WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso


par Hamidou SOUDRE
Ecole Superieure de Commerce et d'Informatique de Gestion - Master 2 droit des affaires et fiscalité 2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

3. L'obligation de notification

Cette obligation exige tout responsable de traitement de faire une déclaration de tels traitements des données auprès de la Commission Informatique et des Libertés146(*). Cette déclaration doit indiquer un certain nombre d'informations telles que l'indication147(*):

a) la personne qui présente la demande et celle qui a le pouvoir de décider de la création du traitement de données148(*) ou, si elle réside à l'étranger, son représentant au Burkina Faso ;

b) les caractéristiques, la finalité et s'il y a lieu, la dénomination du traitement de données ;

c) le service ou les services chargés de mettre en oeuvre celui-ci ;

d) le service auprès duquel s'exerce le droit d'accès ainsi que les mesures prises pour faciliter l'exercice de ce droit ;

e) les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées.

Lorsque les traitements automatisés de données à caractère personnel sont opérés pour le compte de l'Etat, d'un Etablissement public, d'une collectivité territoriale ou d'une personne de droit privé gérant un service public, il doit être décidé par décret pris après avis de la CIL149(*).

Cette obligation doit être exécutée par le responsable de traitement avant la mise en oeuvre de traitement des données personnelles au Burkina. C'est une formalité préalable au traitement des données personnelles. Au Burkina Faso cette procédure est battue en brèche en raison du fait que bon nombre d'entreprises ne la respectent qu'après le contrôle et la recommandation faits par l'autorité de contrôle (CIL)150(*). En 2010, la CIL a procédé à sa première vérification sur place conformément à l'article 37 de la LPDP auprès de plusieurs secteurs tels que le secteur d'identification Nationale (Office Nationale d'Identification), le secteur politique (Commission Electorale Nationale Indépendante), le secteur de téléphonie (Office Nationale de Télécommunication, TELECEL, ORANGE (ZEN à l'époque)) et le secteur cyber café et autres centres communication internet au Burkina Faso151(*). Au terme de ces missions, la CIL a constaté que ces secteurs n'ont pas accompli leur obligation de déclaration à la CIL, qu'en plus le droit au respect de la sécurité des données n'est pas respecté par ces secteurs d'activités152(*). Elle a ainsi formulé des recommandations portant sur l'obligation de déclaration des traitements des données à caractère personnel à la CIL, de sécurité dans le processus de traitement, le respect de principe de consentement préalable et de finalité des traitements, le principe de conservation limité des données personnelles, le principe de confidentialité, de sécurité des données personnelles , définitions des chartes de bonne utilisation des ordinateurs et de manière générale le respect des droits des personnes concernées par le traitement153(*). Ces responsables de traitement des données devraient se conformer à la LPDP dès son adoption en 2004. Cette violation tire sa source des faiblesses et des insuffisances de la CIL depuis sa création par le décret154(*).

En Europe, le régime de déclaration à la CNIL est aboli par le nouveau règlement et est remplacé par la déclaration au registre interne. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tient un registre des activités de traitement effectué sous leur responsabilité155(*). Ce registre comporte toutes les informations relatives aux données traitées, leurs destinataires... (Art 30 du règlement). Ce mécanisme serait bénéfique au Burkina Faso puisqu'il permet à la CIL de procéder au contrôle régulièrement afin de vérifier la conformité des traitements à la loi. Dans la pratique, la CIL après la déclaration et son contrôle à posteriori immédiat à la déclaration n'effectue aucun effort, elle se borne à attendre des plaintes auprès des personnes concernées avant de réagir à lors que ce dernier ignore souvent leurs droits. Ce qui est encore un obstacle à l'évolution de la jurisprudence en matière de traitement des données personnelles au Burkina Faso contrairement aux pays occidentaux.

L'analyse de l'obligation de notification, nous amène à nous intéresser celle de demander une autorisation de traitement.

4. L'obligation de demander une autorisation de traitement

Certains types de données impliquent qu'une autorisation soit donnée par l'autorité de contrôle avant le traitement156(*) : il s'agit

- des données génétiques et sur la recherche dans le domaine de la santé ;

- les données relatives aux infractions, condamnation ou mesure de sureté ;

- des données qui font l'objet d'une interconnexion ;

- les données constituées par le numéro national d'identification ou tout autre identifiant de même nature ;

- les données biométriques et les données ayant un motif d'intérêt public notamment à des fins historiques ou scientifiques.

En Europe le nouveau règlement prévoit un allègement des obligations en matière de formalités préalables.  La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs. Cet allègement a eu un impact pour le secteur de santé157(*).Pour les traitements suivants comportant des données de santé, les formalités à accomplir auprès de la CNIL disparaissent à certaines conditions :

· Les traitements pour lesquels la personne concernée a donné son consentement exprès ;

· Les traitements nécessaires à la sauvegarde de la vie humaine ;

· Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

· Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel (ex : dossier médical ou logiciel de gestion médico-administratif, télémédecine, PACS utilisé dans le domaine de l'imagerie médicale, etc.) ;

· Les traitements permettant d'effectuer des recherches à partir des données réalisées par le personnel assurant ce suivi, et destinées à leur usage exclusif (recherche « interne ») ;

· Les traitements mis en oeuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;

· Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans le cadre du PMSI local ;

· Les traitements effectués par les agences régionales de santé, par l'État et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du code de la santé publique et dans le cadre défini au même article ;

· Les traitements de données dans le domaine de la santé mis en oeuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la CNIL, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites.

Outres ces obligations, les responsables du traitement doit obéir aux obligations de perenité.

* 146 Article 19 de LPDP.

* 147 Article 42 de la LPDP et l'article 6 de l'acte additionnel CEDEAO.

* 148 Cet alinéa de l'article défini mal le responsable de traitement des données personnelles. Celui-ci ne crée pas des données, il traite des données.

* 149 Article 18 alinéa 1 de LPDP.

* 150 Rapport public, CIL ,2010.

* 151 Rapport public, CIL 2010, P. 12.

* 152 Idem p. 13 ;14 ;15 et 16.

* 153 Idem.

* 154 Dès sa création en 2004, c'est à partir de 2008 que la CIL a été réellement institué.

* 155 Ce mécanisme devrait être une leçon pour le Burkina dans la modification de la LPDP.

* 156 Article 12 de l'Acte Additionnel CEDEAO.

* 157 https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulté le « 23 02 2019 à 14h ».

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Aux âmes bien nées, la valeur n'attend point le nombre des années"   Corneille