La protection des données à caractère personnel sur les réseaux sociaux: le cas de la Côte d'Ivoire( Télécharger le fichier original )par Mandan naomi esther Boto Université Catholique de l'Afrique de l'Ouest - Master 2 droit des TIC 2017 |
Paragraphe 2 : Un traitement détourné de sa finalitéSelon la loi ivoirienne relative à la protection des données à caractère personnel, les données collectées doivent permettre la réalisation de la finalité déclarée par le responsable du traitement. Ainsi, les données collectées ne peuvent être conservées pendant une durée qui excède le temps nécessaire à la réalisation de la finalité. Nonobstant cette disposition, les données collectées auprès des utilisateurs des réseaux sociaux sont conservées pendant une durée indéterminée. Ces données sont conservées au-delà de la réalisation de la finalité pour laquelle elles ont été collectées(A). En outre, les données ainsi conservées sont commercialisées(B) car elles sont devenus une véritable richesse et une source de revenus. A- La conservation des données au-delà de la réalisation de la finalité Il existe une possibilité de collecter les données à caractère personnel mais selon des procédures déterminées par la loi et par des moyens licites60(*). Pour le traitement de données personnelles, la loi requiert une finalité déterminée, légitime, explicite61(*). Ainsi pour la réalisation de la finalité, la loi permet la conservation des données collectées. Cependant, cette conservation ne doit pas excéder le temps nécessaire à la réalisation de la finalité déclarée. C'est ce qui ressort de l'article 16 alinéa 3 de la loi ivoirienne relative à la protection des données personnelles. Les données « doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ». L'interdiction faite aux responsables du traitement de conserver les données collectées au-delà de la réalisation de la finalité est appuyée, par l'article 43, en ces termes : « les données à caractère personnel sont conservées pendant une durée fixée par l'Autorité de protection des données en fonction des finalités de chaque type de traitement pour lesquelles elles ont été recueillies, conformément aux textes en vigueur ». La loi informatique et libertés semble épouser cet ordre d'idées puisqu'elle va dans le même sens que la loi ivoirienne.En effet, l'article 6-5° de la loi informatique et libertés du 6 janvier 1978 modifiée, prévoit que : «les données collectées sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire auxfinalités pour lesquelles elles sont collectées et traitées ». Toutefois, la CNIL a constaté que la société propose aux inscrits une fonctionnalité « télécharger l'archive », qui permet de recevoir une copie des données que vous avez publiées sur Facebook. La délégation a notamment constaté que, dans l'onglet « sécurité » de cette archive, figure la liste des différentes adresses IP utilisées par les inscrits pour se connecter à leurs comptes, et ce depuis le 9 avril 2015, date d'ouverture d'un compte sur le site Facebook.compar la CNIL. Ces données sont conservées en vue de lutter contre l'usurpation de compte. Or, si la nécessité de lutter contre les usurpations de compte peut justifier de conserver ces données, il n'apparaît pas proportionné de les conserver pendant une durée supérieure à 6 mois. Pour la CNIL, ces faits sont de nature à constituer un manquement à l'obligation de ne pas conserver les données collectées au-delà de la réalisation de la finalité62(*). Ces dispositions sont tout à fait compréhensibles car la finalité est le but même de la collecte, si donc le but est réalisé, à quoi servirait toute conservation de données ? Les données collectées doivent donc être suivies de façonméticuleuse.Sur ce point, le législateur burkinabé, contrairement au législateur ivoirien, a assorti la conservation des données, au-delà de la réalisation de la finalité, d'une peine d'emprisonnement63(*). Cette solution présente un souci de protection des données collectées et une volonté de dissuasion des responsables de traitement ayant la volonté manifeste de s'adonner à de telle pratique. Le législateur ivoirien devrait emboîter le pas au législateur burkinabé dans le souci d'une protection efficace. B- La commercialisation des données Le principe même des réseaux sociaux est de donner des informations personnelles sur sa vie : ses loisirs, ses centres d'intérêts, ses goûts musicaux ou cinématographiques,ainsi que sa ville, sa date de naissance, allant jusqu'à ses opinions politiques ou religieuses ou encore ses préférences sexuelles. L'essence même des réseaux sociaux est de rendre publique une vie considérée originellement comme privée. Il s'agit en quelque sorte d'un journal intime qui permet de raconter sa vie à ses amis ou contacts. Si les personnes ont plus ou moins conscience des conséquences de cette publicité, il n'en demeure pas moins que le phénomène de publicité de la vie privée se développe de plus en plus. Si l'on regarde les chiffres de vente des magazines « people », on note l'intérêt majeur que portent les lecteurs à la vie privée des célébrités. Il n'est pas étonnant que ces mêmes personnes portent un intérêt à la vie de leurs amis. Chaque utilisateur choisit, lors de son inscription quelles informations il souhaite donner et qui aura accès à ses informations. En effet, à chaque inscription, l'hébergeur demande un certainnombres d'informations personnelles. S'ajoutent aux données livrées volontairement un certain nombre de données « connexes », livrées lors de la navigation sur Internet, a fortiori sur les réseaux sociaux, telles que les données de connexion et adresses.En outre, de nombreuses informations peuvent être livrées par des tiers notamment les amis et contacts. Cela se traduit essentiellement par la mise en ligne sur le réseau de photos et vidéos « taggées » c'est-à-dire que les personnes figurant sur la photo sont nommées. La réunion de toutes ces données permet aux réseaux sociaux de tout connaître de leurs utilisateurs : leurs goûts, leurs loisirs. « L'agrégation de données en provenance de diverses bases de données permettra de déduire avec un taux de 89% de certitude que la composition de tel panier d'achat par un consommateur se présentant dans une grande surface à telle heure de la journée induit le fait que cette personne est vraisemblablement célibataire, amateur de voyages lointains et fraudeur potentiel64(*) ». Les annonceurs, pour obtenir ce genre d'informations, devraient systématiquement demander le consentement exprès des consommateurs. Or peu de gens acceptent de donner dans une optique «marketing», ce genre d'informations. Les gens, à juste titre, refusent de donner ces informations à n'importe qui ; surtout aux annonceurs. Alors que les choses sont différentes pour les réseaux sociaux. Les internautes donnent leurs informations parce qu'ils le décident, le veulent. Même s'ils ont une faible conscience de ce qu'ils donnent, ils le font volontiers. En effet, plutôt que de lancer des campagnes publicitaires à grande échelle pour qu'un maximum de gens soit touché, il revient nettement moins cher de cibler la publicité. C'est-à-dire que sur chaque page d'un utilisateur d'un réseau social, la publicité correspondra tout-à-fait à ses goûts et la publicité est alors plus susceptible de l'intéresser. Si le profilage a montré qu'un utilisateur était passionné de cinéma, les fabricants de télévisions souhaiteront diffuser une publicité sur sa page plutôt que de diffuser une publicité sur la page d'un autre utilisateur qui affirme ne pas regarder la télévision. L'annonceur est gagnant à tous points de vue : il économise de l'argent sur la campagne publicitaire et il récupère plus de clients du fait du ciblage. Ces différentes données sont alors du pain béni pour les annonceurs. Le rachat de ces informations représente un enjeu important pour les publicitaires65(*) , carl'information personnelle seprésente aujourd'hui, comme« un bien économique de première importance» 66(*); « uneressource fondamentale au même titre que l'énergie»67(*) et est donc intégrée dans unvéritable marché68(*). Selon une étude du Boston Consulting Group publiée en 2012, intitulée « La valeur de notre identité numérique», la valeur totale des données personnelles des citoyens européens représenterait 330 milliards d'euros par an pour les organisateurs publiques et privées (gains de productivité et conquête de nouveaux marchés).La libéralisation de l'usage de ces données amènerait égalementun gain potentiel de 670 milliards d'euros par an pour les consommateurs69(*). Certains juristes proposent que la loi évolue pour rendre l'individu pleinementpropriétaire de ses données. Il pourrait alors à sa guise les louer ou les vendre. Toutefois, une telle évolution serait contraire à l'esprit de la loi actuelle, qui fait de la protection de la vie privée et des données personnelles un droit intangible :on ne peut ni y renoncer ni le vendre. Elle necorrespond pas non plus à ce que l'on entend communément par le concept de propriété. Onconsidèretraditionnellementque le droit de propriété se décline en trois éléments issus du droit romain : le fructus, l'usus et l'abusus. Le fructus est le droit de profiter des revenus et produits de sa propriété, l'usus est le droit d'utiliser celle-ci et l'abusus est le droit de la détruire ou de la vendre. On voit bien qu'il est difficile d'appliquer ces concepts à des données personnelles : si l'on comprend ce que pourrait être le droit de tirer un profit d'une donnée personnelle, on voit mal comment on pourrait transférer à autrui le droit de l'utiliser à sa place, voire la détruire. Pourrait-on ainsi vendre une donnée aussi éminemment personnelle que son identité ? * 60Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 15 « La collecte, l'enregistrement, le traitement, le stockage, la transmission et l'interconnexion de fichiers des données à caractère personnel doivent se faire de manière licite et loyale ». * 61Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 16. * 62La CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.cnil.fr/(consulté le 19 octobre 2016). * 63Loi n°010-2004 du 20 avril 2004 portant protection des données à caractère personnel en République du Burkina-Faso, article 52 « le fait, sans l'accord de la Commission de l'Informatique et des libertés, de conserver des informations sous une forme nominative au-delà de la durée prévue à la demande d'avis ou à la déclaration préalable à la mise en oeuvre du traitement informatisé est puni de trois (03) mois à cinq ans (05) ans d'emprisonnement et de cinq cent mille (500 000) à deux millions (2 000 000) de francs CFA d'amende ». * 64 POULLET (Y.), La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ?, http://www.legipresse.com/011-38088-La-loi-des-donnees-a-caractere-personnel-un-enjeu-fondamental-pour-nos-societes-et-nos-democraties-1.html (Consulté le 5 décembre 2016). * 65COUMET (C.), Données personnelles et réseaux sociaux,Mémoire, Université Paul Cézanne U III, 2008-2009, 21 p. * 66 COULIBALY (I), la protection des données à caractère personnel dans ledomaine de la recherche scientifique, Thèse, Université de Grenoble, 2011, 48 p. * 67 Ibidem * 68 Ibidem * 69 MATTATIA (F.), Internet et les réseaux sociaux : que dit la loi ? , 2 éd, Paris, Ed EYROLLES, 2016, P. 60. |
|