INTRODUCTION

« Si je décide de participer à un réseau social, je vais être cristallisé, englué par les informations que j'aurais confiées à l'âge de 21 ans. Dans dix ans, on vous les ressortira. Vous êtes tracés car vous perdez la possibilité d'évoluer. On a le droit, à 20 ans, de dire une connerie, ce n'est pas pour autant qu'on doit vous la rapporter toute votre vie.»^1(*)a dit Alex Türk, ancien président de la Commission nationale de l'informatique et des libertés (CNIL)^2(*) et actuel président du groupe de l'article 29^3(*) sur la protection des données à caractère personnel. Cette citation de l'ancien président de la CNIL représente bien les enjeux que posent, à l'heure actuelle, les réseaux sociaux.

Définie dans les années 1950 par le sociologue John Barnes, le réseau social est un « ensemble d'identités sociales, telles que des individus ou encore des organisations reliées entre elles par des liens créés lors d'interactions sociales»^4(*).La notion de réseau social a été reprise dans les années 1990 pour désigner descommunautés d'internautes se regroupant autour d'intérêts communs. Les réseaux sociaux n'ont cessé de se développer à partir des années 2000. Ce succès a été rendu possible par les progrès technologiques réalisés sur les outils de connexion (téléphones mobiles de nouvelle génération ou tablettes) qui ont permis aux usagers d'accéder à internet et aux réseaux sociaux partout et à tout moment.

On y adhère en se créant un «profil», sorte de carte d'identité numérique permettant de s'identifier et de se connecter lors des échanges avec les autres membres. Le web 2.0 se présente alors comme le média le plus adapté à ce genre d'activités, avec, en 2001, le premier réseau social Friendster.Depuis 2001, c'est l'explosion. Environ 140 millions de personnes sont inscrites sur Facebook, 120 pour MySpace. Au total, on compte près de 600 millions d'utilisateurs de réseaux sociaux à travers le monde.

Il faut dire que les réseaux sociaux se diversifient. En dehors des réseaux sociaux généralistes tel que Facebook, on trouve les réseaux sociaux centrés sur l'aspect professionnel commeViadéoou LinkedIn, les réseauxsociaux « privés », c'est-à-dire que l'on ne peut rejoindre que sur invitation : c'est l'exemple de AsmallWorld, le réseau le plus exclusif de la planète avec 130.000membres et qui a pour but de favoriser une vie sociale riche pour « l'élite économique et intellectuelle»^5(*). Des plates-formes sont même créées pour que chacun puisse à son tour créer son propre réseau social.

Le web n'ayant aucune limite : les réseaux Dogsteret Catser sont réservés respectivement aux chiens et aux chats.

Malgré l'avance de Facebook au plan international, il n'y a pas de vrai leader. Tout d'abord, on remarque que chaque partie du monde a son réseau social : MySpaceest numéro un aux États-Unis. Les brésiliens ont choisi Orkut(le réseau de Google).Les anglais préfèrent Beboalors que Skyblogarrive en tête en France et enfin l'Asie du sud-est privilégie Friendster. Le marché est très instable : les réseaux sociaux existants se livrent une guerre sans merci et de nouveaux acteurs apparaissent sur le marché chaque jour.

Pour ce qui est de l'Afrique, il existe des réseaux sociaux tels queUshahidi, Blueworld, Eskimi, Bandeka, Afroterminal, East African social network, Mixt http, PicRate et yookosqui est un réseau social à vocation religieuse. La Côte d'Ivoire, quant à elle, n'a qu'un seul réseau social national dénommé :BabiConnect, qui, cependant, n'est pas fonctionnel^6(*).

Il faut noter que les utilisations de ces réseaux sont variées : retrouver des camarades de classe ou de vieilles connaissances ; se faire des relations, de nouveaux contacts professionnels ou amicaux (et plus si affinités) ; organiser des évènements ou même assurer une certaine promotion de sa personne ou de son entreprise, retrouver des personnes qu'on a perdues de vue ou avoir des informations. Nous avons le cas du skieur de l'équipe nationale du Népal, en entraînement en France, qui avait fugué. La publication de photos de lui sur Facebook a permis dans un premier temps d'assurer une publicité de l'affaire, et dans un second de retrouver le skieur puisqu'un utilisateur qui avait vu sa photo sur le site l'a ensuite reconnu errant dans Paris et a permis d'alerter les autorités. En outre, dans une autre affaire, au Royaume Uni, une jeune femme qui louait un appartement dont elle était propriétaire a remarqué, sur des photos publiées, là aussi, sur Facebook, que ses locataires organisaient des soirées « agitées » dans son appartement, le saccageant complètement. Se rendant compte de la situation à temps, elle a immédiatement résilié le bail et tenté de restaurer son immeuble. D'autres encore assurent la promotion d'organisations terroristes. La liste est sans fin.

On remarque aussi que les réseaux sociaux se développent en tant que moyen de communication des politiques. En effet, vu l'audience potentielle qu'offrent les réseaux sociaux sans dépenses de publicité, il s'agit d'un moyen de communication très attractif. Une grande majorité d'hommes et de femmes politiques ont créé leur profil sur de grands réseaux sociaux. Preuve de ce développement : le pape Benoit XVI a désormais son profil sur Facebook. Et récemment, Nathalie Kosciusko-Morizet, secrétaire d'Etat à la Prospective et au développement de l'économie numérique, annonçait sa grossesse via sonprofil Facebook.

tat

Les réseaux sociaux confirment la théorie des « six degrés de séparation ». Cette théorie date de 1929 : l'écrivainFrigyesKarinthy^7(*) pose l'hypothèsequ'une personne dans le monde est reliée à une autre au travers d'unechaîne de connaissances comprenant un maximum de six maillons. En 1967, l'expérimentation à grande échelle de « Small World^8(*)» est lancée et les résultats sont probants. Il est assez facile d'expérimenter le principe des six degrés de séparation. On donne une lettre à un premier sujet et on lui demande de la remettre à une personne en particulier. Pour ce faire, il doit passer la lettre à une de ses relations, dont il suppose qu'elle est la mieux placée pour contacter la cible ou un proche de cette dernière. Ce second maillon de la chaîne passe la lettre à un de ses contacts selon le même principe, et ainsi de suite.

En 2008, une équipe de recherche travaillant pour Microsoft^9(*) a étudié 30 milliards de mails envoyés par 240 millions de personnes en juin 2006 et a établi qu'en moyenne deux personnes peuvent être reliées en 6,6 étapes.Et c'est bien là le point commun de tous ces réseauxsociaux : on y met tous des données personnelles, que cette quantité de données soit importante ou non ou que ces données soient plus ou moins personnelles.Le partage des passions, des hobbies, des centres d'intérêts, de même que le nom ou l'adresse mail représentent une quantité de données personnelles considérable à l'échelle mondiale qui soulève de nombreuses questions notamment quant à la protection et l'utilisation de toutes ces données.Comme sus-évoqué, bien que plusieurs internautes résidant en Côte d'Ivoire aient souscris au moins à un réseau social, et pour la plupart au réseau social Facebook, peu sont les réseaux sociaux qui sont établis sur le territoire ivoirien. Cette situation présente des difficultés, puisque la protection des données personnelles des internautesétablis en Côte d'Ivoire est mise en mal par ce fossé territorial entre les données stockées sur ces réseaux sociaux et les dispositifs de sécurité de ces données,mis en place par le législateur ivoirien.

Par ailleurs les critères d'application matérielle et territoriale de la loi ivoirienne relative à la protection des données à caractère personnel ne permettent pas une protection étendue de ces données personnelles. D'où l'intérêt particulier de la question, en Côte d'Ivoire, de la protection des données à caractère personnel sur les réseaux sociaux.Ces réseaux sociaux sont amenés,pour la mise à disposition de leurs services,à collecter et traiter des données personnelles dans le cadre de leur activité. C'estla loin° 2013-450 du 19 juin2013 relative à la protection des données à caractère personnel^10(*), qui définit la notion de données à caractère personnel et met en relief les éléments constitutifs d'un traitement de donnéespersonnelles en son article 1. Les données à caractère personnel sont: «toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

Quant au traitement de données personnelles, il s'agit de« toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l'exploitation, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction de données à caractère»^11(*).

La loi propose une définition large afin d'assurer une grande protection des données à caractère personnel voulue à l'échelle internationale. Si les réseaux sociaux présentent des avantages de divers ordres, ils peuvent constituer une menace pour les données personnelles des membres par l'utilisation de méthodes illicites telles que les logiciels espions (spyware), le profilage. Certains réseaux s'adonnent à la collecte des données deleurs membreset même des non membres. Le traçage de la navigation des internautes permet de collecter plusieurs informations personnelles. On assiste même à des traitements qui se font en violation des règles prescrites.

De ce fait, la loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel a été adoptée pour garantir la protection des données personnelles. Pour renforcer cette protection, différentes institutions ont été créées pour veiller au respect des dispositions par les responsables detraitement. L'Autorité de Régulation des Télécommunications/TICde Côte d'Ivoire(ARTCI) en est le garant.

Il s'agit de la première autorité administrative indépendante ivoirienne, créée par l'Ordonnance n°2012-293 du 21 mars 2012relativeaux Télécommunications et aux Technologies de l'Information et de la Communication.« l'ARTCI s'assure que l'usage des Technologies de l'Information et de la Communication ne porte pas atteinte ou ne comporte pas de menace pour les libertés et pour la vie privée pour des utilisateurs situés sur l'ensemble du territoire national »^12(*).

L'enjeu que représentent les données personnelles des utilisateurs des réseaux sociaux est donc essentiel. Si malgré toutes ces dispositions d'ordre textuel et institutionnel, la sécurité des données à caractère personnel des internautes est encore menacée sur les réseaux sociaux, il convient de s'interroger sur l'effectivité de leur protection. En d'autres termes, la protection des données à caractère personnel est-elle effective sur les réseaux sociaux ?

Résoudre avec clarté la problématique de l'effectivité de la protection des données à caractère personnel sur les réseaux sociaux passe par une démarche réfléchie. C'est pourquoi, il ne s'agira pas, dans notre réflexion, de faire un inventaire pur et simple des dispositions et institutions traitant la question de la protection desdonnées à caractère personnel. Mais il s'agira de mettre en relief l'ineffectivité de la protection des données à caractère personnel sur les réseaux sociaux. Ainsi, nous aurons à relever les différentes atteintes faites aux données à caractère personnel sur les réseaux sociaux. Nous nous limiterons à certaines atteintes dont font l'objet les données personnelles de la part des responsables de traitement. C'est donc dire que toutes les atteintes ne pourront être évoquées. Nous nous attarderons en outre sur les causes occasionnant ces atteintes, et envisageront des solutions.

Notre démarche se trouve donc circonscrite. Elle consistera à mettre en lumière,dans un premier temps, l'ineffectivité de la protection des données à caractère personnel sur les réseaux sociaux (Partie 1). Et dans un second, nous relèverons les causes liées à cette situation et les solutions envisageables pour y pallier (Partie 2).

PARTIE 1

L'INEFFECTIVITE DE LA PROTECTION

DES DONNEESA CARACTERE PERSONNEL

SUR LES RESEAUX SOCIAUX

Selon la loi n°2013-450 du 19juin 2013 relative à la protection des données à caractère personnelen Côte d'Ivoire, le traitement des données à caractère personnel doit se faire suivant des règles établies. Cependant, certains responsables de traitement portent atteinte aux règles préalables à la mise en oeuvre des traitements de données à caractère personnel(Chapitre I).

Par ailleurs, ils n'observent pas les obligations subséquentes à la collecte de données à caractère personnel (Chapitre 2).

CHAPITRE1 : UNE VIOLATION DES REGLES PREALABLES A LA MISE EN OEUVRE DES TRAITEMENTS DE DONNÉES A CARACTERE PERSONNEL

Selon le chapitre 3 de la loi n° 2013-450du 19juin 2013 relative à la protection des données à caractère personnel, le responsable du traitement des données à caractère personnel doit accomplir des formalitésnécessaires au traitement des données à caractère personnel(Section 1).

Par ailleurs, l'article 15 de la loi susmentionnée exige du responsable du traitementune collecte licite des données à caractèrepersonnel. La licéité de la collecte est subordonnéeà l'obtention d'un accord préalable de la personne concernée(Section 2).

Section 1 : Le non-respect des formalités préalables à la collecte des données à caractère personnel

Lesresponsables de traitement, avant toute collecte, sont contraints d'accomplir desformalitésadministratives. Ils ont,par ailleurs, envers les personnes concernées, un devoir d'information. La loileur impose aussi, d'établirdes finalitésdéterminées. Mais force est de constater que peu sont ceux qui y ontrépondufavorablement(Paragraphe 1).

Il faut relever que nonobstant les dispositions législatives en vigueur, les responsables de traitement ne remplissent pas leur devoir d'information. En outre, la finalité des collectes effectuées est indéterminée (Paragraphe 2).

Paragraphe1 : Le défaut d'accomplissement des formalitésadministratives

Les responsables de traitement doivent, préalablement à toute collecte, accomplir des formalités administratives qui varient en fonction de la nature des données à collecter. Ainsi, dans le cadre des réseaux sociaux, il s'agirasoit d'uneprocédure de déclaration de traitement soit d'une procédure de demande d'autorisation. Cependant, en se référant à la jurisprudence de l'ARTCI, on constate une absence de déclarationde traitement (A)ou de demande d'autorisation (B)préalable à la collecte.

A- Absence de déclaration des traitements des données à caractère personnel

Un site web personnel, un blog ou une page Facebook (ou sur tout autre réseau social),contient très souvent des données personnelles relatives à l'auteur des pages, maiségalement à ses relations (amis, famille...) ou aux personnes contribuant au site (zone de commentaire par exemple).Le responsable du site ou de la page est libre de divulguer ses propres donnéespersonnelles, en en assumant les conséquences, mais il doit agir avec plus de prudence en ce qui concerne les données personnelles d'autrespersonnes^13(*).

Pour les sites web professionnels, s'ils collectent et manipulent des données personnelles, il est nécessairede se conformer à la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.C'est sans ignorer ces dispositions que l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire (ARTCI),a porté à la connaissance des responsables des organismes publics et privés que :« désormais, tout traitement de données à caractère personnel doit obligatoirement faire l'objet de déclaration préalable ou autorisation»^14(*) auprès de ses services. Dans cette perspective, l'Autorité de régulation demande aux responsables des organismes publics et privés de procéder dans les meilleurs délais auprès de ses services aux déclarations des traitements portant sur les données telles que les fichiers ou les bases de données (personnels, clientèles, usagers, patients, abonnés, élèves ou étudiants, etc.).

Cette demande est fondée sur les articles 5 et suivantsde la loi sur la protection des données personnelles. En effet, l'article 5^15(*)fait obligation aux responsables de traitement à procéder à une déclaration préalable de traitement de données à caractère personnel auprès de l'autorité de protection des données à caractère personnel. A l'instar de la Côte d'Ivoire, le Gabon et le Sénégal, respectivement aux articles 51 et suivants de la loi n° 001-2011 du 25 septembre 2011 et aux articles 18 et suivants de la loi n° 2008-12 du 15 janvier 2008 relative à la protection des données à caractère personnel, ont adopté les mêmes dispositions.

A s'en tenir au communiqué de l'ARTCI, les réseaux sociaux doivent déclarer leurs traitements puisqu'ils tiennent des bases de données de leurs membres. A cette invitation,certains responsables de traitement ont répondu favorablement. Mais à en croire les décisions rendues par l'ARTCI en matière de déclaration de traitement, les réseaux sociaux ne se sont pas senti concernés. En effet, à l'analyse desdites décisions^16(*), aucun cas d'une déclaration de traitement par des réseaux sociaux n'est faite alors que nombre d'ivoiriens y sont inscrits^17(*).

Ces faits sont de nature à constituer un manquement aux dispositions de l'article 5 de la loi ivoirienne. Ilparaît anormal que certains s'efforcent à être dans la légalité et que d'autres n'y prennent pas garde malgré le délai de six (06) mois^18(*)  accordé aux responsables de traitement, à compter de l'entrée en vigueur de la loi ivoirienne relative à la protection des données, pour s'y conformer.

B-Absence d'autorisation des traitements de données

Une délégation de la CNIL^19(*) a procédé à une mission de contrôle sur place les 8 et 9 avril 2015^20(*) et à un contrôle sur pièce le 30 juillet 2015. Elle a constaté que FACEBOOK INC. et FACEBOOK IRELAND collectent des données relatives à l'orientation sexuelle, aux opinions religieuses et aux opinions politiques des inscrits. En outre, ce réseau social, peut également collecter des dossiers médicaux fournis par les inscrits en tant que justificatifs d'identité.

En effet, la société peut être amenée à demander aux internautes qui se sont inscrits sur le site de fournir des justificatifs d'identité, tel qu'un dossier médical, par exemple lorsqu'ils tentent de remplacer leurs noms de famille par celui d'une célébrité^21(*). Il faut relever que le traitement de données à caractère personnel est mis en place directement sur le formulaire d'inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil. On déduit du constat fait par la délégation, que, ce traitement n'a pas été soumis à autorisation préalable de l'organe de protection.

Les réseaux sociaux ne demandent pas d'autorisation pour le traitement des données sensibles. Et c'est la même situation qui prévaut en Côte d'Ivoire relativement aux données sensibles collectées par les responsables de traitement.Alors que selon la loi ivoirienne portant protection des données à caractère personnel, le traitement de données sensiblesest soumis à autorisation de l'ARTCI^22(*).

En effet, conformément à l'article 7 de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel : « le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines est soumis à autorisation préalable de l'Autorité de protection avant toute mise en oeuvre ».Ces faits constituent un manquement à l'obligation d'accomplir les formalités préalables à la mise en oeuvre d'un traitement de données médicales. Pour le législateur béninois, il ne s'agit pas juste de donner une autorisation pour le traitement de ce type de données. L'autorisation doit être suivie d'un contrôle préalable exercé par la commission chargée de la protection des données personnelles en raison des risques particuliers pour les droits et libertés^23(*).

Paragraphe 2 : L'absence d'information des personnes et le défaut de détermination de la finalité des traitements

Selon la loi ivoirienne précitée, le responsable du traitement a une obligation d'information à l'égard des personnes concernées. Aussi, le responsable du traitement doit-il justifier d'une finalité du traitement, remplissant des conditions légalement prescrites. Cependant,cette exigence n'est pas respectée(B), tout comme ledevoir d'information(A).

A-Le non-respect de l'obligation d'information de la personne concernée par les données à caractère personnel

Toute personne doit être informée que les données la concernant vont faire l'objet d'un traitement informatisé ou nonde données et que ce traitement ne peut avoir lieu, en principe, qu'avec son consentement.Ce droit réservé aux personnes concernées, qui se révèle être un devoir pour le responsable du traitement est prévu par l'article 28 de la loi ivoirienne portant protection des données à caractère personnel.En effet, la collecte de données personnelles est régie par un principe de transparence qui implique une information obligatoire et claire de la part du responsable du traitement portant sur les données à caractère personnel^24(*). Ainsi, elle permet à la personne concernée de prendre une décision éclairée. Le législateur ivoirien a pris la peine de définir le contenu des informations. Aux termes de l'article 28 : « Le responsable du traitement est tenu de fournir à la personne dont les données font l'objet d'un traitement, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :

- Son identité et, le cas échéant, celle de son représentant dûmentmandaté ;

- La ou les finalité(s) déterminée(s) du traitement auquel les données sont destinées ;

- Les catégories de données concernées ;

- Le ou les destinataire(s) auxquels les données sont susceptibles d'être communiquées ;

- La possibilité de refuser de figurer sur le fichier en cause ;

- L'existence d'un droit d'accès aux données concernant la personne et d'un droit de rectification de ces données ;

- La durée de conservation des données ;

- L'éventualité de tout transfert de données à destination de pays tiers».

Les informations requises par la loi sont quasi-inexistantes sur certains réseaux sociaux. Cette situation est constatable sur le réseau social yookos où les conditions générales d'utilisation auxquelles l'on se réfère pour d'éventuelles informations sont inexistantes^25(*).Le consentement des adhérents aux réseaux sociaux dépend de la délivrance d'une information adéquate sur l'usage qui sera fait des données personnelles. Si donc il y a manquement au devoir d'information, que penser du consentement qui est donné ?

Le législateur ivoirien ne précise pas à quel endroit doivent figurer les informations.Le législateur français exige, quant à lui, que les informations requises figurent sur le formulaire d'inscriptionau réseau^26(*). Cette exigence permet de prime à bord, de faciliterl'accès à l'information. Ensuite, la prise de connaissance des informations avant toute inscription, permettrait de prendre une décision éclairée. Enfin, cette exigence permet une meilleure protection des données personnelles. Certains responsables de traitement désirant accueillir plus de membres, peuvent être tentés de dissimuler ces informations. Pour éviter cette situation et pour mieux veiller au respect de cette obligation, il est judicieux de définir les modalités de délivrance de l'information. L'absence d'information des personnes concernées vaut manquement à l'obligation d'information.

Cependant, qu'en est-il des informations incomplètes ? Les réseaux sociaux tel que Facebook ne donne pas d'informations sur le responsable du traitement ; le ou les destinataire(s) auxquels les données sont susceptibles d'être communiquées ; la durée de conservation des données^27(*). Cette situation laisse perplexe, car peut-on alors considérer que le devoir d'information a été rempli ? Une mauvaise exécution vaut t-elle exécution ? Il convient de répondre par la négative, car toutes les informations mentionnées à l'article 28 semblent être cumulatives. Dans les deux situations sus-évoquées, il y a donc manquement à l'obligation d'information.

B-Le défaut de détermination d'une finalité

Selon la CNIL, le principe de finalité est«un principe cardinal de toutes les législations de protection des données. C'est au regard de la finalité du fichier que s'apprécient lecaractère adéquat, pertinent et non excessif des données collectées, la durée pendantlaquelle les informations peuvent être conservées ou encore les destinataires desinformations. C'est la finalité déclarée d'un fichier qui permettra d'empêcher que lesinformations nominatives qu'il comporte puissent être utilisées à des fins étrangères àcelles qui avaient justifié leur collecte »^28(*). C'est pourquoi il est nécessaire qu'un traitement de données ait une finalité c'est à dire un objectif^29(*).

C'est ce qui se dégage de l'article 16 de la loi ivoirienne précitée qui dispose : « les données doivent être collectées pour des finalités déterminées, explicites et légitimes ...».A l'analyse de cette disposition, on peut déduire qu'il est impossible de procéder à un traitement de données à caractère personnel sans déterminer de finalité. Ainsi, le législateur ivoirien l'a inséré comme une mention dans les procédures de demande d'avis, de déclaration et de demande d'autorisation à l'article 9 de la loi susvisée. Selon cette disposition, « La demande d'avis, la déclaration et la demande d'autorisation sont adressées à l'Autorité de protection et contiennent au minimum les mentions suivantes :la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ; ... ».La finalité d'un traitement doit être déterminée c'est-à-dire précise. Toutefois,certains réseaux sociaux greffent des finalités accessoires à la finalité déclarée de telle sorte que la finalité du traitement des données collectées manque de précision. De plus la formulation de la finalité n'est pas assez claire.En effet, le réseau social Facebook prétend collecter les données personnelles pour fournir ses services et maintenir sa qualité^30(*).

- Qu'entend-on par fourniture de service ?

- Quelles sont ces services à fournir ?

La formulation de cette finalité pose des problèmes de compréhension. En outre, après certaines investigations de la CNIL, il a été constaté que ce réseau social procède à la combinaison de données à des fins publicitaires.Pour ce réseau social, cette combinaison a pour but d'améliorer son système publicitaire. Ce qui ne constitue pas l'objet principal du contrat auquel souscrit l'internaute lorsqu'il s'inscrit sur le site.

Par ailleurs, la CNIL a été informée de la mise en place d'un traitement de lutte contre la fraude par le réseau Facebook^31(*).Les finalités de ce réseau social sont donc indéterminées, ce qui constitue un manquement à la loi relative à la protection des données personnelles. Il faut donc que l'ARTCI veille à ce que les responsables de traitement établissent des finalités déterminées et que le traitement des données collectées s'inscrive dans la finalité déclarée.

Sur ce point, le groupe de l'article 29« G29 » y veille. Elle a interpelé le réseau social Whatsappsur la modification de sa politique d'utilisation. En effet, le groupe de travail de l'Article 29 « G29 », réunissant les autorités de protection des données personnelles des Etats membres de l'Union Européenne, a adressé le 27 octobre 2016, une lettre à l'entreprise WhatsAppconcernant les changements relatifs aux conditions d'utilisation et à la politique de confidentialité annoncés en août 2016. Le G29 exprime sa vive préoccupation à propos du partage d'information réalisée au sein de la « famille d'entreprises Facebook » pour des finalités qui n'étaient pas inclues dans les conditions d'utilisation et la politique de confidentialité au moment où les actuels utilisateurs ont souscrit au service WhatsApp^32(*).Bien qu'il existe un danger en cas de non-détermination de la finalité, le législateur ivoirien ne prévoitpas de sanctions. Cette abstention s'avère dangereuse pour la protection des données à caractère personnel, puisque, les responsables de traitement peuvent saisir l'occasion pour procéder à des traitements illicites.

Section 2 : Une collecte abusive des données à caractère personnel des membres et des non membres des réseaux sociaux

Pour l'adhésion à un réseau social, certaines données à caractère personnel sont exigées. Outre ces données fournies, d'autresdonnéespersonnelles sont collectéespar les réseauxsociaux mais de manière illicite alors que conformément à la loi ivoirienne relative à la protection des données à caractère personnel, la collecte des données doit se faire selon des procédés licites et des règles de transparence.Entraver ces règlesrend la collecte non seulement illicite mais aussi abusive(paragraphe1).Cette collecte abusive des données de leurs membres, s'étend aux non-membres (Paragraphe2).Cequi est inconcevable.

Paragraphe 1 : Une collecte abusive des données à caractère personnel des membres des réseaux sociaux

Les réseaux sociaux, dans le cadre de leurs activités, sont amenés à collecter certaines données personnelles. Toutefois, par leur intrusion dans la vie privée de leurs membres, ils arriventà en collecter d'autres. Ce surplus d'informations qui n'est pas nécessaire à la réalisation des objectifs fixés et qui dénote d'une certaine immixtion dans la vie privée de ces derniers apparaît comme une collecte excessive de leursdonnées(A).Cette collecte touche même des donnéessensibles(B).

A-Une collecte excessive des données à caractère personnel des membres des réseaux sociaux

Les réseauxsociaux tracent la navigation de leurs membres pour en récolter d'autres données (telles que les habitudes alimentaires, les sites fréquentées, etc.) en plus des données fournies lors de leurs souscriptions^33(*).Cette pratique des réseaux sociaux est condamnable.

A s'en tenir aux termes de l'article 16 alinéa 2,« les données collectées doivent êtreadéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitéesultérieurement ». Ainsi les données collectées par les réseaux sociaux, mis en rapport avec la ou les finalité(s) poursuivie(s) ne doivent pas être excessives. Dans le cadre deses missions de contrôle, la CNIL^34(*) a constaté que le réseau social Facebookpeut être amené à demander aux internautes qui se sont inscrits sur le site de fournir des justificatifs d'identité, tel qu'un dossier médical^35(*). Une telle collecte semble être excessive au regard de la finalité poursuivie par ce réseau social. Un dossier médical contient plusieurs informations telles que le numéro de sécurité social, le numéro de compte.

En outre, ce réseau collecte les contacts téléphoniques des membres par la mise en place de système de synchronisation. En effet, ce réseau demande à collecter les contacts personnels pour aider des membres à retrouver des amis^36(*). Par cette collecte, ce réseau arrive à collecter les noms, prénoms et contacts d'amis, de collègues et de proches. Par ailleurs, la consultation de leur politique d'utilisation révèle que ce réseau collecte aussi :

- Les données d'emplacement de l'appareil, notamment les données d'emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi.

- Des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d'accès à internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP^37(*).

Ces informations collectées ne sont pas toutesnécessaires à l'accomplissement de la finalité. Cette situation constitue donc un manquement à l'obligation de collecter des données non-excessives au regard de la finalité. Cette situation s'analyse plutôt comme un contrôle dela vie des membres des réseaux sociaux.

B-Une collecte illicite de données sensibles des membres des réseaux sociaux

Conformément à l'article 21, « est interdit et puni d'une peine d'emprisonnement de dix à vingt ans et d'une amende de 20.000.000 à 40.000.000 de francs CFA, le fait de procéder à la collecte et à tout traitement de données qui révèlent l'origine raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l'état de santé de la personne concernée ».

Toutefois, les réseaux sociaux, malgré les dispositions formelles de l'article précité continuent à collecter des donnéessensibles (opinions politiques, philosophiques ou religieuses, dossier médical, sexualité^38(*)) de leursmembres. Cette situation a été constatée lors du contrôle effectué par la CNIL sur la conformité du réseau Facebook à la loi informatique et libertés^39(*). Comme susmentionné, plusieurs ivoiriens sont membres de ce réseau social. Eu égard à l'importance que revêtent les données sensibles pour les personnes concernées, l'organe de protection doit veiller rigoureusement au respect des règles relatives à la collecte desdonnéespersonnelles. C'est en cela que l'ARTCI devrait prendre l'exemple sur la CNILqui ne ménage aucun effort pour veiller à la protection effective des données à caractère personnel des citoyens français.

En effet, après avoir constaté les violations des règles de protection des données personnelles par les sociétés FACEBOOK INC. et FACEBOOK IRELAND, une mise en demeure leur a été notifiée par la décision n° 2016-007 du 26 janvier 2016. La CNIL a précisé que cette mise en demeure n'avait aucune conséquence juridique. Cependant, si ces sociétés ne se conformentpas à la présente mise en demeure, un rapporteur pourra être désigné. Ce dernier pourra demander à la formation restreinte de la Commission de prononcer l'une des sanctions prévues par l'article 45 de la loi du 6 janvier 1978 modifiée. Ces actions de la CNIL en faveur de la protection des données personnelles confèrent une certaine garantie aux internautes.

Paragraphe 2 : Une collecte étendue aux non-membres des réseaux sociaux

Les profils des membres de Facebook sont alimentés par des statuts, des photos personnelles ou des photos des membres de leurs familles ou de leurs ami(e)s.Ainsi, les réseaux sociaux par le biais de leurs membres collectent des données personnelles de personnes étrangères à leur réseau (A). La collecte des données des non-membres ne se limite pas seulement aux données fournies par les membres des réseaux sociaux. Il peut arriver que ces réseaux collectent des données de simples visiteurs (B).

A-Une mise à disposition des données des non-membres par des utilisateurs

Le profil ouvert auprès d'un réseau social est une véritable mine de renseignements nourrie par les multiples traces laissées sur la toile par des années de navigation. On observera encore que la divulgation d'informations ou de photos peut être le fait d'un tiers, par exemple l'un de ses amis. Il n'est pas non plus rare que la victime de ces indiscrétions soit étrangère au réseau où elles sont publiées^40(*).Cette publication de données d'amis, des membres de sa famille ou de proches est faite très souvent sans l'accord des personnes concernées. Ce qui les prive de toute possibilité de réaction puisqu'elles ignorent toute divulgation et cela a souvent un impact sur la vie de ces dernières. Cette situation est une violation des droits de protection des données des personnes concernées.

Les réseaux sociaux sont responsables des traitements de données y compris celles relatives à des non-membres. Dès lors, leur responsabilité sera celle de tout responsable de traitement. Toutefois, il serait difficile d'engager leur responsabilité. Aux termes de l'article 14 de la loi ivoirienne susmentionnée : « le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement. Toutefois, il peut être dérogé à cette exigence du consentement préalable à la collecte, lorsque le responsable du traitement est dûment autorisé et que le traitement est nécessaire :

- Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

- A l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;

- A l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à sa demande ;

- A la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée ;... ».

Il est nécessaire de signaler que la collecte effectuée par ces réseaux sociaux ne fait pas partir des cas d'exemption prévus par l'article 14. L'article 15 vient appuyer cette disposition en prévoyant que :« la collecte, l'enregistrement, le traitement, le stockage, la transmission et l'interconnexion de fichiers des données à caractère personnel doivent se faire de manière licite et loyale ».Si donc ce qui est légitime est ce qui répond aux conditions, aux qualités requises par la loi et que la loi requiert l'expression du consentement de la personne concernée pour la légitimation du traitement, alors, en l'absence de consentement de la personne concernée, un tel traitement doit être considéré comme illégitime voire illicite.Cependant, cette solution est-elle adaptable aux réseaux sociaux ?

En effet, ces réseaux sociaux n'ont pas toujours connaissance du contenu des profils des membres. Aussidans les conditions générales d'utilisation du réseau social Facebook, au chapitre consacré aux droits d'autrui, il est interdit de publier des informations qui peuvent enfreindre aux droits d'autrui ou autrement enfreindre à la loi^41(*).

- En prévoyant de telles dispositions, leur responsabilité peut-elle êtredégagée ?

- A quel régime de responsabilité sont-ils soumis ?

A la question du régime de responsabilité des réseaux sociaux, la jurisprudence française apporte une solution satisfaisante. Elle considère les réseaux sociaux comme de simples hébergeurs^42(*), ce qui signifie qu'ils bénéficient d'un régime de responsabilité allégé^43(*).

Cette solution transparaît dans la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Aux termes des articles 6.I.2 et 6.I.3^44(*)de ladite loi, « les hébergeurs nepeuvent pas voir leur responsabilité civile et pénale engagée  du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible ».

L'article 46 de la loi ivoirienne relative à la lutte contre la cybercriminalité^45(*) reprend les termes de la loi française.En outre, selon les termes de l'article 6.I.7 de la loipour la confiance dans l'économie numérique, les hébergeurs ne sont pas soumis « à une obligation générale de surveiller les informations qu'elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».A titre d'exemple, le tribunal d'instance de Puteaux dans son jugement du 28 septembre 1999^46(*) suit cette position au sujet d'une affaire de diffamation sur des pages personnelles. La juge a réfuté toute assimilation du fournisseur d'hébergement à un directeur de publication, considérant qu'il « n'intervient en aucune façon sur l'émission des données » et qu'il n'est pas en mesure d'en « déterminer le thème ni le sujet », qu'il ne peut « ni sélectionner, ni modifier les informations avant leur accessibilité sur internet » et que dans ces conditions il ne dispose d'aucune maîtrise sur le contenu des informations avant que celles-ci ne soient disponibles sur l'internet.

De ce qui précède, l'hébergeur qui, par définition et a priori, ne connaît pas le contenu qu'il héberge, n'a pas à procéder spontanément à des contrôles et n'est pas responsable du caractère éventuellement illégal des contenus. Tout comme la poste n'est pas responsable si une lettre contient des injures ou de la diffamation. En revanche, lorsque le caractère illégal du contenu lui est signalé, il a la responsabilité d'agir rapidement pour rendre celui-ci inaccessible. Cette position de la jurisprudence française semble plus adaptée au cas d'espèce car elle paraît opportune.

B-Une collecte de leurs données à leur insu

Si le risque d'une collecte de données à l'insu des personnes concernées est bien réel dans des hypothèses de recours à un tiers détenteur de ces données, la technologie permet aujourd'hui de collecter des informations sur les personnes sans nécessairement passer par des tiers. Des dispositifs technologiques^47(*) telle que la RFID rendent possible une telle collecte de données, fonctionnant sur la base de la lecture ou de l'identificationd'objets détenus par les personnes^48(*). Ainsi, les réseaux sociaux collectent les données à caractère personnel de simples visiteurs. Aussi, la navigation de l'internaute peut également être espionnée à son insu. S'appuyant sur le réseau social Facebook^49(*), il faut relever la collecte d'informations sur tous les internautes qui visitent des pages comportant son bouton « j'aime », même si ceux-ci ne sont pas membres de Facebook.Le réseau social recueille ainsi les adresses IP (Une adresse IP est un numéro unique permettant à un ordinateur de communiquer dans un réseau)^50(*) ; de tous les visiteurs de ces pages et tous les éléments de leur navigation sur le site, cela bien entendu sans leur consentement.

En outre pourd'autresréseaux sociaux, dès l'instant où un internaute visite leur site, des logiciels espions sont disposés pour collecter des informations sur ce dernier^51(*) nonobstant le fait que « toute collecte de donnéesdoit se faire avec le consentement de la personne concernée sauf cas d'exemption»^52(*).

Ainsi à la lecture de l'article 14 de la loi ivoirienne relative à la protection des données à caractère personnel, ce traitement effectué par les réseaux sociaux est illégitime. Donc mis en oeuvre en violation des droits des personnes concernées. Par ailleurs, le réseau social Facebook invite ces membres à ajouter des contacts de leurs amis. Cet ajout d'amis qui ne sont pas inscrits sur ce réseau social permettra de les contacter lorsqu'ils auront un compte^53(*). Il faut signifier que cette collecte est faite à leur insu. Cette situation présente un danger pour la protection des données à caractère personnel car la collecte et la finalité du traitement sont méconnues par les personnes concernées.

CHAPITRE2 : INOBSERVATION DES OBLIGATIONS SUBSEQUENTES A LA COLLECTE DE DONNEES ACARACTERE PERSONNEL

Le responsable du traitement doit traiter les données collectées selon la finalité déclarée. Ainsi, il ne peut traiter les données collectées contrairement à cette finalité. Aussi, il ne peut conserver les données collectées au-delà de la réalisation de cette finalité. Par ailleurs, il a le devoir de mettre tous les moyens en oeuvre pour sécuriser les données collectées. Toutefois, ces obligations ne sont pas respectées par les responsables de traitement (Section 1).Outre le non-respect des obligations susmentionnées, il faut noter que les droits reconnus aux personnesconcernées sontméconnus par les responsables de traitement (Section 2).

Section 1 : Le non-respect des obligations tenant à la finalité et à la sécurité des données

Conformément à la loi ivoirienne portant protection des données à caractère personnel, le responsable du traitement doit mettre en place un niveau de sécurité suffisant. En d'autres termes, le responsable du traitement doit mettre en oeuvre tous les moyens pour garantir la sécurité des données collectées. Toutefois, les réseaux sociaux font peser cette obligation sur leurs membres. Par ailleurs ces réseaux sociaux procèdent à des transferts de données qui présentent certains risques. Le niveau de sécurité se trouve alors affaibli(Paragraphe 1).

Il incombe en outre aux réseaux sociaux de traiter les données collectées selon la finalité déclarée. La commercialisation et la conservation de ces données au-delà de la réalisation de cette finalité constituentune violation des règles relatives à la protection des données personnelles (Paragraphe2).

Paragraphe 1 : Un défaut de sécurité des données collectées

La sécurité des données collectées par les réseaux sociaux repose en partie sur leurs membres (A).En effet, la protection de leurs données est laissée à leur charge par la mise à leur disposition de paramètres de confidentialité plus ou moins sécurisés.

En outre, les données collectées font l'objet de transfert dans des pays qui présentent des risques de sécurité (B).

A-Une obligation de sécurité pesant en partie sur les utilisateurs

Les utilisateurs des réseaux sociaux ne sont pas souvent au courant de la facilité d'accès à leurs données personnelles et n'utilisent pas de façon suffisamment protectrice les paramètres de confidentialité mis à leur disposition. L'augmentation des risques de sécurité due à la prolifération des services de partage d'informations sur internet, l'augmentation de partage de l'information disponible et la rapidité de développement des technologies de l'information et de la communication, fait de la protection des données et de la confidentialité de celles-ci une problématique majeure. La prise de conscience des utilisateurs est ainsi primordiale. Même si la confidentialité absolue ne peut être atteinte sur les réseauxsociaux, il reste cependant important d'avoir recours aux paramètres de confidentialité des réseaux sociaux afin de contrôler la diffusion souhaitée des informations.

Cependant, l'abondance des systèmes de contrôle et les diverses façons dont ceux-ci sont appliqués peuvent rendre difficile la définition des paramètres de confidentialité de façon effective. Par exemple sur Facebook, on dénombre 38 paramètres de confidentialité différents, plus ceux concernant chacune des applications tierces utilisées via le réseau social. Cela prend donc du temps pour l'utilisateur de comprendre les nuances entre chacun de ces paramètres et de les utiliser de la façon la mieux adaptée. De plus, si l'utilisateur ne vient pas modifier lui-même ces options, il ne bénéficie que des paramètres par défaut, ne lui conférant qu'une protection réduite, et les informations qu'il a fournies sont, pourla majorité, accessibles à tout le monde^54(*).

Conformément à la loi ivoirienne relative à la protection des données à caractère personnel, le responsable du traitement doit prendre certaines dispositions pour garantir la sécurité du traitement^55(*). Ce n'est donc pas à l'internaute de chercher parmi tous les paramètres mis à sa disposition, ceux qui sont plus protecteurs. Toutefois, en attendant que les réseaux sociaux remplissent leurs obligations, il est recommandéà chaque utilisateur de mettre en place un système d'approbation lors d'un « tag » sur une photo (l'identification des personnes qui se trouve sur une photo). Il faut également définir de façon précise qui a accès au contenu et trouver un équilibre convenable entre être le plus restrictif possible et pouvoir utiliser le réseau social^56(*).

B-Un transfert de données à risque

Aux termes de l'article 7 de la loi ivoirienne portant protection des données à caractère personnel : « sont soumis à autorisation préalable de l'Autorité de protection avant toute mise en oeuvre : le transfert de données à caractère personnel envisagé à destination d'un pays tiers».Toutefois, les réseaux sociaux estiment, au vu de leurs conditions générales d'utilisation, que, dès lors qu'un utilisateur a accepté les conditions d'utilisation, il consent au transfert de ces données^57(*). Ce qui revêt un caractère abusif et s'apparente à une violation des règles de protection des données à caractère personnel des utilisateurs. En effet, la loi ne prévoit pas la possibilité d'un transfert de données personnelles sur l'accord des parties.

L'article 26 de la loi ivoirienne précitée vientappuyer les dispositions de l'article 7 en ces termes :« le responsable d'un traitement ne peut être autorisé à transférer des données à caractère personnel vers un pays tiers que si cet état assure un niveau de protection supérieur ou équivalent de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet. Avant tout transfert effectif des données à caractère personnel vers ce pays tiers, le responsable du traitement doit préalablement obtenir l'autorisation de l'Autoritédeprotection. Le transfert de données à caractère personnel vers les pays tiers fait l'objet d'un contrôle régulier de l'Autorité de protection au regard de leur finalité ».A la lecture de ces articles, on constate que le législateur ivoirien met l'accent sur l'autorisation préalable avant tout transfert. Ainsi, lorsque les transferts sont faits sans l'autorisation de l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire (ARTCI), il est quasi-impossible de vérifier le niveau de sécurité que ce pays assure aux données transférées.En d'autres termes elle doit pouvoir vérifier si le pays vers lequel les données sont transférées assure un niveau de protection supérieur ou équivalent de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet, avant tout transfert. Ces transferts effectués sans autorisation de l'organe de protection, sont donc des transferts à haut risque pour la sécurité des données personnelles. Cette question a été résolue en Europe depuis l'affaire MaximillianSchrems contre Data ProtectionCommissioner^58(*).

Des faits de l'arrêt il ressort que « Monsieur MaximillianSchrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l'Union, les données fournies par MaximillianSchrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l'objet d'un traitement. MonsieurSchrems a déposé une plainte auprès de l'autorité irlandaise de contrôle, considérant qu'au vu des révélations faites en 2013 par MonsieurEdward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n'offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays».De ce fait, une liste de pays présentant une sécurité suffisante en matière de protection de données a été établie^59(*). Cependant, selon l'arrêt susmentionné, l'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la charte des droits fondamentaux de l'Union européenne et de la directive. La Cour souligne, à cet égard, le droit à la protection des données à caractère personnel garanti par la Charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même Charte.

La Cour considère tout d'abord qu'aucune disposition de la directive n'empêche les autorités nationales de contrôler les transferts de données personnelles vers des pays tiers ayant fait l'objet d'une décision de la Commission. Ainsi, même en présence d'une décision de la Commission, les autorités nationales de contrôle, saisies d'une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d'une personne vers un pays tiers respecte les exigences posées par la directive.

Paragraphe 2 : Un traitement détourné de sa finalité

Selon la loi ivoirienne relative à la protection des données à caractère personnel, les données collectées doivent permettre la réalisation de la finalité déclarée par le responsable du traitement. Ainsi, les données collectées ne peuvent être conservées pendant une durée qui excède le temps nécessaire à la réalisation de la finalité. Nonobstant cette disposition, les données collectées auprès des utilisateurs des réseaux sociaux sont conservées pendant une durée indéterminée. Ces données sont conservées au-delà de la réalisation de la finalité pour laquelle elles ont été collectées(A).

En outre, les données ainsi conservées sont commercialisées(B) car elles sont devenus une véritable richesse et une source de revenus.

A- La conservation des données au-delà de la réalisation de la finalité

Il existe une possibilité de collecter les données à caractère personnel mais selon des procédures déterminées par la loi et par des moyens licites^60(*). Pour le traitement de données personnelles, la loi requiert une finalité déterminée, légitime, explicite^61(*).

Ainsi pour la réalisation de la finalité, la loi permet la conservation des données collectées. Cependant, cette conservation ne doit pas excéder le temps nécessaire à la réalisation de la finalité déclarée. C'est ce qui ressort de l'article 16 alinéa 3 de la loi ivoirienne relative à la protection des données personnelles. Les données « doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ».

L'interdiction faite aux responsables du traitement de conserver les données collectées au-delà de la réalisation de la finalité est appuyée, par l'article 43, en ces termes : « les données à caractère personnel sont conservées pendant une durée fixée par l'Autorité de protection des données en fonction des finalités de chaque type de traitement pour lesquelles elles ont été recueillies, conformément aux textes en vigueur ».

La loi informatique et libertés semble épouser cet ordre d'idées puisqu'elle va dans le même sens que la loi ivoirienne.En effet, l'article 6-5° de la loi informatique et libertés du 6 janvier 1978 modifiée, prévoit que : «les données collectées sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire auxfinalités pour lesquelles elles sont collectées et traitées ». Toutefois, la CNIL a constaté que la société propose aux inscrits une fonctionnalité « télécharger l'archive », qui permet de recevoir une copie des données que vous avez publiées sur Facebook. La délégation a notamment constaté que, dans l'onglet « sécurité » de cette archive, figure la liste des différentes adresses IP utilisées par les inscrits pour se connecter à leurs comptes, et ce depuis le 9 avril 2015, date d'ouverture d'un compte sur le site Facebook.compar la CNIL. Ces données sont conservées en vue de lutter contre l'usurpation de compte. Or, si la nécessité de lutter contre les usurpations de compte peut justifier de conserver ces données, il n'apparaît pas proportionné de les conserver pendant une durée supérieure à 6 mois. Pour la CNIL, ces faits sont de nature à constituer un manquement à l'obligation de ne pas conserver les données collectées au-delà de la réalisation de la finalité^62(*).

Ces dispositions sont tout à fait compréhensibles car la finalité est le but même de la collecte, si donc le but est réalisé, à quoi servirait toute conservation de données ? Les données collectées doivent donc être suivies de façonméticuleuse.Sur ce point, le législateur burkinabé, contrairement au législateur ivoirien, a assorti la conservation des données, au-delà de la réalisation de la finalité, d'une peine d'emprisonnement^63(*). Cette solution présente un souci de protection des données collectées et une volonté de dissuasion des responsables de traitement ayant la volonté manifeste de s'adonner à de telle pratique. Le législateur ivoirien devrait emboîter le pas au législateur burkinabé dans le souci d'une protection efficace.

B- La commercialisation des données

Le principe même des réseaux sociaux est de donner des informations personnelles sur sa vie : ses loisirs, ses centres d'intérêts, ses goûts musicaux ou cinématographiques,ainsi que sa ville, sa date de naissance, allant jusqu'à ses opinions politiques ou religieuses ou encore ses préférences sexuelles.

L'essence même des réseaux sociaux est de rendre publique une vie considérée originellement comme privée. Il s'agit en quelque sorte d'un journal intime qui permet de raconter sa vie à ses amis ou contacts. Si les personnes ont plus ou moins conscience des conséquences de cette publicité, il n'en demeure pas moins que le phénomène de publicité de la vie privée se développe de plus en plus. Si l'on regarde les chiffres de vente des magazines « people », on note l'intérêt majeur que portent les lecteurs à la vie privée des célébrités. Il n'est pas étonnant que ces mêmes personnes portent un intérêt à la vie de leurs amis.

Chaque utilisateur choisit, lors de son inscription quelles informations il souhaite donner et qui aura accès à ses informations. En effet, à chaque inscription, l'hébergeur demande un certainnombres d'informations personnelles. S'ajoutent aux données livrées volontairement un certain nombre de données « connexes », livrées lors de la navigation sur Internet, a fortiori sur les réseaux sociaux, telles que les données de connexion et adresses.En outre, de nombreuses informations peuvent être livrées par des tiers notamment les amis et contacts. Cela se traduit essentiellement par la mise en ligne sur le réseau de photos et vidéos « taggées » c'est-à-dire que les personnes figurant sur la photo sont nommées.

La réunion de toutes ces données permet aux réseaux sociaux de tout connaître de leurs utilisateurs : leurs goûts, leurs loisirs. « L'agrégation de données en provenance de diverses bases de données permettra de déduire avec un taux de 89% de certitude que la composition de tel panier d'achat par un consommateur se présentant dans une grande surface à telle heure de la journée induit le fait que cette personne est vraisemblablement célibataire, amateur de voyages lointains et fraudeur potentiel^64(*) ». Les annonceurs, pour obtenir ce genre d'informations, devraient systématiquement demander le consentement exprès des consommateurs. Or peu de gens acceptent de donner dans une optique «marketing», ce genre d'informations. Les gens, à juste titre, refusent de donner ces informations à n'importe qui ; surtout aux annonceurs. Alors que les choses sont différentes pour les réseaux sociaux.

Les internautes donnent leurs informations parce qu'ils le décident, le veulent. Même s'ils ont une faible conscience de ce qu'ils donnent, ils le font volontiers.

En effet, plutôt que de lancer des campagnes publicitaires à grande échelle pour qu'un maximum de gens soit touché, il revient nettement moins cher de cibler la publicité. C'est-à-dire que sur chaque page d'un utilisateur d'un réseau social, la publicité correspondra tout-à-fait à ses goûts et la publicité est alors plus susceptible de l'intéresser. Si le profilage a montré qu'un utilisateur était passionné de cinéma, les fabricants de télévisions souhaiteront diffuser une publicité sur sa page plutôt que de diffuser une publicité sur la page d'un autre utilisateur qui affirme ne pas regarder la télévision. L'annonceur est gagnant à tous points de vue : il économise de l'argent sur la campagne publicitaire et il récupère plus de clients du fait du ciblage.

Ces différentes données sont alors du pain béni pour les annonceurs. Le rachat de ces informations représente un enjeu important pour les publicitaires^65(*) , carl'information personnelle seprésente aujourd'hui, comme« un bien économique de première importance» ^66(*); « uneressource fondamentale au même titre que l'énergie»^67(*) et est donc intégrée dans unvéritable marché^68(*).

Selon une étude du Boston Consulting Group publiée en 2012, intitulée « La valeur de notre identité numérique», la valeur totale des données personnelles des citoyens européens représenterait 330 milliards d'euros par an pour les organisateurs publiques et privées (gains de productivité et conquête de nouveaux marchés).La libéralisation de l'usage de ces données amènerait égalementun gain potentiel de 670 milliards d'euros par an pour les consommateurs^69(*).

Certains juristes proposent que la loi évolue pour rendre l'individu pleinementpropriétaire de ses données. Il pourrait alors à sa guise les louer ou les vendre. Toutefois, une telle évolution serait contraire à l'esprit de la loi actuelle, qui fait de la protection de la vie privée et des données personnelles un droit intangible :on ne peut ni y renoncer ni le vendre. Elle necorrespond pas non plus à ce que l'on entend communément par le concept de propriété.

Onconsidèretraditionnellementque le droit de propriété se décline en trois éléments issus du droit romain : le fructus, l'usus et l'abusus. Le fructus est le droit de profiter des revenus et produits de sa propriété, l'usus est le droit d'utiliser celle-ci et l'abusus est le droit de la détruire ou de la vendre. On voit bien qu'il est difficile d'appliquer ces concepts à des données personnelles : si l'on comprend ce que pourrait être le droit de tirer un profit d'une donnée personnelle, on voit mal comment on pourrait transférer à autrui le droit de l'utiliser à sa place, voire la détruire. Pourrait-on ainsi vendre une donnée aussi éminemment personnelle que son identité ?

Section 2 : Une violation des droits reconnus aux usagers des réseaux sociaux

La collecte des données à caractère personnel par les responsables du traitement soumet ces derniers au respect d'obligations légales pour la sécurité des données collectées. En outre, la loi ivoirienne sus-citée confère aux responsables de traitement certains droits. Les personnes concernées ne sont pas en reste. Les droits à eux conférés sont fondés sur les articles 30 et 38 de la loi ivoirienne précitée. Mais force est de constater que les personnes concernées se heurtent à la difficulté d'une mise en oeuvre effective de leur droit d'accès et d'opposition(Paragraphe1).

Si les droits d'accès et d'opposition sont mis en mal, les personnes concernées qui ont partagé des informations ou dont les données ont été collectées et qui souhaiteraient les voir disparaitre en s'appuyant sur l'article 33 de la loi ivoirienne relative à la protection des données personnelles, sont confrontés à l'illusion que présente le droit de suppression (Paragraphe 2).

Paragraphe 1 : Un droit d'accès et d'opposition limité

Le droit d'opposition prévu par l'article 30 de la loi ivoirienne relative à la protection des données à caractère personnel, est envisageable lorsque la collecte est faite au vu et au su de la personne concernée. Cependant, lorsque la collecte est faite à l'insu de la personne concernée par le biais de procédés illicites, la mise en oeuvre de ce droit est difficile voire impossible (A). Si ces données sont collectées de manière illégale, il est évident que le droit d'accès sera limité qu'aux données fournies par la personne concernée(B)car le responsable n'a pas intérêt à lui fournir plus de données qu'il en a collectées.

A- La difficulté de mise en oeuvre du droit d'opposition

Le principal droit utile à l'internaute est celui de s'opposer au traitement de ses données. Une personne peut s'opposer à tout moment, pour des raisons légitimes, à un traitement de ses données sauf évidemment en cas d'un traitement prévu par la loi. En Côted'ivoire, c'est l'article 30 de la loi sur la protection des données personnelles qui prévoit ce droit fondamental.

Aux termes dudit article, « toute personne physique concernée a le droit :de s'opposer, pour des motifs légitimes tenant à sa situation particulière, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement, sauf en cas de dispositions légales prévoyant expressément le traitement ». Le droit d'opposition est donc un droit reconnu aux personnes concernées. C'est le droit qui permet à la personne concernée de s'opposer pour des motifs légitimes au traitement de ces données.

Mais qu'en est-il de ce droit lorsque le traitement des données est fait à l'insu de la personne concernée ? Ce droit devient quasi-impossible à mettre en oeuvre car on ne peut s'opposer qu'à ceux dont on a eu connaissance. Ainsi, les collectes illicites des données mettent à mal le droit reconnu à la personne concernée par le traitement des données.

Par ailleurs, lors du contrôle de la conformité du réseau social Facebook à la loi informatique et libertés, il a été constaté que la mise en oeuvre du droit d'opposition est limitée en cas de collecte et de combinaison de ces données à des fins publicitaires^70(*). En effet, pour les publicités basées sur les préférences des inscrits, « la société précise que nous voulons vous montrer des publicités que vous jugez intéressantes. C'est pourquoi nous avons créé les préférences publicitaires, un outil dans lequel vous pouvez voir, ajouter et supprimer les préférences que nous avons créées pour vous en fonction des informations de votre profil, de votre activité sur Facebook et des sites web et applications que vous utilisez en dehors de Facebook. Si vous supprimez toutes vos préférences, vous verrez toujours des publicités mais elles seront peut-être moins intéressantes pour vous ».

Si les inscrits peuvent effectivement supprimer les préférences identifiées par la société, cet outil ne leur permet pas de s'opposer à la collecte et à la combinaison de ces données à des fins publicitaires. En outre, pour les publicités affichées en fonction de la navigation des inscrits sur les sites web et applications : la société indique « qu'une des façons de vous présenter des publicités repose sur votre utilisation des sites web et applications qui utilisent les technologies Facebook. Par exemple, si vous consultez des sites de voyage, il se peut que vous voyiez ensuite des publicités pour des hôtels sur Facebook. Si vous désactivez les publicités en ligne basées sur les intérêts, vous verrez toujours le même nombre de publicités, mais elles seront peut-être moins pertinentes pour vous. Cet outil ne permet donc pas aux inscrits d'exercer leur droit d'opposition à la collecte et à la combinaison de leurs données à des fins publicitaires.

B- Un droit d'accès limité aux données fournies

Le contenu du droit d'accès est déterminé par l'article 38 de la loi ivoirienne précitée qui dispose que : « Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée...».Le droit d'accès est en résumé appréhendé comme le droit d'obtenir copie auprès du responsable du traitement des données faisant l'objet d'un traitement automatisé.

Il ne sera pas question de s'étendre ici sur la forme du fichier ou la procédure de mise en oeuvre de ce droit mais plutôt sur la possibilité d'accès aux données traitées à notre insu. Si le droit d'accès aux données fournies n'est qu'une formalité, ce n'est pas le cas pour les données illicitement traitées (collecte dépourvue de consentement). Le réseau social Facebook collecte des données telles que : les données d'emplacement de l'appareil, notamment les données d'emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi, des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d'accès à Internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP^71(*). Cependant, les informations mises à la disposition de ces membres ne reflètent pas les données collectées. Ces informations sont limitées aux seules informations fournies par l'internaute^72(*).

Paragraphe 2 : Un droit de suppression illusoire

Le droit de suppression est un droit reconnu aux personnes concernées. C'est un droit qui permet à la personne concernée de demander au responsable du traitement, la suppression de ses données lorsqu'elle estime que les données traitées lui portent préjudice ou lorsqu'elle veut rompre le contrat de collecte de données. Cette suppression peut être partielle (A) car les données sont supprimées au niveau de la page du membre mais accessibles sur d'autres pages.

Aussi, il faut noter le stockage des données pour un temps indéterminé en dépit du fait que la personne concernée a retiré son accord pour tout traitement (B).

A- Une suppression partielle des données

Qu'est-ce qu'il faut entendre par suppression partielle des données ? Puisqu'il s'agit de réseaux sociaux, nous allons nous baser sur cetexemple pour comprendre la suppression partielle des données à caractère personnel.

En effet, après la souscription à un réseau social, l'utilisateur possède des données qui ne sont visibles que par lui et conservées par le réseau. Il existe aussi des données qu'il publie sur sa page ou communique via les messages privés (in box).L'utilisateur qui estime qu'une donnée publiée lui est préjudiciable ou qu'il ne désire plus la voir sur le réseau social ou même qui décide de rompre son contrat avec le réseau, doit par conséquent voir ses données supprimées. Ce droit de suppression est fondé sur l'article 33 de la loi ivoirienne portant protection des données à caractère personnel^73(*). Cependant, Il lui est précisé que les données seront supprimées sur sa page mais pourront être visibles sur la page de ceux qui ont pu y avoir accès ou ceux avec qui il a partagé les informations (les amis ou connaissances).

Cette précision est faite dans les conditions et politique de confidentialité du réseau social Whatsapp. Il est signifié aux membres de ce réseau social qu'ils gardent à l'esprit que « la suppression de leur compte n'a aucune incidence sur les informations dont d'autres personnes disposent à votre sujet, comme les copies des messagesque vous leur avez envoyées ...»^74(*).Une telle suppression est donc partielle car les données sont toujours disponibles chez d'autres membres du réseau social. Ainsi, peut-on contraindre les réseaux sociaux à supprimer de telles données ?Si cela est possible ou faisable, qu'en sera-t-il des données stockées via les captures d'écran ?

En effet, les personnes avec qui l'on partage nos données peuvent par ce procédé, c'est-à-dire les captures d'écran, dans le cas d'une publication d'image ou d'une information, photographier la page qui s'affiche. En cela, il est très difficile de pouvoir supprimer toutes nos données lorsque des tiers ont la possibilité de les conserver. Par ailleurs, la suppression des données de la personne concernée sur tout le réseau social peut-elle être envisageable ? Pour parvenir à cette fin, il va falloir que le réseau social désireux de satisfaire la personne concernée, cherche sur toutes les pages et les correspondances de ses membres les données en question et procède à leur suppression.

B- Le stockage des données supprimées par les réseaux sociaux

Aux termes de l'article 33 de la loi ivoirienne portant protection des données à caractère personnel : « la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu'elle était enfant, ou pour l'un des motifs suivants : Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ; la personne concernée a retiré le consentement sur lequel est fondé le traitement ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données; la personne concernée s'oppose au traitement des données à caractère personnel la concernant lorsqu'il n'existe pas de motif légal audit traitement ; le traitement des données n'est pas conforme aux dispositions de la présente loi ; Pour tout autre motif légitime ».

Il ne s'agira pas de s'attarder sur la conservation des données collectées au-delà de la réalisation de la finalité sus-évoquée. Il seraplutôt question d'évoquer la question du stockage des données collectées en dépit du retrait du consentement de la personne concernée. C'est dire que pour le cas des réseaux sociaux qui font l'objet de notre étude, la personne concernée en rompant le contrat de souscription, retire son consentement pour le traitement de ses données. Toutefois, des réseaux sociaux tel queFacebook, prévoit dans sa politique d'utilisation des données qu'il « conserve les données aussi longtemps que nécessaire pour fournir leurs produits et services », notamment ceux décrits ci-dessus. Les informations associées à votre compte seront stockées jusqu'à ce que ce dernier soit supprimé, sauf si nous n'avons plus besoin de vos données pour fournir nos produits et services »^75(*).

A l'analyse des termes utilisés par ce réseau, on déduit que nonobstant le retrait du consentement de la personne concernée, ses données peuvent être stockées tant que ce réseau a besoin de ces données pour fournir ses produits et services. Ces données sont stockées de façon indéterminée.Ce qui constitue une violation du droit de suppression reconnu à l'internaute.

En effet, le stockage des données collectées est conditionné par l'une des hypothèses envisagées par l'article 33 susmentionné. Les données collectées ne peuvent donc pas être stockées contre le gré de la personne concernée. Peu importe le motif avancé, ce stockage est fait en violation des droits reconnus à ses membres.Au vu de toutes ces violations des règles de protection des données personnelles, des mesures doivent être prises pour trouver une solution efficace et plus adaptée aux problèmes que posent les réseaux sociaux. Si malgré la loi relative à la protection des données à caractère personnel et la mise sur pied d'organes de protection des données personnelles, les données des internautes ne sont pas suffisamment protégées, il faut dire que certaines raisons en sont à la base. Il est nécessaire de les évoquer et d'y réfléchir pour y trouver des solutions.

PARTIE 2

LES CAUSES ET LES SOLUTIONS A L'INEFFECTIVITE DE LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX

Dans le but de garantir la sécurité des données personnelles, la Côte d'Ivoire, depuis l'an 2013, s'est dotée d'une loi relative à la protection des données à caractère personnel. Pour mener à bien cette protection, un organe de protection des données personnelles a été désigné. En dehors de cet organe, la Côte d'Ivoire a ratifié l'acte additionnel de la CEDEAO relatif à la protection des données à caractère personnel^76(*).

Toutefois, certaines causes rendent l'application de la loi ivoirienne relative à la protection des données personnelles sur les réseaux sociaux ineffective (CHAPITRE 1).

De telles difficultés peuvent être résolues par la prise de réformes(CHAPITRE 2).

CHAPITRE 1 : LES CAUSES DE L'INEFFECTIVE APPLICATION DE LA LOI RELATIVE A LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX

Le préalable de toute protection efficace des données à caractère personnel est sa consécration à travers un texte juridique. Ce texte constitue le principal instrument juridique qui garantira aux citoyens, dans un Etat de droit, le droit à la protection de leurs données personnelles. Sur le fondement d'un texte de loi en la matière, les citoyens pourront invoquer devant les instances nationales compétentes, toutes violations de leurs droits.

Toutefois, l'adoption d'une loi relative à la protection des données à caractère personnel ne saurait suffire à garantir l'effectivité de la protection des données personnelles des citoyens. Elle doit s'accompagner de la mise en place d'un organe de contrôle de l'application effective de la loi. La Côte d'Ivoire, consciente de ce fait, même si elle a accusé du retard, a adoptéela loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. C'est cette loi qui fait de l'ARTCI l'autorité de protection des données à caractère personnel.

Malgré ces dispositions prises, le constat est que la protection des données à caractère personnel est ineffective sur les réseaux sociaux pour des causes d'ordre institutionnel (Section 1) et des difficultés inhérentes aux textes (Section 2).

Section 1 : Les causes d'ordre Institutionnel

L'octroi de compétences trop étenduesà l'ARTCI et le défaut d'indépendance de la direction chargée de la protection des données personnelles (Paragraphe1) peuvent enfreindre l'effectivité de la protection des données personnelles. Il faut dire aussi que la méconnaissance de l'organe de protection par les personnes protégées ne fait que conforter l'ineffectivité de la protection assurée.

Quant au comité consultatif susmentionné, la décision consacrant sa création, et les membres choisis pour la constitution de ce comité pourraient être des causes de l'inefficacité de sa mission et par conséquent contribuer à l'ineffectivité de la protection des données personnelles (Paragraphe 2).

Paragraphe1 : Un domaine de compétence étendu de l'ARTCI et le défaut d'indépendance de la direction chargée de la protection des données personnelles

L'ARTCI, à travers, la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, s'est vu attribuer plusieurs missions notamment celle de la protection des données à caractère personnel^77(*). Cette mission à elle confiée, requiert de l'attention et de l'efficacité. L'ARTCI est un organe chargé de réguler le secteur des télécommunications et de veiller à la mise en application des textes relatifs à la protection des données à caractère personnel. L'étendue de ses compétences pourrait être un frein à une protection effective des données personnelles(A).

Il faut dire qu'en réalité cette mission attribuée à l'ARTCI, a été confiée à une direction chargée de la protection des données à caractère personnel. Sil'indépendance de l'ARTCI, en matière de télécommunication est avérée, cellede cette direction chargée de la protection des données personnelles est discutable(B).

A-Un domaine de compétence étendu

L'autorité de régulation des télécommunications /TIC de Côte d'Ivoire (ARTCI) a été créée par l'ordonnance n°2012-293 du 21 mars 2012 à l'issue de la fusion du conseil des télécommunications de Côte d'Ivoire (CTCI) et de l'Agence des télécommunications de Côte d'Ivoire (ATCI). L'ARTCI est une autorité administrative indépendante dotée de la personnalité juridique et de l'autonomie financière. Conformément à l'Ordonnance relative aux télécommunications et aux technologies de l'information et de la communication, les membres du conseil de régulation de l'autorité de régulation des télécommunications /TIC de Côte d'Ivoire(ARTCI) ont été nommés par décret n°2013-333 du 22 Mai 2013^78(*).

A cet effet, compte tenu des missions quasi-juridictionnelles du Conseil de Régulation, une audience de prestation de serment a eu lieu au cours de l'année 2013 à la Cour d'Appel du Plateau. Il faut signifier que l'ARTCI est dotée d'un Conseil de Régulation, organe collégial, qui exerce l'exclusivité des missions de régulation dévolues à l'ARTCI. Ces missions de régulation sont exercées par le Conseil de Régulation de façon indépendante, impartiale et transparente. Pour ce qui est de ses missions principales, c'est l'Ordonnance n°2012-293 du 21mars 2012 susvisée qui les détermine. Ainsi elle a pour mission :

- De mettre en conformité les cahiers des charges des conventions de concession, des licences et autorisations avec les dispositions de la présente ordonnance ;

- D'évaluer les coûts de revient de référence des services ou groupes de services susceptibles d'être encadrés ;

- De contrôler la conformité aux exigences essentielles des équipements destinés à être connectés à un réseau ouvert au public et des équipements radioélectriques destinés à être installés ou déjà installés ou mis en exploitation ;

- De procéder, à cette fin, à des contrôles inopinés ou à des contrôles par sondage^79(*).

En plus de ces missions qui lui sont afférées, elle est aussi chargée de certifier les signatures électroniques en Côte d'Ivoire. La protection des données personnelles est un droit fondamental qui a besoin d'une protection effective voire efficace. Cette nécessité de protection se ressent par l'étendue de ses missions en matière de protection des données à caractère personnel. Conformément à l'article 47 de la loi ivoirienne portant protection des données à caractère personnel : « l'ARTCI s'assure que l'usage des Technologies de l'Information et de la Communication ne porte pas atteinte ou ne comporte pas de menace pour les libertés et pour la vie privée des utilisateurs situés sur l'ensemble du territoire national. A ce titre, elle est chargée :

- D'informer les personnes concernées et les responsables de traitement de leurs droits et obligations, de répondre à toute demande d'avis portant sur un traitement de données à caractère personnel ;

- D'établir un règlement intérieur qui précise, notamment, les règles relatives aux délibérations, à l'instruction et à la présentation des dossiers ;

- De recevoir les déclarations et d'octroyer les autorisations pour la mise en oeuvre de traitement des données à caractère personnel, ou de les retirer dans les cas prévus par la présente loi ;

- De recevoir les réclamations et les plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informer les auteurs de la suite accordée à celles-ci ;

- D'informer, sans délai, l'autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions ;

- De déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel ;

- De procéder, par le biais d'agents assermentés, à des vérifications portant sur tout traitement de données à caractère personnel ;

- De prononcer des sanctions administratives et pécuniaires à l'égard des responsables de traitement qui ne se conforment pas aux dispositions de la présente loi ;

- De mettre à jour et à la disposition du public pour consultation un répertoire des traitements de données à caractère personnel ;

- De conseiller les personnes et organismes qui font les traitements de données à caractère personnel ou qui procèdent à des essais ou expériences en la matière ;

- De donner son avis sur tout projet de texte juridique en rapport avec la protection des libertés et de la vie privée ;

- D'élaborer des règles de conduite relatives au traitement et à la protection des données à caractère personnel ;

- De participer aux activités de recherche scientifique, de formation et d'étude en rapport avec la protection des données à caractère personnel, et d'une manière générale, les libertés et la vie privée ;

- D'autoriser à certaines conditions fixées par décret pris en Conseil des Ministres les transferts transfrontaliers de données à caractère personnel ;

- De faire des propositions susceptibles de simplifier et d'améliorer le cadre législatif et règlementaire concernant le traitement des données à caractère personnel ;

- De mettre en place des mécanismes de coopération avec les autorités de protection des données à caractère personnel d'autres pays ;

- De participer aux négociations internationales en matière de protection des données à caractère personnel ;

- D'établir et de remettre un rapport annuel d'activités au Président de la République et au Président de l'Assemblée Nationale».

L'efficacité de l'ARTCI est à mettre en doute, en effet, les décisions rendues par l'ARTCI en matière de données à caractère personnel confortent cette affirmation puisque l'essentiel desesdécisions portent sur les demandes d'autorisations et les déclarations^80(*). Par ailleurs, L'ARTCI n'a pas encore produit de rapport annuel d'activité sur la protection des données comme la loi le prévoit^81(*).

En outre malgré les violations des données personnelles sus-évoquées, on n'a pas connaissance de mise en demeure ou de sanctions infligées à ces réseaux sociaux. De ce qui précède, on peut dire que l'ARTCI n'assure pas une protection efficace des données personnelles. Si la France, le Burkina Faso et bien d'autre Etats ont fait le choix de confier cette mission de protection des données personnelles à un organe spécifique, c'est bien en vue d'assurer une protection efficace des données collectées. A ce propos, l'organe de protection des données personnelles en France (la CNIL) réussi ce pari. Elle parvient à contraindre les géants du web 2.0 qu'on appelle communément réseauxsociaux à se conformer aux lois en vigueur et même, en cas de violation, à leur infliger des sanctions^82(*).

B- Le défaut d'indépendance de la direction chargée de la protection des données personnelles

L'organe de protection des données à caractère personnel a un rôle très important dans la sensibilisation, la prévention, la promotion et la protection des droits et libertés fondamentaux, notamment en matière de traitement de données personnelles. Il ne devrait pas s'agir d'un simple organe, mais plutôt d'une Autorité Administrative Indépendante, qui réponde aux critères de fonctionnement des institutions nationales indépendantes de protection et de promotion des droits humains. Comme critères, nous avons entre autres :

L'indépendance : l'Autorité de protection, pour le bon fonctionnement de ses activités, doit être autonome à tout point de vue, mais être soumise à un contrôle financier respectant son indépendance^83(*). Si l'ARTCI a bel et bien le statut d'Autorité Administrative Indépendante en matière de télécommunication, cette affirmation doit être nuancée s'agissant de la protection des données personnelles. En effet, la protection des données à caractère personnel est confiée à une direction. La question de l'indépendance de la direction en charge de la protection des données à caractère personnel est à analyser. Cette direction en charge de la protection des données personnelles emprunte son indépendance à l'ARTCI. Il n'est par conséquent,pas indépendant à tout point de vue. Cette direction étant sous la coupole de l'ARTCI, elle ne peut prendre de décisions ni mener des actions en faveur de la protection des données personnelles de sa propre initiative.Cette situation est une entrave à l'application effective de la loi. Elle ne pourra donc parvenir à une protection effective des données personnelles des citoyens.

Paragraphe 2 : La méconnaissance et le manque d'efficacité des organes chargés de la protection des données à caractère personnel

Pour la plupart des citoyens ivoiriens, l'ARTCI comme son nom l'indique, est connue comme une Autorité de Régulation des Télécommunications. Par contre sa qualité de juridiction et d'organe de protection des données à caractère personnel est méconnue. Ce fait est dû à un défaut d'information sur cet organe et ses missions en la matière(A).

A cela se joint la constitution et la base légale du Comité Consultatif pour la Protection des données à Caractère personnel (CCDCP). Ce comité ne remplissant pas les conditions d'un organe de protection apportant une sécurité suffisante en matière de protection des données personnelles, comment pourrait-il apporter une protection efficace aux données personnelles(B) ?

A-Le défaut d'information sur l'ARTCI et ses missions

Pour les adeptes de la chaîne de télévision nationale, rares sont ceux qui prétendront ne pas connaître la caisse nationale de prévoyance sociale (CNPS) à travers ses campagnes de sensibilisation sur cette chaîne de télévision. Par ces campagnes, même les plus jeunes ont une connaissance plus ou moins approfondie des missions de la CNPS et de son domaine. Il en est de même pour les campagnes de sensibilisation relatives au paiement d'impôts. Cette campagne est appuyée par des consultations en direct.

Si la CNPS par ce canal est bien connue, l'ARTCI par contre est méconnue de la population ivoirienne car nombreux sont ceux qui ignorent son existence. Pour les mieux informés, l'ARTCI est connue en tant qu'Autorité de Régulation des Télécommunications. Cette méconnaissance de l'ARTCI en tant qu'organe chargé de la protection des données à caractère personnel lui est imputable. L'ARTCI, que ce soit sur sa page officielle Facebook^84(*) ou sur son site internet ^85(*) s'affiche plus en tant qu'Autorité de Régulation des Télécommunications. Ce défaut d'information sur l'ARTCI et ses missions entrave la protection efficace des données personnelles puisque les utilisateurs des réseaux sociaux ne sont pas informés sur la possibilité d'un quelconque recours et de l'organe qui prendrait en charge leur requête.

Il faut ajouter que, bien que l'ARTCI ait organisé des campagnes de sensibilisation et des ateliers qui ne sont d'ailleurs pas suffisamment médiatisés, ces compétences en matière de protection des données personnelles restent étrangères à la plupart des citoyens. Comment donc une telle structure pourrait protéger efficacement les données des citoyens ? Cette méconnaissance de l'organe de protection des données personnelles prouve l'ineffectivité de la protection des données personnelles des citoyens.

B-Les doutes quant à l'effectivité du Comité Consultatif pour la Protection des Données à Caractère Personnel

C'est par la décision 2015-0060 du Conseil de Régulation de l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire, en date du 27 avril 2015, portant création et composition du Comité Consultatif pour la Protection des données à Caractère Personnel (CCDCP)^86(*) que ce comité a vu le jour. Il a pour but d'examiner les aspects techniques, juridiques et éthiques des traitements des données à caractère personnel. Ce comité est composé entreautres :

- Des membres du Conseil de Régulation de l'ARTCI ;

- Du Directeur Général de l'ARTCI ;

- D'un représentant de l'Assemblée Nationale ;

- D'un représentant du ministère de la justice,

- Des Droits de l'Homme et des Libertés Publiques ;

- Un représentant de la Médiature ;

- Un représentant du Conseil Economique et Social ;

- Deux représentants des Associations des Consommateurs, etc...^87(*)

Ce Comité est par ailleurs présidé par le Président du Conseil de Régulation. Le Directeur général de l'ARTCI assure la fonction de rapporteur général du Comité Consultatif pour la protection des données à caractère personnel^88(*).

On observe une présence des membres de l'ARTCI à des postes importants. Il y a donc lieu de douter de l'efficacité de ce comité. Ces membres de l'ARTCI, membres de ce comité font premièrement partie de l'ARTCI et donc ont déjà des missions en tant que membres de l'ARTCI. En outre, à l'analyse des postes qu'ils occupent, on penserait plus à une extension de l'ARTCI et non à un comité autonome. Il faut relever aussi le fait que ce comité chargé de l'examen de l'aspect technique, juridique et éthique des traitements des données à caractère personnel a été créé par une décision de l'ARTCI et non une loi.

Tous ces éléments réunis démontrent un certain contrôle de l'ARTCI sur ce comité. Si l'on fait un tour d'horizon sur les organes chargés de la protection des données personnel au plan international, l'on pourrait remarquer que ces organes ont été crées par des lois et non des décisions. C'est bien sûr le cas de la Commission nationale de l'informatique et des libertés(CNIL) créée par la loi n° 78-17 du 06 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui est un organe reconnu au plan international pour son efficacité dans la protection des données personnelles des citoyens français^89(*).

A l'instar de la CNIL, nous avons la commission de l'informatique et des libertés(CIL) qui est l'organe de protection des données personnelles au Burkina-Faso. Elle a été créée par la loi n°010-2004 /AN portant protection des données à caractère personnel en date du 20 avril 2004^90(*).

Section2 : Les difficultés inhérentes aux textes

Pour qu'un texte de loi soit appliqué, son existence doit être connue. Lorsqu'il prévoit des droits et devoirs, comment peut-on s'en prévaloir ou les appliquer s'il est méconnu ? Quelles peuvent être les causes de la méconnaissance d'une loi ? Pour ce qui est de la loi relative à la protection des données personnelles, elle est due à la nouveauté et aux aspects techniques de celle-ci. Cette méconnaissance a pour conséquence son inapplication. Si par ailleurs, une personne ne sait ni lire ni écrire, elle ne pourrait non plus connaitre l'existence d'un texte de loi (Paragraphe 1).

Ces situations entrainent donc une protection ineffective des données personnelles. L'ineffectivité de la protection des données personnelles peut émaner des textes lorsque ceux-ci réduisent le champ d'application matériel et territorial de la loi. Mais aussi, émaner d'un volet pénal réducteur (Paragraphe 2).

Paragraphe 1 : Une méconnaissance de la loi relative aux données à caractère personnel

Si pour les spécialistes en droit des nouvelles technologies de l'information et de la communication, les termes employés par le législateur sont un acquis, il est loin de l'être pour les profanes en la matière. L'aspect technique des termes employés par le législateur peut s'avérer être une difficulté de l'application de la loi. Il faut dire aussi que la nouveauté même de la loi n'améliore en rien cette situation(A).

En outre, le faible taux d'alphabétisation en Côte d'Ivoire conforte cette situation puisqu'on constate une méconnaissance de la loi par un grand nombre de citoyens(B).

A- La technicité et la nouveauté de la loi relative aux données à caractère personnel

Si le droit d'aller et de venir, de vivre, de disposer de son corps sont des droits connus de la plupart des citoyens, la loi ivoirienne portant protection des données à caractère personnel l'est moins. En effet, comme le montre l'année de son adoption, c'est une loi nouvelle. Elle a été adoptée précisément le 19 juin 2013. Le caractère récent de l'adoption de cette loi fait qu'elle est peu connue. Cette méconnaissance ne se limite pas uniquement aux profanes, elle s'entend même aux étudiants en faculté de droit civil ou aux juristes en général. Cette méconnaissance de la loi est une entrave à son application.

Il faut noter, par ailleurs, l'aspect technique des dispositions de cette loi. Si même les spécialistes en droit des nouvelles technologies ont parfois du mal à s'accommoder avec les termes employés par le législateur^91(*), nous comprenons bien que ce serait une lourde tâche pour les profanes en la matière. Pour l'application matérielle de la loi, il faudrait la constitution d'un fichier^92(*). Toutefois, malgré les explications données par l'article premier de la loi ivoirienne portant protection des données à caractère personnel, la compréhension du terme fichier n'est pas claire dans les esprits.

Aux termes de l'article 1^er, un fichier de données à caractère personnel est défini comme: « tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d'identifier une personne déterminée ; ». Les termes employés par le législateur pour expliquer le terme fichier ne permettent pas une compréhension aisée. Cela pose un véritable problème puisque la loi s'applique en cas de constitution d'un fichier.

Si la notion de fichier est difficilement cernable, comment pourrait-on savoir à quel moment la loi nous est applicable ou non ? Il faut dire qu'il n'y a pas que le terme fichier qui pose un problème de compréhension. La mise en oeuvre du traitement sur le territoire ivoirien comme critère de l'application territoriale prête aussi à confusion^93(*). Cela démontre de la complexité des termes employés. Cette difficulté des termes employés et la nouveauté de la loi n'aident en rien à une application effective de la loi.

B- Le faible taux d'alphabétisation en Côte d'voire

Selon les statistiques de l'Unesco, le taux d'alphabétisation en Côte d'Ivoire est de 51%. Aux dires de la Ministre de l'éducation nationale et de l'enseignement technique, ce taux jugé faible, constitue un frein au développement humain durable^94(*). Ce problème d'alphabétisation que connaît la population ivoirienne est en partie la cause de la méconnaissance de la loi.

L'analphabète qui ne sait ni écrire et ni lire, peut-il s'intéresser à des dispositions légales qui se rapportent à la protection de ses données personnelles, lorsque toutes ces expressions sont pour lui un langage inaccessible. Il saisit à peine l'intérêt de tous ces textes qu'il ignore d'ailleurs. L'analphabétisme est donc un frein à la connaissance de la loi relative aux données à caractère personnel. C'est consciente de ce fait que lors de la journéed'alphabétisation, la Ministre de l'éducation s'est fixée comme objectif de faire baisser considérablement ce taux à 35%. Elle a donc, pour atteindre cet objectif, invité les populations analphabètes à se familiariser avec la lecture, l'écriture et le calcul, afin de s'épanouir, de s'ouvrir au développement, aux innovations. Mais comment une personne qui ne sait ni lire ni écrire peut-elle se familiariser avec la lecture si elle n'a pas de formation en la matière ?

Paragraphe 2 : Des difficultés de répression des violations des règles de protection des données à caractère personnel

Les réseaux sociaux les plus prisés par les internautes, surtout les jeunes internautes, sont les réseaux sociaux internationaux tels que Facebook, whatsapp, twitter. Si donc le champ d'application territorial est réduit, cela dessert la protection efficace des données personnelles des membres des réseaux sociaux. A cela, il faut ajouter un champ matériel réduit par l'obligation de constitution d'un fichier(A).

La violation des données personnelles sur les réseaux sociaux ne se compte plus car les moyens de piratage de données sont innombrables. La sanction des violations ne devrait pas être réduite, elle devrait plutôt être étendue aux violations supposées minimes(B).

A- Des difficultés dues à la restriction du champ d'application de la loi et à la nécessité de constitution d'un fichier

Qu'il s'agisse de traitements automatisés ou non automatisés, la loi ivoirienne relative à la protection des données personnelles exige la constitution d'un fichier^95(*). La notion de fichier est définie comme « tout ensemble structuré de donnéesaccessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d'identifier une personne déterminée».

De l'article premier de la loi susmentionnée, on déduit que,la loi ivoirienne s'applique aux traitements automatisés ou non de données contenues ou appelées à figurer dans un fichier^96(*). Par conséquent, si le responsable d'un traitement collecte des données sans constituer de fichier, il n'est pas tenu de se conformer aux règles en vigueur en matière de protection de données personnelles. Cela voudrait dire qu'en cas de préjudice subi par une personne concernée par un traitement automatisé ou non sans qu'il y ait constitution de fichier, la loi ivoirienne ne s'applique pas.

En effet, une telle option ne couvrirait pas un grand nombre de traitements de données présentant pourtant des risques à l'égard des personnes concernées. En ne faisant pas clairement cette distinction, la loi ivoirienne affaiblit son dispositif de protection puisqu'elle ne peut potentiellement pas, s'appliquer à un grand nombre de traitements. Le législateur ivoirien devrait plutôt s'inspirer des dispositions de la loi française en la matière. Le législateur français a plutôt opté pour la constitution d'un fichierpour les traitements non automatisés de données à caractère personnel^97(*).

Cette disposition est plus compréhensive et plus protectrice. Mais subordonner l'application de la loi, à la constitution d'un fichier pour les traitements automatisésde données s'avère dangereux car il existe des risques liés à une utilisation massive et incontrôlée de ces données.Ces risques étant accrus par les capacités de traitement permisespar les nouvelles technologies de l'information et de la communication (NTIC) dont l'outil informatique et l'Internet.Si la constitution d'un fichier pose problème quant au champ d'application matériel de la loi, le champ d'application territorial ne permet pas non plus une protection étendue des données personnelles.

L'article 3 alinéa 3 de la loi ivoirienne susvisée dispose qu'est soumis à la loi : 

« Tout traitement de données mis en oeuvre sur le territoire national ». Le législateur ivoirien a fait le choix d'une formule fort simple qui ne manque, cependant, pas de susciter quelques interrogations.

Que faut-il, en effet, entendre par traitement de données mis en oeuvre sur le territoire ivoirien ?

Quel est le critère de détermination de cette mise en oeuvre du traitement sur le territoire national ?

La simple collecte des données en Côte d'Ivoire pour la constitution d'un fichier à l'étranger est-elle soumise à la loi ivoirienne ?

Cette notion s'applique-t-elle notamment à un réseau social dont les services sont accessibles en Côte d'Ivoire mais dont le responsable est établi hors Des frontières ivoiriennes ?

En l'absence de précision par la loi on pourrait penser que le critère d'application territoriale de la loi est un critère matériel c'est-à-dire relatif au traitement. Ainsi la loi ivoirienne s'applique à tout responsable, quel que soit son lieu d'établissement dès lors que l'une des opérations : collecte, enregistrement, stockage, conservation, etc., du traitement est réalisé sur le territoire ivoirien.Ainsi, la loi burkinabé n°010-2004 du 20 avril 2004 portant protection des données à caractère personnel prévoit qu'elle s'applique au responsable qui est « établi sur le territoire du Burkina Faso, ou sans y être établi, recourt à des moyens de traitement situés sur leterritoire du Burkina Faso ».

La loi française relative à la protection des données personnelles prévoit les mêmes critères d'établissement sur le territoire français et/ou d'utilisation de moyens de traitement situés sur ce territoire^98(*).

Selon le dictionnaire « Larousse », collecter c'est le fait de récupérer, recueillir quelque chose. L'on n'est pas sans ignorer que la plupart des réseaux sociaux sont hors du territoire ivoirien. Il serait donc difficile de dire, s'agissant d'un réseau international, que la collecte a été mise en oeuvre sur le territoire ivoirien car lorsque le souscripteur entre ses données, elles sont récupérées par les serveurs de ces réseaux.

Une telle interprétation n'est pas conforme aux termes employés par le législateur. Il devrait donc s'agir d'un critère de territorialité (la situation géographique du réseau). En d'autres termes, pour que la loi puisse s'appliquer, le réseau social devrait se situer sur le territoire ivoirien. Cette ambiguïté des termes employés par le législateur ivoirien ne fait qu'alourdir la tâche quant à la protection des données personnelles.

B-Des difficultés dues à un volet pénalréducteur

La Côte d'Ivoire soucieuse de la protection des données personnelles de ses citoyens a adopté la loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. Cette loi permet d'assurer une certaine protection des données à caractère personnel des citoyens. Il faut dire que cette loi est appuyée par la mise en place d'un organe de protection et la création d'un comité chargé de la protection des données personnelles.

Ces dispositions prises dans le cadre de la protection des données à caractère personnel sont à saluer. Cependant, elles ont une portée restreinte. Eu égard à la multiplicité des comportements criminogènes dans l'espace numérique et l'ingéniosité dont fait preuve les internautes, la prise de mesures contraignantes s'imposent. Toutefois, le législateur ivoirien a fait le choix de ne sanctionner que, la prospection directe^99(*), la collecte de données sensibles ^100(*) et le fait d'entraver l'action de l'autorité de protection des données à caractère personnel^101(*). Ces faits sanctionnés par le législateur ivoirien ne sont qu'une minorité de comportements attentatoires à la protection des données personnelles. Le législateur ivoirien, on serait tenté de le dire, a partagé la vision de son confrère gabonais puisque ce dernier a lui aussi fait le choix de ne sanctionner quel'entrave à l'action de l'organe de protection^102(*). Ces dispositions adoptées ne protègent pas suffisamment les données personnelles. Elles ne sont pas assez dissuasives.

Le législateur burkinabé,quant à lui, a consacré huit(8) articles^103(*) à la répression des violations des données personnelles telles que : « le fait de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi ; le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité desdites informations,notamment empêcher qu'elles ne soit déformées, endommagées, ou communiquées à des tiers non autorisés ; le fait de communiquer à des tiers non autorisés ou d'accéder sans autorisation ou de façon illicite aux données à caractère personnel ; le détournement de finalité d'une collecte ou d'un traitement de données à caractère personnel ; le fait de collecter des données par un moyen frauduleux, déloyal, ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré son opposition, lorsque cette opposition est fondée sur des raisons légitimes ; le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales, éthiques ou les opinions politiques, philosophiques, ou religieuses ou les appartenances syndicales ou les moeurs des personnes ; le fait, sans l'accord de la Commission de l'informatique et des libertés, de conserver des informations sous une forme nominative au-delà de la durée prévue à la demande de l'avis ou à la déclaration préalable à la mise en oeuvre du traitement informatisé ; le fait, pour toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à l'honneur et à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter sans autorisation de l'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir ; le fait d'entraver l'action de la commission ».

Ce choix du législateur burkinabé est le meilleur car ces dispositions permettent une protection plus étendue des données personnelles.

CHAPITRE 2 : LES SOLUTIONS A L'INEFFECTIVITE DE LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX

Les cas de violation de données personnelles sur les réseaux sociaux sont légions avec l'avancée technologique. Malgré les mesures législatives et institutionnelles prises, ces violations demeurent. Il est donc judicieux de se demander pourquoi ces violations persistent-elles ?

A l'analyse de certains éléments, il a été constaté que ces violations demeurent pour des questions de non effectivité de la protection des données personnelles sur les réseaux sociaux. Cette ineffectivité est due à certaines causes, en l'occurrence : l'inefficacité des actions menées en faveur de la protection des données personnelles ; la méconnaissance des textes relatifs à la protection des données personnelles. Pour pallier ces difficultés, les responsables de traitement devraient prendre des mesures pour sécuriser au mieux les données à caractère personnel de leurs membres (Section 2). Par ailleurs des réformes législatives et des mesures de sensibilisationsont indispensables (Section 2).

Section 1 : Lesreformes législativeset les mesures de sensibilisation

Les évolutions technologiques rapides des deux dernières décennies ont créé de nouveaux défis en matière de protection des données à caractère personnel. L'ampleur du partage et de la collecte des données a augmenté de manière exponentielle, parfois à l'échelle mondiale.

Ainsi, Pour une protection effective des données personnelles sur les réseaux sociaux, des réformes législatives (Paragraphe 1) et certaines mesures de sensibilisation (Paragraphe 2) doivent être prises.

Paragraphe 1 : Les réformes législatives

Pour une meilleure protection des données personnelles, il est primordial d'étendre le champ d'application de la loi (A) et de mettre en place un organe de protection des données à caractère personnel (B).

A- L'extension du champ d'application de la loi

Conformément à l'article 3 de la loi ivoirienne relative à la protection des données à caractère personnel, « sont soumis aux dispositions de la présente loi : tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier ; tout traitement de données mis en oeuvre sur le territoire national ... ». Le législateur restreint ainsi le champ d'application matériel et territorial de la loi.Facebook, Myspace, et bientôt Townsquare, les sites de socialisation attirent de plus en plus de membres, de toutes tranches d'âge et de toutes nationalités. Néanmoins, les internautes n'ont pas toujours conscience des risques encourus en éparpillant des informations personnelles sur ces sites^104(*). En outre, ces sites de socialisation sont situés le plus souvent hors du continent africain, toutefois,bon nombres d'ivoiriens y sont membres.

Par ailleurs, le caractère transversal et transfrontalier de la question de protection des données personnelles nécessite l'extension du champ d'application territorial de la loi pour une protection effective des données personnelles des membres de ces réseaux sociaux. Quant au champ d'application matériel de la loi, le législateur ivoirien devrait l'étendre aux traitements automatisés de données personnelles effectués en l'absence de constitution de fichier.

Par l'extension du champ d'application de la loi, la Côte d'Ivoire pourrait relever le défi de la protection efficace des données personnelles. Cependant, la mise en place d'un organe de protection des données personnelles respectant les normes internationales est indispensable.

B- La mise en place d'un organe de protection des données personnelles

L'adoption d'une loi Informatique et Libertés ne saurait suffire à garantir l'effectivité de la protection des données personnelles d'un pays. Elle doit s'accompagner de la mise en place d'un organe de contrôle de son application effective.Cet organe a un rôle très important dans la sensibilisation, la prévention, la promotion et la protection des droits et libertés fondamentaux, notamment en matière de traitement de données personnelles.Qui plus est, il ne devrait pas s'agir d'un simple organe, mais plutôt d'une Autorité Administrative Indépendante, qui réponde notamment aux critères de fonctionnement des institutions nationales indépendantes de protection et de promotion des droits humains^105(*). Ces critères sont :

Les critères de compétences et d'attributions : l'Autorité de protection doit avoir des compétences affirmées en matière de protection et de promotion des droits humains, des attributions et un mandat assez clairement énoncés dans un texte constitutionnel ou législatif afin de lui permettre de mener à bien sa mission.

La composition, les garanties d'indépendance et de pluralisme : la composition de l'autorité de protection et la désignation de ses membres doivent être établies selon une procédure présentant les garanties nécessaires pour une bonne représentativité des forces sociales (société civile, pouvoirs exécutif, législatif et judiciaire), afin d'établir une coopération effective.

L'indépendance : l'Autorité de protection, pour le bon fonctionnement de ses activités, doit être autonome à tout point de vue, mais être soumise à un contrôle financier respectant son indépendance.

Les modalités de fonctionnement : l'Autorité de protection doit pouvoir examiner librement toutes questions relevant de sa compétence, qu'elles soient soumises par le Gouvernement ou décidées par elle, sur proposition de ses membres ou tout requérant.

La compétence quasi-juridictionnelle: en tant qu'organe de promotion et de protection d'un domaine spécifique des droits de l'homme, l'Autorité doit être habilitée à recevoir, examiner et traiter des plaintes, réclamations et pétitions concernant des situations individuelles ou collectives relatives à la protection des données personnelles, procéder à la recherche d'un règlement amiable ou, dans les limites fixées par la loi, les résoudre par décisions contraignantes, le cas échéant en ayant recours autant que possible à la confidentialité. Elle doit pouvoir informer les citoyens de leurs droits et leur en faciliter l'exercice ; donner des avis aux autorités compétentes, notamment en proposant des adaptations ou réformes de lois, des règlements et pratiques administratives, spécialement lorsqu'ils sont à l'origine des difficultés rencontrées par les auteurs des requêtes pour faire valoir leurs droits. Le législateur ivoirien, devrait adopter une loi pour mettre en place un organe spécifique de protection des données personnelles.

Paragraphe 2 : Les mesures de sensibilisation

L'Autorité de protection des données à caractère personnel doit, prendre les dispositions nécessaires pour parvenir à une protection efficace des données personnelles des citoyens.

Elle doit, par conséquent, sensibiliser les citoyens en général, et en particulier les internautes sur leurs droits et devoirs (A) et par ailleurs, sur les risques que présente la mise à disposition de leurs données personnelles sur les réseaux sociaux (B).

A-La sensibilisation des internautes sur leurs droits et devoirs

En l'espace d'un an (de 2012 à 2013), les nouvelles autorités ivoiriennes ont adopté de nombreux textes normatifs dans le domaine des Nouvelles Technologies de l'Information et de la Communication (NTIC). Il s'agit notamment de l'ordonnance relative aux télécommunications/TIC, de la loi relative à la lutte contre la cybercriminalité, de la loi relative à la protection des données à caractère personnel, de la loi relative aux transactions électroniques. L'appréhension de ces dispositions est difficile même pour les juristes encore moins pour les profanes en la matière^106(*).

L'ARTCI, doit donc, porter à la connaissance des citoyens, leurs droits relativement à la protection des données personnelles. Ainsi, ils doivent être éclairés sur les actes qui pourraient constituer une violation de leurs données personnelles.

L'ARTCI, doit, par ailleurs, faire connaître aux citoyens les instances vers lesquelles ils peuvent s'orienter pour obtenir gain de cause.La protection des données personnelles n'est pas uniquement valable pour ses propres données personnelles, mais aussi pour ceux des autres internautes. Ainsi, la sensibilisation doit porter en outre, sur les devoirs des internautes notamment l'abstention de divulguer les données des autres membres sans leur consentement. En d'autres termes, ils doivent être exhortés au respect des données personnelles des autres membres. Il faut noter pour terminerque, ces campagnes doivent être menées de telle sorte à atteindre les cibles visées.

B-La sensibilisation des internautes sur les risques liés à la mise à disposition de leurs données personnelles sur les réseaux sociaux

« Pour vivre heureux, vivons cachés » ! Voilà un adage qui paraît bien loin des préoccupations des promoteurs de réseaux sociaux et d'une grande partie de leurs utilisateurs.

On pourrait même se demander si, pour vivre «connectés», il ne faut pas vivre «exhibés»... Voyant la toile comme un univers de liberté sans contrainte, la plupart des grands vecteurs de communication actuels fondent leurs pratiques sur le postulat que tout doit être rendu public. On peut sans doute y voir l'influence du droit américain (les serveurs des réseaux sociaux les plus représentatifs se trouvent aux États-Unis) ; les États-Unis ayant toujours été plus soucieux d'éviter les restrictions sur le commerce électronique que d'assurer une protection effective des données personnelles sur Internet. Toutefois, cela correspond aussi et surtout à l'esprit de la «génération du Net» qui fait émerger une nouvelle forme de sociabilité fondée sur les échanges libres et la conversation en continu^107(*).

Cette nouvelle forme de sociabilité sied aux internautes, particulièrement aux jeunes internautes. La plupart des photos prises sont destinées à être postées^108(*). Les mentions « j'aime » et « commentaires » laissées par les amis ou connaissances apportent une certaine satisfaction et rendent les internautes dépendants de cette pratique. Il faut signifier que chaque jour le réseau social Facebook abrite au total 240 milliards d'images, soit près de 30 fois plus que Flickr et 70 fois plus qu'Instagram. 350 millions de nouvelles photos sont téléchargées chaque jour sur la plateforme. Snapchat, le service mobile permettant de partager des photos pendant une durée limite, enregistre, lui, 150 millions de nouvelles images téléchargées tous les jours^109(*) !

Il faut dire que les internautes ignorent que la diffusion publique d'informations sur un réseau social est bien souvent irréversible. La mémoire informatique est telle qu'il est désormais possible de conserver, sans limite de temps, toutes les informations diffusées en ligne.

La «génération du Net» est trop jeune pour avoir l'expérience de la mémoire du temps. Elle n'a pas conscience que la réalité finit toujours par la rattraper lorsque ressurgissent bien plus tard des images ou des informations dérangeantes, glanées sur le Net par des curieux ou de futurs employeurs. Les informations laissées par les internautes peuvent être piratées ou tomber entre les mains de criminels qui s'en serviraient pour les tracer et attenter à leur vie. Cette pratique devrait donc être abandonnée. Dans le pire des cas, ils devraient filtrer les informations qu'ils publient.

En République tchèque, des campagnes s'adressent essentiellement aux enfants^109(*).Une campagne de sensibilisation devrait être organisée par l'ARTCI, pour exhorter la jeunesse sur le partage massif de leurs informations personnelles sur les réseaux sociaux. L'ARTCI,en vertu de sa mission de protection des données personnelles, doit sensibiliser ces jeunes internautes sur les dangers que cette pratique présente pour leurs données personnelles.

Section 2 : Les mesures à prendre par les responsables des réseaux sociaux pour sécuriser les données à caractère personnel de leurs membres

Pour parvenir au respect scrupuleux de ses obligations de sécurisation des données à caractère personnel collectées, le responsable du traitement doit prendre certaines mesures. Le traitement des données personnelles par les réseaux sociaux étant un traitement automatisé, des mesures adaptées doivent être prises pour garantir la sécurité des données collectées.

La mise en place d'une sécurité physique et réseau (Paragraphe 1) et celle d'une sécurité logicielle (Paragraphe 2) s'avère nécessaire. La sécurité réseau permettrait, de garantir la sécurité des comptes des membres des réseaux sociaux, quant à la sécurité physique, elle permettrait de restreindre l'accès aux données. Pour ce qui est de la sécurité logicielle, elle servirait à prévenir d'éventuelles failles du système du réseau.

Paragraphe 1 : La mise en place d'une sécurité physique et réseau

Le responsable du traitement, conformément à l'article 41 de la loi ivoirienne relative à la protection des données personnelles, est tenu de garantir aux données collectées un niveau de sécurité suffisant. Il doit, par conséquent, mettre tous les moyens en oeuvre pour parvenir à cette fin.

La restriction de l'accès physique aux serveurs et aux locaux des serveurs (A) et la sécurisation de l'accès au compte des membres des réseaux sociaux(B) sont des solutions envisageables.

A-La restriction de l'accès physique aux serveurs et aux locaux des serveurs

Il faut dire qu'il s'agira pour le responsable du traitement de veiller à ce que les données ne soient pas manipulées par un grand nombre de personnes. Dans le souci d'assurer aux données personnelles une certaine sécurité, l'accès aux serveurs et aux locaux des serveurs doit être restreint.

L'article 41 alinéa premier de la loi ivoirienne relative à la protection des données personnelles, dispose que le responsable du traitement est tenu : « d'empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement de données ...». Cette restriction s'étend jusqu'aux systèmes de traitement de données. L'alinéa 3 de l'article susmentionné dispose : « Le responsable du traitement est tenu : d'empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données».

Aux termes de cet article, il ressort que l'utilisation des systèmes de traitements n'est pas permis aux personnes non autorisées. Ces dispositions ont pour but de garantir la sécurité des données puisque le but visé, est d'éviter toute divulgation ou modification ou tout autre incident dont les données pourraient faire l'objet. L'objectif du législateur est d'éviter qu'un grand nombre de personnes ait accès aux données collectées. Les données étant d'une importance capitale, et de nos jours des biens à valeur économique, c'est à juste titre que leur accès doit être limité pour minimiser les risques d'insécurité.

B-La sécurisation de l'accès aux« comptes » des membres des réseaux sociaux

La sécurité des données collectées est une obligation qui est à la charge du responsable du traitement. Cette obligation de sécuriser les données collectées transparaît à l'article 41 alinéa 3 qui dispose :

« Le responsable du traitement est tenu : D'empêcher l'introduction non autorisée de toute donnée dans le système d'information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ...».

La sécurité des données collectées est un souci pour le législateur ivoirien puisque lors de la déclaration d'un traitement ou une demande d'autorisation, le responsable du traitement doit y mentionner « les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées ...».

A la lecture des articles sus-évoqués, il ressort que l'obligation de sécurisation des données collectées est primordiale. Cette sécurité pour les réseaux sociaux, passe par l'adoption de mesures de sécurité efficaces. Ces mesures sécuritaires consistent à mettre en place des mots de passe à même de garantir la protection des données contenues sur le « compte » des membres des réseaux sociaux. En d'autres termes, ces mots de passe doivent pouvoir protéger efficacement l'accès aux comptes des internautes. Compte tenu des progrès des outils de contournement des mots de passe (Tables Arc en ciel) et de la rapidité des ordinateurs, un bon mot de passe doit :

- Avoir une longueur minimale de 14 caractères ;

- Etre une combinaison de majuscules / minuscules / chiffres et signes spéciaux ou accentués ;

- Il ne doit pas être identique ou proche ou dérivé de votre identifiant (login - UserName) ;

- Il ne doit pas être constitué de votre nom et/ou de votre prénom, ni de leurs initiales, ni d'aucun nom (patronyme) et/ou prénom existants dans des dictionnaires de patronymes et de prénoms existants ainsi que des logiciels spécialisés pour attaquer toutes les combinaisons possibles de patronymes / prénoms ;

- Dans le même ordre d'idées, aucun mot figurant dans un dictionnaire (noms communs ou noms propres ou noms d'animaux, pays, villes, régions, planètes...) ne doit être utilisé ;

- Il ne doit pas être constitué des mots de passe standards des constructeurs ;

- Il ne doit pas appartenir à des classes dont il est facile de tester l'intégralité des possibilités (plaques d'immatriculation des véhicules, dates...)^110(*).

Ainsi, pour conserver la confidentialité des données collectées, il est nécessaire pour ces réseaux de renforcer la robustesse des mots de passe des comptes. Ces mots de passe ainsi composés permettront de renforcer la sécurité de l'accès aux données enregistrées par les membres des réseaux sociaux.

Paragraphe 2 : La nécessité de prévoir une sécurité logicielle

La sécurité logicielle passe par la configuration des droits d'accès et d'habilitation des usagers (A).En outre, elle permet de se prémunir des failles applicatives (B).

A-La configuration des droits d'accès et d'habilitation des usagers

Il s'agit de filtrer l'accès aux données personnelles collectées. Ce filtrage se fait par la mise en place d'un dispositif de contrôle d'accès. Il sera donc associé à chaque usager un identifiant mnémonique ou physique. La mise en place d'un système de contrôle accès doit aussi respecter la loi portant protection des données à caractère personnel. La loi n° 2013-450 du 19 juin 2013, stipule que : « toute entreprise qui met en place puis gère un fichier automatisé de données nominatives est tenue de le déclarer »^111(*).

Il faut noter que, la configuration des droits d'accès et d'habilitation des usagers permet de restreindre l'accès aux serveurs des données et d'identifier les personnes qui y ont accès. Nous ne nous attarderons pas sur la restriction de l'accès aux données mais plutôt sur la capacité de ce dispositif à identifier les personnes en contact avec les serveurs des données.

Conformément aux dispositions de l'article 41 de la loi ivoirienne relative à la protection des données personnelles, « le responsable du traitement est tenu de garantir que puisse être vérifiée et constatée a posteriori l'identité des personnes ayant eu accès au système d'information contenant des données à caractère personnel ».

Ainsi, ce dispositif sécuritaire permettrait aux responsables de traitement de remplir cette obligation.Celaparticiperait, par ailleurs, à une meilleure protection des données personnelles de leurs membres.

B-La prévention des failles applicatives

Ce besoin répond à l'article 40 alinéa 1 de la loi ivoirienne relative à la protection des données personnelles qui dispose que : « le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès».

De cet article, il ressort que le responsable du traitement, dans les mesures qu'il devra mettre en place pour assurer la sécurité des données personnelles, doit prendre certaines précautions. Le traitement effectué étant un traitement automatisé, il doit donc se prémunir des failles applicatives. Les failles applicatives sont en réalité des vulnérabilités du système^112(*). Pour définir le terme sur le plan informatique, il faut dire que c'est « une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient »^113(*). Il est donc nécessaire de se prémunir de telles failles pour éviter de compromettre la sécurité des données personnelles collectées.

Ces failles qui sont des « portes entrouvertes » de façon volontaire ou non, peuvent faire l'objet d'attaques (les modes opératoires, les actions pirates). Ces attaques dépendent du but recherché : Usurpation (manipulation de session) ; Introspection (injection : SQL, code) ; ou des failles : débordement, Formatage des chaînes, attaque brusque... Ces attaques peuvent entrainer la rupture de la « triade DIC », ce qui pourrait avoir un impact sur l'intégrité et la confidentialité des données collectées. Ces attaques peuvent par ailleurs, empêcher la disponibilité des données. Il est donc nécessaire d'anticiper ces failles dès la phase de conception, de spécification, de développement, ou de production pour la sécurité des données à caractère personnel collectées

Conclusion

De ce qui précède, on peut dire que l'usage des nouvelles technologies de l'information et de la communication constitue un atout considérable dans l'évolution des moyens de communication. L'avènement d'internet a permis le développement du web 2.0 communément appelé réseaux sociaux.

Ces réseaux sociaux ont donné un autre sens à la communication par les révolutions apportées en la matière. Les services mis en place par ces réseaux sociaux permettent de communiquer avec des personnes qui nous sont étrangères ou des personnes qu'on a perdues de vue, etc. Ces services nous permettent également d'échanger des informations personnelles via la mise en ligne de photos ou de vidéos personnelles ou de photos de proches.

Cet échange de données, contenant parfois des données personnelles, n'est pas sans danger. C'est conscient de ce fait que le législateur ivoirien a adopté la loi n° 2013-450 du 19 juin 2013, portant protection des données à caractère personnel et attribué à l'ARTCI la mission deprotection des données personnelles. Toujours dans la recherche d'une protection efficace des données des citoyens, la Côte d'Ivoire a ratifié l'acte additionnel de la CEDEAO portant protection des données à caractère personnel. Cependant, malgré les dispositions prises, la protection des données personnelles n'est pas effective sur les réseaux sociaux. Les responsables des traitements et certains internautes se partagent la responsabilité de ces violations. La gratuité des réseaux sociaux laisse penser qu'il s'agit de réseaux ayant pour objectif de créer des conditions pour une mise à disposition des moyens de communication gratuits. Sous cette générosité apparente, se cachent des pratiques illégales.

Les responsables de traitement des données personnelles ne respectent pas les formalités préalables au traitement de données personnelles mais aussi, ils se permettent de commercialiser les données collectées. En outre, les responsables de traitement effectuent des collectes de données personnelles à l'insu des personnes concernées nonobstant le fait que, la loi le leur interdit. Certains traitements sont faits en l'absence de détermination de finalité, ce qui paraîtabsurde car la finalité d'un traitement est perçue comme l'objet du traitement. Par ailleurs, le droit d'information des personnes concernées est quasi-inexistant. A toutes ces violations, il faut ajouter la conservation des données au-delà de la réalisation de la finalité pour laquelle elles ont été collectées.

La protection des données à caractère personnel étant un droit fondamental, la loi oblige les responsables de traitement à veiller à la sécurité des données collectées et à être réceptifs à l'exercice des droits des personnes concernées par les traitements. Toutefois, ces droits sont méconnus par les responsables de traitement. Pour ce qui est de la sécurité des données, cette charge est laissée en partie aux membres qui ont parfois du mal à l'assurer. Ce qui constitue une défaillance sécuritaire. Si malgré les dispositions légales et institutionnelles, la protection des données personnelles n'est pas effective sur les réseaux sociaux, le législateur ivoirien doit chercher à combler les failles que présentent la loi relative à la protection des données personnelles. Par ailleurs, la mise en place d'un organe réservé exclusivement à la protection des données personnelles comme en France et au Burkina-Faso, s'avère nécessaire. En dehors des actions du législateur, des campagnes de sensibilisation doivent être organisées par l'ARTCI pour une mise en garde des internautes et les exhorter à l'autoprotection. Il faut relever que l'adoption d'une loi et l'attribution de missions de protection des données personnelles à un organe ne suffisent pas pour garantir la protection des données personnelles. Il faudrait un certain tact et beaucoup de rigueur de la part de l'organe de protection des données à caractère personnel.

BIBLIOGRAPHIE

I- Ouvrages généraux

MATTATIA (F.), Loi et Internet : Un petit guide civique et juridique, 1^ère éd, Paris, Ed EYROLLES, 2013, 234 p.

RAY (J-E.), Le droit du travail à l'épreuve des NTIC, 1^ère éd, Paris, Ed Liaisons, 2001, 247 p.

DOCQUIR (B.), FESLER (D.), DEHARENG (E.), Le Droit des nouvelles Technologies et de l'internet, 2 éd, Paris, Ed Bruylant, 2012, 136 p.

II-Ouvrages spécialisés

BENSOUSSAN (A.), Informatique, télécoms et internet, 5 éd, Paris, Ed Lefebvre Francis, 2012, 1000 p.

DESGENS-PASANAU (G.), Protection des données à caractère personnel, Loi informatique et libertés, 2 éd, Paris, LexisNexis,2013, 294 p.

FAUCHOUX (V.), DEPREZ (P.), BRUGUIERE (J-M.), Le droit de l'internet : lois, contrats et usages, 2 éd, Paris, LexisNexis, 2013, 419 p.

MATTATIA (F.), Le droit des données personnelles, 2 éd, Paris, Ed EYROLLES, 2016, 234 p.

MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, 237 p.

II- Article

Barnes (J.), Classes et comités en paroisse de l'île norvégienne, Human Relations 1954, n ° 7, article reproduit par Leinhardt (S.), dans les réseaux sociaux : un paradigme de développement, AcademicPress, New York, 1977.

III- Thèse et mémoires

-Thèse

COULIBALY (I.), La protection des données à caractère personnel dans le domaine de la recherche scientifique, Thèse, Université de Grenoble, 2011, 1117 p.

-Mémoires

COUMET (C.), Données personnelles et réseaux sociaux, Mémoire, Université Paul Cézanne U III, 2008-2009, 85p.

KOUAME (S.), La protection du droit à l'intégrité morale dans la loi ivoirienne n° 2013-450 du 19 juin 2013, portant protection des données à caractère personnel, Mémoire, Université Internationale Bilingue Africaine, 2014-2015, 72 p.

KOUKOUGNON (E.), Proposition d'adaptation de la loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte d'Ivoire, Mémoire, Université Catholique de l'Afrique de l'Ouest, 2014-2015, 94p.

ZAGBA (F.), La protection du consommateur numérique en Côte d'Ivoire : cas de la téléphonie mobile, Mémoire, Université Catholique de l'Afrique de l'Ouest, 2014-2015, 117 p.

IV- Textes

Acte additionnel A/SA 1/01/10 de la CEDEAO (Communauté économique des États d'Afrique de l'Ouest) relatif à la protection des données à caractère personnel dans l'espace CEDEAO, adopté le 16 février 2010.

Loi n°010-2004 du 20 avril 2004 portant protection des données à caractère personnel en République du Burkina-Faso.

Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, in JORF, 22 juin 2004.

Loi informatique et libertés du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004, in JORF, 7 août 2004.

Loi n°2008-12 du 15 janvier 2008 relative à la protection des données à caractère personnel, in JORS, 17 novembre 2010.

Loi n°2009-09 du 27 avril 2009 portant protection des données à caractère personnel en République du Bénin.

Loi n° 001-2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, in JORG, 24 au 31 octobre 2011.

Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, in JORCI, 8 août 2013.

Loi n° 2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité, in JORCI, 12 août 2013.

Décret n° 2013-333 du 22 Mai 2013 portant nomination des membres du Conseil de Régulation de l'Autorité Régulation des télécommunications/TIC de Côte d'Ivoire, in JORCI, 01 juillet 2013.

Décision 2015-0060 du Conseil de régulation de l'autorité de régulation des Télécommunications/TIC de Côte d'Ivoire en date du 27 avril 2015 portant création et composition du Comité Consultatif pour la Protection des données à Caractère personnel.

V- Jurisprudence

Cour de justice de l'Union européenne, 6 octobre 2015, communique de presse n° 117/15, Luxembourg 2015, p. 3, affaire C-362/14 MaximillianSchrems / Data Protection Commissioner.

CJCE, gde ch., 23 mars 2010, aff.C-236/08, Google c/ Vuitton ; v. Boizard M., détermination de la qualité d'hébergeur : voyage en eaux troubles, RLDC 2013/101, n° 4970.

Tribunal de Grande Instance de Paris, Ordonnance de référé du 13 avril 2010, n° RG : 10/53340, Giraud c/ Facebook France.

Tribunal d'instance de Puteaux, 28 septembre 1999, société Axa ConseilIard et a. c/ M. C. Monnier et a., Gaz. Pal., 1er janvier 2000, p. 27, note MORAIN (E.).

VI- Rapports, études, communications, avis et documents assimilés

Groupe de travail « article 29 » sur la protection des données, avis 5/2009 sur les réseaux sociaux en ligne adopté le 12 juin 2009, 14 p.

VII- Webographie

Afrique news, plus d'un million d'utilisateurs de Facebook, http://www.afriqueitnews.com/2014/04/16/cote-divoire-plus-dun-million-dutilisateurs-de-facebook-infographie/(Consulté le 20 octobre 2016).

ARTCI, Communiqué, http://artci.ci/index.php/secteurs-regules/2013-10-04-13-43-23/(Consulté le 18 octobre 2016).

ARTCI, Décisions, http://www.artci.ci/index.php/decision/decision/ (Consulté le 19 octobre 2016).

ARTCI, Décisions portant création du CCDCP, http://www.artci.ci/images/stories/pdf/decisions_conseil_reg/decision_2015_0060_conseil_regulation.pdf (Consulté le 19 octobre 2016).

ARTCI, site officielle, www.artci.ci (Consulté le 8février 2016).

Babiconnect, réouverture très prochaine du réseau social ivoirien, https://m.youtube.com/watch?v=rpSRTCp6WF8 (Consulté le 19 octobre 2016).

CIL, Loi portant création de la CIL, WWW.cil.bf (Consulté le 19 novembre 2016).

La CNIL, Décision n° 2015-091C du 17 mars 2015, de la Présidente de la Commission nationale de l'informatique et des libertés de procéder à des missions de vérification des traitements de données à caractère personnel mis en oeuvre par la société FACEBOOK Inc., https://www.cnil.fr/ (consulté le 19 octobre 2016).

La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/(consulté le 19 octobre 2016).

La CNIL, Communiqué du groupe de travail de l'article 29, https://www.cnil.fr/fr/communique-du-groupe-de-travail-de-larticle-29 (Consulté le 01 novembre 2016).

La CNIL, La carte des pays présentant un niveau de sécurité suffisant, https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde (Consulté le 08 février).

La CNIL, Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 https://www.cnil.fr/fr/deliberations (Consulté le 19 octobre 2016).

La CNIL, Les guides de la CNIL, https://www.cnil.fr/sites/default/files/typo/document/CNIL_Guide_enseignement.pdf (Consulté le 19 octobre 2016).

La CNIL, 21ème Rapport d'activité, http://www.cnil.fr/ (consulté le 08 février 20016).

La CNIL, Procès-verbal de constatations en ligne n° 2015-401 du 15 décembre 2015, http://www.cnil.fr/ (Consulté le 08 février 2016).

COULIBALY (I.), La difficile appréhension du droit émergent des NTIC en Côte d'Ivoire, http://www.village-justice.com/articles/difficile-apprehension-droit,18339.html#SALiq0wsldgElWG7.99 (Consulté le 09 décembre 2016).

COULIBALY (I.), Petit tour d'horizon international de quelques erreurs législatives et jurisprudentielles, http://www.village-justice.com/articles/Protection-des-donnees,17540.html(Consulté le 05 décembre 2016).

DAGNAUD (M.), Les jeunes et les réseaux sociaux : de la dérision à la subversion, https://lectures.revues.org/11569(Consulté le 19 décembre 2016).

Dani (C.), GARINO (L,), Quels droit pour les réseaux sociaux ? , http://www.frenchweb.fr/la-bible-de-linternet-et-les-previsions-de-mary-meeker/118340 (Consulté le 19 octobre 2016).

La customereXperience, Les 6 degrés de séparation ou la «théorie du petit monde», https://blog.aliston.fr/2010/06/les-6-degres-de-separation-ou-la-theorie-du-petit-monde/(Consulté le 19 Octobre 2016).

DUPUS (M.), la vie privée à l'épreuve réseaux sociaux, www.Lamy.fr(consulté le 29 février 2016).

Facebook, ajouter des amis qui ne sont pas encore sur Facebook, https://m.facebook.com/home.php(Consulté le 27 octobre 2016).

Facebook, Conditions et politique de confidentialité de Facebook, WWW.Facebook.com (consulté le 29 septembre 2016).

Facebook, Conditions et politique d'utilisation, https://fr-fr.facebook.com/about/privacy#(Consulté le 19 octobre 2016).

Facebook, conservation des données, https://www.facebook.com/about/privacy#(Consulté le 09 novembre 2016).

Facebook, Page officielle de l'ARTCI, https://fr-fr.facebook.com/artcipageofficielle/https://www.facebook.com/artcipageofficielle/photos/a.319709318177429.1073741827.319704324844595/616450815169943/?type=1&theater(Consulté le 10 novembre 2010).

Facebook, Politique d'utilisation des données : quels types de données recueillons-nous ? , https://fr-fr.facebook.com/about/privacy(Consulté le 19 octobre 2016).

Facebook, Paramètres généraux du compte, www.facebook.com (Consulté le 27 octobre 2016).

Inecdot, interconnexion réseau et logiciel libre, https://www.inetdoc.net/guides/tutoriel-secu/tutoriel.securite.failles.html (Consulté le 19 octobre 2016).

Juriste du numérique, réseaux sociaux et données personnelles, http://www.juristedunumerique.com (Consulté le 19 février 2016).

Legifrance, Procès-verbal de constatations en ligne n° 2015-401 du 15 décembre 2015, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000031997148&fastReqId=1903052955&fastPos=1(Consulté le 19 octobre 2016).

Legifrance, Procès-verbaux de contrôle sur place n° 2015-091/1 et n° 2015-091/2 des 8 9 avril 2015, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000031997148&fastReqld=1903052955&fastPos=1/ (consulté le 19 octobre 2016).

Ligue des droits de l'Homme, Protection des données personnelles : Analyse comparée des législations et des pratiques dans neuf pays européens dans le contexte du cadre juridique européen, http://www.ldh-france.org/IMG/pdf/SynthesfrancaisFINALcorr-BD.pdf (Consulté le 9 décembre 2016).

M Technologies, Asmallworld, le réseau social le plus huppé de la planète Web, http://www.lemonde.fr/technologies/article/2007/11/26/asmallworld-le-reseau-social-le-plus-huppe-de-la-planete-web_982597_651865.html#pFvvCwCRaGdWYGV0.99(Consulté le 19 octobre 2016).

NEUER (L.), Réseaux sociaux : quels risques pour les internautes ?, http://www.lepoint.fr/actualites-societe/2008-08-29/reseaux-sociaux-quels-risques-pour-les-internautes/1597/0/269912 (Consulté le 9 décembre 2016).

OUEDRAOGO (M.), Protection des données personnelles et de la vie privée en Afrique, www.cil.bf (Consulté le 8février 2016).

POULLET (Y.), La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ?, http://www.legipresse.com/011-38088-La-loi-des-donnees-a-caractere-personnel-un-enjeu-fondamental-pour-nos-societes-et-nos-democraties-1.html (Consulté le 5 décembre 2016).

Le télégramme, Réseau sociaux. Attention vous être tracés !, https://www.letelegramme.com./ (Consulté le 19 octobre 20016).

L'Unesco, Statisque de l'Unesco, http://news.abidjan.net/h/471283.html (Consulté le 19 octobre 2016).

Vie publique, Loi portant création de la CNIL, www.vie-publique.fr (Consulté le 19 novembre 2016).

Viadéo, réseau social à vocation professionnelle, http://ci.video.com/fr/groups/?containerld=002o5zzzn5np8oz4 (Consulté le 19 octobre 2016).

Whatsapp, Conditions et politique de confidentialité, http://www.whatsapp.com/ (Consulté le 19 octobre 2016).

Wikipédia, Expérience de Milgram, https://fr.wikipedia.org/wiki/Exp%C3%A9rience_de_Milgram (Consulté le 19 octobre 2016).

Wikipédia, la théorie des 6 degrés de séparation, https://fr.wikipedia.org/wiki/Frigyes_Karinthy (Consulté le 19 octobre 2016).

Yookos, Inscription, http://www.yookos.com/login/?next=/ (Consulté le 19 octobre).

Wikipédia, Vulnérabilité (informatique), https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9(Consulté le 19 octobre).

TABLE DES MATIERES

DEDICACE.................................................................................................................................I

REMERCIEMENTS...............................................................................................................................II

AVERTISSEMENT...............................................................................................................................III

LISTE DES PRINCIPALES ABREVIATIONS...................................................................................IV

SOMMAIRE .........................................................................................................................................V

INTRODUCTION . 1

PARTIE 1 : L'INEFFECTIVITE DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL SUR LES RESEAUX SOCIAUX..............................................................................................8

CHAPITRE 1 : UNE VIOLATION DES REGLES PREALABLES A LA MISE EN OEUVRE DES TRAITEMENTS DE DONNÉES A CARACTERE PERSONNEL 10

Section 1 : Le non-respect des formalités préalables à la collecte des données à caractère personnel 10

Paragraphe 1 : Le défaut d'accomplissement des formalités administratives 10

A-Absence de déclaration des traitements des données à caractère personnel 11

B-Absence d'autorisation des traitements de données 13

Paragraphe 2 : L'absence d'information des personnes et le défaut de détermination de la finalité des traitements 14

A-Le non-respect de l'obligation d'information de la personne concernée par les données à caractère personnel 14

B-Le défaut de détermination d'une finalité 17

Section 2 : Une collecte abusive des données à caractère personnel des membres et des non membres des réseaux sociaux 19

Paragraphe 1 : Une collecte abusive des données à caractère personnel des membres des réseaux sociaux 19

A-Une collecte excessive des données à caractère personnel des membres des réseaux sociaux 20

B-Une collecte illicite de données sensibles des membres des réseaux sociaux 21

Paragraphe 2 : Une collecte étendue aux non-membres des réseaux sociaux 22

A-Une mise à disposition des données des non-membres par des utilisateurs 23

B-Une collecte de leurs données à leur insu 26

CHAPITRE 2 : INOBSERVATION DES OBLIGATIONS SUBSEQUENTES A LA COLLECTE DE DONNEES A CARACTERE PERSONNEL 28

Section 1 : Le non-respect des obligations tenant à la finalité et à la sécurité des données 28

Paragraphe 1 : Un défaut de sécurité des données collectées 29

A-Une obligation de sécurité pesant en partie sur les utilisateurs 29

B-Un transfert de données à risque 30

Paragraphe 2 : Un traitement détourné de sa finalité 33

A-La conservation des données au-delà de la réalisation de la finalité 33

B-La commercialisation des données 35

Section 2 : Une violation des droits reconnus aux usagers des réseaux sociaux 38

Paragraphe 1 : Un droit d'accès et d'opposition limité 38

A-La difficulté de mise en oeuvre du droit d'opposition 39

B-Un droit d'accès limité aux données fournies 40

Paragraphe 2 : Un droit de suppression illusoire 41

A-Une suppression partielle des données 42

B-Le stockage des données supprimées par les réseaux sociaux 43

PARTIE 2 :LES CAUSES ET LES SOLUTIONS A L'INEFFECTIVITE DE LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX................................................46

CHAPITRE 1 : LES CAUSES DE L'INEFFECTIVE APPLICATION DE LA LOI RELATIVE A LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX 48

Section 1 : Les causes d'ordre Institutionnel 49

Paragraphe 1 : Un domaine de compétence étendu de l'ARTCI et le défaut d'indépendance de la direction chargée de la protection des données personnelles 49

A-Un domaine de compétence étendu 50

B-Le défaut d'indépendance de la direction chargée de la protection des données personnelles 54

Paragraphe 2 : La méconnaissance et le manque d'efficacité des organes chargés de la protection des données à caractère personnel 55

A-Le défaut d'information sur l'ARTCI et ses missions 55

B-les doutes quant à l'effectivité du Comité Consultatif pour la Protection des Données à Caractère Personnel 56

Section 2 : Les difficultés inhérentes aux textes 58

Paragraphe 1 : Une méconnaissance de la loi relative aux données à caractère personnel 59

A-La technicité et la nouveauté de la loi relative aux données à caractère personnel 59

B-Le faible taux d'alphabétisation en Côte d'voire 60

Paragraphe 2 : Des difficultés de répression des violations des règles de protection des données à caractère personnel 61

A-Des difficultés dues à la restriction du champ d'application de la loi et à la nécessité de constitution d'un fichier 62

B-Des difficultés dues à un volet pénal réducteur 64

CHAPITRE 2 : LES SOLUTIONS A L'INEFFECTIVITE DE LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX 66

Section 1 : Les reformes législatives et les mesures de sensibilisation 67

Paragraphe 1 : Les réformes législatives 67

A-L'extension du champ d'application de la loi 67

B-La mise en place d'un organe de protection des données personnelles 68

Paragraphe 2 : Les mesures de sensibilisation 70

A-La sensibilisation des internautes sur leurs droits et devoirs 70

B-La sensibilisation des internautes sur les risques liés à la mise à disposition de leurs données personnelles sur les réseaux sociaux 71

Section 2 : Les mesures à prendre par les responsables des réseaux sociaux pour sécuriser les données à caractère personnel de leurs membres 73

Paragraphe 1 : La mise en place d'une sécurité physique et réseau 74

A-La restriction de l'accès physique aux serveurs et aux locaux des serveurs 74

B-La sécurisation de l'accès aux « comptes » des membres des réseaux sociaux 75

Paragraphe 2 : La nécessité de prévoir une sécurité logicielle 76

A-La configuration des droits d'accès et d'habilitation des usagers 77

B-La prévention des failles applicatives 77

CONCLUSION 79

BIBLIOGRAPHIE 81

TABLE DES MATIERES 88

* ¹ Le télégramme, Réseaux sociaux. Attention vous êtes tracés !, https://www.letelegramme.com./ (Consulté le 19 octobre 2016).

* ²La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française de protection des données à caractère personnel. La CNIL est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

* ³Groupe de travail mis en place par les articles 29 et 30 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, in JOCEL 281 du 23 novembre 1995.

* ⁴Barnes (J.), Classes et comitésenparoisse de l'îlenorvégienne, Human Relations 1954, n°7, article reproduit par Leinhardt (S.), dans les réseauxsociaux : un paradigme de développement, Academic Press, New York, 1977.

* ⁵ M Technologies, Asmallworld, le réseau social le plus huppé de la planète Web, http://www.lemonde.fr/technologies/article/2007/11/26/asmallworld-le-reseau-social-le-plus-huppe-de-la-planete-web_982597_651865.html#pFvvCwCRaGdWYGV0.99 (Consulté le 19 octobre 2016).

* ⁶Babiconnect, réouverture très prochaine du réseau social ivoirien, https://m.youtube.com/watch?v=rpSRTCp6WF8 (Consulté le 19 octobre 2016).

* ⁷ Wikipédia, La théorie des 6 degrés de séparation, https://fr.wikipedia.org/wiki/Frigyes_Karinthy (Consulté le 19 octobre 2016).

* ⁸ Wikipédia, Expérience de Milgram, https://fr.wikipedia.org/wiki/Exp%C3%A9rience_de_Milgram (Consulté le 19 octobre 2016).

* ⁹ La customereXperience, Les 6 degrés de séparation ou la «théorie du petit monde», https://blog.aliston.fr/2010/06/les-6-degres-de-separation-ou-la-theorie-du-petit-monde/ (Consulté le 19 Octobre 2016).

* ¹⁰ Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, in JORCI, 8 août 2013.

* ¹¹ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 1.

* ¹² Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 47.

* ¹³ MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, pp 66-67.

* ¹⁴ARTCI, Communiqué de l'ARTCI mis à jour le 19/10/2015, invitant les organes publics et privés à soumettre leurs traitements de données à autorisation ou déclaration auprès des services de l'ARTCI. http://artci.ci/index.php/secteurs-regules/2013-10-04-13-43-23/(consulté le 24 avril 2016).

* ¹⁵Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 5 : « Le traitement des données à caractère personnel est soumis à une déclaration préalable auprès de l'Autorité de protection des données à caractère personnel ».

* ¹⁶ ARTCI, Décisions, http://www.artci.ci/index.php/decision/decision/ (Consulté le 19 octobre 2016).

* ¹⁷ Afrique news, plus d'un million d'utilisateurs de Facebook, http://www.afriqueitnews.com/2014/04/16/cote-divoire-plus-dun-million-dutilisateurs-de-facebook-infographie/ (Consulté le 20 octobre 2016).

* ¹⁸Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 53 « : Les responsables de traitement de données à caractère personnel disposent d'un délai de six mois, à compter de la date de l'entrée en vigueur de la présente loi, pour se mettre en conformité avec ses dispositions ».

* ¹⁹La Commission Nationale de l'Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

* ²⁰Legifrance, Procès-verbaux de contrôle sur place n° 2015-091/1 et n° 2015-091/2 des 8 et 9 avril 2015, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000031997148&fastReqld=1903052955&fastPos=1/ (consulté le 19 octobre 2016).

* ²¹ La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/ (consulté le 19 octobre 2016).

* ²²Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 7.

* ²³ Loi n°2009-09 du 27 avril 2009 portant protection des données à caractère personnel en République du Bénin, Article 43 : «Les traitements ci-après indiqués ne peuvent être mis en oeuvre qu'après l'autorisation et le contrôle préalable de la Commission en raison des risques particuliers pour les droits et libertés ou lorsque leur contenu et leurs finalités sont susceptibles de porter atteinte à la vie privée de la personne concernée par un traitement de données à caractère personnel ».

* ²⁴Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 18.

* ²⁵Yookos, Inscription, http://www.yookos.com/login/?next=/ (Consulté le 19 octobre).

* ²⁶L'article 32 de la loi du 6 janvier 1978 modifiée impose « de fournir aux personnes concernées, sur le formulaire de collecte des données, des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant ».

* ²⁷ Facebook, Conditions et politique de confidentialité de Facebook, WWW.Facebook.com(consulté le 29 septembre 2016).

* ²⁸ La CNIL, Les guides de la CNIL, https://www.cnil.fr/sites/default/files/typo/document/CNIL_Guide_enseignement.pdf (Consulté le 19 octobre 2016).

* ²⁹ MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, P. 62.

* ³⁰ Facebook, Conditions et politique d'utilisation, https://fr-fr.facebook.com/about/privacy#

(Consulté le 19 octobre 2016).

* ³¹ La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/ (consulté le 19 octobre 2016).

* ³² La CNIL, Communiqué du groupe de travail de l'article 29, https://www.cnil.fr/fr/communique-du-groupe-de-travail-de-larticle-29 (Consulté le 01 novembre 2016).

* ³³ DUPUS (M.), la vie privée à l'épreuve réseaux sociaux, www.Lamy.fr (consulté le 29 février 2016).

* ³⁴ La CNIL, Décision n° 2015-091C du 17 mars 2015, de la Présidente de la Commission nationale de l'informatique et des libertés de procéder à des missions de vérification des traitements de données à caractère personnel mis en oeuvre par la société FACEBOOK Inc., https://www.cnil.fr/(consulté le 19 octobre 2016).

* ³⁵ La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/ (consulté le 19 octobre 2016).

* ³⁶ Facebook, ajouter des amis qui ne sont pas encore sur Facebook, https://m.facebook.com/home.php (Consulté le 27 octobre 2016).

* ³⁷ Facebook, Quels types d'informations recueillons-nous ? : https://fr-fr.facebook.com/about/privacy# (Consulté le 27 octobre 2016).

* ³⁸ La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/(consulté le 19 octobre 2016).

* ³⁹Legifrance, Procès-verbal de constatations en ligne n° 2015-401 du 15 décembre 2015, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000031997148&fastReqId=1903052955&fastPos=1 (Consulté le 19 octobre 2016).

* ⁴⁰MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, P. 5.

* ⁴¹ Facebook, Conditions et politique de confidentialité de Facebook, WWW.Facebook.com./ (consulté le 29 septembre 2016).

* ⁴²CJCE, gde ch., 23 mars 2010, aff.C-236/08, Google c/ Vuitton ; v. Boizard M., détermination de la qualité d'hébergeur : voyage en eaux troubles, RLDC 2013/101, n° 4970.

* ⁴³ Tribunal de Grande de Paris, Ordonnance de référé du 13 avril 2010, n° RG : 10/53340, Giraud c/ Facebook France.

* ⁴⁴Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, in JORF, 22 juin 2004.

* ⁴⁵ Loi n° 2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité, in JORCI, 12 août 2013.

* ⁴⁶Tribunal d'instance de Puteaux, 28 septembre 1999, société Axa ConseilIard et a. c/ M. C. Monnier eta., Gaz. Pal., 1er janvier 2000, p. 27, note MORAIN (E.).

* ⁴⁷ La CNIL, 21^ème Rapport d'activité, http://www.cnil.fr/ (consulté le 08 février 20016).

* ⁴⁸ COULIBALY (I.), La protection des données à caractère personnel dans le domaine de la recherche scientifique, Thèse, Université de Grenoble, 2011, 62 p.

* ⁴⁹ La CNIL, Procès-verbal de constatations en ligne n° 2015-401 du 15 décembre 2015, http://www.cnil.fr/ (Consulté le 08 février 2016).

* ⁵⁰ Facebook, Politique d'utilisation des données : quels types de données recueillons-nous ?, https://fr-fr.facebook.com/about/privacy (Consulté le 19 octobre 2016).

* ⁵¹ La CNIL, Mise en demeure FACEBOOK de se conformer, dans un délai de trois mois, à la loi informatique et libertés, http://www.cnil.fr/ (consulté le 08 février 20016).

* ⁵²Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 14 « Le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement préalable. Toutefois, il peut être dérogé à cette exigence du consentement préalable lorsque le responsable du traitement est dûment autorisé et que le traitement est nécessaire: au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ; à l'exécution d'un contrat auquel la personne concernée est partie à l'exécution de mesures précontractuelles prises à sa demande ; à la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée ;...».

* ⁵³ Facebook, Ajouter des amis qui ne sont pas encore sur Facebook, https://m.facebook.com/home.php (Consulté le 27 octobre 2016).

* ⁵⁴ Groupe de travail « article 29 » sur la protection des données, avis 5/2009 sur les réseaux sociaux en ligne adopté le 12 juin 2009, pp 6- 7.

* ⁵⁵ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 40 «Le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ».

* ⁵⁶ Jurisprudence, réseaux sociaux et données personnelles, http://www.juristedunumerique.com (Consulté le 19 février 2016).

* ⁵⁷ Facebook, conditions d'utilisation, http://www.facebook.com/ (Consulté le 08 février 2016).

* ⁵⁸Cour de justice de l'Union européenne, 6 octobre 2015, communique de presse n° 117/15, Luxembourg 2015, p. 3, affaire C-362/14 MaximillianSchrems / Data Protection Commissioner.

* ⁵⁹ La CNIL, La carte des pays présentant un niveau de sécurité suffisant, https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde (Consulté le 08 février).

* ⁶⁰Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 15 « La collecte, l'enregistrement, le traitement, le stockage, la transmission et l'interconnexion de fichiers des données à caractère personnel doivent se faire de manière licite et loyale ».

* ⁶¹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 16.

* ⁶²La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/(consulté le 19 octobre 2016).

* ⁶³Loi n°010-2004 du 20 avril 2004 portant protection des données à caractère personnel en République du Burkina-Faso, article 52 « le fait, sans l'accord de la Commission de l'Informatique et des libertés, de conserver des informations sous une forme nominative au-delà de la durée prévue à la demande d'avis ou à la déclaration préalable à la mise en oeuvre du traitement informatisé est puni de trois (03) mois à cinq ans (05) ans d'emprisonnement et de cinq cent mille (500 000) à deux millions (2 000 000) de francs CFA d'amende ».

* ⁶⁴ POULLET (Y.), La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ?, http://www.legipresse.com/011-38088-La-loi-des-donnees-a-caractere-personnel-un-enjeu-fondamental-pour-nos-societes-et-nos-democraties-1.html (Consulté le 5 décembre 2016).

* ⁶⁵COUMET (C.), Données personnelles et réseaux sociaux,Mémoire, Université Paul Cézanne U III, 2008-2009, 21 p.

* ⁶⁶ COULIBALY (I), la protection des données à caractère personnel dans ledomaine de la recherche scientifique, Thèse, Université de Grenoble, 2011, 48 p.

* ⁶⁷ Ibidem

* ⁶⁸ Ibidem

* ⁶⁹ MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, P. 60.

* ⁷⁰La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/(consulté le 19 octobre 2016).

* ⁷¹ Facebook, Quels types d'informations recueillons-nous ? : https://fr-fr.facebook.com/about/privacy#(Consulté le 27 octobre 2016).

* ⁷² Facebook, Paramètres généraux du compte, www.facebook.com (Consulté le 27 octobre 2016).

* ⁷³Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 33 « La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données ...».

* ⁷⁴Whatsapp, Conditions et politique de confidentialité, http://www.whatsapp.com/ (Consulté le 19 octobre 2016).

* ⁷⁵ Facebook, conservation des données, https://www.facebook.com/about/privacy# (Consulté le 09 novembre 2016).

* ⁷⁶ Acte additionnel A/SA 1/01/10 de la CEDEAO (Communauté économique des États d'Afrique de l'Ouest) relatif à la protection des données à caractère personnel dans l'espace CEDEAO, adopté le 16 février 2010.

* ⁷⁷Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 46.

* ⁷⁸ Décret n°2013-333 du 22 Mai 2013 portant nomination des membres du Conseil de Régulation de l'Autorité Régulation des télécommunications/TIC de Côte d'Ivoire, in JORCI, 01 juillet 2013.

* ⁷⁹Décret n° 2013-333 du 22 Mai 2013 portant nomination des membres du Conseil de Régulation de l'Autorité Régulation des télécommunications/TIC de Côte d'Ivoire, in JORCI, 01 juillet 2013.

* ⁸⁰ ARTCI,Décisions, http://artci.ci/index.php/decisions/decisions/ (Consulté le 19 octobre 2016).

* ⁸¹Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 47 dernier alinéa.

* ⁸² La CNIL, Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 https://www.cnil.fr/fr/deliberations (Consulté le 19 octobre 2016).

* ⁸³ OUEDRAOGO (M.), Protection des données personnelles et de la vie privée en Afrique, www.cil.bf (Consulté le 8février 2016).

* ⁸⁴ Facebook,Page officielle de l'ARTCI, https://fr-fr.facebook.com/artcipageofficielle/ 

https://www.facebook.com/artcipageofficielle/photos/a.319709318177429.1073741827.319704324844595/616450815169943/?type=1&theater (Consulté le 10 novembre 2010).

* ⁸⁵ ARTCI, Site officielle, www.artci.ci (Consulté le 8février 2016).

* ⁸⁶ ARTCI, Décisions portant création du CCDCP, http://www.artci.ci/images/stories/pdf/decisions_conseil_reg/decision_2015_0060_conseil_regulation.pdf (Consulté le 19 octobre 2016).

* ⁸⁷ Décision 2015-0060 du Conseil de régulation de l'autorité de régulation des Télécommunications/TIC de Côte d'Ivoire en date du 27 avril 2015 portant création et composition du Comité Consultatif pour la Protection des données à Caractère personnel, article 1^er .

* ⁸⁸Décision 2015-0060 du Conseil de régulation de l'autorité de régulation des Télécommunications/TIC de Côte d'Ivoire en date du 27 avril 2015 portant création et composition du Comité Consultatif pour la Protection des données à Caractère personnel, article 2.

* ⁸⁹ Vie publique, Loi portant création de la CNIL, www.vie-publique.fr (Consulté le 19 novembre 2016).

* ⁹⁰ CIL, Loi portant création de la CIL, WWW.cil.bf  Consulté le 19 novembre 2016).

* ⁹¹ Coulibaly (I.), Petit tour d'horizon international de quelques erreurs législatives et jurisprudentielles, http://www.village-justice.com/articles/Protection-des-donnees,17540.html (Consulté le 05 décembre 2016).

* ⁹²Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 3.

* ⁹³ Coulibaly (I.), Petit tour d'horizon international de quelques erreurs législatives et jurisprudentielles, http://www.village-justice.com/articles/Protection-des-donnees,17540.html (Consulté le 05 décembre 2016).

* ⁹⁴L'Unesco, Statiques de l'Unesco, http://news.abidjan.net/h/471283.html (Consulté le 19 octobre 2016).

* ⁹⁵Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 3.

* ⁹⁶ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 3 alinéa 2.

* ⁹⁷ Loi informatique et libertés du 6 janvier 1978 modifiée par la loin°2004 du 06 août 2004, article 2.

* ⁹⁸Loi informatique et libertés du 6 janvier 1978 modifiée par laloi n°2004-801 du 6 août 2004, article 2, in JORF, 7 août 2004.

* ⁹⁹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 22.

* ¹⁰⁰ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 21.

* ¹⁰¹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 45.

* ¹⁰²Loi n°001/2011 relative à la protection des données à caractère personnel, article 110.

* ¹⁰³ Loi n°010-2004 relative à la protection des données personnel, articles 46 à 54.

* ¹⁰⁴NEUER (L.), Réseaux sociaux : quels risques pour les internautes ?, http://www.lepoint.fr/actualites-societe/2008-08-29/reseaux-sociaux-quels-risques-pour-les-internautes/1597/0/269912 (Consulté le 9 décembre 2016).

* ¹⁰⁵OUEDRAOGO (M.), Protection des données personnelles et de la vie privée en Afrique, www.cil.bf(Consulté le 8février 2016).

* ¹⁰⁶ COULIBALY (I.), La difficile appréhension du droit émergent des NTIC en Côte d'Ivoire, http://www.village-justice.com/articles/difficile-apprehension-droit,18339.html#SALiq0wsldgElWG7.99 (Consulté le 09 décembre 2016).

* ¹⁰⁷DAGNAUD (M.), Les jeunes et les réseaux sociaux : de la dérision à la subversion, https://lectures.revues.org/11569 (Consulté le 19 décembre 2016).

* ¹⁰⁸ Dani (C.), GARINO (L.), Quels droit pour les réseaux sociaux ?, 

* http://www.frenchweb.fr/la-bible-de-linternet-et-les-previsions-de-mary-meeker/118340 (Consulté le 19 octobre 2016).

* ¹⁰⁹Ligue des droits de l'Homme, Protection des données personnelles : Analyse comparée des législations et des pratiques dans neuf pays européens dans le contexte du cadre juridique européen, http://www.ldh-france.org/IMG/pdf/SynthesfrancaisFINALcorr-BD.pdf (Consulté le 9 décembre 2016).

* ¹¹⁰ Assiste, Mot de passe : Un bon mot de passe, http://assiste.com/Mots_de_passe.html (Consulté le 19 octobre 2016).

* ¹¹¹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 41.

* ¹¹²Inecdot, interconnexion réseau et logiciel libre, https://www.inetdoc.net/guides/tutoriel-secu/tutoriel.securite.failles.html (Consulté le 19 octobre 2016).

* ¹¹³ Wikipédia, Vulnérabilité (informatique), https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9(Consulté le 19 octobre).