Académique Documents
Professionnel Documents
Culture Documents
1
CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE
LA PROTECTION DES DONNEES A CARACTERE
Aux termes des dispositions des textes régissant la protection des données à
caractère personnel, chaque État Partie s’engage à mettre en place une autorité
chargée de la protection des données à caractère personnel. Ainsi en application
de ces dispositions, notamment l’article 28, paragraphe 1, point 1, de la directive
relative à la protection des données, l’article 1 paragraphe 1 du Protocole
additionnel à la Convention 108 pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel, l’article 11 point 1 de la
convention de l’Union africaine sur la cyber-sécurité et la protection des données
à caractère personnel, l’article 14 point 1 de l’Acte Additionnel A/SA.1/01/10 du
16 février 2010 relatif à la protection des données à caractère personnel dans
l’espace de la CEDEAO, toutes les sections, sauf la Valée d’Aoste, ont mis en
place une autorité de protection des données à caractère personnel.
Les différents cadres constitutionnels, institutionnels et juridiques sont naturellement
liés à l'histoire de chaque pays. En effet, la mise en œuvre des textes internationaux
tend à combler les écarts entre les législations nationales, sans toutefois effacer
complètement leurs caractéristiques, du fait de la marge d’appréciation laissée par ces
textes, d’une mise en œuvre peu adéquate, et de l'interprétation nationale des principes
d'autant plus que, dans chaque cas la pression de l'opinion publique peut conduire à des
changements au niveau réglementaire ou législatif et influencer les pratiques. L’examen
de la transposition des directives montre qu'il existe une marge de manœuvre au niveau
national soit pour renforcer les contrôles et les options sécuritaires et/ou pour permettre
une gestion des données très libérale, soit pour donner la priorité à la protection des
données personnelles. De ce fait, à travers les différentes réponses, certains pays ont
adopté des textes spécifiques dans ce sens.
2
SECTION 1 : LES COMMISSIONS DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL.
Au Gabon, la loi n°1/2011 du 25 septembre 2011 prévoit la mise en place d’une
autorité nationale de protection des données à caractère personnel dénommée,
Commission Nationale pour la Protection des données à Caractère personnel
(CNPDCP), mise en place depuis novembre 2012.
Au Sénégal, c’est la Commission Nationale de protection des Données
Personnelle qui voit le jour avec la loi n° 2008 – 12 du 25 janvier 2008.
Les État ayant mis en place des autorités de protection des données à caractère
devaient accorder à celles-ci un large mandat tel que spécifié dans les textes
internationaux dont ils ont fait la transposition dans leur corpus juridique national.
Ainsi, ces autorités ont été dotées de diverses missions (A) et de pouvoirs (B).
3
dirigées par le Comité des Commissaires chargés du contrôle. Les contrôleurs de
la CDP établissent des procès-verbaux après les missions de contrôle et de
vérification. Les procès-verbaux doivent contenir toutes les informations citées
dans les articles 162 du décret d’application de la loi 2008-12 et 16 du présent
règlement intérieur3.
4
cas de non-respect de la loi. Au Gabon comme au Sénégal, les Autorités de
protection disposent de prérogatives leurs permettant de mener à bien leur
mission (confer article 25 de la loi du 25 janvier 2008 et de l’article 97 et suivants
de la loi du 25 septembre 2011).
Les Autorités disposent également d’un pouvoir de sanction pouvant être soit
disciplinaire (un avertissement à l'égard du responsable du traitement ne
respectant pas les obligations découlant de la présente loi ; une mise en demeure
de faire cesser les manquements constatés dans le délai qu'elle fixe) 4 soit une
amende pécuniaire pouvant aller d’un (1) million à cent (100) millions de Franc
CFA.
4
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à
caractère personnel au Gabon
5
En France, la CNIL est une Autorité Administrative Indépendante (AAI). Cette
indépendance est garantie par sa composition et son organisation. En outre, un
régime d’inamovibilité et d’incompatibilité frappe ses membres. Les AAI ne sont
pas soumises aux pouvoirs hiérarchiques des ministères. Elles ne reçoivent d’eux
ni ordres, ni consignes, ni conseils.
Au Gabon, la Commission Nationale Pour la Protection des Données à
Caractère Personnel est une autorité administrative indépendante et autonome.
Elle ne reçoit pas d’instructions et ne travaille que sous l’emprise de la loi qui
fonde son existence et son fonctionnement. Elle a toutefois pour interface auprès
du Gouvernement, le Ministère de l’Intérieur.
Au Sénégal Commission des Données Personnelles est une autorité
administrative indépendante chargée de veiller à ce que les traitements des
données à caractère personnel soient mis en œuvre conformément aux
dispositions de la présente loi. Elle informe les personnes concernées et les
responsables de traitement de leurs droits et obligations et s’assure que les TIC ne
comportent pas de menace au regard des libertés publiques et de la vie privée.
5
La CNIL est encore aujourd’hui composée de 4 parlementaires (2 députés, 2 sénateurs), 2
membres du Conseil économique et social, 6 représentants des hautes juridictions (2 conseillers
d’État, 2 conseillers à la Cour de cassation et 2 conseillers à la Cour des comptes) et 5 personnes
qualifiées. Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son
représentant depuis la loi n° 2011-334 du 29 mars 2011 relative au Défenseur des droits, JO n°
75 du 30 mars 2011, p. 5497.
6
Expression utilisée dans le rapport de la Commission Tricot, citée par N. LENOIR dans « La loi
78-17 du 6 janvier 1978 et la Commission nationale de l’informatique et des libertés. Eléments
pour un premier bilan de cinq années d’activité », La Revue administrative, 1985, p. 451.
6
Partant du postulat selon lequel la personne dont les données sont collectées en
est la meilleure gardienne, il a décidé de placer celle-ci au cœur du dispositif de
protection en l’investissant de droits spécifiques. Lui ont été octroyés un droit à
l’information préalable à toute mise en œuvre de traitement, un droit d’accès aux
données la concernant, un droit de rectification en cas d’erreur, un droit de
conservation limitée dans le temps des données l’intéressant et un droit
d’opposition. Ce faisant, la personne devenait capable de contrôler l’utilisation
des informations qui lui étaient relatives.
Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont
désignés comme suit : trois personnalités désignées par le Président de la
République, dont le Président de la Commission ; un Magistrat membre du
Conseil d'Etat désigné sur proposition du Président du Conseil d'Etat ; un
Magistrat membre de la Cour de Cassation désigné sur proposition du Premier
Président de la Cour de Cassation ; un Avocat désigné par l'Ordre des Avocats ;
un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie
de l'information et de la communication désigné par le Ministre en charge de
l'Economie Numérique7.
S’agissant des Commissaires Non Permanents, ils sont désignés comme suit : un
(1) député désigné par le Président de l’Assemblée Nationale ; un (1) sénateur
désigné par le Président du Sénat ; un (1) Commissaire du Gouvernement désigné
par le Premier Ministre ; un (1) représentant du Patronat gabonais désigné par ses
pairs. Les Membres de la CNPDCP sont nommés par décret pris en Conseil des
Ministres pour un mandat de 5 ans renouvelable une fois. La Commission dispose
de la liberté de recruter ses collaborateurs. En effet, l’article 36 de la n°1/2011
stipule à cet égard que : « La Commission dispose d’un personnel pourvu par
l’Etat et peut recruter des agents conformément aux dispositions du code du
travail ».
7
Article 17 de la loi n°001/2011 relative à la protection des données à caractère personnel du 25
septembre 2011 Gabon
7
PARAGRAPHE 1 : L’ETENDU DES COMPETENCES DES
ORGANES DE CONTROLE
8
psychique, culturelle, sociale ou économique 8,9 est considérée comme donnée à
caractère personnel.
Il est communément admis de définir une donnée à caractère personnel comme «
toute information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d’identification ou à un ou plusieurs éléments qui lui sont propres »10.
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet
d’une appréhension simple qui, confrontée à la technique, peut être complexifiée
à souhait. Ainsi, si l’identification 11 ou «l’identifiabilité » des personnes
concernées par les données est au cœur de la définition de la notion de données à
caractère personnel12, certains spécialistes de la matière ont considéré que cette
identification ou cette identifiabilité était insuffisante et de proposer la «
contactabilité » comme critère de définition de la notion de données à caractère
personnel13. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »14.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme
8
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal)
9
Article 6 alinéa 7 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données
à caractère personnel au Gabon
10
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés, France
11
« Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les
aspects techniques de la régulation des données personnelles : la question du numéro IP, in La
régulation des données personnelles, LEGICOM, n° 42 – 2009/1, p. 128
12
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005.
L’identification est présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les
données et informations à caractère personnel. Essai sur la notion et ses fonctions, Thèse de
doctorat en droit, Université de Nantes, 14 décembre 2007
13
La contactabilité comme nouveau critère de définition de la notion de données à caractère
personnel et d’application de la loi vaudrait chaque fois que « des données permettent ou non
de contacter un individu, d’influencer son comportement ou de prendre une décision vis-à-vis de
lui" peu importe que ces données permettent ou non l’identification des personnes. (Y. Poullet,
A. Rouvroy, D. Darquennes, Le droit à la rencontre des technologies de l’information et de
communication : le cas du RFID, in Cahiers Droit, Sciences & Technologies, n° 1, avril 2008, CNRS
Editions, pp. 129-130). Moins qu’une focalisation sur des données permettant d’identifier les
personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-à-vis de
certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième
génération de réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
14
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la
recherche scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre
2011. Accessible à l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction
9
des identifiants, des données biométriques, un numéro de carte bancaire ou des
données de localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects
plus pratiques et simples de la définition de la notion de données à caractère
personnel, nous citerons un arrêt jugement rendu par le tribunal de commerce
d’Abidjan pour illustrer les erreurs qui peuvent être commises dans
l’appréhension de la notion de donnée personnelle15.
15
Voir annexe
16
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal)
17
Article 6 aliéna 9 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données
à caractère personnel au Gabon ;
18
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère
personnel :Le traitement des données sensibles (appelées « catégories particulières »), qui
révèlent l’origine raciale ou ethnique, la religion, les opinions politiques, syndicales ou
religieuses, la génétique, la biométrie, la santé ou la sexualité, est interdit, sauf si :• la personne
concernée a donné son consentement ou a déjà rendu ces données publiques, ou si• le
traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou si• le
traitement est effectué par une association ou un organisme syndical, religieux, politique, etc.,
pour la gestion de ses membres et de ses contacts, ou si• le traitement est nécessaire à
l’exercice de droits en matière de droit du travail ou de protection sociale, et autorisé par une
mesure légale ou conventionnelle, ou si• le traitement est nécessaire à l’exercice de droits en
justice, ou pour des motifs d’intérêt public, ou si• le traitement est nécessaire à la médecine
préventive ou aux soins et traitements de santé, ou si• le traitement est nécessaire à des fins
d’archivage d’intérêt public ou à des fins historiques, statistiques ou scientifiques
10
comportementales d’une personne physique, qui permettent ou confirment son
identification unique, telles que des images faciales ou des données
dactyloscopiques » Données biométriques
« Les données à caractère personnel relatives à la santé physique ou mentale
d’une personne physique, y compris la prestation de services de soins de santé,
qui révèlent des informations sur l’état de santé de cette personne » Données
concernant la santé
11
Les activités purement personnelles ou domestiques sont exclues du champ
d’application de la réglementation. Les activités quotidiennes peuvent justifier de
collecter des données personnelles (par exemple la tenue d’un fichier d’adresses,
ou d’une liste de contacts, l’utilisation de réseaux sociaux, etc.). Pour autant, si ce
traitement est utilisé à des fins uniquement personnelles et « sans lien avec une
activité professionnelle ou commerciale », il n’est pas soumis au respect du
RGPD. À noter cependant que les responsables du traitement et les sous-traitants
proposant des outils ou des solutions technologiques pour procéder à ces
traitements doivent respecter le RGPD. Ainsi, le fabricant d’un bracelet
électronique utilisé à des fins purement personnelles par ses utilisateurs sera tenu
de mettre en œuvre le principe de Privacy by design et Privacy by default 19.
Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données. Le
RGPD consolide donc les droits existants comme le droit à l’information et crée
parallèlement de nouveaux droits notamment le droit à la portabilité, à l’oubli et à
la limitation du traitement.
19
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche
de l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le
concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit
intégrée dans les nouvelles applications technologiques et commerciales dès leur conception
12
PARAGRAPHE 1 : LES PRINCIPES DE SECURITE ET DE
CONFIDENTIALITE
Le principe de sécurité et de confidentialité : le responsable du fichier doit
garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en
particulier veiller à ce que seules les personnes autorisées aient accès à ces
informations. le responsable des traitements de données doit s'assurer que les
données sont sécurisées et que des tiers non autorisés n'y aient pas accès ; cette
obligation s'étend en cas de sous-traitance de l’utilisation des données.
Les données personnelles doivent être traitées de façon à garantir une sécurité
appropriée des données à caractère personnel. En effet, vous devez assurer
l’intégrité et la confidentialité des données à l’aide de mesures techniques et
organisationnelles appropriées, notamment contre un traitement non-autorisé ou
illégal et contre la perte, destruction ou altération accidentelle des données.
A- LE PRINCIPE DE SECURITE
13
regard de la finalité du fichier ; les données doivent être exactes, complètes et à
jour. Les données personnelles doivent être exactes, et si nécessaire, tenues à jour.
En effet, de bons résultats ne peuvent pas être atteints si le traitement se base sur
des données erronées ou caduques. Pour cela, vous devez prendre toutes les
mesures raisonnables afin de garantir que les données personnelles inexactes
soient rectifiées ou supprimées sans tarder. Les données à caractère personnel
doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des
finalités pour lesquelles elles sont traitées. Egalement appelé principe de nécessité
et de proportionnalité, la minimisation des données signifie que vous devez traiter
uniquement les données qui sont nécessaires (et non seulement utiles) à la
réalisation des finalités.
B- LE PRINCIPE DE CONFIDENTIALITE
14
destinataire des données « à moins qu’une telle communication se révèle
impossible ou exige des efforts disproportionnés.
Principe du respect du droit des personnes : les personnes doivent être informées
de l'existence du traitement de leur données et ces mêmes personnes ont le droit
d'accéder, de modifier ou supprimer ces données ; enfin, il est possible de
s'opposer à l'utilisation de ces données pour de la prospection commerciale. Les
données à caractère personnel doivent être traitées de manière licite, loyale et
transparente au regard de la personne concernée. La collecte, l’enregistrement,
l’utilisation et la transmission de données personnelles doivent se faire en
conformité au règlement, de bonne foi, et non pas à l’insu de la personne
concernée.
A- LE DROIT A L’INFORMATION
Le droit à l’information est le premier droit des personnes concernées et l’un des
plus importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits
par leur titulaire. Si la personne concernée ignore qu’une entreprise traite ses
données, elle ne sera pas en mesure de demander l’accès à ces informations, leur
rectification ou de s’opposer au traitement. L’article 13 20 fixe la liste des
informations à communiquer à la personne concernée. Le responsable du
traitement doit mentionner : son identité et ses coordonnées ainsi que le cas
échéant celles du DPO21; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être
précisé) ; les destinataires des données ; le cas échéant, l’existence d’un transfert
et les garanties mises en place pour permettre ce transfert ; la durée de
conservation des données (ou les critères utilisés pour déterminer cette durée) ;
les droits des personnes concernées (accès, rectification, droit de retirer son
consentement, etc.), RGPD : la protection des données à caractère personnel – le
20
Article 13
EU RGPD
"Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la
personne concernée
21
Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la
personne chargée de la protection des données au sein d'une organisation.
15
droit d’introduire une réclamation auprès de la CNIL ; le fait que les données
soient obligatoires pour la conclusion d’un contrat et les conséquences de
l’absence de communication de ces informations ; l’existence d’une prise de
décision automatisée. L’article 14 est dédié aux informations à communiquer en
cas de collecte indirecte, c’est-à-dire dans l’hypothèse où les données ne sont pas
fournies directement par la personne mais par un tiers. Ces deux listes sont
pratiquement identiques, il faut cependant préciser, en cas de collecte indirecte,
les catégories de données et la source des données. Au vu du volume
d’information à transmettre, le CEPD22 précise, dans ses lignes directrices sur la
transparence, que l’information peut être délivrée « en couches ». Ce dispositif
permet d’afficher, en bas de page ou sur un formulaire de collecte en ligne, une
mention d’information plus courte avec des liens renvoyant à l’intégralité de la
mention. Ces informations pourront également « être fournies accompagnées
d’icônes normalisées » afin d’accroître leur lisibilité. C’est la Commission
européenne qui est chargée d’adopter ces icônes par actes délégués.
Elle peut enfin s’opposer au traitement de ses données. L’opposition est de droit
en matière de prospection commerciale. L’article 21 limite cependant les
traitements donnant lieu à l’exercice de ce droit à ceux : reposant sur l’exécution
d’une mission d’intérêt public ou relevant de l’intérêt public dont est investi le
22
Est une autorité de contrôle indépendante qui a pour mission première d’assurer que les
institutions et organes européens respectent le droit à la vie privée et à la protection des
données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles
politiques.
16
responsable du traitement ; nécessaires aux fins des intérêts légitimes poursuivis
par le responsable du traitement ou par un tiers.
17