Présenté par Mr Lamine. Y.

De Diatta :

Année scolaire 2020-2021

1
 Ce cours nous permet d’appréhender les enjeux humains et sociaux liés au développement des TIC.
C’est à dire cerner l’impact de la manipulation des TIC sur la société et sur l’homme.

Le contenu du cours :

• La protection des données à caractère personnel

• La protection des consommateurs (jeux et vente à distance)
• La sécurité des systèmes et des données (cryptologie, mot de passe, code signature, code,
signature électronique, licence…)
• La protection des créations intellectuelles : logiciels, bases de données, produits
multimédias)
• Aspects contractuels de TIC (obligations particulières s’imposant aux informaticiens, les
principaux types de contrats, les prestations informatiques, licence…)
• Cyberdroit (liberté d’expression et ses limites, les aspects internationaux du droit de
l’internet…)

2
 Introduction

Au fil de l’histoire les technologies ont fait évoluer l’organisation de nos sociétés car elles ont
ouvert la voie à des modèles de sociétés plus durables et son applicables dans divers
secteurs. La notion de développement durable est la finalité de l’usage des TIC principal
élément utilisé dans un système d’information car il s’agit d’une approche globale de gestion
de ressources naturelles dont le but est de satisfaire aux besoins et aspirations de l’être
humain. Le système d’information est un dispositif isolé ou groupe de dispositifs
interconnectés ou apparentés, assurant par lui-même ou par plusieurs de ses éléments,
conformément à un programme, un traitement automatisé de données. Il est aussi entendu
comme l’ensemble des éléments participant à la gestion, au stockage (l’enregistrement),
traitement, transport et la diffusion de l’information.

Cette nouvelle technologie a fait naître un nouveau vecteur de communication au carrefour

des techniques et cultures que sont l’audiovisuel, l’informatique, la télécommunication et
l’édition. L’informatique doit donc être au service de chaque citoyen. Son développement
doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à
l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles
ou publiques. Cependant, l’apparition des produits multimédias alliée aux techniques de la
numérisation, rend la frontière entre les différents droits en présence de plus en plus difficile
à déterminer. Le produit multimédia inclut tout à la fois des logiciels, des œuvres littéraires,
musicales, audiovisuelles, des arts graphiques et des bases de données. On entend par
œuvre multimédia « toute œuvre de création incorporant sur un même support un ou
plusieurs éléments suivants : texte, son, image fixe, image animée, programmes
informatiques, dont la structure et l’accès sont régis par un logiciel permettant
l’interactivité ». La difficulté que l’on rencontre sur le régime juridique applicable à la
technologie de l’information et de la communication tient à la complexité des éléments qui
le composent et à la diversité des textes. Le développement spectaculaire de la technologie,
associé au phénomène internet, permet aujourd’hui la mise en place d’un nouveau régime
juridique de protection des droits des personnes. La protection est étendue par le législateur
en raison des menaces que font face les droits de propriété et les données personnelles des
personnes physiques. L’omniprésence de la technologie nous interdit aujourd’hui d’ignorer
les incidences directes des aspects juridiques sur celle-ci. Ce qui fait que la détermination

3
des droits et obligations de nombreux acteurs ainsi que les conditions d’utilisation des
données personnelles constituent aujourd’hui autant d’interrogations juridiques qu’il est
indispensable et urgent de régler. Cependant, il n’existe pas de régime juridique propre aux
créations multimédia, ce qui explique que l’appréciation juridique de cette matière doit se
faire avec intérêt sur la base des règles du droit civil, du droit des contrats, de la protection
des données personnelles, de la création multimédia et du droit de la propriété
intellectuelle. Les bases de données, logiciels, données personnelles constituent trois
exemples de biens informationnels échappant plus ou moins complètement aux régimes de
protection des biens incorporels. Les bases de données ont partiellement leur régime
spécifique, ce qui a été écarté trop vite pour les logiciels et conduit à des errements en
termes de cumul de propriétés intellectuelles, tandis que le régime de données personnelles
est totalement dérogatoire. Chacun de ces régimes institue néanmoins un système plus ou
moins explicite et relativement effectif d’exclusivisme. Les éléments comme le droit d’auteur
sont étudiés sur la base des règles relatives à la propriété intellectuelle et artistique.

L’intérêt majeur de ce cours sera d’étudier l’ensemble des règles juridiques applicables à la
technologie de l’information et de la communication. C’est d’ailleurs, un engagement
international pour la protection des droits des auteurs et de la vie privée des personnes
physiques. L’Etat du Sénégal a marqué son engagement dans ce sens en ratifiant la
convention sur la protection des œuvres littéraires et artistiques et adoptant une loi relative
à la protection des données personnelles. La loi sur la protection des données personnelles
s’adresse à tout un chacun participant au traitement ou faisant l’objet. En effet, comme
d’autres matières, le législateur sénégalais est amené à traiter des données à caractère
personnel à divers égards. Ce cours vous présente les grandes lignes de la création
multimédia et vous explique comment vous pouvez exercer vos droits à la confidentialité des
informations qui vous concernent en raison des menaces que font face les droits humains.
Aujourd’hui avec l’évolution de la nouvelle technologie, les droits des personnes sont
exposés et menacés. Cette situation préoccupe toute à la fois la communauté nationale et
internationale. Il s’agit d’une menace réelle à l’intégrité physique et morale des personnes
physiques et des droits de propriété. La protection des droits issus du multimédia et des
droits des autres est garantie par nombreux textes d’ordre national et international. En droit
sénégalais, c’est la loi 2008-12 sur la protection des données à caractère personnel qui

4
prévoit le régime juridique de protection des données personnelles. Le législateur s’avère
être un instrument de protection générale à l’égard des droits et libertés fondamentaux de
la personne. L’accord de Bangui du 23/02/2010 a aussi prévu un régime juridique de la
propriété littéraire et artistique. Au niveau international, l’assemblée générale de l’ONU en
1990 a fixé les principes directeurs pour la réglementation des fichiers informatisés
contenant des données à caractère personnel. L’organisation pour l’harmonisation du droit
de la propriété intellectuelle et artistique en Afrique (accord de Bangui du 02 mars 1977
modifié le 23/02/2010) prévoit le régime juridique de la propriété intellectuelle. Dans le
traité d’Amsterdam, l’Union européenne a engagé ses institutions et organes à appliquer des
normes strictes dans le domaine de la protection des données personnelles. Le traité de
Lisbonne a renforcé cette protection du traitement des données des particuliers en la
rendant contraignante pour toutes les institutions. Il a aussi rendu obligatoire l’application
de la charte des droits fondamentaux de l’Union européenne, dont l’article 8 reconnaît le
droit à la protection des données à caractère personnel. En Europe, c’est le règlement n°
45/2001 qui fixe les mécanismes de protection des données personnelles que traitent les
Institutions européennes et qui clarifient les droits des personnes qui font l’objet de ce
traitement.

Nous verrons dans un premier temps le régime juridique de la protection des données à
caractère personnel (paragraphe 1), puis, des questions de propriété posées par la création
multimédia et du processus de création du produit multimédia (paragraphe 2). Enfin, la
protection juridique des œuvres multimédia et les aspects contractuels mis en jeu par la
production multimédia et la diffusion d’informations numériques (paragraphe 3)

5
Paragraphe 1 : le régime juridique de la protection des données à caractère personnel

Il revient d’étudier alors les éléments constitutifs des données à caractère personnel
susceptibles d’être protégées(A) et les mécanismes de protection des données personnelles
(B).

A/ le champ d’application des règles protectrices des données à caractère personnel

Le champ d’application est déterminé par un certain nombre d’opérations (1) et la définition
des concepts (2).

1) L’application des règles protectrices des données personnelles

Il ne fait pas de doute que les données à caractère personnel sont une catégorie à part
entière dans le régime de l’information, ce dernier terme étant d’ailleurs utilisé
indifféremment par le législateur. S’il n’est toutefois pas encore prouvé, à ce niveau de
constatation empirique, que les informations constituent non pas un ensemble disparate,
mais une catégorie homogène, il n’est pas inutile de rechercher si la théorie de la propriété
de l’information supporte ce régime particulier quant aux informations nominatives. Or, les
informations à caractère personnel ont donné lieu à certaines réglementations éloignées de
la simple finalité de protection de la vie privée. Ce qui permet d’en déduire que
concurremment à l’existence établie d’un droit de la personnalité sur des biens incorporels,
il y a place pour une analyse plus patrimoniale du régime des informations personnelles. La
loi n° 2008-12 a pour objet de mettre en place un dispositif juridique permettant de lutter
contre les atteintes à la vie privée des personnes physiques. Elle garantit que tout traitement
de données personnelles respecte les libertés et les droits fondamentaux des personnes
physiques. Ceci explique la nécessité de protéger les personnes contre les conséquences de
l’informatique. En effet, le législateur a énuméré de manière claire les traitements des
données personnelles qui sont soumis à la loi. Ainsi, aux termes de l’article 2 de la loi 2008,
sont soumis à la loi :

• Toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation
des données à caractère personnel par une personne physique, par l’Etat, les
collectivités locales, les personnes morales de droit public ou de droit privé ;

6
 • Tout traitement automatisé ou non de données contenues ou appelées à figurer dans
un fichier à l’exception des traitements mentionnés à l’article 3 de la loi 2008 ;
• Tout traitement mis en œuvre par un responsable tel que défini à l’article 4.15 de la
présente loi sur le territoire sénégalais ou en tout lieu où la loi sénégalaise
s’applique ;
• Tout traitement mis en œuvre par un responsable, établi ou non sur le territoire
sénégalais, qui recourt à des moyens de traitement situés sur le territoire sénégalais,
à l’exclusion des moyens qui ne sont utilisés qu’à des fins de transit sur ce territoire.
Dans les cas visés à l’alinéa précédent, le responsable du traitement doit désigner un
représentant établi sur le territoire sénégalais, sans préjudice d’actions qui peuvent
être introduites à son encontre ;
• Tout traitement de données concernant la sécurité publique, la défense, la recherche
et la poursuite d’infractions pénales ou la sureté de l’Etat, même liées à un intérêt
économique ou financier important de l’Etat, sous réserve des dérogations que
définit la présente loi et des dispositions spécifiques en la matière fixées par d’autres
lois.
• Le code la presse en son article 17 interdit aux journalistes et techniciens la
transmission, la diffusion des données à caractère personnel sans le consentement
de son auteur.

Sont exclus du champ d’application de cette loi :

Les traitements de données mis en œuvre par une personne physique dans le cadre exclusif
de ses activités personnelles et que les données ne soient pas communiquées aux tiers.
Exemple : une personne qui conserve dans un fichier les données personnelles de ses amis
ne sera pas soumise aux obligations posées par la loi. C’est parce que les données ne sont
pas collectées pour être communiquées aux tiers.

Les copies temporaires faites dans le cadre des activités techniques de transmission et de
fourniture d’accès à un réseau numérique à seule fin de permettre à d’autres destinataires
du service le meilleur accès possible aux informations transmises. Par exemple : une adresse
mail personnelle est communiquée à des personnes pour leur permettre dans le cadre des
activités techniques de transmission, d’accéder aux informations. Ici c’est la copie

7
temporaire et la finalité de l’utilisation des données personnelles qui ont mis hors la loi cette
opération. Dans ce cas, les données sont utilisées temporairement dans le cadre d’une
activité technique de transmission bien donnée. Par conséquent, cette opération n’est pas
soumise à la loi dans la mesure où les données ne sont pas destinées au public et non
susceptible de porter atteinte à la vie privée d’une personne.

Il existe aussi d’autres exceptions qui méritent d’être traitées :

• Lorsque la personne expose son intimité physique au public, elle ne pourra pas
s’opposer au traitement de ses données personnelles.
• Les personnes morales de droit public comme le président de la république ne
peuvent pas s’opposer à la vérification de leurs données personnelles par son peuple
car elles ont un mandat électif. Par exemple, les populations ont le droit de
s’informer de la santé du chef de l’Etat.
• Les forces publiques ont le droit de traiter les données personnelles sans le
consentement de leurs auteurs. Mais cette prérogative des forces de l’ordre se limite
aux traitements des données dans le cadre pénal et non à leur publication ou
diffusion au public.
• Dans les cas de trafic de migrants, la loi permet à tout un chacun de photographier,
de filmer l’auteur afin de le dénoncer auprès des autorités compétentes.

Désormais, les préoccupations principales des individus tiennent dans le respect de

l’anonymat sur l’internet, toujours compromis par le biais d’évolutions technologiques
combinées avec des techniques avancées de marketing, et dans la protection contre l’erreur
matérielle ou humaine dans le traitement des données personnelles. Ainsi, peut-on lire sous
la plume de M. Frayssinet : « le glissement de la protection étroite de la seule vie privée à un
droit de gestion de toutes les données pouvant se rapporter à un individu pour protéger
l’ensemble de ses droits et libertés s’explique par le changement de la nature de risques
engendrés par une technologie en perpétuel changement ». Dans la société de
l’informatique, il s’agit de protéger la vie privée des individus contre toute atteinte à son
intégrité. La protection des droits et libertés des personnes est une préoccupation majeure
de la communauté internationale. D’ailleurs, les organisations internationales telles que les

8
nations unies ont consacré des règlements de protection des données à caractère personnel
à travers plusieurs textes énumérés ci-dessus.

Définir certains termes employés facilite l’analyse et l’étude de la protection des données
personnelles.

2) Définitions juridiques des termes

Pour savoir si les droits et obligations définis par la loi s’appliquent, il faut donc se demander
d’une part si l’on est en présence de données à caractère personnel, d’autre part si ces
données font l’objet de traitement. Nous ne cessons depuis le début de ce cours d’évoquer
les notions de données personnelles, de traitement, de stockage, de copie, de responsable
du traitement mais nous n’avons pas défini ces notions de façon claire ; je vais donc me
permettre de lister les conditions juridiques définissant certaines notions (voir article 3 de la
loi n°2008-12).

Le traitement : il s’agit d’une opération ou d’un ensemble d’opérations effectuées ou non à

l’aide de procédés automatisés, ce qui signifie qu’un stockage papier d’informations, qui
seraient consultés de temps à autres, entre dans cette définition ; appliquées à des données
à caractère personnel.

Au sens de la loi, sont des données à caractère personnel les informations relatives à une
personne physique identifiée directement ou indirectement. Pour être plus précis de la
notion de données à caractère personnel, même si la définition relève du sens commun, elle
est toute information se rapportant à une personne physique identifiée ou identifiable.
L’auteur Mouhammad Lô explique : « les données sont à caractère personnel dès qu’elles
portent sur une personne identifiée ou la rendent identifiable directement comme
indirectement ». Lorsque l’on s’inscrit à un service en ligne, il est souvent demandé les nom
et prénom ainsi que d’autres informations complémentaires (profession, centre d’intérêt,
situation familiale) : ces informations sont relatives à une personne physique identifiée et
constituent donc des données à caractère personnel. Pour quelques exemples de données à
caractère personnel, on pourrait citer, permettant une identification directe le nom, le
prénom, ou encore le numéro de sécurité social, une image, de manière indirecte, il y a une
adresse, une photocopie, un numéro de téléphone, de manière très indirecte, un

9
enregistrement vocal. Tout de même, le mél, courriel, courrier électronique ou e-mail,
comme on veut bien le nommer, est une information à caractère personnel, soit parce
qu’elle est liée à un individu. Lorsqu’un individu reçoit un message publicitaire non sollicité,
pratique couramment appelée spamming, il y a bien violation de sa sphère d’intimité. Aussi,
deux choses importantes sont à préciser : les données peuvent être à caractère personnel
même si elles sont publiques ; pour que ces données ne soient plus considérées comme
personnelles, elles doivent être anonymisées et non pseudonymisées, de manière à rendre
impossible toute identification de la personne concernée (voir l’article 4 de la loi n°2008-12).
Donc, toute information ne correspondant pas ou ne permettant pas à l’identification
directe ou indirecte de la personne physique ne constitue pas une donnée personnelle
soumise aux exigences de la loi sur la protection des données personnelles.

Quant au responsable du traitement, il est la « personne physique ou morale, publique ou

privée, tout autre organisme ou association qui, seul ou conjointement avec d’autre, prend
la décision de collecter et de traiter des données à caractère personnel et en déterminant les
finalités ».

Toutefois que les données personnelles présentent un caractère personnel directement ou

indirectement identifiable tel que prévu, celles-ci entrent dans la protection prévue par la
loi.

B/ les mécanismes de la protection des données à caractère personnel

La protection des données à caractère personnel se réalise d’une part, par la mise en place
d’une commission des données personnelles (1), par l’exigence de certaines formalités (2),
et d’autre part, les principes généraux de la protection des données personnelles (3) et les
sanctions de la violation des règles protectrices des données personnelles (4).

1) La création d’une commission des données personnelles

Il est créé un organe de protection des données à caractère personnel appelée « commission
des données personnelles ». Elle est une autorité administrative indépendante qui a pour
mission de veiller à ce que les traitements des données à caractère personnel soient faits
dans le respect de la loi. Dans le cadre de sa mission, la commission ne reçoit aucune
instruction de quelque bord qu’elle provient. Elle informe à la personne concernée et le

10
responsable du traitement de leurs droits et obligations. Elle est composée de onze (11)
membres choisis, en raison de leur compétence juridique et technique (voir l’article 6 de la
loi 2008). Ils sont nommés par décret présidentiel. La particularité dans le fonctionnement
de la commission, est la participation du commissaire du gouvernement aux séances de la
commission des données personnelles sans prendre part de vote. La durée du mandat de la
commission des données
personnelles est de quatre ans renouvelables une fois. La commission des données
personnelles est chargée de veiller à ce que les traitements soient faits conformément à la
loi voire l’article 16 de la loi 2008). Dans son pouvoir de contrôle, les membres de la
commission ont accès, dans les conditions prévues à l’article 45 et suivants du CPP, pour
l’exercice de leurs missions, aux lieux et locaux des personnes concernées. En cas de refus
d’accès, la commission saisit le président du tribunal de grande instance du lieu où est situé
le local. Après avoir effectué son contrôle, la commission peut adresser contradictoirement
un procès-verbal de vérification et de visite à la personne contrôlée. Elle peut prononcer un
avertissement à l’égard du responsable du traitement et une mise en demeure de faire
cesser les manquements concernés dans le délai qu’elle fixe. Dans la délibération n° 2014
0018/CDP du 30 avril 2014 portant avertissement à l’encontre de la société AK PROJET pour
manquement à la législation sur les données à caractère personnel, la commission des
données personnelles constate qu’il y a « un manquement relatif à la non déclaration de la
base de données collectées, devant la commission des données personnelles. En application
de l’article 18 de la loi 2008-12 du 25 janvier 2008 précitée, AK PROJET doit obligatoirement
procéder à la déclaration de la base de données collectées, devant la commission des
données personnelles en vue de la délivrance d’un récépissé, mais aucune déclaration n’a
été faite par celle-ci devant la commission avant l’accomplissement de prospection directe,
objet de la présente délibération ». Dans ce cas, la société AK PROJET est tenue dans le délai
qui sera fixé par la commission, de procéder à la déclaration. En cas de récidive, la
commission peut prononcer une amande d’un million de franc CFA. Aussi dans le cadre de la
préservation des droits et libertés, la commission après procédure contradictoire, peut
décider de l’interruption de la mise en œuvre d’un traitement pour une durée maximale de
trois mois, le verrouillage de certaines données à caractère personnel traitées pour une
durée maximale de trois mois, l’interdiction temporaire ou définitive d’un traitement

11
contraire aux dispositions de la présente loi. Néanmoins, des formalités sont exigées pour le
traitement des données personnelles.

2) Les formalités exigées pour le traitement des données personnelles

Sauf pour les cas prévus aux articles 17 ; 20 et 21 de la loi n°2008-12, les traitements de
données à caractère personnel doivent faire l’objet d’une déclaration auprès de la
commission des données personnelles. La déclaration permet d’informer la commission
de l’existence du traitement. Elle comporte par ailleurs l’engagement que le traitement
satisfait aux exigences de la loi. La déclaration permet aussi à la commission de mieux
exercer son pouvoir de contrôle de la conformité du traitement à la loi. La commission
délivre dans un délai d’un mois un récépissé permettant au demandeur de mettre en
œuvre le traitement. Mais le récépissé n’exonère le demandeur d’aucune de ses
responsabilités. Dans sa déclaration, le demandeur doit mentionner son engagement de
satisfaire aux exigences de la loi. La réception du récépissé confère au demandeur le
droit à la mise en œuvre d’un traitement. Après réception du récépissé, et si le
responsable du traitement modifie substantiellement les informations collectées et
déclarées préalablement, celui-ci est tenu de porter cette modification à la connaissance
de la commission (article 31 du décret 2008-721). Seule une simple mise à jour d’un
logiciel de données à caractère personnel n’entraine pas l’obligation du responsable du
traitement de procéder à une nouvelle déclaration. La déclaration est alors un principe
de protection des données personnelles. D’ailleurs, la cour de cassation française dans
son arrêt n°685 du 25 juin 2013 (12.17.037), déclare que tout fichier informatisé
contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès
de la commission nationale informatique et des libertés et que la vente par la société
Bout Chard d’un fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait
un objet illicite. Par conséquent, tout traitement ou collection soumis à la déclaration,
rend l’objet illicite si le traitement ou collecte n’est pas déclaré auprès de la commission
(décret 2008-721 du 30 janvier 2008 portant application de la loi n° 2008-12 sur la
protection des données personnelles). Cependant, les traitements ne portant pas
atteinte à la vie privée ou aux libertés, la commission fixe des règles simplifiées à
l’obligation de déclaration. En effet, selon l’article 23 du décret 2008-721 du 30 janvier

12
 2008 portant application de la loi n° 2008-12, peuvent faire l’objet d’une déclaration
simplifiée le traitement des données à caractère personnel mis en œuvre :

1) Par les organismes publics et privés pour la gestion des fichiers personnels ;
2) Sur les lieux de travail pour la gestion des contrôles des locaux, des horaires et de la
restauration ;
3) Dans le cadre de l’utilisation de services de téléphonie sur les lieux de travail.

Si certaines données nécessitent une déclaration pour leur traitement, d’autres impliquent
une autorisation préalable de la commission des données personnelles. Les données
nécessitant une autorisation sont limitativement énumérées par l’article 20 de la loi n°2008-
12. On peut citer : les traitements des données à caractère personnel portant sur des
données génétiques et sur la recherche dans le domaine de la santé ; les traitements des
données à caractère personnel portant sur des données à caractère personnel relatives aux
infractions, condamnations ou mesures de sureté ; les traitements des données à caractère
personnel ayant pour objet une interconnexion de fichiers, telle que définie à l’article 54 de
la présente loi ; les traitements portant sur un numéro national d’identification ou tout autre
identifiant de portée générale ; les traitements des données à caractère personnel
comportant des données biométriques ; les traitements des données à caractère personnel
ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou
scientifiques. Certains traitements automatisés d’informations pour le compte de l’Etat sont
décidés par acte réglementaire après avis de la commission des données personnelles
conformément à l’article 21 de la loi 2008-12. L’effectivité de la protection des données
personnelles est garantie par les principes généraux de la protection des données à
caractère personnel.

Les formalités sont aussi contractuelles pour l’utilisation des données personnelles.
L’utilisation ou le traitement des données à caractère personnel sauf pour les cas d’intérêt
public ou d’autorisation par la commission des données personnelles, implique le
mécanisme contractuel. Il doit y avoir un contrat de traitement entre le concerné et le
responsable du traitement. Aux termes de l’article 40 du COCC « le contrat est un accord de
volontés générateur d’obligations ». On peut donc déduire de cette définition que le contrat
nécessite un accord de volontés des parties créant des obligations. On étudie alors les

13
conditions générales de formation du contrat à savoir la capacité, le consentement, l’objet et
la cause (article 47 du COCC). Il n’y a point de contrat lorsque l’une des parties n’a pas l’âge
requis de contracter. Au Sénégal l’âge de la majorité est fixé à 18 ans. A défaut d’âge requis,
le concerné doit être représenté par son représentant légal. S’agissant du consentement, il
est une manifestation de volontés des parties au contrat. C'est-à-dire pour que le contrat
soit valable il faut que les parties émettent leur consentement. Ce consentement doit être
libre et éclairé. Il ne doit pas être entaché de vices tels que la violence, l’erreur et le dol.
Entre le concerné et les responsable du traitement il doit y avoir un libre consentement. Le
contrat de traitement doit avoir aussi un objet présentant un certain nombre de caractères.
L’objet doit être déterminé et licite, formant la matière du contrat et des obligations. C'est-
à-dire que l’objet du traitement doit être licite comme le prévoit la loi protégeant les
données personnelles. La licéité du traitement des données est contrôlée par la commission
des données personnelles suite à la déclaration du responsable du traitement. Et la cause
c’est le pourquoi on s’est engagé. Le pourquoi du traitement des données personnelles. Le
responsable du traitement doit donc expliquer dans sa déclaration adressée à la commission
la cause du traitement. En cas de non-respect de la cause du traitement, le concerné peut le
dénoncer auprès de la commission qui fera une vérification du traitement. La cause doit être
licite pour le contrat et les obligations qui en résultent.

Toutefois, le contrat légalement formé, il appartient aux parties de l’exécuter conformément

aux obligations de celui-ci.

3) Les principes généraux de la protection des données à caractère personnel

Les principes généraux de la protection des données personnelles étudient les obligations
des acteurs et les droits des personnes concernées.

La légitimité du traitement des données à caractère personnel nécessite le consentement de

la personne concernée par le traitement sauf pour les traitements soumis à la loi (voir
l’article 33 de la loi 2008). Le consentement des parties est alors une condition de licéité et
loyauté du traitement. La collecte, le stockage, l’enregistrement, le traitement et la

14
transmission des données à caractère personnel doivent présenter un caractère licite, loyal,
et transparent. Le principe de collecte loyale existe déjà depuis longtemps en droit des
obligations et en droit pénal. En effet, l’article 34 de la loi 2008-12 interdit la collecte de
données personnelles « par un moyen frauduleux, déloyal ou illicite ». Le Conseil d’Etat
français, 9 et 10ème chambre, 12 mars 2014, n° 353193, dite « Pages Jaunes » s’est
prononcé déjà à ce sujet. Il déclare qu’est déloyal un traitement consistant, pour une société
de recouvrement, à collecter des informations concernant une personne, à partir de ses
lettres écrites au propriétaire ou syndic’ de copropriété, à l’exception évidente de ses
informations de contact usuelles. Aussi, la jurisprudence française, qui devrait rester
applicable suite au RGPD (Règlement Général sur la Protection des Données), précise qu’une
information librement accessible ne peut pas forcément être librement réutilisée, et
constitue, sans consentement de l’utilisateur, et hors cas d’exception, une atteinte au
principe de loyauté. Le règlement européen sur la protection des données à caractère
personnel précise que la personne concernée doit être informée de l’existence et des
finalités du traitement ; entre aussi dans cette définition le fait de porter à la connaissance
de l’utilisateur les conséquences pour lui s’il refuse ce traitement. Le traitement implique
aussi une obligation de transparence qui incombe au responsable du traitement. Cette
obligation se compose en partie du droit à l’information, qui consiste à permettre à
l’utilisateur de demander à tout moment d’être informé sur les traitements dont ses
données personnelles font l’objet, ainsi que de pouvoir être informé de la finalité et des
modalités du traitement. Il faut donc fournir à la personne concernée : l’identité et
coordonnées du responsable du traitement ; si les données sont transmises à un tiers, et
l’identité de ce tiers.

La collecte doit respecter aussi le principe de licéité. Le traitement est dit licite dès lors que
l’utilisateur y a consenti, pour une ou des finalités définies et spécifiques. Ce concept de
spécificité est très important, vous l’avez peut-être remarqué si vous utilisez Facebook : pour
chaque finalité, et pour chaque donnée collectée, le site demande maintenant un
consentement précis. Cette obligation de consentement est novatrice en cela qu’elle
consiste en un consentement positif, alors qu’il pouvait avant tout aussi bien être effectué a
posteriori du traitement. Ainsi, dans la délibération n°2014 0018/CDP du 30 avril 2014
portant avertissement à l’encontre de la société AK PROJET pour manquement à la

15
législation sur les données à caractère personnel, la commission des données personnelles
constate qu’il y a « manquement relatif à la loyauté et à la licéité des données collectées. En
application de l’article 34 de la loi n° 2008-12 du 25 janvier 2008, la collecte,
l’enregistrement, le traitement, le stockage et la transmission des données à caractère
personnel doivent se faire de manière loyale, licite et non frauduleuse. Or, AK PROJET a
collecté et traité des données personnelles sans le consentement des personnes concernées.
Ce qui constitue un manquement à la législation en vigueur ». Donc tout traitement sans le
consentement de la personne concernée sauf pour les cas exceptionnels, est considéré
comme illicite et déloyal. En pratique, il faut que l’utilisateur précise, pour chaque donnée,
et chaque finalité, son choix concernant cette donnée personnelle. Ce choix doit consister
un « oui » ou un « non », les anciens sites présumant que vous acceptez une collecte en
continuant la navigation sont donc dans l’illégalité. Notons que le choix de l’utilisateur ne
peut en aucun cas altérer son utilisation du service, s’il refuse un quelconque traitement,
seules les parties du service directement liées à ce traitement particulier peuvent lui être
refusées ; il ne peut en aucun cas être privé d’accès total au service, sauf si le traitement est
strictement nécessaire au dit service.

Les responsables des traitements sont également soumis à l’obligation de confidentialité, de

sécurité, de conservation et de pérennité (voir articles 70 à 74 de la loi n°2008-12).

Les obligations relatives aux traitements des données personnelles constituent une
protection de la personne concernée du traitement.

Pour mieux encadrer la protection de la personne concernée, il convient en pratique de

recourir à l’outil contractuel. Le contrat entre le responsable du traitement et le client doit
être soigné. Par exemple : un contrat qui stipule que le responsable du traitement est
conféré d’un droit d’usage sur les données personnelles dans les conditions fixées par la loi.
La personne concernée conserve ses droits comme le stipule la loi. Dans ce cas, le
responsable du traitement doit respecter dans le traitement les droits fondamentaux de la
personne concernée sous peine de sanction prévue par la loi. La loi confère à la personne
concernée un certain nombre de droits dans le traitement de ses données personnelles : on
peut citer le droit à l’information, d’accès, d’opposition, de rectification et de suppression.
Nous avons montré ci-dessus le lien très fort entre le droit à l’information et le principe de

16
transparence : ces deux principes sont effectivement très proches, en cela que l’information
à la personne concernée est une forme de transparence envers lui. Nous avons d’ailleurs
déjà traité ce principe de transparence, en mentionnant que certaines informations devaient
être transmises à la personne concernée au moment de la collecte des données. Ces
informations, transmises lors de la collecte des données, peuvent aussi être demandées par
l’utilisateur plus tard, après collecte, et doivent lui être transmises à jour, si le responsable
du traitement a changé de coordonnées, par exemple, il faut lui donner les dernières
informations, pas celles à jour au moment de la collecte. Une unique exception existe à ce
droit d’information : si les données ont déjà été transmises à l’utilisateur, par exemple dans
le cas d’un traitement antérieur, il n’est pas nécessaire de lui transmettre ces données à
nouveau. En complément du droit d’information, l’utilisateur dispose d’un droit d’accéder
aux données personnelles le concernant possédées par un organisme. Le droit à
l’information est étendu si une structure tierce traite ses données personnelles. Au cas
échéant, l’utilisateur peut accéder à ces fameuses données, encore une fois sous réserve de
justifier de son identité. Toute personne, désireuse d’accéder aux données personnelles que
vous détenez sur elle, peut effectuer une demande de communication. Elle peut mandater
un tiers de son choix si elle le souhaite ; dans ce cas, cette tierce personne doit présenter un
écrit contenant l’objet du mandat (exercice du droit d’accès) ainsi que les identités du
requérant et du tiers. Le responsable de traitement, ou une personne mandatée par elle et
soumise par ailleurs au secret, doit s’assurer de la communication dans un délai d’un mois ;
ce délai peut être étendu d’un mois supplémentaire, lorsque la demande est
particulièrement complexe ou qu’une grande quantité de données est demandée. Il existe
certaines exceptions au droit d’accès, en cas de demandes « objectivement abusives », par
leur nombre, leurs répétitions ou leur caractère systématique ; si les données ne sont pas
stockées pour des raisons techniques ou si le délai légal de conservation est expiré. Dans les
cas de prolongation du délai d’un mois, de demande de frais ou de refus de la demande, la
charge de démontrer ces éléments incombe à l’entreprise responsable (au responsable du
traitement, en l’occurrence). Le respect des droits de la personne concernée est une
obligation pour le responsable du traitement sous peine de sanctions de différentes natures.

4) Les sanctions de la violation des règles protectrices des données personnelles

17
Les sanctions sont non seulement administratives, pécuniaires mais aussi à caractère civil et
pénal.

Après tout contrôle ou vérification et après toute mesure d’avertissement, de mise en

demeure, la commission des données à caractère personnel peut prononcer les sanctions
différentes :

• Le retrait de l’autorisation de traitement pour une durée de trois (3) mois à

l’expiration de laquelle, le retrait devient définitif ;

Il appartiendra alors au responsable du traitement de demander la levée de la décision de

retrait avant l’expiration du délai des trois (3) mois. La commission vérifie alors la nécessité
de la levée de la décision de retrait.

• Une amande pécuniaire d’un (1) million à cent 100 millions de Franc CFA ;

Dans ce cas, le responsable sera sanctionné à verser une somme d’argent.

Lorsque la mise en œuvre d’un traitement ou l’exploitation de données personnelles

entraine une violation des droits et libertés, la commission des données personnelles, après
procédure contradictoire, peut décider :

• L’interruption de la mise en œuvre du traitement pour une durée de trois (3)

mois ;
• Le verrouillage de certaines données à caractère personnel traitées pour une
durée maximale de trois (3) mois ;
• L’interdiction temporaire ou définitive d’un traitement contraire aux
dispositions de la présente loi.

Ces décisions sont susceptibles de recours devant la chambre administrative de la cour

suprême en cas de contestation du responsable du traitement.

Les sanctions sont aussi de nature civile et pénale.

La sanction de la violation des termes du contrat de traitement est la responsabilité

contractuelle. Le fait générateur de cette responsabilité est la faute. Le fait générateur de
responsabilité ici peut être pour défaut d’exécution ou une exécution illicite du contrat. La

18
partie victime peut alors saisir le juge civil en réparation des dommages et intérêts du
préjudice causé par l’inexécution ou l’exécution défectueuse du contrat. Il appartiendra alors
au juge d’évaluer le préjudice causé en se référant au manque à gagner dans ce contrat. Il
faut donc comprendre les termes du contrat pour mieux exécuter ses obligations. Il faut
alors comprendre les engagements des parties, l’objet et la cause du contrat. La sanction
peut être aussi sur la base de la responsabilité civile lorsque le responsable du traitement l’a
fait de manière frauduleuse ou à des fins non licites ou portant atteinte à l’intégrité physique
ou morale de la personne concernée. C’est un manquement à une obligation préexistante.
Nous avons dégagé les obligations des parties du traitement des données personnelles ci-
dessus. Ce sont ces obligations dont leur non-respect pourra entraîner la responsabilité civile
de son auteur. En plus de la responsabilité civile, la loi a prévu une responsabilité pénale. La
société traditionnelle s’est transformée en une société de l’information depuis l’avènement
des nouvelles techniques de l’information et de la communication (NTIC) qui, aujourd’hui,
imprègnent tous les domaines de la vie. Bien que prodiguant des bienfaits indéniables, les
TIC constituent des supports de la nouvelle forme de délinquance qui se situe dans un
espace virtuel appelé cyberespace. Parmi les supports, l’internet est devenu le lieu privilégié
de commission des infractions de toutes sortes au préjudice tant des biens patrimoniaux
qu’aux biens extrapatrimoniaux donnant naissance à un phénomène appelé cybercriminalité
contre lequel la lutte est devenue un enjeu majeur des gouvernants qui cherchent une cyber
stratégie en vue de garantir une cyber sécurité. Pour ne pas être en déphasage par rapport à
cette problématique, le législateur sénégalais a adopté une loi pour faire face à ce
phénomène. L’idée centrale de la loi sur la protection des données à caractère personnel est
que tout traitement de données à caractère personnel respecte le consentement des
personnes concernées. Pour pouvoir donner son consentement, une personne doit
logiquement savoir que des données qui le concernent sont collectées. Le responsable du
traitement est à ce titre tenu à une obligation de transparence. Le code pénal punit le fait de
collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite. Aux
termes de l’article 431. 21 de la loi sur la cybercriminalité « quiconque aura procédé ou fait
procéder à un traitement de données à caractère personnel sans mettre en œuvre les
mesures prescrites à l’article 71 de la loi sur les données à caractère personnel précitée, sera
puni d’un emprisonnement d’un (1) an à sept (7) ans et d’une amende de 500000 francs à

19
10.000.000 francs ou de l’une de ces deux peines seulement ». Cette même loi condamne
aussi la collecte illicite, déloyale, frauduleuse, d’une peine d’emprisonnement d’un (1) an à
sept (7) ans et d’une amende de 500000 francs à 10000000 francs. Les lois sur les données à
caractère personnel et de la cybercriminalité insistent sur le caractère frauduleux, illicite et
déloyal. C’est pour dire que la loi protège avec rigueur les données personnelles des
individus.

Paragraphe 2 : les questions de propriété posées par la création multimédia et du

processus de création du produit multimédia

Nous étudierons d’abord les questions de propriété posées par la création multimédia (1) et
le processus de création multimédia (2).

1) Les questions de propriété posées par la création multimédia

Dans la perspective d’une production multimédia il est primordial, d’une part, que le
producteur soit titulaire de tous les droits intellectuels relatifs aux informations contenues
dans le produit multimédia ; à cet effet, le droit d’auteur occupe une place prépondérante.
D’autre part, le producteur devra aussi être attentif aux marques de commerce et aux règles
protégeant la vie privée et les droits de la personnalité qui constituent aussi des limites à la
liberté de contenu de l’œuvre multimédia.

Les producteurs doivent écarter, parmi les informations que contiendra le titre multimédia,
les œuvres protégées par la loi sur le droit d’auteur pour mieux identifier les titulaires des
droits intellectuels sur ces œuvres et acquérir les droits d’exploitation nécessaires à la
production multimédia. Le producteur doit, lors de ces transactions, prêter une attention
particulière aux droits moraux des auteurs.

L’obtention de licence d’exploitation sur ces œuvres est la première étape de la production
multimédia. Restreinte lorsque l’information provient de sources internes à l’entreprise qui
produit puisque l’employeur est titulaire des droits intellectuels sur les créations de ses
employés. Cette phase d’acquisition de droit, quoique peu compliquée, peut représenter un
véritable défi lorsque l’essentiel des informations provient de sources externes. Mais la
difficulté majeure tient au fait que le support d’informations multimédia n’a virtuellement
aucune limite quantitative et ce, notamment du fait des technologies de compression et

20
décompression des informations numériques. Ainsi, c’est une multitude d’informations et en
conséquence d’œuvres protégées qui seront nécessaires à la production d’un CD ROM ou CD
I. Or, toute œuvre quelle qu’en soit le mérite ou la qualité, qui prend une forme littéraire,
musicale (toute composition musicale avec ou sans parole) artistique (dessins et
photographie) ou audiovisuelle (films, télévision ou cinématographiques, voire images de
synthèses) est protégée en vertu de la loi sur le droit d’auteur sauf si elle est du domaine
public.

Après avoir déterminé les œuvres qu’il veut inclure dans le produit multimédia, le
producteur pourra distinguer les œuvres libres de droits, c'est-à-dire celles qui
appartiennent au domaine public de celles qui appartiennent au domaine privé, pour
lesquelles il est nécessaire d’obtenir des cessions, licences ou autorisations d’exploitation
commerciale.

Une œuvre est dite du domaine public lorsque, par manque d’originalité, elle ne pourra
bénéficier de la protection de la loi sur le droit d’auteur ou si la période de protection est
expirée. En pratique, il est difficile de juger de l’originalité d’une œuvre et d’en déduire si
elle est ou non protégée dans la mesure où la jurisprudence (canadienne) a interprété de
façon libérale la condition d’originalité. De fait, sont protégées toutes les œuvres qui
émanent de l’effort intellectuel de son auteur, ce qui traduit une tendance assez
universaliste en faveur de la protection de toutes les créations. Ainsi, c’est l’expiration de la
durée de protection qui conditionnera la libre utilisation des œuvres.

En principe, la protection de la loi s’étend sur la durée allant de la date de création de

l’œuvre à la fin de l’année civile dès les soixante dixièmes anniversaires de la date du décès
de l’auteur. La durée de protection peut être différente en cas d’œuvre de collaborations
conçues par plusieurs auteurs. Dance ce cas, la protection s’étend soixante-dix ans au-delà
de l’année civile de la date anniversaire de la mort du dernier auteur.

Une fois identifiées les œuvres du domaine public de celles qui nécessitent des cessions,
licences ou autorisation, il importe de vérifier la titularité des droits d’auteur sur chacune
des œuvres protégées. Cela se fait par l’audit juridique des chaines contractuelles de licences
ou de cessions successives.

21
Après avoir identifié les véritables propriétaires de chacune des œuvres protégées et les
droits nécessaires à la production du titre multimédia selon la distribution qu’il envisage, le
producteur devra adresser à chacun de ces titulaires pour obtenir des licences aux fins de
produire et distribuer le titre multimédia.

Dans la phase d’obtention des licences, il y a lieu de retenir que les œuvres sur lesquelles on
acquiert des droits proviennent de plusieurs industries différentes (production littéraire,
musicale, cinématographie…) et en conséquence, des usages particuliers se sont établis dans
chacune de ces industries, notamment au niveau des rémunérations, qui s’accordent mal
avec le produit multimédia. Il est donc essentiel que le producteur fasse des acquisitions de
droits identiques quelle que soit la nature des œuvres sur lesquelles il transige, de sorte qu’il
puisse à son tour, plus tard, concéder à la fois des licences de distribution homogènes et ne
pas être limité par des licences restreintes quant au mode d’exploitation autorisé des
œuvres.

Lors de la négociation des cessions ou licences de droits économiques, le producteur devra

accorder une attention particulière aux droits moraux des auteurs. Ceux-ci sont perpétuels
incessibles mais la loi sur le droit d’auteur permet l’obtention d’une renonciation à l’exercice
ultérieur de leurs droits moraux par les auteurs, ce qui, dans un contexte d’information
numérique et d’interactivité, est essentiel.

Actuellement, le multimédia et la marque présentent plusieurs points de convergence.

D’une part, lors de l’acquisition d’informations ayant vocation à être incorporées dans
l’œuvre multimédia, des documents peuvent présenter des reproductions de marques de
commerce surtout lorsque la numérisation se fait à l’aide d’un scanner. Or, le producteur ne
peut effectuer de telles reproductions sans l’autorisation écrite préalable des propriétaires
de ces marques de commerce. Pour éviter les contentieux en contrefaçon, il faut être
prudent et d’examiner le contenu de chaque document afin d’y identifier les marques de
commerce et d’éviter leur reproduction.

2) Le processus de réalisation matérielle du produit multimédia

Apres l’identification et l’acquisition de l’information nécessaire au titre multimédia, il se

pose la question de la réalisation matérielle de l’œuvre multimédia. Pour cela, le producteur

22
responsable du montage et de la gestion financière du projet devra s’adjoindre les services
de plusieurs séries d’intervenants :

a) Un réalisateur, responsable de la direction artistique et de l’équipe de réalisation :

techniciens du son, équipe vidéo, infographistes, animateurs, techniciens chargés de
la numérisation des informations ;
b) Un ou plusieurs informaticiens, qui seront chargés de développer le logiciel et les
arborescences spécifiques au projet multimédia ;
c) Un ou plusieurs acteurs, scénaristes, qui auront pour mission la création ou la
compilation et l’ordonnancement des informations contenus dans le produit
multimédia selon un scénario interactif qu’ils auront préalablement élaboré.

Paragraphe 3 : la protection juridique des œuvres multimédia et la diffusion

d’informations numériques

Il convient de voir d’une part, la diffusion des produits numériques multimédia (1) et d’autre
part, la protection juridique des œuvres multimédia (2).

1) La diffusion des produits numériques multimédia

Actuellement, la distribution de produits multimédia se fait encore essentiellement par la

vente des supports physiques d’informations que sont, notamment, le CD.ROM et le CD.I
d’apparence identique à celle du CD Audionumérique, le CD.ROM est destiné aux
consommateurs équipés de micro-ordinateurs alors que le CD.I est conçu pour ceux qui
possèdent des téléviseurs.

La distribution de ces supports se fait au même titre que les ouvrages imprimés, les CD.
Audionumériques ou les vidéocassettes à savoir que le producteur et les auteurs sont
traditionnellement rémunérés par la vente d’exemplaires ou la représentation publique des
œuvres.

En dehors de cette forme de distribution traditionnelle « off line », on voit le développement

de la distribution « on line » de produits informationnels numériques sous la forme de bases
de données interactives multimédia. Cette distribution numérique dans les autoroutes
électroniques a vocation à se généraliser dans l’avenir. Malgré l’attrait que représente cette

23
forme de diffusion, le producteur multimédia devrait rester prudent. Aujourd’hui avec le
droit positif et les technologies utilisées, les autoroutes favorisent la consommation des
produits, mais aussi leur contrefaçon par les utilisateurs et les concurrents sans assurer
forcement la rémunération du producteur et des auteurs, et cela dans un contexte de
piratage international.

2) La protection juridique des œuvres multimédia

Apres l’acquisition de tous les droits nécessaires à la production du titre multimédia, le

producteur dispose à son tour, lors de la distribution du produit sur le marché, de droits
d’auteurs en vertu des règles du droit d’auteur, qui protégeront l’œuvre qu’il a produit. Ces
droits sont indépendants de chacun des droits portant sur chaque œuvre protégée contenue
dans l’œuvre multimédia. Le droit du producteur sur l’œuvre multimédia sera traité par
analogie avec celui portant sur les compilations d’informations, c'est-à-dire sur les bases de
données.

On comprend alors l’importance de tout le travail de pré production et notamment la

politique stricte de droits intellectuels qui doit être mise en place dès le début du projet. En
effet, une fois le titre produit, sa vocation est de faire l’objet d’une distribution commerciale.
Or, si le producteur veut avoir toute l’attitude quant à l’exploitation économique de son
produit, il devra avoir antérieurement acquis tous les droits sous-jacents de façon uniforme
et universelle, de sorte que son œuvre multimédia bénéficie d’une protection efficace et que
sa mise en marché et sa distribution soient profitables.

La protection des œuvres multimédia se réalise aussi par le biais d’un contrat informatique.
La production et la diffusion d’un titre multimédia relèvent, juridiquement, à la fois du droit
d’auteur, du droit de l’informatique, des télécommunications, de l’audiovisuel et de
l’information.

Seulement pour la production, plusieurs contrats doivent être conclus pour acquérir
l’ensemble des droits intellectuels utilisés pour la production du titre multimédia. Le
producteur devra prendre soin d’acquérir tous les droits d’auteur sur les œuvres littéraires,
artistiques, musicales, et audiovisuelles du domaine privé, ainsi que les droits spécifiques
que peuvent avoir les auteurs du scénario et de la base de données multimédia ainsi que

24
ceux du logiciel développé pour le projet. D’autres aspects contractuels peuvent être mis en
jeu dans le cadre de la production du titre multimédia comme, par exemple, des contrats de
financement, et de suretés, des contrats d’autorisation en vertu du droit des marques de
commerce, du droit à l’image et au respect de la vie privée.

Bibliographie

La loi n°2008-12 sur la protection des données à caractère personnel.

La loi du 25 janvier 2008 sur la cybercriminalité.

Alain Bansoussan, protection des données personnelles

Dr Mouhammad lô, la protection des données à caractère personnel.

Lamy, droit des médias et de la communication

Lamy, droit de l’informatique et des réseaux

Mr Diakhoumpa, la cybercriminalité

Ndeye Ngoné Ciss, Assistante marketing et commerciale, Article, situation effective de la

protection des données personnelles au Sénégal.

25
Philippe JOUGLEUX, thèse de doctorat en droit, la protection de l’information dans les
nouvelles techniques, le 20 septembre 2002.

26