Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina fasopar Hamidou SOUDRE Ecole Superieure de Commerce et d'Informatique de Gestion - Master 2 droit des affaires et fiscalité 2018 |
2. Union EuropéenneL'UE a consacré des directives(a) et un nouveau règlement sur la protection des données à caractère personnel(b) a. Les directives relatives à la protection des données à caractère personnelDirective 95/46/CELe 24 octobre 1995, la Commission adopte la directive 95/46/CE relative à la protection des données55(*), avec un double objectif : assurer la libre circulation des données entre Etats membres tout en garantissant un niveau équivalent de protection des données dans toute l'Union. La directive énonce les différents principes de licéité à respecter lors du traitement de données personnelles. Directive 2002/58/CE La Commission européenne constate que la directive de 1995 est déjà dépassée et qu'elle ne peut plus faire face aux nouveaux défis posés par les nouvelles technologies qui permettent une collecte et un stockage toujours plus important des données personnelles .Au vu de l'essor des données qui transitent par voie électronique, la Commission européenne a adopté,, en 2002 la directive 2002/58/CE relative au secteur des communications électroniques afin d'émettre des règles plus détaillées et particulières à ce domaine56(*). La directive de 2002 règle notamment les questions relatives aux cookies57(*)et au spamming58(*). Ainsi, la directive affecte directement sur les techniques de marketing des entreprises qui basent essentiellement leur politique commerciale sur une philosophie de personnalisation du client59(*).Une fois les directive évoqués nous analyserons le RGPD. b. Le nouveau règlement européen sur la protection des données à caractère personnelC'est le règlement n°2016/679 dit Règlement général sur la protection des données (RGPD ou encore GnDPR en anglais, General Data Protection Régulation)60(*). Ce texte de l'Union Européenne constitue aujourd'hui la référence en matière de protection des données à caractère personnel en raison du fait qu'elle renforce et unifie la protection des données des personnes concernées61(*). Dans la perspective de modernisation de la directive 95/46/CE, le nouveau règlement poursuit, comme objectif, le renforcement du contrôle de l'individu sur l'utilisation qui est faite de ses données, notamment en accentuant le rôle du consentement et le droit à l'information62(*) .L'article 3 du RGPD précise que le Règlement s'applique aux traitements des données effectués dans le cadre des activités d'un établissement, d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union ,que le traitement ait lieu ou non dans l'Union63(*). Le règlement général sur la protection des données a été adopté le 27 avril 2016. Il est entré en vigueur le 25 mai 2018 et les dispositions sont directement applicables dans l'ensemble des Etats membres le 25 mai 2018. Il tend également à responsabiliser les autorités, les entreprises, et toutes autres entités traitant de données personnelles64(*). Dans cette optique, le règlement établit pour la première fois, en matière de protection des données, un arsenal de sanctions en cas d'entorse allant jusqu'à des amendes pouvant atteindre les 20 millions d'euros ou 2 à 4% du chiffre d'affaires64(*). Un vent de panique souffle sur les entreprises inquiètes de ne pas être en conformité avec le nouveau règlement65(*). On peut raisonnablement penser que ce nouvel élément va imposer le respect de la nouvelle législation. Deux constats majeurs ont été à l'origine du RGPD66(*) : ü L'inefficacité révélée, en 2012, des lois nationales et communautaires à protéger les données personnelles des citoyens européens ; ü L'affaire SNOWDEN : relative à une surveillance de masse des citoyens européens par les États-Unis. Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens et services sur le marché européen, dès lors que leurs activités traitent des données personnelles des résidents de l'Union Européenne67(*). Seront donc concernés : - les entreprises ; - les associations ; - les organismes publics, mais aussi-les entreprises dont le siège est hors de l'Union Européenne, mais qui opèrent au sein de l'Union européenne et sur les données des citoyens de l'Union Européenne ; - enfin, les sous-traitants dont les activités entrent dans ce cadre. L'objectif primordial du RGPD est de donner aux citoyens européens des avantages de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données personnelles collectées, où sont-elles stockées, à quelles fins, à qui sont-elles transférées et jusqu'à quand ? En un mot, elle vise à garantir la protection des données personnelles et de la vie privée des citoyens européens partout responsable de traitement, quel que soit le pays d'origine68(*). Le principal enjeu pour les entreprises est de savoir, en un instant donné, où sont les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée69(*). Cela suppose que l'entreprise doit connaitre, à tout moment, les données dont elle dispose, leur localisation, l'objectif de leur collecte, leur mode de gestion, de stockage, de transfert et d'effacement. Les principes directeurs du RGPD sont prévus aux articles 30 à 37 du RGPD.Les principes directeurs du RGPD sont prévus aux articles 30 à 37 du RGPD.Il s'agit du principe de Accountabililty70(*), du principe de Privance by design71(*), du principe de Security by default72(*) ,du principe de Data Protection Officers73(*) (DPO)et le principe d'étude d'impact74(*). Il convient de relever que le RGPD vient engager davantage la responsabilité des responsables de traitement et celle des sous-traitants, renforcer les droits des personnes concernées, renforcer les sanctions pour lanon-conformité. Il est une législation de référence mondiale puisqu'il protège sans failles théoriquement les personnes concernées. Enfin, l'une de ses particularités fondamentales est son applicabilité extraterritoriale75(*). En effet, il s'adresse à tous les pays du monde et vise à contraindre les géants du Net que sont les GAFAM76(*) au respect des données personnelles des internautes. Après avoir évoqué le cadre juridique de l'Union Européenne, il nous a fallu souligner la législation onusienne et africaine. B. Législation onusienne et africaine Nous exposerons, dans un premier temps, la législation adoptée par les Nations Unies (1) et, dans un second temps, celle adoptée par l'Afrique (2). * 55 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. * 56Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Notons que cette directive sera ensuite modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques. * 57 Les cookies informatiques ou « traceurs de connexion » sont « des fichiers textes stockés sur un terminal (ordinateur, smartphone) par exemple lors de la consultation d'un site internet, de la lecture d'un mail. * 58 Le spamming correspond à l'envoi massif de courriers électroniques non sollicités, le plus souvent à des fins publicitaires. * 59 L. Marie, Protection des données à caractère personnel : le consentement à l'épreuve de l'ère numérique, op. ,cit., p.8. 14. * 60Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) adopté le 27 avril 2016 et rentra en vigueur le 25 mai 2018. * 61 M. OUEDRAOGO / BONANE, présidente CIL Burkina Faso, aperçu Règlement général sur la protection des données personnelles et ses implications dans les pays hors union européenne, documentation burkinabé, 2018, p .11. * 62 COMMISSION EUROPEENNE, Communiqué de presse du 4 novembre 2010 : « Une approche globale de la protection des données à caractère personnel dans l'Union européenne ». * 63Article 3 du nouveau RGPD. * 64 Cf. aperçu de M. OUEDRAOGO/BONANE sur les implications du Règlement général sur la protection des données personnelles, p.13. * 65 L.Marie, Protection des données à caractère personnel : le consentement à l'épreuve de l'ère numérique, op.,cit. p.14. * 66Cf. M. OUEDRAOGO/BONANE, sur les implications du Règlement général sur la protection des données personnelles, op.,cit. ,p. 11. * 67 Article 3-1et 2 du RGPD. * 68 Idem * 69 Dans le même sens, article 12 -1 du RGPD. * 70 L'Accountabililty qui introduit une logique de responsabilisation selon lequel, il revient à l'entreprise de prendre toutes les dispositions pour garantir sa conformité au RGPD et démontrer à l'Autorité de contrôle dont elle relève qu'elle a rempli ses obligations. * 71 Privacy by design signifie que la protection des données personnelles est prise en compte dès la conception du produit ou du service, notamment dans le système d'informations de l'entreprise, au sein d'une base de données, ou lors de la conception d'une application. * 72 Le principe de Security by default ou la sécurité par défaut consiste à renforcer le rôle de la sécurité dans le système d'information. En effet, le système d'information de l'entreprise doit être sécurisé à tous les niveaux, du physique au logique, avec par exemple, des contrôles d'accès ou des systèmes de prévention contre les failles éventuelles de sécurité ; l'entreprise doit être à mesure de déceler si son système d'information a été compromis et pouvoir y remédier en un temps record. Pour cela, elle doit limiter l'accès aux données personnelles, éviter les copies multiples et minimiser les données stockées. * 73 La désignation d'un Data Protection Officiers (DPO) ou délégué à la protection des données personnelles. Le DPO doit être associé aux différentes questions et problématiques de protection des données à caractère personnel de l'entreprise ; son rôle est de veiller à la conformité au RGPD des traitements effectués et d'être le point de contact avec les autorités de contrôle. * 74 La réalisation d'une étude d'impact : le RGPD recommande aux entreprises de réaliser une étude d'impact avant la mise en oeuvre de nouveaux traitements de données personnelles, qui pourraient potentiellement présenter des risques d'atteinte aux droits et aux libertés individuelles. * 75 Le RGPD s'applique hors de l'Union Européenne. * 76 GAFAM signifie Google, Apple, Facebook, Amazon et Microsoft. |
|