La protection des données à caractère personnel sur les réseaux sociaux: le cas de la Côte d'Ivoire( Télécharger le fichier original )par Mandan naomi esther Boto Université Catholique de l'Afrique de l'Ouest - Master 2 droit des TIC 2017 |
Paragraphe 2 : Une collecte étendue aux non-membres des réseaux sociauxLes profils des membres de Facebook sont alimentés par des statuts, des photos personnelles ou des photos des membres de leurs familles ou de leurs ami(e)s.Ainsi, les réseaux sociaux par le biais de leurs membres collectent des données personnelles de personnes étrangères à leur réseau (A). La collecte des données des non-membres ne se limite pas seulement aux données fournies par les membres des réseaux sociaux. Il peut arriver que ces réseaux collectent des données de simples visiteurs (B). A-Une mise à disposition des données des non-membres par des utilisateurs Le profil ouvert auprès d'un réseau social est une véritable mine de renseignements nourrie par les multiples traces laissées sur la toile par des années de navigation. On observera encore que la divulgation d'informations ou de photos peut être le fait d'un tiers, par exemple l'un de ses amis. Il n'est pas non plus rare que la victime de ces indiscrétions soit étrangère au réseau où elles sont publiées40(*).Cette publication de données d'amis, des membres de sa famille ou de proches est faite très souvent sans l'accord des personnes concernées. Ce qui les prive de toute possibilité de réaction puisqu'elles ignorent toute divulgation et cela a souvent un impact sur la vie de ces dernières. Cette situation est une violation des droits de protection des données des personnes concernées. Les réseaux sociaux sont responsables des traitements de données y compris celles relatives à des non-membres. Dès lors, leur responsabilité sera celle de tout responsable de traitement. Toutefois, il serait difficile d'engager leur responsabilité. Aux termes de l'article 14 de la loi ivoirienne susmentionnée : « le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement. Toutefois, il peut être dérogé à cette exigence du consentement préalable à la collecte, lorsque le responsable du traitement est dûment autorisé et que le traitement est nécessaire : - Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; - A l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ; - A l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à sa demande ; - A la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée ;... ». Il est nécessaire de signaler que la collecte effectuée par ces réseaux sociaux ne fait pas partir des cas d'exemption prévus par l'article 14. L'article 15 vient appuyer cette disposition en prévoyant que :« la collecte, l'enregistrement, le traitement, le stockage, la transmission et l'interconnexion de fichiers des données à caractère personnel doivent se faire de manière licite et loyale ».Si donc ce qui est légitime est ce qui répond aux conditions, aux qualités requises par la loi et que la loi requiert l'expression du consentement de la personne concernée pour la légitimation du traitement, alors, en l'absence de consentement de la personne concernée, un tel traitement doit être considéré comme illégitime voire illicite.Cependant, cette solution est-elle adaptable aux réseaux sociaux ? En effet, ces réseaux sociaux n'ont pas toujours connaissance du contenu des profils des membres. Aussidans les conditions générales d'utilisation du réseau social Facebook, au chapitre consacré aux droits d'autrui, il est interdit de publier des informations qui peuvent enfreindre aux droits d'autrui ou autrement enfreindre à la loi41(*). - En prévoyant de telles dispositions, leur responsabilité peut-elle êtredégagée ? - A quel régime de responsabilité sont-ils soumis ? A la question du régime de responsabilité des réseaux sociaux, la jurisprudence française apporte une solution satisfaisante. Elle considère les réseaux sociaux comme de simples hébergeurs42(*), ce qui signifie qu'ils bénéficient d'un régime de responsabilité allégé43(*). Cette solution transparaît dans la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Aux termes des articles 6.I.2 et 6.I.344(*)de ladite loi, « les hébergeurs nepeuvent pas voir leur responsabilité civile et pénale engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible ». L'article 46 de la loi ivoirienne relative à la lutte contre la cybercriminalité45(*) reprend les termes de la loi française.En outre, selon les termes de l'article 6.I.7 de la loipour la confiance dans l'économie numérique, les hébergeurs ne sont pas soumis « à une obligation générale de surveiller les informations qu'elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».A titre d'exemple, le tribunal d'instance de Puteaux dans son jugement du 28 septembre 199946(*) suit cette position au sujet d'une affaire de diffamation sur des pages personnelles. La juge a réfuté toute assimilation du fournisseur d'hébergement à un directeur de publication, considérant qu'il « n'intervient en aucune façon sur l'émission des données » et qu'il n'est pas en mesure d'en « déterminer le thème ni le sujet », qu'il ne peut « ni sélectionner, ni modifier les informations avant leur accessibilité sur internet » et que dans ces conditions il ne dispose d'aucune maîtrise sur le contenu des informations avant que celles-ci ne soient disponibles sur l'internet. De ce qui précède, l'hébergeur qui, par définition et a priori, ne connaît pas le contenu qu'il héberge, n'a pas à procéder spontanément à des contrôles et n'est pas responsable du caractère éventuellement illégal des contenus. Tout comme la poste n'est pas responsable si une lettre contient des injures ou de la diffamation. En revanche, lorsque le caractère illégal du contenu lui est signalé, il a la responsabilité d'agir rapidement pour rendre celui-ci inaccessible. Cette position de la jurisprudence française semble plus adaptée au cas d'espèce car elle paraît opportune. B-Une collecte de leurs données à leur insuSi le risque d'une collecte de données à l'insu des personnes concernées est bien réel dans des hypothèses de recours à un tiers détenteur de ces données, la technologie permet aujourd'hui de collecter des informations sur les personnes sans nécessairement passer par des tiers. Des dispositifs technologiques47(*) telle que la RFID rendent possible une telle collecte de données, fonctionnant sur la base de la lecture ou de l'identificationd'objets détenus par les personnes48(*). Ainsi, les réseaux sociaux collectent les données à caractère personnel de simples visiteurs. Aussi, la navigation de l'internaute peut également être espionnée à son insu. S'appuyant sur le réseau social Facebook49(*), il faut relever la collecte d'informations sur tous les internautes qui visitent des pages comportant son bouton « j'aime », même si ceux-ci ne sont pas membres de Facebook.Le réseau social recueille ainsi les adresses IP (Une adresse IP est un numéro unique permettant à un ordinateur de communiquer dans un réseau)50(*) ; de tous les visiteurs de ces pages et tous les éléments de leur navigation sur le site, cela bien entendu sans leur consentement. En outre pourd'autresréseaux sociaux, dès l'instant où un internaute visite leur site, des logiciels espions sont disposés pour collecter des informations sur ce dernier51(*) nonobstant le fait que « toute collecte de donnéesdoit se faire avec le consentement de la personne concernée sauf cas d'exemption»52(*). Ainsi à la lecture de l'article 14 de la loi ivoirienne relative à la protection des données à caractère personnel, ce traitement effectué par les réseaux sociaux est illégitime. Donc mis en oeuvre en violation des droits des personnes concernées. Par ailleurs, le réseau social Facebook invite ces membres à ajouter des contacts de leurs amis. Cet ajout d'amis qui ne sont pas inscrits sur ce réseau social permettra de les contacter lorsqu'ils auront un compte53(*). Il faut signifier que cette collecte est faite à leur insu. Cette situation présente un danger pour la protection des données à caractère personnel car la collecte et la finalité du traitement sont méconnues par les personnes concernées. CHAPITRE2 : INOBSERVATION DES OBLIGATIONS SUBSEQUENTES A LA COLLECTE DE DONNEES ACARACTERE PERSONNEL Le responsable du traitement doit traiter les données collectées selon la finalité déclarée. Ainsi, il ne peut traiter les données collectées contrairement à cette finalité. Aussi, il ne peut conserver les données collectées au-delà de la réalisation de cette finalité. Par ailleurs, il a le devoir de mettre tous les moyens en oeuvre pour sécuriser les données collectées. Toutefois, ces obligations ne sont pas respectées par les responsables de traitement (Section 1).Outre le non-respect des obligations susmentionnées, il faut noter que les droits reconnus aux personnesconcernées sontméconnus par les responsables de traitement (Section 2). Section 1 : Le non-respect des obligations tenant à la finalité et à la sécurité des données Conformément à la loi ivoirienne portant protection des données à caractère personnel, le responsable du traitement doit mettre en place un niveau de sécurité suffisant. En d'autres termes, le responsable du traitement doit mettre en oeuvre tous les moyens pour garantir la sécurité des données collectées. Toutefois, les réseaux sociaux font peser cette obligation sur leurs membres. Par ailleurs ces réseaux sociaux procèdent à des transferts de données qui présentent certains risques. Le niveau de sécurité se trouve alors affaibli(Paragraphe 1). Il incombe en outre aux réseaux sociaux de traiter les données collectées selon la finalité déclarée. La commercialisation et la conservation de ces données au-delà de la réalisation de cette finalité constituentune violation des règles relatives à la protection des données personnelles (Paragraphe2). * 40MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, P. 5. * 41 Facebook, Conditions et politique de confidentialité de Facebook, WWW.Facebook.com./ (consulté le 29 septembre 2016). * 42CJCE, gde ch., 23 mars 2010, aff.C-236/08, Google c/ Vuitton ; v. Boizard M., détermination de la qualité d'hébergeur : voyage en eaux troubles, RLDC 2013/101, n° 4970. * 43 Tribunal de Grande de Paris, Ordonnance de référé du 13 avril 2010, n° RG : 10/53340, Giraud c/ Facebook France. * 44Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, in JORF, 22 juin 2004. * 45 Loi n° 2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité, in JORCI, 12 août 2013. * 46Tribunal d'instance de Puteaux, 28 septembre 1999, société Axa ConseilIard et a. c/ M. C. Monnier eta., Gaz. Pal., 1er janvier 2000, p. 27, note MORAIN (E.). * 47 La CNIL, 21ème Rapport d'activité, http://www.cnil.fr/ (consulté le 08 février 20016). * 48 COULIBALY (I.), La protection des données à caractère personnel dans le domaine de la recherche scientifique, Thèse, Université de Grenoble, 2011, 62 p. * 49 La CNIL, Procès-verbal de constatations en ligne n° 2015-401 du 15 décembre 2015, http://www.cnil.fr/ (Consulté le 08 février 2016). * 50 Facebook, Politique d'utilisation des données : quels types de données recueillons-nous ?, https://fr-fr.facebook.com/about/privacy (Consulté le 19 octobre 2016). * 51 La CNIL, Mise en demeure FACEBOOK de se conformer, dans un délai de trois mois, à la loi informatique et libertés, http://www.cnil.fr/ (consulté le 08 février 20016). * 52Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 14 « Le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement préalable. Toutefois, il peut être dérogé à cette exigence du consentement préalable lorsque le responsable du traitement est dûment autorisé et que le traitement est nécessaire: au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ; à l'exécution d'un contrat auquel la personne concernée est partie à l'exécution de mesures précontractuelles prises à sa demande ; à la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée ;...». * 53 Facebook, Ajouter des amis qui ne sont pas encore sur Facebook, https://m.facebook.com/home.php (Consulté le 27 octobre 2016). |
|