Documents
En effet, les États sont de plus en plus confrontés aux abus de toutes sortes, liés à
l’utilisation des données personnelles. La lutte contre la cybercriminalité est devenue une
préoccupation mondiale. De nombreux défis interpellent à cet égard la communauté
internationale.
Dans sa mission régalienne, l’État est tenu d’assurer la sécurité et l’intégrité des
personnes et des biens. De nos jours, tout le monde est exposé au numérique, à chaque étape
de la vie quotidienne. En tant que citoyen, comme en tant que consommateur, les
informations de la population doivent être protégées.
1
Le big data est un ensemble de données volumineux traitées et analysées à des fins plus souvent prédictives.
2
Ensemble des théories et des techniques développant des programmes informatiques complexes capables de
simuler certains traits de l'intelligence humaine (raisonnement, apprentissage…)
3
Ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à
l’interconnexion mondiale des ordinateurs.
1
appelle à une coopération internationale pour la protection des données personnelles des
populations.
Au regard de cette situation, où tout tourne autour des données à caractère personnel,
notamment les transactions civiles et commerciales, il nous revient d’apporter toute la
précision sur les contours juridiques du concept en relation avec l’usage du numérique
comme moyen indispensable de communication et d’échanges.
À partir de là, la question qui se pose est la suivante : qu’entend-on par données à
caractère personnel ? La réponse apparait simple, mais son impact juridique s’affiche très
complexe, eu égard à la transversalité des réglementations qui sont interpellées.
Les données sont à caractère personnel dès lors qu’elles portent sur une personne
identifiée ou la rendent identifiable, directement comme indirectement. Il en est ainsi pour
les contacts, le numéro d’identification, la plaque d’immatriculation et même l’adresse-email.
Ce sont des informations permettant d’identifier clairement une personne.
À cela s’ajoutent les données personnelles à caractère sensible. Ce sont toutes les
informations relatives à la race, l’état de santé, les opinions politiques ou religieuses et même
le contenu du casier judiciaire. Avec l’entrée en vigueur de la loi n° 2008 – 12 du 25 janvier
2008 sur la Protection des données à caractère personnel au Sénégal, il faut faire attention à
toute information que l’on communique sur une personne.
Par exemple, donner le nom d’une personne peut être considéré comme divulguer un
renseignement personnel, car l’identité (le nom et le prénom) est la donnée personnelle la
plus évidente.
D’ailleurs, les législateurs Gabonais comme Sénégalais ont prévu une haute protection
lors de la collecte, le traitement, la transmission, le stockage et l’usage des données. Il
convient de préciser que le traitement des données est toute opération, ou ensemble
d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification, extraction, consultation,
utilisation, communication par transmission diffusion ou toute autre forme de mise à
disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction ...).
Cette loi met ainsi, en place un dispositif permettant de lutter contre les atteintes à la
vie privée susceptibles d’être engendrées durant tout le processus de traitement des données
échangées. Elle veille à ce que les Technologies de l’Information et de la Communication
2
(TIC)4 ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie
privée.
Le Sénégal fait partie des premiers pays à avoir voté une loi dans ce sens depuis
l’année 2008. Puis, il a ratifié la convention de Malabo de 2014, lors de la 23e session
ordinaire du sommet de l’Union africaine (UA). Cet accord entre les pays membres vise à
renforcer la confiance et la sécurité dans le cyberespace en Afrique. Ainsi, l’Assemblée
nationale sénégalaise a adopté la loi sur la protection des données à caractère personnel le
mardi 15 janvier 2008. La loi assure donc le respect des libertés et droits fondamentaux de la
vie privée des personnes.
Le Gabon à son tour a adopté la loi N°001/2011 relative à la protection des données à
caractère personnel en créant la Commission nationale pour la protection des données à
caractère personnel (CNPDCP). « L’internet est un espace virtuel sans limites où tout le
monde peut dire n’importe quoi. Tout le monde peut filmer et vous présenter aux yeux de tout
le monde. Avec ce que nous regardons tous, les libertés individuelles sont violées », a confié
Joël Dominique LEDAGA8.
4
Act 13/2004 du 27décembre 2004 de l’Ile Maurice portant protection des données définit les TIC comme
« toute technologies employées pour la collecte, le stockage, l’utilisation ou l’envoie d’information impliquant
l’utilisation d’ordinateur ou de tout autre système de télécommunication ».
5
(Google, Apple, Facebook, Amazon et Microsoft).
6
Exploration de données, ayant pour objet l’extraction d'un savoir ou d'une connaissance à partir de grandes
quantités de données, par des méthodes automatiques ou semi-automatiques.
7
Le Juge Papa Assane TOURE parle de « forte information de la société ». Voir Papa Assane TOURE « le
traitement de la cybercriminalité devant le juge » l’Harmattan, 2014 p 261.
8
Président de la Commission nationale pour la protection des données à caractère personnel du Gabon.
3
notamment dans un cyber espace aussi complexe et virtuel que l’internet. « Vous avez des
données conventionnelles, c’est-à-dire toutes les informations qui permettent de vous
identifier d’une manière directe ou indirecte. Toutes ces informations sont considérées
comme vos données personnelles. Ces données personnelles malheureusement aujourd’hui
sont vendues dans le monde », a-t-il ajouté. Cette autorité administrative indépendante est
chargée de veiller à ce que les traitements des données à caractère personnel soient mis en
œuvre conformément aux dispositions de la présente loi.
Au-delà des frontières africaines, il faut remarquer l’existence des mêmes législations
des DCP.
Si l’on fait l’historique des législations en matière de DCP, il apparait que les
premières exsudations d’une règlementation remontent à 1974 en France 9, avec l’institution
d’un identifiant unique. L’idée a depuis fait beaucoup de chemin, malgré l’opposition d’une
commission parlementaire française qui considère qu’il s’agit d’une atteinte aux libertés des
individus. C’est ainsi que la culture « protection des données à caractère personnel » est mise
en œuvre depuis 1978 avec la loi « Informatique et Liberté » instituant des règles essentielles
en la matière qui ont servi de support à la Convention 108 du Conseil de l’Europe.
Le projet de loi modifiant la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés
intégrant certains aspects du RGDP s’inscrit dans cette continuité.
9
Marie GEORGES, la problématique de la protection des données personnelles, contribution de l’Association
Francophone des Autorités de protection des données personnelles à l’élaboration du 3ème rapport sur l’état
des pratiques de la démocratie, des droits et libertés dans l’espace francophone –chapitre relatif à la
promotion de la culture démocratique et au plein respect des droits de l’Homme, 2008.
4
directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis
le 25 mai 2018.
Le Règlement Général sur la Protection des Données 10, loin d’être un frein, a comme
volonté de permettre à chaque acteur de mettre en œuvre sa conformité en définissant ses
propres mesures, procédures grâce notamment à une cartographie des données, des flux entre
les différents prestataires ainsi qu’une sécurisation des contrats (responsabilisation des
acteurs).
Cette conformité doit être « gagnant-gagnant » tant pour les usagers (consommateurs)
avec ce besoin de confiance, de transparence renforcée, que pour les professionnels en
renforçant leur crédibilité. N’oublions pas que dans cette économie digitale, les données à
caractère personnel sont des actifs immatériels ayant une valeur économique certaine.
Au regard des incidences que les DCP ont sur la société moderne, présentant des
réalités rythmées par les leviers du numérique et de la technologie digitale, la protection de
droit commun de la vie privée, appelle à un renforcement de régime, afin de prendre en
considération les nouveaux contours de l’économie.
Les données constituent un véritable enjeu de pouvoir entre les Etats qui veulent
s’assurer le contrôle sur celles qui circulent sur leur territoire, et entre les entreprises privées
qui fournissent les réseaux qu’elles empruntent. Le Professeur Abdoullah CISSE le justifie en
10
Le règlement nᵒ 2016/679, dit règlement général sur la protection des données, est un règlement de l'Union
européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il
renforce et unifie la protection des données pour les individus au sein de l'Union européenne.
5
soulignant la nécessité de « penser à la protection des données personnelles est la manière
dont on gère l’information pour que le message officiel soit protégé » 11
C’est dans cette optique que nous traiterons la protection des données à caractère
personnel dans l’économie numérique en prenant les cas du GABON et du SÉNÉGAL. Eu
égard à ce qui précède, la protection des données à caractère personnelles renvoie à l'action
de protéger, de défendre toutes données se rapportant à l’identité ou l’identification d’un
individu dans le cyberspace.
Pour satisfaire notre ambition d’analyse du sujet sur la protection des données à
caractère personnel, une série de questions nous interpelle :
Quelle est aujourd’hui la position commune de l’Afrique face à ces nouveaux rapports
de force dans une société sous surveillance constante ?
11
Table ronde organisées par le Conseil pour le développement de la recherche en sciences sociales en Afrique
(CORDESRIA) sur le thème : « les Etats africains et le service public de cybersécurité », Dakar, 2016.
12
Une infraction criminelle ayant l'ordinateur pour objet (piratage informatique, hameçonnage, pollupostage)
ou pour instrument de perpétration principal (pornographie juvénile, crime haineux, fraude informatique)
6
Quelles orientations à suivre face à la pénétration de ces normes dans un contexte
africain socioculturel différent du reste du monde ? Tout ceci pour mieux appréhender notre
sujet.
Véritable richesse immatérielle, l’intérêt que suscitent ses interrogations reflète bien
les transformations que connaît la géopolitique à l’ère numérique : remise en cause des
frontières physiques nationales, affirmation d’acteurs privés et non étatiques, «
Numérisation/digitalisation » des conflits (revendications de souveraineté sur le cyberespace,
attaques informatiques).
Outre l’information elle-même, c’est en effet la façon dont les données sont générées,
par qui, la façon dont elles circulent, dont elles sont stockées, qui font des données une
ressource précieuse. Maîtriser les données supposent de maîtriser ses moyens, et ses
conditions de production, ses canaux de transmission, et son mode et son lieu de stockage.
C’est tout un chantier qui est ouvert devant les organes et commissions de protection
des données qui, se donne pour mission d’inculquer et divulguer la culture de la préservation
des données personnelles et de sensibiliser le citoyen sur ses droits dans ce domaine.
Il convient de noter que l’étude d’une telle thématique est d’une importance majeure,
en ce sens qu’à l’air du numérique, comprendre les enjeux et savoir protéger les données
personnelles dans le monde notamment en Afrique est essentiel.
13
Cambridge Analytica est une société de publication stratégique combinant des outils d'exploration et
d'analyse des données. Créée en 2013 comme une filière des Strategic Communication Laboratories
spécialisée en politique américaine, elle possède des bureaux à New York, Washington et Londres.
7
Ce sujet nous renseigne aussi sur l’état théorique des réglementations plurielles du
phénomène numérique et des différences de préoccupations entre les États et les
Organisations d’intégration économique.
Le constat général qui se dégage est qu’il faut multiplier les initiatives pour
accompagner les pays africains à légiférer davantage dans la protection des données
personnelles, et ce au regard de la perspective du développement de l’économie numérique.
L’idéal serait de protéger les données personnelles, accompagner l'innovation, et préserver les
libertés individuelles.
En tentant d’adopter une approche illustrative des législations en vigueur, nous nous
attèlerons d’examiner la protection mise en œuvre au Gabon et au Sénégal. Toutefois, la
difficulté constatée réside dans la multiplicité de l’ordre juridique actuelle 14 , s’y ajoutent la
multiplicité des branches du droit applicable. 15 La consécration successive, dans la plupart
des pays africains d’un droit de protection des données à caractère personnel devenue une
préoccupation dans toutes les grandes démocraties.16
14
Ordre juridique (national, international, communautaire et continental)
15
Droit des télécommunications, droit public, droit civil, droit pénal, droit sur les transactions électroniques ou
sur la cybercriminalité, droit de l’audiovisuel etc.
16
Explique le Docteur Mouhamadou LO dans la protection des données à caractère personnel en Afrique :
règlementation et régulation, l’harmattan, 2017 p.32.
8
La sécurité des informations ne peut être une réalité que si les règles de protection
sont strictement respectées. C’est pourquoi il est institué, par les différentes lois sur les
données à caractère personnel, un organisme qui, en conformité avec le système juridique
interne à chaque pays, est chargé de contrôler les dispositions législatives et règlementaires
en la matière. Nous examinerons successivement l’architecture institutionnelle de la
protection des données à caractère (Chapitre 1), puis le fondement de la protection des
données à caractère personnel (Chapitre 2).
Aux termes des dispositions des textes régissant la protection des données à caractère
personnel dans l’exemple du Sénégal et du Gabon, chaque État Partie au regard du traité de
Malabo s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel.
Ainsi, en application de ces dispositions, l’article 1 paragraphe 1 du Protocole
additionnel à la Convention 108 pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel17, l’article 11 point 1 de la convention de
l’Union africaine sur la cybersécurité et la protection des données à caractère personnel 18,
l’article 14 point 1 de l’Acte additionnel A/SA.1/01/10 du 16 février 2010 relatif à la
protection des données à caractère personnel dans l’espace de la CEDEAO, il est
recommandé aux États de créer une autorité de protection des DCP.
Connues sous plusieurs appellations19, les autorités nationales de protection ont un statut
particulier (Section 2), exercent des missions très étendues et disposent de larges pouvoirs
coercitifs (Section 1).
17
« Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures
donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans
le présent Protocole ».
18
« Chaque État Partie s’engage à mettre en place une autorité chargée de la protection des données à
caractère personnel »
19
Les autorités de protection portent les noms suivant : Sénégal- Commission de protection des Données
Personnelles (CDP) ; au Gabon- Commission Nationale pour la protection des Données à Caractère Personnel
(CNPDCP) et bien d’autres.
9
SECTION 1 : LES COMMISSIONS DE PROTECTION DES DONNÉES
A CARACTÈRE PERSONNEL.
Les autorités de protection ont pour mission primordiale de protéger la vie privée et les
libertés individuelles ou publiques. Le président Saïd IHRAÏ résume cette prérogative en
définissant celle de la CNDP créée, selon lui, à la fois « pour faire bénéficier les citoyens et
les résidents au Maroc des atouts qu’offre la révolution numérique et aussi pour les
prémunir contre les méfaits de cette dernière sur cette vie privée des personnes »20. Dans
cette perspective, ces organismes exercent donc un service public 21 visant à veiller en priorité
au respect de la législation en vigueur (A), à conseiller les différents acteurs et à contrôler des
traitements mis en œuvre (B).
10
Le rôle des autorités de protection consiste à contrôler la création et la mise en
œuvre des traitements. De ce fait, elles sont chargées de recevoir et d’instruire les
déclarations et demandes d’autorisations des traitements22.
C’est une mission essentielle de toutes autorités. Dans cet élan, elles doivent veiller à ce
que les traitements des DCP soient mis en œuvre conformément à la législation en vigueur,
notamment en exigeant, sur tous les dossiers, le respect strict des libertés et des droits
fondamentaux des personnes.
Ce travail se traduit en pratique par l’instruction des dossiers sous l’angle juridique et
technique.
Après examen et validation des dossiers, les organismes de protection délivrent des
autorisations obligatoires pour la mise en œuvre des traitements envisagés ou pour leur
régularisation23.
L’autorisation accordée aux responsables de traitement se traduit par la délivrance d’un
récépissé de déclaration ou d’une déclaration portant autorisation. La délibération doit
mentionner le rappel des faits, l’analyse de conformité aux principes de protection, la
décision et les motifs. Le récépissé relatif aux déclarations comporte uniquement la décision
et les motifs.
En vue de faciliter la compréhension des contraintes légales relatives au traitement des
DCP, certaines autorités de protections ont mis en place des procédures de validation des
codes de conduites.
À ce titre, si l’on s’en réfère de manière comparative & un autre État Ouest Africain
comme la Cote d’Ivoire le législateur considère le code de conduite comme une «charte
d’utilisation élaborée par le responsable de traitement afin d’instaurer un usage correct des
ressources informatiques, de l’internet et des communications électroniques de la structure
concernée et homologuée par l’autorité de protection »24. C’est une pratique à encourager,
car elle facilite l’appropriation des exigences légales avant, pendant et après le traitement sur
les données personnelles.
Hormis, sa mission de veille, l’autorité de protection fournit également des conseils et des
contrôles à tous les intervenants dans le processus de protection des données à caractère
personnel.
22
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon
23
Il peut arriver qu’une autorité délivre des autorisations portant régularisation notamment des traitements
mis en œuvre avant son installation.
24
Art. 1er de la loi n° 2013-450 du 19 juin 2013 de la Cote d’Ivoire.
11
B-LES MISSIONS DE CONSEILS ET CONTRÔLE EN MATIÈRE DE
PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
La mission de sensibilisation, très capitale, se décline sous plusieurs formes telles que la
mise en d’un site Internet, la diffusion de guides adaptés aux besoins des secteurs d’activités,
l’organisation et la participation à des séminaires, salons, colloques ou conférences.
Les autorités de protection mettent également é la disposition du public des délibérations
portant sur un type de traitement particulier 25 ou sur des modèles de formulaires ainsi que la
liste des traitements de données autorisés26.
De plus, les conseils des autorités de protection s’adressent en priorité aux personnes
physiques et aux personnes morales. Cette mission reprise dans plusieurs législations est
consacrée par l’article 33 de la loi du Gabon selon lequel : « les autorités de protection
conseillent les personnes et organisations qui mettent en œuvre ou envisagent de mettre en
œuvre des traitements automatisés des données à caractère personnel ».
Il s’agit de conseils d’ordre général propres à renforcer le contrôle et la sécurité des
traitements envisagés.
25
Délibération n°2016-00238/CDP du Sénégal du 11 novembre 2016 sur des vidéosurveillances ; délibération
n°2014-20/CDP du Sénégal du 30 mai 2014 sur le marketing politique.
26
Avis, autorisations, déclarations, recommandations …
27
Article 25.
« Les membres de la Commission des Données Personnelles ainsi que les agents de service assermentés ont
accès, dans les conditions prévues par l’article 45 et suivants du Code de
Procédure Pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations »
12
départements ministériels, par des experts ou par toute personne dument habilitée procèdent
aux vérifications.
Un contrôle peut être déclenché après réception d’une déclaration, d’une simple
demande émanant d’une personne, d’une demande d’accès indirect refusée ou d’une plainte.
Il peut également être effectué spontanément, suite à la constatation de manquements à la
législation.
Il peut aussi être effectué dans le cadre d’actions proactives et préventives ciblées
menées par l’autorité. Il est dressé contradictoirement un PV des vérifications. Le contrôle
s’exerce dans le respect des procédures contradictoires et du respect des droits de la défense.
Aussi, aucun secret professionnel ne peut être opposé à l’autorité de protection dans
l’exercice de sa mission de contrôle.
En dehors de ces missions, certes fondamentales, les autorités de protection disposent
également de prérogatives pour faire face à tout manquement à la législation.
28
Art.34 de la loi n°001/2011 du 25 septembre 2011 du Gabon.
13
convocation ou sur pièces, à des investigations pour vérifier la conformité d’u traitement à la
législation.
Ce pouvoir est prévu par tous les textes de lois en la matière. Dans le cadre de
l’instruction d’un dossier, l’autorité de protection peut recueillir tout renseignement utile,
demander communication de tout document nécessaire à l’accomplissement de sa mission.
Les informations complémentaires à fournir portent le plus souvent sur la finalité de la
requête, l’existence éventuelle d’autres intervenants dans le traitement, les catégories de
données, le lieu stockage de données, les textes législatifs et/ ou règlementaire fixant la durée
de conservation, les modalités d’exercice des droits des personnes et les mesures de sécurité
prises.
À l’issue de l’instruction, la commission peut obliger le responsable du traitement à
rectifier des données incorrectes ou collectées de manière illégale de les effacer ou de les
détruire d’office, ou si l’individu n’est pas en mesure d’obtenir les mêmes résultats, en
agissant lui-même.
Elle peut également formuler des recommandations pour faire cesser des pratiques
contraires à la loi.
En complément des pouvoirs réglementaires et d’instruction, les autorités de
protection disposent d’un pouvoir de sanction très dissuasive.
Les traitements des données à caractère personnel obéissent à des formalités strictes
dont le non-respect est sanctionné par les autorités compétentes, notamment les organismes
de protection et le juge judiciaire.
La sanction peut être d’ordre administratif 29 ou pécuniaire. Les sanctions que les
autorités de protection sont amenées à prendre sont graduelles.
29
Art. 20 de l’Acte additionnel de 2010 adopté par la CEDEAO : « si le responsable du traitement ne se
conforme pas à la mise en demeure qui lui a été adressée, l’autorité de protection peut prononcer à son égard,
après procédure contradictoire (…) un retrait provisoire de l’autorisation accordée, un retrait définitif de
l’autorisation ou une amende pécuniaire » ; Art 12-3 et suivant de la convention africaine sur la cybersécurité
et la protection des données à caractère personnel.
14
Les sanctions administratives applicables peuvent prendre la forme d’un
avertissement30, d’une mise en demeure31 ou d’une injonction32 en vue de faire cesser les
manquements constatés, d’une interdiction de mettre en œuvre un traitement ou d’une
décision de retrait de l’autorisation accordée.
Les autorités de protection peuvent prononcer des sanctions pécuniaires à l’égard des
responsables de traitement DCP pouvant aller d’un (1) million à cent (100) millions de franc
CFA33.
La responsabilité civile du responsable de traitement peut être engagée en raison du
préjudice direct et personnel subit par le personnel victime se ses négligences.
De plus, les sanctions pénales sont prévues par l’article 33 de l’Acte additionnel de la
CEDEAO, lequel donne compétence au juge répressif de pouvoir connaitre du contentieux
sur les données personnelles. La saisine du juge pénal est ouverte aussi bien à la commission
de protection qu’aux personnes dont les données font l’objet de traitement. Elle peut être
également d’office.
Pour ce qui est de l’action de la personne concernée, celle-ci dispose d’un recours
juridictionnel. Le juge étant considéré comme le « protecteur naturel des droits » des
individus, l’intervention d’une autorité de protection ne doit pas faire obstacle à la possibilité
pour tout individu, d’exercer un recours juridictionnel.
Les victimes des agissements d’un responsable de traitement peuvent donc saisir les
juridictions répressives à faire condamner à des peines d’amendes et/ou de peines
d’emprisonnements34
30
C’est un rappel à l’ordre destiné à inviter le responsable du traitement à respecter la règlementation en
vigueur, il peut être rendu public à titre d’exemple la CDP Sénégal a prononcé plusieurs avertissements :
Délibération n°2014-018/CDP du Sénégal du 30 avril 2014, société AK-Project ; Délibération n°2014-019/CDP
du Sénégal du 30 avril 2014, société CEGINUS ; Délibération n°2014-015/CDP du Sénégal du 3 avril 2014,
EXPRESSO Sénégal SA.
31
« Un avertissement peut s’accompagner d’une mise en demeure. Le plus souvent elle prévoit de faire cesser
le manquement constaté dans un délai déterminé. Ce délai tiendra compte de la gravité du manquement, de
l’urgence et du temps nécessaire pour la régularisation de la situation (...) la mise en demeure de faire cesser
un manquement n’est pas subordonnée à l’existence préalable d’un avertissement. En cas d’urgence, une mise
en demeure peut être prononcée d’office » Explique le Docteur Mouhamadou LO dans la protection des
données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017 p. 182-183.
32
Les mesures portant cessation d’un traitement ou retrait d’une autorisation ou d’un récépissé, prévues par
quelques les commission de protection, ne sont prises qu’après une mise en demeure infructueuse voir
délibération n°2016-302/CDP du Sénégal du 19 février 2016, société ABDXMEDIA- dans cette affaire la CDP
reprochait au responsable du traitement la collecte déloyale des données personnelles à partir de recherches
d’adresses sur les pages web et réseaux sociaux, l’absence d’information préalables des personnes concernées
et l’envoi de courriers électroniques de prospection commerciale sans autorisation.
33
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
34
Emprisonnement allant de 1 an à 5ans et une amende de 500.000 à 10.000.000. Au Sénégal AJOUTE LA LOI
ET LARTICLE
15
SECTION 2 : LE STATUT DE L’AUTORITÉ ADMINISTRATIVE DE
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
35
Voir la loi n°001/2011 du 25 septembre 2011 du Gabon ; art 11.1.B de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel.
36
En Afrique ; le mode de désignation des membres fait intervenir le plus souvent les plus hautes autorités du
pays (CDP Sénégal- Décret du Président de le République ; CNPDCP Gabon- Décret pris en Conseil de
Ministres).
37
4 ans au Sénégal et 5ans au Gabon renouvelables une fois.
38
Voir art. 25 al. 3 de la loi n°001/2011 du 25 septembre 2011 du Gabon
39
« Les membres des autorités de protection jouissent d’une immunité pour les opinions émises dans
l’exercice de leurs fonctions. Outre la consécration de ce principe par la plupart des pays, la convention
africaine sur la cybercriminalité et la protection des données à caractère personnel en son article 11-7 le
prévoit expressément en parlant d’une immunité totale » ; Explique le Docteur Mouhamadou LO dans la
protection des données à caractère personnel en Afrique : règlementation et régulation, l’harmattan, 2017
p.149-150.
40
Les membres des autorités de protection, avant leur entrée en fonction, prêtent serment devant une
instance judiciaire (au Gabon c’est le tribunal de 1ere instance de Libreville).
16
Toute autorité de protection doit disposer de moyens suffisants pour exercer ses
missions41. Ses crédits sont inscrits le plus souvent au budget de l’État. Toutefois, le
rattachement des budgets varie d’un pays à un autre 42. Le Président de l’institution est
l’ordonnateur des recettes et des dépenses. Pour renforcer l’indépendance de ces instances de
régulation, les mécanismes de financement, hors budget, sont encadrés. Certains législateurs
interdisent aux autorités de protection de recevoir des financements d’un individu, d’un
organisme ou d’un État étranger que par l’intermédiaire des structures de compétences de
coopération. C’est l’exemple du Sénégal43 et du Gabon44.
41
L’article 8 de la loi 2008-12 du 25 janvier 2008 au Sénégal ; art.28 de la loi n°001/2011 du 25 septembre 2011
du Gabon.
42
Décret n°2012-1223 du 5 novembre 2012 portant répartition des services de l’Etat du Sénégal.
43
Art. 15 de la loi de 2008
44
Art. 41 de la loi de 2011
45
Art. 29 al 1er de la loi de 2011 Gabon
17
La composition des autorités dépend des États et des moyens mis à disposition. Les
critères de recrutement (A) varient également selon les législations. Une telle institution
requiert un personnel qualifié (B).
Certains législateurs exigent que les membres des autorités de protection possèdent «
des compétences techniques, juridiques, économiques, financières, ainsi qu’une expertise
dans le domaine de la protection des droits des technologies de l’information et de la
communication »46. La composition des autorités de protection varie d’un pays à un autre :
Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont désignés
comme suit : trois personnalités désignées par le Président de la République, dont le Président
de la Commission ; un Magistrat membre du Conseil d'État désigné sur proposition du
Président du Conseil d'État ; un Magistrat membre de la Cour de cassation désigné sur
proposition du Premier Président de la Cour de cassation ; un Avocat désigné par l'Ordre des
Avocats ; un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie de
l'information et de la communication désigné par le ministre en charge de l'Economie
Numérique .
S’agissant des Commissaires non permanents, ils sont désignés comme suit : un (1) député
désigné par le Président de l’Assemblée nationale ; un (1) sénateur désigné par le Président
du Sénat ; un (1) Commissaire du Gouvernement désigné par le Premier ministre ; un (1)
représentant du Patronat gabonais désigné par ses pairs.47
Au Sénégal, il est fait état de 11 onze membres répartis comme suite : trois
personnalités désignées par le Président de la République ; un (1) député désigné par le
Président de l’Assemblée nationale ; un (1) sénateur désigné par le Président du Sénat ; un (1)
représentant du Patronat gabonais désigné par ses pairs ; un Magistrat membre du Conseil
d'État désigné sur proposition du Président du Conseil d'État ; un Magistrat membre de la
Cour de cassation désigné sur proposition du Premier Président de la Cour de cassation ; un
Avocat désigné par le Bâtonnier de l'Ordre des Avocats du Sénégal ; un représentant des
organisations de défense des droits de l’homme désigné par le ministre de la Justice ; le
Directeur de l’Agence de l’Informatique de l’État48.
46
Art. 16 de la loi de 2011 Gabon
47
Art 17 et suivant de la loi de 2011 Gabon
48
Art .6 de la loi 2012-12 du 25 janvier 2012 au Sénégal
18
B- LE PERSONNEL DES AUTORITÉS DE PROTECTION
Les autorités de protection disposent d’un personnel pourvu par l’État et peuvent
recruter des agents conformément à la législation du Code du travail 49. Ce personnel est
reparti le plus souvent dans les services administratifs, juridiques, techniques et de contrôle.
Vu la charge du travail, la plupart des autorités de protection fonctionnent avec un Secrétariat
général qui assure l’administration de l’instance50. Il est nommé par décret au Gabon ou
directement par le président de l’autorité au Sénégal.
La règlementation sur les données à caractère personnel fixe des normes applicables à
un territoire déterminé. Il relève alors d’une grande importance de démontrer comment
identifier les données qui entrent dans le champ de la protection, celles qui en sont excluent
(Section 1) et d’analyser l’objectif de la protection de ces données (Section 2).
49
Art. 36 de la loi de 2011 Gabon
50
Art. 37 de la loi de 2011 Gabon
19
Le droit à la protection des données à caractère personnel est un droit autonome avec
un champ d’application bien déterminé. Il relève alors d’une grande importance de démontrer
comment identifier les données qui entrent dans le champ de la protection (Paragraphe 1) et
celles qui en sont exclues (Paragraphe 2).
Le vocabulaire utilisé dans la réglementation portant sur les DCP est différent d’un
pays à un autre. Ainsi, il convient d’examiner ce que l’on entend par DCP (A) et par données
sensibles (B).
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une
appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait.
Si l’identification53 ou «l’identifiabilité » des personnes concernées par les données
est au cœur de la définition de la notion de données à caractère personnel 54, certains
spécialistes de la matière ont considéré que cette identification ou cette identifiabilité était
51
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 7 de la loi n°1/2011 du 25
septembre 2011 relative à la protection des données à caractère personnel au Gabon.
52
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, France
53
« Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les aspects techniques
de la régulation des données personnelles : la question du numéro IP, in La régulation des données
personnelles, LEGICOM, n° 42 – 2009/1, p. 128
54
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005. L’identification est
présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les données et informations à
caractère personnel. Essai sur la notion et ses fonctions, Thèse de doctorat en droit, Université de Nantes, 14
décembre 2007
20
insuffisante et de proposer la « contactabilité » comme critère de définition de la notion de
données à caractère personnel55. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »56.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme des
identifiants, des données biométriques, un numéro de carte bancaire ou des données de
localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus
pratiques et simples de la définition de la notion de données à caractère personnel, nous
citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les
erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle57.
Parmi la catégorie des DCP, certaines sont qualifiées de données dites sensibles. Leur
traitement est particulier et fait l’objet d’une protection juridique renforcée. Ainsi, «toutes les
données à caractère personnel relatives aux opinions ou activités religieuse, philosophique,
politique, syndicales, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux
58
poursuites, aux sanctions pénales ou administratives » sont considérées comme données
sensibles.59
55
La contactabilité comme nouveau critère de définition de la notion de données à caractère personnel et
d’application de la loi vaudrait chaque fois que « des données permettent ou non de contacter un individu,
d’influencer son comportement ou de prendre une décision vis-à-vis de lui" peu importe que ces données
permettent ou non l’identification des personnes. (Y. Poullet, A. Rouvroy, D. Darquennes, Le droit à la
rencontre des technologies de l’information et de communication : le cas du RFID, in Cahiers Droit, Sciences &
Technologies, n° 1, avril 2008, CNRS Editions, pp. 129-130). Moins qu’une focalisation sur des données
permettant d’identifier les personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-
à-vis de certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième génération de
réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
56
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche
scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à
l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction
57
Voir annexe
58
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; Article 6 alinéa 9 de la loi n°001/2011 du
25 septembre 2011 relative à la protection des données à caractère personnel au Gabon ;
59
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère personnel :Le
traitement des données sensibles (appelées « catégories particulières »), qui révèlent l’origine raciale ou
ethnique, la religion, les opinions politiques, syndicales ou religieuses, la génétique, la biométrie, la santé ou la
sexualité, est interdit, sauf si :• la personne concernée a donné son consentement ou a déjà rendu ces
données publiques, ou si• le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou
21
La notion de données de santé suscitant beaucoup de débats, le législateur européen a
profité de ce texte pour en donner une définition, ainsi que des données génétiques
et biométriques :
« Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires
ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie
ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un
échantillon biologique de la personne physique en question » donnée génétique ;
« Les données à caractère personnel résultant d’un traitement technique spécifique,
relatives aux caractéristiques physiques, physiologiques ou comportementales d’une
personne physique, qui permettent ou confirment son identification unique, telle que des
images faciales ou des données dactyloscopiques » données biométriques ;
« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne
physique, y compris la prestation de services de soins de santé, qui révèlent des informations
sur l’état de santé de cette personne » Données concernant la santé.
Une base de données peut également contenir des données brutes 60 c’est-à-dire des
données qui ne remplissent pas les conditions fixées par la commission de protection, il s’agit
des données anonymisées ou pseudonymisées (A), mais il existe des exceptions d’usage privé
(B).
22
Cette catégorie de donnée doit être distinguée des données pseudonymisées. Celles-
ci restent qualifiées de données à caractère personnel, car elles restent attachées à la
personne concernée à l’aide d’un identifiant. Les données sont dites pseudonymes
lorsqu’elles ne peuvent « plus être attribuées à une personne concernée précise sans
avoir recours à des informations supplémentaires ».
Ces données supplémentaires doivent, en outre, être « conservées séparément et
soumises à des mesures techniques et organisationnelles » afin de garantir qu’une
information ne soit pas attribuée à une personne physique. L’utilisation de données
pseudonymes permet cependant de réduire le risque pour les personnes concernées. En
effet, en cas de perte ou de vol, l’identité de l’individu n’est pas directement exposée. Il
est nécessaire de disposer de la table reliant les identifiants à l’identité des individus.
Pour être admissible, tout traitement de données à caractère personnel doit répondre à
un certain nombre d'exigences de fond. Vous devez donc respecter les principes suivants
lorsque vous êtes amenés à traiter des données à caractère personnel:
61
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche de
l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le concept de “Privacy
by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles
applications technologiques et commerciales dès leur conception
23
Pour envisager sereinement la mise en conformité d’un traitement de données
personnelles avec le Règlement européen relatif à la protection des données (RGPD), il faut
connaître les grands principes prévus par le texte.
Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données.
Le RGPD consolide donc les droits existants comme le droit à l’information et crée
parallèlement de nouveaux droits notamment le droit à la portabilité, à l’oubli et à la
limitation du traitement. Il reste important d’analyser les principes de sécurité (Paragraphe
1) et de confidentialité (Paragraphe 2).
Le responsable des traitements de données doit s'assurer que les données sont sécurisées
et que des tiers non autorisés n'y aient pas accès ; cette obligation s'étend en cas de sous-
traitance de l’utilisation des données.
La décision de collecter les données personnelles crée des obligations pour celui qui en a
pris la décision. C’est pourquoi les renseignements sur les données à caractère personnel
imposent aux maitres des traitements une obligation de confidentialité (B) et de sécurité (A).
24
Cette obligation se traduit donc par la nécessité de mettre en œuvre des mesures de
sécurité physique (verrous aux portes, coffre-fort…) et des mesures de sécurité logique
(gestion des habilitations, contrôle des accès, cryptage des données…).
Les précautions, prévues par les différentes législations, doivent garantir un niveau de
sécurité.
Le traitement des données à caractère personnel est confidentiel. À cet effet, selon
Oumarou Ag Mouhamed Ibrahim Haidara, président de l’APDP, « le recours aux outils
technologiques qui nécessite l’agrégation des données personnelles entraine certaines
dérives, notamment en ce qui concerne leur confidentialité »65. Cette exigence est présente
donc de manière quasi similaire dans le droit de plusieurs pays66.
caractère personnel.
63
Art. 64, 65 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon ;
64
Article 70 de la loi n°2008-12 du 25 janvier 2008 du Sénégal.
65
Journal « l’essor » du 11/03/2016 : lancement des activités de l’APDP Mali.
66
Art. 38 de la loi n°2008-12 du 25 janvier 2008 du Sénégal ; art. 13 de la convention africaine sur la
cybercriminalité et la protection des données à caractère personnel
25
Par ailleurs, l’obligation de confidentialité exige un engagement écrit et signé. À titre
d’exemple, chaque responsable de traitement doit prévoir des dispositions relatives à la
règlementation sur les données personnelles dans les contrats avec ses partenaires.
L’obligation de confidentialité, s’imposant aux responsables du traitement et aux sous-
traitants, est intimement liée à l’obligation de sécurité.
Prenons le cas de JUMIA Sénégal, un célèbre site de vente en ligne, qui reçoit de
nombreuses commandes d’article de tout genre. Plusieurs consommateurs en passant leurs
commandes, doivent se faire enregistrer et pour se faire il est nécessaire d’insérer des
données permettant d’identifier les clients individuellement. Le responsable du traitement ici
est tenu de respecter les principes de protections de données à caractère personnel.
Les droits reconnus par les différentes législations aux personnes dont les données à
caractère personnel font l’objet d’un traitement constituent le fondement même de la
protection desdites données. Il s’agit du droit à l’information, du droit d’accès (A), mais,
également d’opposition de rectification et de suppression (B).
26
A-LE DROIT A L’INFORMATION ET LE DROIT D’ACCÈS
Le droit à l’information est le premier droit des personnes concernées et l’un des plus
importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits par leur
titulaire. Si la personne concernée ignore qu’une entreprise traite ses données, elle ne sera pas
en mesure de demander l’accès à ces informations, leur rectification ou de s’opposer au
traitement. L’article 1367 fixe la liste68 des informations à communiquer à la personne
concernée.
Le responsable du traitement doit mentionner : son identité et ses coordonnées ainsi que le
cas échéant celles du DPO69; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être précisé) ; les
destinataires des données ; le cas échéant, l’existence d’un transfert et les garanties mises en
place pour permettre ce transfert ; la durée de conservation des données (ou les critères
utilisés pour déterminer cette durée) ; les droits des personnes concernées (accès,
rectification, droit de retirer son consentement, etc.),
Dans le cadre de la RGPD. il est institué un droit de réclamation auprès de la CNIL ; L’article
14 de la RGPD est dédié aux informations à communiquer en cas de collecte indirecte, c’est-
à-dire dans l’hypothèse où les données ne sont pas fournies directement par la personne, mais
par un tiers. Ces deux listes sont pratiquement identiques, il faut cependant préciser, en
cas de collecte indirecte, les catégories de données et la source des données.
27
Le droit d’accès (peut-être direct ou indirect) est défini comme le droit reconnu à toute
personne physique, tout héritier ou tout tuteur, justifiant de son identité, d’interroger le
responsable d’un traitement de DCP en vue d’obtenir la communication, sous une forme
accessible intelligible ou compréhensible, des informations qui la concernent.
Le droit d’opposition est une mesure permettant aux individus de protéger eux-mêmes
leurs données. Ce principe signifie que « toute personne physique a le droit de s’opposer,
pour des motifs légitimes, valables et sérieuses à ce que des données à caractère personnel la
concernât fassent l’objet d’un traitement ».
Le droit de rectification et de suppression quant à lui, peut être exigé, par toute
personne physique justifiant de son identité au responsable d’un traitement que soient, selon
les cas, rectifiés, complétés, mis à jour, verrouillé ou supprimé, les données à caractère
71
; Art. 7 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère
personnel au Gabon.
28
personnel la concernant, qui sont inexactes, incomplètes, équivoques, primées, ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite 72.
29
d'utilisation frauduleuse des données personnelles : usurpation, fraude à la carte
bancaire, etc.
Protéger les données dans le commerce électronique demande un encadrement
légal du processus de contractualisation (Chapitre 1), mais aussi, des moyens de
régulation de certains types de traitement portant sur ces données (Chapitre 2).
76
Art. 3 du DECRET n° 2008-718 du 30 juin 2008 relatif au commerce électronique pris pour l’application de la
loi n° 2008 -08 du 25 janvier 2008 sur les transactions électroniques.
77
L'Organisation de coopération et de développement économiques est une organisation internationale
d'études économiques, dont les pays membres (des pays développés pour la plupart) ont en commun
un système de gouvernement démocratique et une économie de marché.
30
protection efficace aux consommateurs, que les innovations qui émergent sur ce
marché.
La consécration de nouvelles obligations dans les transactions électroniques
(Section 1) la sécurisation des transactions en ligne (Section 2) sont des moyens
d’encadrer le processus de contractualisation.
Afin de gagner la confiance des clients et de satisfaire aux exigences légales, une
entreprise exploitant un site de commerce 78 doit appliquer une politique stricte de protection
des données personnelles dans la moindre transaction qu’elle réalise. De ce fait, il
conviendrait de traiter successivement : les obligations rattachées à la prospection en ligne
(Paragraphe 1) et le respect des libertés fondamentales par les acteurs du commerce
électronique (Paragraphe 2).
La voie électronique peut être utilisée pour mettre à disposition des conditions
contractuelles ou des informations sur des biens ou services 79. La prospection est un
processus commercial consistant, pour une entreprise, à rechercher des clients
potentiels (appelés des prospects) afin d'en faire des clients réels. C'est une étape
stratégique dans le processus de développement d'une société cherchant à accroître son
marché.
Elle nécessite au préalable la constitution ou l'acquisition d'une base de données
permettant de mettre en place un plan de prospection. En fonction de ses objectifs et
des clients visés, la prospection peut être gérée par les commerciaux ou par les
78
Le commerce électronique ou vente en ligne désigne l’échange de biens et de services entre deux entités sur
le réseau internet ou via les réseaux téléphoniques mobiles, L’essor de l’internet et du commerce électronique
ont créé des menaces sans précédent pour le respect de la vie privée du client consommateur.
79
Art. 22 de la LOI n° 2008-08 du 25 janvier 2008 sur les transactions électroniques.
31
publicitaires. Outre les annonces publicitaires, ces derniers disposent de quatre outils
principaux : le mailing (ou publipostage), le faxing (essentiellement utilisé dans le
B2B), le phoning (ou prospection téléphonique) et le meeting (ou prospection
physique).
Cette nouvelle obligation visant principalement les prestataires de services en
ligne a été mise en place dans un souci de transparence envers le consommateur (A),
mais aussi, de loyauté et de confidentialité dans les transactions électroniques (B).
Dès lors que des données à caractère personnel sont collectées sur les utilisateurs ou
clients du site, un certain nombre d’obligations complémentaires doivent être respectées, en
vertu de la législation informatique et Liberté, notamment une déclaration à la CNIL et des
mentions à publier sur les formulaires de collecte d’information.
Lorsque ces publicités sont communiquées par courrier électronique, leur nature, leur
contenu et leurs modalités doivent être clairement identifiés et de manière non équivoque, et
cela dès la réception du message ou, en cas d’impossibilité technique, dans le corps du
message.
Ces messages doivent aussi indiquer une adresse ou moyen électronique permettant
effectivement au destinataire de transmettre une demande visant à obtenir que ces publicités
80
https://www.lesbros-avocats.com/les-obligations-a-respecter-par-les-sites-de-commerce-electronique/
32
cessent. Les conditions d’accès aux offres ou de participation aux concours doivent de la
même manière être accessibles facilement et clairement.
Les responsables de traitement doivent s’assurer que les données collectées aux
fins de prospection directe sont licites et loyales au sens de l’article 34 de la loi sur les
données personnelles au Sénégal.
Le cybercommerçant ne doit pas recourir à des pratiques commerciales
déloyales ou trompeuses. Le devoir de loyauté a été mis en place pour les plateformes
numériques qui seront désormais dans l'obligation d'informer les internautes de leurs
méthodes de référencement des différents services, produits et contenus proposés à un
internaute.82
L’obligation générale de loyauté pesant sur les opérateurs de plateformes en
ligne.
S’il existait déjà à la charge des plateformes en ligne une obligation de délivrer une
information loyale, claire et transparente aux consommateurs, la loi pour une
République numérique83 a pour objet de la renforcer. L’obligation générale de loyauté 84
pesant sur les opérateurs de plateformes en ligne se décline désormais en trois volets.
D’une part, tout opérateur est tenu de préciser « les conditions générales
d’utilisation du service d’intermédiation qu’il propose et (…) les modalités de
81
toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un
service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen
d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2°
Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de
l’échange ou du partage d’un contenu, d’un bien ou d’un service.
82
https://www.lecomparateurassurance.com/6-actualites-assurance/109148-obligation-loyaute-transparence-
plateformes-numeriques-ont-jusqu-1er-janvier-2018
83
La loi pour une République numérique est une loi française initialement proposée par la secrétaire d'État au
numérique Axelle Lemaire et promulguée le 7 octobre 2016.
84
L'obligation de loyauté découle de l'obligation d'exécuter le contrat de bonne foi, ainsi les opérateurs de
plateformes ne doivent pas causer de tort aux consommateurs.
33
référencement, de classement et de déréférencement des contenus, des biens ou des
services auxquels ce service permet d’accéder ».
D’autre part, chaque opérateur doit divulguer « l’existence d’une relation
contractuelle, d’un lien capitalistique ou d’une rémunération à son profit, dès lors
qu’ils influencent le classement ou le référencement des contenus, des biens ou des
services proposés ou mis en ligne ». Enfin, les consommateurs doivent être informés de
« la qualité de l’annonceur et des droits et obligation des parties en matière civile et
fiscale, lorsqu’ils sont mis en relation avec des professionnels ou des non-
professionnels ». Un décret précisera les conditions d’application de cette obligation en
fonction de la nature de l’activité des opérateurs de plateformes en ligne.
34
(A), le respect de l’ordre public et des bonnes mœurs (B) », il faut encadrer ces échanges de
données.
35
Non seulement les jurisprudences ne permettent pas de dégager une définition
globale de la vie privée, mais il apparaît que le respect qui lui est dû n’est pas absolu :
la liberté d’expression ou l’intérêt public peuvent éventuellement justifier des atteintes
à ce droit. S’il n’existe pas de définition positive de la vie privée, peut-on recourir à une
définition négative, en l’opposant à la vie publique ?
Relèverait alors du domaine privé tout ce qui n’advient pas dans le domaine
public ou qui n’est pas porté à la connaissance du public par la personne
concernée. Mais il ne s’agit pas là non plus d’un critère absolu. La notoriété de la
personne concernée, le lieu où se déroulent les faits concernés, la volonté plus ou moins
affichée de communiquer sur sa vie privée ou au contraire de la protéger jouent
également leur rôle.
Prenons l’exemple des informations concernant la santé, qui forment une part
éminemment sensible de la vie privée de chacun ; la santé du président de la
République, un débat oppose depuis des décennies les partisans du secret à ceux de la
transparence.
Il convient de souligner la différence entre « vie privée » et « données personnelles ».
Si le concept de vie privée existe depuis le XIXe siècle, c’est seulement avec la
généralisation de l’informatique qu’est apparue la nécessité de prévoir également une
protection pour les données personnelles.
Depuis les années 1970, la situation a encore évolué, et les États ne sont plus les
seuls à menacer les droits des individus : d’abord, les entreprises ont acquis elles aussi
la capacité de collecter et de traiter les données personnelles de leurs salariés, de leurs
clients ou de leurs prospects. Puis, plus récemment, chacun, muni de son PC, de sa
tablette ou de son smartphone, se retrouve dépositaire, sciemment ou inconscient.
Toutes les données personnelles ne relèvent pas de la vie privée, c’est le cas des
informations concernant l’activité publique d’un individu. L’Internet étant soumis aux
règles de droit, tous les propos ou représentations ne sont pas admis. C’est ainsi qu’au
Sénégal, il existe un système de libertés publiques qui trouvent leurs sources dans les
conventions internationales, dans la Constitution et dans les lois.
36
D’une part, il est interdit de proposer à la vente sur Internet des produits illicites,
des CD piratés ; le contrat électronique est un vecteur privilégié pour les transactions
par Internet. Toutefois, il est « pris entre deux feux : celui du monde numérique, libéral
et privilégiant l'efficacité économique [et] celui du contrat qui repose sur un fragile
équilibre entre sécurité juridique et justice contractuelle »85
Dans l’espace virtuel, le risque de contracter par voie électronique est plus
important. Internet permet d'accélérer tout ce qui se vend dans le monde. Les
cyberconsommateurs peuvent ainsi acheter de nouveaux produits avant leur
commercialisation dans leur pays d’origine ou comparer plusieurs offres dans plusieurs
pays. Certains sites étrangers proposent même des produits interdits à la vente dans le
pays du cyberconsommateur aux risques et périls de ce dernier et d’autres cachent
certaines informations de nature à déprécier leurs produits ou leurs prestations et
influencer le choix du cocontractant.
De plus, il faut protéger les mineurs face aux images, messages, offres
commerciales au contenu violent, pornographique, raciste ou racoleur.
85
M. MEKKI, « Le formalisme électronique : la " neutralité technique" n’emporte pas " neutralité
axiologique" », Revue des contrats, 01 juillet 2007, n° 3.
37
PARAGRAPHE 1: L’ENCADREMENT DU PROCESSUS DE
TRANSMISSION DES INFORMATIONS CONTRACTUELLES
Les banques de nouvelle génération mettent tout en œuvre afin de rassurer leur
clientèle, en mettant en place des moyens efficaces en vue d’optimiser la sécurité de
leurs données, ainsi que les opérations bancaires effectuées sur Internet.
Toujours est-il qu’en matière de sécurisation de leurs informations les
cybercommerçants (A) y accordent une certaine importance et qu’une obligation de
minimiser les informations requises du cyberconsommateur pèse sur lui (B).
38
Les techniques de collecte (questionnaires, cookies 86…) ne doivent pas être mises en
œuvre à l’insu et sans l’accord de l’internaute. Les données collectées doivent être exactes et
complètes, elles ne doivent pas contenir des données sensibles (origine raciale, appartenance
politique), mais, doivent pouvoir faire l’objet d’une rectification ou d’une suppression de la
part du consommateur.
Le consommateur doit être au courant de l’existence du fichier de données et de sa finalité.
C’est dans cette logique que le législateur sénégalais assimile à l’infraction de violation du
secret bancaire, le fait de procéder, même par imprudence, à un traitement automatisé
d’informations bancaires nominatives sans prendre toutes précautions utiles pour préserver la
sécurité des procédures, lorsque ce traitement est de nature à entraîner des dénaturations,
dommages ou communications à des tiers.
Enfin, l’on note dans ce domaine de la consécration du principe du secret
professionnel. Il signifie que les personnes qui procèdent au traitement des données
personnelles doivent s’abstenir de comportements de nature à entraîner la divulgation, la
diffusion, la communication ou la révélation des données personnelles ainsi traitées aux tiers
non habilités à en prendre connaissance.
39
données personnelles. En effet la minimisation de la collecte n’est qu’une stratégie
parmi plusieurs autres : la minimisation des flux ; la minimisation de la réplication ; la
minimisation de la centralisation ; la minimisation des liens d’identification ; la
minimisation de la rétention (durée de conservation). La combinaison des stratégies de
minimisation citées vise à réduire le risque de violations de données en réduisant le
volume de données sous le contrôle d’un responsable de traitement ou un sous-traitant
en essayant de garder le maximum de données personnelles dans le domaine de
contrôle de la personne concernée.
Ces stratégies doivent être prises en compte dès le stade initial de la création
d’un nouveau système traitant des données personnelles
88
e-commerce : 2005, l'année des grandes manœuvres [archive]
40
La plateforme « Orbus Paiement 89» connait aujourd’hui un grand succès grâce à l’intégration
des différents opérateurs et moyens de paiement présents sur le marché : Post cash, UBA,
Wari, JONI JONI, Orange Money, Tigo Cash, Master card et Visa card. Toutefois, le
paiement électronique présente des risques qui doivent être mitigés, d’où l’importance de
maitriser le parcours client le long du processus afin d’éviter des cybers attaques
La CNIL se montre de plus en plus vigilante sur la protection des données bancaires des
particuliers, alors que s’accroît la fréquentation des sites marchands et que se généralise le
paiement en ligne pour toutes sortes de prestations. Exemple récent de ce principe de
précaution90.
Dans son communiqué qui précise à nouveau les règles que doivent normalement
appliquer tous les sites de e-commerce, la CNIL précise que « les données bancaires
communiquées par des clients lors d’un achat sur Internet sont des données dont la nature
justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées.
Depuis l’entrée en application du règlement européen sur la protection des données, les
commerçants doivent envisager leur système de paiement en tenant compte des principes de
protection des données par défaut et dès la conception.
En matière de paiement pour la vente de biens ou la fourniture de services à distance,
Les données strictement nécessaires à la réalisation d'un paiement sont par défaut : le numéro
de la carte, la date d'expiration, le cryptogramme visuel.
Les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs
données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs.
Le consentement ne se présume pas et doit prendre la forme d'un acte de volonté
univoque, par exemple au moyen d'une case à cocher (non précochée par défaut).
L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme
une modalité suffisante du recueil du consentement des personnes.
89
Orbus paiement est un concentrateur de moyens de paiement électronique qui vous permet de recevoir des
paiements de manière simple, transparente et sécurisée.
90
Le principe de précaution a été édicté lors de la conférence sur la diversité biologique de Rio (1992) qui
stipule que ''en cas de risque de dommages graves ou irréversibles, l'absence de certitude absolue ne doit pas
servir de prétexte pour remettre à plus tard l'adoption de mesures effectives, visant à prévenir la dégradation
de l'environnement ...''.
41
B-L’OBLIGATION DE CAMOUFLAGE DES DONNÉES BANCAIRES
TRANSMISES SUR DES PLATEFORMES DE PAIEMENT AUX
NORMES DE SÉCURITÉ
La carte bancaire n’est qu’un petit bout de plastique et de métal. Mais celle-ci
donne accès à un compte bancaire, mais aussi à toutes informations personnelles
bancaires, comme si elle était la clé d’un coffre-fort. Il faut donc bien protéger sa carte
bancaire, pour éviter qu’une personne malveillante puisse avoir accès à votre argent et à
votre épargne. Notons aussi que dans certains cas, s’il y a négligence de la part du
client, il pourrait être victime d’une arnaque à la carte, l’assurance peut ne pas vous
rembourser.
Il peut être difficile de retenir le numéro d’une carte bancaire, cependant le
cryptogramme à 3 chiffres à l’arrière de la carte est lui, très facile à retenir. Il est
nécessaire notamment pour faire des achats ou paiements en ligne. Une fois qu’il a été
bien mémorisé par le client, il peut soit l’effacer soit le rendre illisible en y passant du
marqueur noir dessus. Cela sécurisera déjà un peu plus la carte bancaire.
Le paiement sans contact est vraiment pratique et très utilisé en France.
Cependant le sans contact fonctionne avec une puce RFID ou NFC 91 qui peut être lu
aussi avec les smartphones iPad92 tablettes, etc.
Il est donc important de se munir d’une pochette qui empêche la carte d’être lue à votre
insu.
Le plus souvent le vol de donnée bancaire se fait dans le transport en commun
ou dans la foule, et cela sans que vous ne le remarquiez. Après ce genre de piratage,
une fausse carte peut être reproduite et utilisée dans les autres pays qui ne demandent
pas toujours le code PIN comme en France.
91
La RFID est un processus par lequel des données sont récupérées par le biais d'ondes radio alors que
la NFC est un sous-ensemble de la RFID, elle est conçu pour être une forme sécurisée d'échange de données,
elle permet aux appareils équipés de lecteurs et puces NFC de communiquer en peer-to-peer.
92
L'iPad est une tablette (ou ardoise tactile) conçue et commercialisée par Apple. Fine et légère, elle est
animée par le système d'exploitation iOS qui équipe aussi les iPhones. Son écran tactile permet de consulter
Internet, de gérer sa messagerie et de lire des livres et magazines électronique.
42
CHAPITRE 2 : LA RÉGULATION PAR LES AUTORITÉS DE
PROTECTION DE CERTAINS TYPES DE TRAITEMENT PORTANT
SUR DES DONNÉES À CARACTÈRE PERSONNEL
Il peut arriver que les données que vous recevez soient illisibles pendant
l'importation ou les processus de réplication de poste en raison d'une insuffisance de
conversion de page de code pendant ces processus. Il devient donc impératif
d’envisager des mesures techniques et organisationnelles pour assurer la sécurité du
43
traitement (Paragraphe 1), en cas d’échec, comment se fait la régulation du traitement
des données à caractère personnel sur les réseaux sociaux (Paragraphe 2).
Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de
vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou
utilisation par des tiers non autorisés. En outre, nous demandons à ces tiers, visés ci-dessus,
de mettre en place des mesures de sécurité techniques et organisationnelles appropriées à
l'égard de ces données personnelles.
Le cryptage est une science dont l’objet est de rendre secret un message, une
information. Pour être opérationnelle dans le cadre du commerce électronique, la
cryptologie doit être mise en œuvre dans un système appelé architecture. Il en existe
deux qui sont fondés sur la notion de clef, qui est en fait l’élément logique permettant
de chiffrer ou déchiffrer un message. Ces deux clefs de chiffrement et de déchiffrement
sont identiques.
Appliqué des PET (privacy enhancing technologies93), le but des PET est de
réduire le volume et le flux des données sensibles entre le « Service Domaine 94 » et le «
User Domain ».
93
Nouvelles propositions pour la promotion des technologies permettant de renforcer la protection de la vie
privée au niveau européen.
94
L’utilité des services de domaine Active Directory consiste à stocker les données d’annuaire et gérer les
communications. Active Directory Domain Services ou AD DS s’occupe de la gestion des communications entre
utilisateurs, le processus d’ouverture de session, la recherche d’annuaire et l’authentification.
44
La question qu’il faut toujours se poser lors de la définition des Dataset 95 est :
Est-ce que ces données sont nécessaires au « Service Domaine » ou y a-t-il une PET qui
permet de les garder dans le « User Domain ». Plusieurs PET permettent de réaliser cet
objectif, nous pouvons citer :
Le traitement des données en local c’est traiter les données sensibles au niveau du «
User Domain » et n’envoyer que le résultat du traitement au « Service Domain ».
Le chiffrement de données c’est convertir les données au niveau du « User Domain »
en un format lisible et envoyer le résultat au « Service Domain » tout en gardant la clé
de chiffrement sous la responsabilité de la personne concernée, certes les algorithmes
de chiffrement classiques (AES, RSA, …) ne permettent pas au « Service Domain » de
traiter les données chiffrées, par ailleurs des algorithmes avancés (ex chiffrement
homomorphe) permettent le traitement de données chiffrées et la production d’un
résultat qui est aussi chiffré. En déchiffrant le résultat, on retrouve le même résultat que
celui produit par un traitement de données non chiffrées.
Le protocole cryptographique de privacy , le principe de ce type de protocole
est de multiplier les interactions entre le « 8 » et le « Service Domain », ces interactions
permettent à la personne concernée de prouver l’exactitude des informations sans
devoir les transmettre vers le « User Domain » (ex. Zero knowledge proofs : permet de
prouver la valeur d’un attribut sans devoir transmettre sa valeur vers le responsable de
traitement (ex. prouver qu’on a plus de 18 ans sans devoir transmettre la date de
naissance).
Private information retrival, permet de réaliser des recherches sur une base de données
sans dévoiler la requête au responsable du traitement. Mise en gage : permet à une
personne de « mettre en gage » une valeur tout en la maintenant cachée aux autres, avec
la possibilité de révéler cette valeur plus tard en prouvant que c’est bien la valeur qui
avait été mise en gage).
45
est crucial de penser la stratégie de mise en relation de ces informations parce que c’est
bien cette cohérence des données qui donne corps à la traçabilité elle-même.
Une opération se caractérise par un début et une fin ; une durée d’opération peut
s’étendre de quelques secondes ou minutes à éventuellement plusieurs jours. Entre ces
tops de début et de fin, différentes données caractérisant l’opération doivent être
enregistrées afin de pouvoir fournir au client, le cas échéant, un justificatif des
conditions dans lesquelles une production s’est déroulée. Ces données, qui doivent être
horodatées par ailleurs, peuvent être classées en plusieurs catégories :
Les paramètres de l’opération qui sont mis en application pour produire : les
paramètres matière ou pièce par exemple le numéro de lot,les paramètres de réglage /
dosage par exemple la recette, la formulation et les dimensions.
Les données de contexte et de suivi de fabrication : les mesures physiques (consignes et
valeurs mesurées) pour suivre le respect des réglages / dosages, comme des
températures, pressions, débits … les alarmes comme les alarmes de dépassement de
seuil, les alarmes sur équipement (disjonction, casse mécanique), les commentaires de
l’opérateur et, si le processus est prévu ainsi, la qualification de l’opération par
l’opérateur.
La traçabilité est rendue possible par la relation que l’on peut faire entre une
opération et l’ensemble des paramètres et données de l’opération : le produit, la gamme
opératoire, les écarts entre consigne et valeur mesurée, les incidents …
Lors d’un projet de mise en œuvre d’une traçabilité, il est fréquent de voir que la
priorité est donnée à l’automatisation de la collecte de l’information, en pensant que le
plus important est de relever automatiquement les données pour fiabiliser et simplifier
la traçabilité. Même s’il est certain que la collecte automatique de données fiabilise et
améliore la traçabilité, le vrai enjeu réside dans l’automatisation des associations entre
les données de fabrication et les opérations. À une opération sont associées toutes les
données nécessaires pour qualifier la fabrication et ces informations sont
convenablement archivées et exploitables sans oubli ni erreurs.
46
Un réseau social est une technologie qui permet de mettre en relation des
personnes en fonction de leur centre d’intérêt commun 96 ou dans le cadre professionnel.
L’objectif de est ici de : sensibiliser sur les risques à la vie privée en cas de
communication de données sensibles97 ; lutter contre la publication d’un contenu
portant atteinte à la réputation d’une personne ; prévenir contre les menaces liées à la
cybercriminalité ; cyber- harcèlement ou cyber chantage ; lutter contre la prospection
directe illicite ; contrôler l’interconnexion de masse de données ; lutter contre
l’espionnage et surveillance de masse des populations ; et de lutter contre la mise à
disposition des données des internautes aux services de renseignement étrangers.
Nous analyserons successivement l’obligation de destruction des données collectées
(A) et le traitement des données du cloud computing (B).
96
Sport, musique, littérature, cinéma
97
Identité, données de santé, mode de vie…
47
alors qu'il n'était encore qu'un enfant et n'était pas pleinement conscient des risques
inhérents au traitement.
Le droit d’effacement ou droit à l’oubli consiste dans la suppression de toutes les
données relatives à une personne concernée98.
98
Art 17 du RGPD en France.
99
Droit d’information
48
conditions d’exercice de leurs droits100 ; exiger du prestataire cloud une protection
adéquate des données transférées, notamment leur sécurité et leur confidentialité ;
encadrer la durée de conservation des données ; insérer sur les conditions générales
d’utilisation des différents services cloud des dispositions relatives à la protection des
données personnelles ; privilégier le recours au cloud computing national.
L’internet des objets désigne la connexion desdits objets 101 au réseau internet en
vue de récupérer, stocker, transférer et traiter des données collectées auprès des
utilisateurs ou de leur environnement. Les objets et applications connectés impliquent
le plus souvent un traitement de données sur des personnes physiques.
Pour prévenir les difficultés que rencontrent les utilisateurs des objets connectés, le
législateur s’est prononcé sur la question en édictant des directives notamment : le
respect des formalités déclaratives selon la technologie utilisée (drone) ; le traitement
loyal et licite pour des finalités déterminées explicites et légitimes ; le respect de la
durée de conservation des données ; le transfert des données dans des pays n’offrant pas
un niveau de protection adéquat.
En dehors de cela, quelques recommandations ont également été faites :
informer de maniéré claire et précise les utilisateurs des objets connectent ; requérir le
consentement de l’utilisateur ; s’assurer du niveau de sécurité des flux de données ;
éviter la captation et le stockage des données sensibles ; la déconnexion des objets non
utilisés ; éviter l’automatisation du partage des données vers d’autres services,
notamment vers les réseaux sociaux, etc. la tangibilité du traitement des données dite
sensibles (Paragraphe 1), régulation des contentieux lies aux traitements des données
biométriques et de prospection en ligne ( Paragraphe 2).
100
Doits d’accès, de rectification, de suppression, de conservation, de destruction ou de restitution des
données à la fin de la prestation ou en cas de rupture anticipée du contrat.
101
Jouets (poupée, robot, baby phone), capteurs corporels, téléviseurs, lunettes, voiture, valise, pèse-personne
bijou stylo…
49
PARAGRAPHE 1 : LA TANGIBILITÉ DU TRAITEMENT DES
DONNÉES DITE SENSIBLE
50
Les données des clients des banques renvoient aux fichiers des comptent
bancaires clients particuliers, aux fichiers portefeuilles clients ou des particuliers 102, aux
données de transactions bancaires103, base de données des cartes bancaires ou des
chèques, etc.
Les enjeux de la régulation sont les suivants : éviter tout détournement de
finalité des fichiers ; limiter l’accès des données bancaires aux personnes durement
habilitées ; veiller à la mise à jour des données collectées ; veiller au respect du droit à
l’information en cas de communication des données bancaires à des tiers ou en cas de
transfert à l’étranger ; respecter la durée de conservation des données ; renforcer le
secret professionnel en limitant la conservation des fichiers.
Les autorités de protection recommandent de mettre à la disposition des clients
des instruments de sécurités et de paiement ; mettre en place des mesures appropriées
de sécurité ; respecter les conditions légales de prospection directe ; veiller au respect
des droits des personnes.
102
Fichiers de crédits ou de prêt
103
Versements, virements, transfert et retrait d’argent, données de connexion au système d’information de la
banque
51
La biométrie est une technologie permettant d’analyser les caractéristiques
physiques, physiologiques104 ou comportementales105 d’une personne en vue de
l’identifier ou de vérifier son identité.
Les enjeux de cette régulation sont les suivants : faire respecter les droits et
libertés fondamentales ; exiger le respect des principes de finalité et de
proportionnalité ; éviter les risques de manipulation des données biométrique ; prévenir
contre les risques de piratage des bases de données ; encadrer l’interconnexion de
plusieurs fichiers contenant des données biométriques ; encadrer la création de bases de
données biométriques centralisées.
De ce fait, les législateurs recommandent de détruire les données biométriques
d’enrôlement achevées ; de prévoir des alternatives pour les personnes qui ne sont pas
en mesurant d’utiliser un système biométrique ; privilégier la conservation du gabarit
sur un support dont la personne concernée détient l’usage exclusif; dévier
l’identification d’une personne à partir de plusieurs données biométriques ; de chiffrer
les données dès leur enrôlement ; de vérifier périodiquement la finalité des gabarits ;
d’éviter la constitution de bas centralisée sur toute une population.
104
Adn, iris, empreinte digitale ou palmaire, rétine, reconnaissance faciale, système de configuration des
veines.
105
Voix, dynamique de signature, dynamique de frappe de clavier, l’écriture.
106
Opérateurs de télécommunication, prestataire de services, banques, universités, cliniques, hôtels etc.
107
Partis politiques
108
Ambassade ou consulat
52
- limiter les spams ; lutter contre les abus (escroquerie, arnaques, propagande
électronique ;
- interdire la vente systématique des bases de données sans le consentement des
personnes concernées.
Les recommandations des autorités de protection préconisent de respecter un créneau
horaire d’envoi des messages de prospection ; éviter de cibler la consonance des noms
des personnes, les lieux de naissance, les origines raciales ou ethniques, l’appartenance
à une communauté religieuse ou les opinions politiques des personnes concernées ;
interdire la dissimulation de l’identité de la personne responsable de l’opération de
prospection ; mentionner un objet sans rapport avec la prestation ou le service proposé.
53
CONCLUSION
Cette tendance est encourageante pour le renforcement des droits individuels et l’État de droit
sur le continent africain. En tant que fondement essentiel de la démocratie, de la bonne
gouvernance et du respect de la vie privée, le droit à la protection des données
personnelles, « loin d’être un droit technophobe, vient au contraire en soutien au
développement des TIC, dans le respect des droits et libertés des individus »110.
Il constitue donc un élément essentiel de la société d’aujourd’hui en vue du renforcement de
la confiance du public à l’égard des outils technologiques.
54
traitement, à sa finalité, aux personnes concernées, aux catégories de données collectées, à
leur origine, à leur durée de conservation, aux lieux de stockages et aux mesures de sécurité
mises en œuvre.
Aujourd’hui, les pays tels que le Gabon et le Sénégal expérimentent la mise en place de la
règlementation et de la régulation des données à caractère personnel. De manière générale,
les organismes créés répondent à des objectifs communs.
Les fondamentaux de la protection demeurent constants dans la plupart des pays du fait que
les différentes législations ont les mêmes sources d’inspiration, notamment en ce qui
concerne les pays francophones.
Au-delà de l’action des instances régulatrices 111, la question de la protection des données à
caractère personnel nécessite naturellement une implication de toute société.
Certes, chaque personne doit connaitre les règles et les procédures pour protéger sereinement
sa vie privée, en choisissant les données qui seront collectées et traitées.
À cet effet, les législations accordent à chaque personne un droit à l’information, d’accès, de
vérification, de rectification et d’opposition. De tels droits doivent être préservés et renforcés
sur au Gabon et au Sénégal.
La protection prévue n’est pas seulement un droit individuel, mais également une
préoccupation nationale. De plus, le recours aux TIC dans le traitement des données
personnelles est devenu un enjeu de société.
111
Force est de constater que la jurisprudence en matière de d’infractions liées aux traitements des données
personnelles est encore rare.
112
Professeur Abdoullah CISSE, Conférence internationale sur « l’Afrique et les dangers de la mondialisation
du crime »
55
La menace étant mouvante et évolutive, l’arrivée des OTT 113 facilite plus l’ingérence dans
l’espace privé.
Au-delà de tout cela, il convient de prendre conscience que les risques prennent une ampleur
de plus en plus inquiétante à l’aube du « big data », des objets connectés, de la portabilité des
données, et bien d’autres aux fins de lutter contre le terrorisme à titre d’exemple.
« Bien que la technologie participe à notre bien-être, restons vigilants. Chacun d’entre
nous devra être son propre surveillant de l’utilisation de ses données personnelles parce
que celui qui se déshabille ou se fait déshabiller se dévoile »114.
Cette assertion signifie que la règlementation par le droit de ce phénomène des données à
caractère personnel, qui devient une « adrénaline » de nos sociétés modernes, devra sa
réussite du comportement de chaque sujet de droit dans l’utilisation des TIC.
L’Afrique doit aussi mieux vulgariser son arsenal répressif sur la cybercriminalité, pour non
seulement décourager certains comportements, mais aussi pour en imposer d'autres, plus
sécurisants. Par ailleurs, la problématique de la protection des données à caractère personnel
renvoie inéluctablement à l'exigence de sauvegarde de notre souveraineté économique.
113
Over The Top est un service via le web (audio, vidéo, téléphone, télévision, etc.) sans passer par un
opérateur de câble, de téléphone ou de satellite.
114
» Explique le Docteur Mouhamadou LO dans la protection des données à caractère personnel en Afrique :
règlementation et régulation, l’harmattan, 2017 p.234
56
ANNEXE
Pour rejeter ce grief, le tribunal considérera que « concernant l’exploitation des données et
documents personnels de Mme C. B., le tribunal note que les ordinateurs expertisés sont des
ordinateurs appartenant à la société OCEAN OGILVY, mis à la disposition de ses employés
dont Madame C. B. certes l’expert a révélé l’existence de mails litigieux dans la boîte
électronique de celle-ci, mais il n’est pas établi qu’il ait forcé sa messagerie, en violation des
règles légales. Ce qui a été fait, c’est que l’expert a constaté que les documents produits
avaient été sauvegardés par celle-ci sur le disque dur de l’ordinateur à elle remis dans le cadre
professionnel par la société OCEAN OGILVY, lequel ordinateur, est-il utile de le rappeler,
ne disposait pas de mot de passe. C’est donc à tort qu’il est reproché à l’expert d’avoir
exploité les données et documents personnels de Madame C. B. ».
57
l’examen d’un ordinateur de la société portant la mention C. B. accessible sans mot de passe
que l’expert a fait les constats critiqués. »
Autrement dit, pour le tribunal de commerce d’Abidjan, les fichiers pourtant identifiés par les
nom et prénom de la salariée et sa messagerie électronique personnelle ne comportent pas de
données à caractère personnel dans la mesure où l’ordinateur utilisé par elle avait été mis à sa
disposition par l’employeur.
Nous dirons juste, ici, que le tribunal de commerce se trompe manifestement d’analyse. Que
les ordinateurs expertisés soient la propriété de la société OGILVY n’enlève rien au caractère
personnel des données auxquelles l’expert a pu avoir accès ! Que la messagerie et
l’ordinateur ne soient pas dotés de dispositifs de protection n’est pas non plus un obstacle à
l’existence de données personnelles ! Il en est manifestement ainsi de la messagerie
électronique de Madame C. M. Il est acquis qu’une adresse électronique est une donnée à
caractère personnel si elle permet l’identification directe ou indirecte de la personne à
laquelle elle se rapporte.
Ce faisant, dans le cadre d’une expertise, l’expert est tenu de faire la distinction entre les
données consultables et celles qui ne seraient pas, car relevant de la vie privée des personnes
concernées. Comme l’explique Monsieur Serge Migayron, expert judiciaire en matière
informatique : « nous ne pouvons accéder qu’aux informations professionnelles et exclure de
nos recherches les courriels présentés comme personnels »
58
BIBLIOGRAPHIE
I/ OUVRAGES GÉNÉRAUX
• BANCK AURELIE et SCHULTIS CATHERINE, vade-mecum de la
protection des données personnelles pour le secteur bancaire et financier ; RB édition
2018 ;
• EYNARD JESSICA, les données personnelles : quelle définition pour un
régime de protection efficace ? Michalon Éditeur 2013 ;
• FOREST DAVID, droit des données personnelles, Lextenso éditions 2011 ;
• MATTIA FABRICE, le traitement des données personnelles, Eyrolles 2013 ;
• MATTIA FABRICE, RGPD et le droit des données personnelles ; Eyrolles
2018;
III/ RAPPORTS
59
• M. Josué MBADINGA MBADINGA Sénateur (Gabon) Vice-Président de
la Commission et M. N (Côte d’Ivoire) Les autorités de protection des données
personnelles dans l’espace francophone Hô-Chi-Minh-Ville (Vietnam) | 24 et 25 mars
2017
IV/ MÉMOIRES
• BOTO MANDAN NAOMIE ESTHER la protection des données à caractère
personnel sur les réseaux sociaux : cas de la cote d’ivoire Université Catholique de
l’Afrique de l’Ouest- Master 2 Droit des TIC 2017
;https://www.memoireonline.com/05/17/9962/La-protection-des-donnees--caractere-
personnel-sur-les-reseaux-sociaux-le-cas-de-la-Cte-d.html
• FEDAOUI SAMI, La protection des données personnelles face aux nouvelles
exigences de sécurité Université de Rouen- Master 2 Droit Public approfondi 2008
Mémoire online ; https://www.memoireonline.com/10/08/1573/m_la-protection-des-
donnees-personnelles-face-aux-nouvelles-exigences-de-securite1.html
V/ THÈSES
• COULIBALY (I.), La protection des données à caractère personnel dans le
domaine de la recherche scientifique, Thèse, Université de Grenoble, 2011
VI/ CONVENTIONS
• Convention de l’Union africaine sur la cyber sécurité et la protection des
données à caractère personnel du 27 juin 2014 ;
• Convention pour la protection des personnes à l'égard du traitement automatisé
des données à caractère personnel du 28 janvier 1981 ; convention 108
VII/ LÉGISLATIONS
• Loi n° 2001-03 DU 22 janvier 2001 portant CONSTITUTION, MODIFIÉE du
Sénégal
• Loi n° 2008 – 12 du 25 janvier 2008 sur la Protection des données à caractère
personnel au Sénégal
60
• Loi n°1/2011 du 25 septembre 2011 relative à la protection des données à
caractère personnel au Gabon ;
• Acte additionnel A/SA 1/01/10 de la CEDEAO (Communauté économique des
États d'Afrique de l'Ouest) relatif à la protection des données à caractère personnel dans
l'espace CEDEAO, adopté le 16 février 2010
VIII/ WEBOGRAPHIES
ARTICLES DE PRESSE
• CISS NDEYE NGONE, Sénégal : la situation effective de la protection des
données personnelles, 28 mai 2018 ; http://www.2bi.sn/senegal-situation-effective-de-
la-protection-des-donnees-personnelles
• COULIBALY IBRAHIM, Petit tour d'horizon international de quelques
erreurs législatives et jurisprudentielles, 14 aout 2014,
http://www.village-justice.com/articles/Protection-des-donnees,17540.html
• DIOKH EMMANUEL, Données personnelles au Sénégal : quelle protection ?
Emmanuel Diokh, 9 juillet 2017 ; https://juristicom.blogspot.com/2017/07/donnees-
personnelles-au-senegal-quelle.html
• EDJO MURIEL, Sans réelle protection des données personnelles, l’Afrique
prend le risque d’une nouvelle forme d’exploitation, Ecofin Hebdo, 21 septembre
2018 ; http://www.osiris.sn/Sans-reelle-protection-des-donnees.html
• FALQUE-PIERROTIN ISABELLE, Production et diffusion des données à
caractère personnel sur Internet : enjeux nouveaux et questions éthiques, Gazette des
Archives 2009/215/ pp. 175-178 ; https://www.persee.fr/doc/gazar_0016-
5522_2009_num_215_3_4584?q=donn%C3%A9es+%C3%A0+caractere+personnel;
• NDONNANG VICTOR, Le Sénégal devient le premier pays Africain à mettre
en œuvre les recommandations des Lignes Directrices sur la Protection des Données à
61
caractère Personnel pour l’Afrique, Internet Society, 16 octobre 2018 ;
http://www.osiris.sn/Le-Senegal-devient-le-premier-pays.html
• TOURE MARIAME TITY, L’usurpation d’identité numérique : un fléau
recrudescent au Sénégal ! Publi Tech Echo, 12 octobre 2018 ;
• TOURE PAPA ASSANE, L’accès transfrontalier aux données numériques et la
lutte contre la cybercriminalité : Quels enjeux pour l’Afrique ? Pressafrik, 23 octobre
2018 ; alier-aux.hthttp://www.osiris.sn/L-acces-transfrontml
• Protection des Données personnelles : Des défis à relever face au
développement des technologies, Dakar Actu, 11 octobre 2018 ;
http://www.osiris.sn/Protection-des-Donnees,21726.html
62
TABLE DES MATIÈRES
DÉDICACES
REMERCIEMENTS
SIGLES ET ABRÉVIATIONS
SOMMAIRES
INTRODUCTION.................................................................................................................................1
PREMIERE PARTIE : L’EXAMEN DU CADRE REGLEMENTAIRE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL AU GABON ET AU SENEGAL...................................9
CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL DANS L’ECONOMIE NUMERIQUE...........................9
SECTION 1 : LES COMMISSIONS DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL..................................................................................................................................10
PARAGRAPHE 1 : LES MISSIONS DES AUTORITES PUBLIQUES DE PROTECTION DES
DONNEES A CARACTERE PERSONNELS............................................................................10
A-LES MISSIONS DE VEILLE EN MATIERE DE PROTECTION DES DONNEES A
CARACTERE PERSONNEL..................................................................................................11
B-LES MISSIONS DE CONSEILS ET CONTROLE EN MATIERE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL...........................................................................12
PARAGRAPHE 2 : LES POUVOIRS DES AUTORITES DE PROTECTION DES DONNEES
A CARACTERE PERSONNELS................................................................................................13
A- LES POUVOIRS REGLEMENTAIRES DES AUTORITES EN MATIERE DE
PROTECTION DES DONNEES A CARACTERE PERSONNEL.........................................14
B-LES POUVOIRS DE SANCTION DES AUTORITES EN MATIERE DE PROTECTION
DES DONNEES A CARACTERE PERSONNEL..................................................................15
63
SECTION 2 : LE STATUT DE L’AUTORITE ADMINISTRATIVE DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL..................................................................................16
PARAGRAPHE 1 : L’INDEPENDANCE DES ORGANISMES DE PROTECTION................16
A- : L’AUTONOMIE FINANCIERE DES AUTORITES DE PROTECTION.......................17
B- L’AUTONOMIE ADMINISTRATIVE DES INSTANCES CHARGEES DE LA
PROTECTION DES DONNEES A CARACTERE PERSONNEL.........................................17
PARAGRAPHE 2 : LA COMPOSITION DES AUTORITES DE PROTECTION.....................18
A-LES CRITERES DE NOMINATION DES MEMBRES.....................................................18
B- LE PERSONNEL DES AUTORITES DE PROTECTION..........................................19
CHAPITRE 2 : LE FONDEMENT DE LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL DANS L’ECONOMIE NUMERIQUE........................................................................19
SECTION 1: L’IDENTIFICATION DES DONNEES PROTEGEABLES ET NON
PROTEGEABLES PAR LA REGLEMENTATION.......................................................................19
PARAGRAPHE 1 : LES CARACTERES DES DONNEES PROTEGEABLES........................20
A- LA DETERMINATION DES DONNEES DITES A CARACTERE PERSONNEL :.. .20
B-LE PARTICULARISME DES DONNEES SENSIBLES....................................................21
PARAGRAPHE 2 : LES DONNEES NON PROTEGEABLES..................................................22
A-LES DONNEES ANONYMISEES OU PSEUDONYMISEES...........................................22
B-L’EXCEPTION D’USAGE PRIVEE..................................................................................23
SECTION 2: L’OBJECTIF DE LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL..................................................................................................................................24
PARAGRAPHE 1 : LA SECURISATION ET LE RESPECT DE LA CONFIDENTIALITE DES
INFORMATIONS TRANSMISES PAR LES MOYENS NUMERIQUES.................................24
A- LA SECURISATION DES DONNEES ET INFORMATIONS NUMERIQUES..............25
B- LE PRINCIPE DE RESPECT ET DE CONFIDENTIALITE DES DONNEES
NUMERIQUES.......................................................................................................................25
PARAGRAPHE 2 : LE RESPECT DES DROITS DES PERSONNES INTERVENANT DANS
LES TRANSACTION ELECTRONIQUES................................................................................26
A-LE DROIT A L’INFORMATION ET LE DROIT D’ACCES...........................................27
B-LES DROITS D’OPPOSITION, DE RECTIFICATION ET DE SUPPRESSION DES
INFORMATIONS DANS LES TRANSACTIONS ELECTRONIQUES...............................28
DEUXIEME PARTIE: LES MODALITES DE PROTECTION DES DONNEES DANS LE
COMMERCE ELECTRONIQUE.......................................................................................................30
CHAPITRE 1 : L’ENCADREMENT LEGAL DU PROCESSUS DE CONTRACTUALISATION. .31
SECTION 1 : LA CONSECRATION DE NOUVELLES OBLIGATIONS DANS LES
TRANSACTIONS COMMERCIALES ELECTRONIQUES........................................................32
PARAGRAPHE 1 : LES OBLIGATIONS RATTACHEES A LA PROSPECTION EN LIGNE
.....................................................................................................................................................32
A-L’OBLIGATION DE TRANSPARENCE DU CYBERCOMMERÇANT..........................33
64
B- L’OBLIGATION DE LOYAUTE ET DE CONFIDENTIALITE DANS LES
TRANSACTIONS ELECTRONIQUES..................................................................................34
PARAGRAPHE 2 : LE RESPECT DES LIBERTES FONDAMMENTALES PAR LES
ACTEURS DU COMMERCE ELECTRONIQUE......................................................................35
A- LE RESPECT DE LA VIE PRIVEE DES ACTEURS DU COMMERCE
ELECTRONIQUE...................................................................................................................35
B-LE RESPECT DE L’ORDRE PUBLIC ET DES BONNES MŒURS.................................37
SECTION 2 : LA SECURISATION DES TRANSACTIONS EN LIGNE...................................38
PARAGRAPHE 1 : L’ENCADREMENT DU PROCESSUS DE TRANSMISSION DES
INFORMATIONS CONTRACTUELLES................................................................................38
A- L’OBLIGATION DE SECURISATION DES SITES DE VENTE EN LIGNE DU
CYBERMARCHAND.............................................................................................................39
B- L’OBLIGATION DE MINIMISATION DES INFORMATIONS REQUISES DU
CYBERCONSOMMATEUR..................................................................................................40
PARAGRAPHE 2 : LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
DANS LES CIRCUITS DE PAIEMENT EN LIGNE ET DE DISTRIBUTION SUR
INTERNET.................................................................................................................................41
B-L’OBLIGATION DE CAMOUFLAGE DES DONNEES BANCAIRES TRANSMISES
SUR DES PLATEFORMES DE PAIEMENT AUX NORMES DE SECURITE..................42
CHAPITRE 2 : LA REGULATION PAR LES AUTORITES DE PROTECTION DE CERTAINS
TYPES DE TRAITEMENT PORTANT SUR DES DONNEES A CARACTERE PERSONNEL.....44
SECTION 1: LA REGULATION DES CONTENTIEUX LIES AU STOCKAGE DES DONNEES
.........................................................................................................................................................44
PARAGRAPHE 1 : LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR
ASSURER LA SECURITE DU TRAITEMENT........................................................................44
A-L’EXIGENCE DE LA TECHNIQUE DU CRYPTAGE DES DONNES...........................45
B -LA TRAÇABILITE DE L’OPERATION EN LIGNE........................................................46
PARAGRAPHE 2 : LA REGULATION DU TRAITEMENT DES DONNEES A
CARACTERE PERSONNEL SUR LES RESEAUX SOCIAUX...............................................47
A - L’OBLIGATION DE DESTRUCTION DES DONNEES COLLECTEES.....................48
B: LE TRAITEMENT DES DONNEES DU CLOUD COMPUTING.............................49
SECTION 2 : LE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL EN
RAPPORT AVEC LES OBJETS CONNECTES...........................................................................50
PARAGRAPHE 1 : LA TANGIBILITE DU TRAITEMENT DES DONNEES DITE
SENSIBLES................................................................................................................................51
A- LES EXIGENCES PARTICULIERES DU TRAITEMENT DES DONNEES DE LA
SANTE....................................................................................................................................51
B- LE TRAITEMENT DES DONNEES DES CLIENTS DE LA BANQUE...................52
PARAGRAPHE 2 : REGULATION DES CONTENTIEUX LIES AUX TRAITEMENTS DES
DONNEES BIOMETRIQUES ET DE PROSPECTION EN LIGNE..........................................52
65
A- LES EXIGENCES DE SECURISATION DU TRAITEMENT DES DONNEES
BIOMETRIQUES...................................................................................................................53
B- LE TRAITEMENT DES DONNEES DANS LA PROSPECTION COMMERCIALE....53
CONCLUSION...................................................................................................................................55
ANNEXE............................................................................................................................................58
BIBLIOGRAPHIE..............................................................................................................................60
TABLE DES MATIERES...................................................................................................................64
66