Protection des données à caractère personnel : que dit la Loi ?

Publié le Modifié le 19/06/2021 Vu 1 645 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Nous les communiquons de manière quotidienne et leurs fuites peuvent nous rendre vulnérables (...) Pourtant nous ne savons que très peu les droits et obligations qui s’y attachent.

Nous les communiquons de manière quotidienne et leurs fuites peuvent nous rendre vulnérables (...) Pourtant

Protection des données à caractère personnel : que dit la Loi ?

Elles sont encadrées par la Loi N°007/PR/2015 portant Protection des Données à Caractère Personnel[1], qui est l’une des plus complètes en Afrique et ayant pour objet la protection des citoyens ainsi que la responsabilisation de toute personne pouvant accéder à leurs données.

Qu’est-ce qu’une donnée personnelle ?

Est qualifiée d’une donnée personnelle, toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique[2].

Il s’agit donc des informations relatives au nom, à l’adresse, au numéro de téléphone ou d’une pièce d’identité, à l’adresse IP (…), communiquées à des responsables de traitement ou sous-traitants (Etat, collectivités locales, personne physique, personne morale de droit public ou privé).

Toutefois, la Loi de 2015 ne se limite pas aux seules données personnelles énoncées ci-dessus. Elle régit également les données dites génétiques (en rapport avec les caractères héréditaires d’une personne) et les données sensibles (opinions ou activités religieuses, politique, syndicale, santé, etc.).

Toutes ces données ne peuvent être traitées que sur consentement indubitable[3] de la personne concernée. L’acteur à qui de telles informations sont communiquées est tenu de les traiter avec la plus grande transparence. C’est dire qu’il doit les user dans un but déterminé en faisant preuve de licéité, de loyauté, d’explicité, de légitimité, d’exactitude, d’adéquation et de pertinence.

Autorisation préalable de l’autorité compétente

Evidemment, les acteurs ayant accès aux données personnelles, sensibles et génétique ne peuvent se permettre (de manière automatisée ou non) de les collecter, stocker, transmettre et/ou traiter, sans l’aval ou l’avis[4] de l’Agence Nationale de Sécurité Informatique et de Certification Electronique (ANSICE)[5], sous peine de sanctions administratives et/ou pénales[6].

Les données en rapport avec la sécurité publique, la défense, la recherche et la poursuite des infractions pénales ou la sûreté de l’Etat peuvent toutefois faire l’objet des dérogations lorsque la législation en dispose. De même, l’accord préalable de l’ANSICE n’est pas requis lorsqu’il s’agit d’une personne physique utilisant des données dans un cadre personnel ou domestique, à condition qu’elles ne soient pas communiquées ou diffusées à des tiers.

Droit des personnes 

Toute personne dont les données font l’objet d’un traitement, a pleinement [7] :

-      un droit à l’information et ce, que les données aient été recueillies directement ou non, auprès d'elle ;

-      un droit d’accès gratuit aux données récoltées, à l’effet de connaitre, contester ou confirmer leurs exactitudes et finalités ;

 -      un droit d’opposition au traitement des données à caractère personnel lorsqu’il ne résulte pas d’une obligation légale. Cette opposition concerne également la divulgation des données pour la première fois à des tiers (cf. injonction de la Commission Nationale de l'Informatique et des Libertés en Allemagne, à WhatsApp sur ses nouvelles conditions d’utilisation) ;

 -       un droit de rectification et de suppression permettant de mettre à jour, verrouiller ou supprimer les données. Une telle demande doit-être satisfaite dans un délai d’un mois à compter de sa réception, sous peine de plainte de l’intéressé auprès de l’ANSICE.

Obligations des acteurs

En sus d’une utilisation légitime, licite et loyale, les acteurs traitant des données personnelles sont astreints[8] à :

-       un traitement confidentiel et sécurisé en mettant en œuvre les mesures techniques et d’organisation appropriées ;

-       une conservation pérenne des données, pendant une durée fixe réglementaire et uniquement pour des fins en vue desquelles elles ont été recueillies, sans que l’évolution de la technologie  n’y fasse obstacle ;

-       une notification à l’ANSICE, préalablement à la mise en œuvre d’un traitement ou d’un ensemble de traitements ayant une même finalité ou des finalités liées. Cette obligation ne s’applique toutefois pas à certains traitements.

 

L’utilisation accrue des nouvelles technologies d’information exposent beaucoup d’individus au risque de détournement abusif de leurs données à caractère personnel. Le phénomène de piratage des comptes et profils souvent décrié en est la parfaite illustration. Toutefois, la pratique délictuelle n’a pas échappé à la vigilance du législateur qui, dans sa diligence, a prévu des cadres de protection de ces données avec pour corollaires des mesures coercitives pour leur respect, un tant soit peu, effectif.

Le présent article est une ébauche qui ambitionne attirer la curiosité des utilisateurs des outils numériques en particulier et celle des individus en général sur leur droit à la protection de leurs données personnelles légalement encadré.

 

RONELNGUE Boris, Juriste d’affaires et étudiant en règlement alternatif de différends



[1] Suivie du Décret d’application N°075/PR/2019 du 21 Janvier 2019 fixant les dispositions d’application de la loi n°007-PR-2015 du 10-fév-2015 portant sur la protection des données à caractère personnel (modifié par le Décret 1619 portant rectification de l’article 5 du décret 075)

[2] Article 5 de la Loi N°007/PR/2015 portant Protection des Données à Caractère Personnel

[3] Exceptions : respect d’une obligation légale ou exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le tiers auquel les données sont communiquées ; exécution d’un contrat ou exécution de mesures précontractuelles auquel la personne concernée est partie ; sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée (Article 7 de la Loi N°007/PR/2015)

[4] Articles 51 à 58 de la Loi N°007/PR/2015

[5] Créée par la Loi N°006/PR/2015, l’ANSICE a pour missions la cybersécurité et la lutte contre la cybercriminalité ; la protection des données à caractère personnel ; les transactions électroniques

[6] Ces sanctions concernent également d'autres violations aux obligations légales et sont prévues par les articles 80 à 90 de la Loi N°007/PR/2015

[7] Articles 35 à 47 de la Loi N°007/PR/2015

[8] Articles 59 à 75 de la Loi N°007/PR/2015

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.


A propos de l'auteur
Blog de Teari JuristCounseling

Bienvenue sur le blog de Teari JuristCounseling

Rechercher
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles