Par Frank TSAGUE
Qu’entend-t-on par données personnelles ? Une donnée personnelle peut se définir comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Une personne identifiable quant à elle fait référence à une personne physique qui peut être identifiée, directement ou indirectement. Au vu de ce qui précède, en terme de données, nous avons :
- Les données directement identifiantes qui sont celles qui, associées à un élément indiquent clairement l’identité d’une personne. Il s’agit ici du nom, prénom, photo, email nominatif ;
- Les données indirectement identifiantes : ce sont des données qui, prises isolément, ne permettent pas de renseigner sur une personne. Il faudrait pour atteindre cet objectif, l’associer à une base de données détenues par un tiers pour pouvoir retrouver l’identité d’une personne. C’est l’exemple des données biométriques, numéros de sécurité sociale, matricule interne d’une entreprise, plaque d’immatriculation.
Ainsi, du simple passage sur internet, à l’inscription de ses informations sur un formulaire en passant par la traversée d’une allée sous une caméra, nous laissons en permanence une trace numérique qui contient nos données personnelles et qui permet à des personnes spécifiques de nous identifier, de retracer notre historique, de connaitre, notre appartenance religieuse, politique…
Toute mesure ou ensemble de mesures prises ayant pour but l’exploitation de nos données personnelles est appelé traitement. Il peut se définir comme étant toute opération ou ensemble d’opérations effectués à l’aide de procédés automatisés ou non, et appliquées à des données ou ensemble de données à caractère personnel. Ces opérations concernent la collecte, l’enregistrement, la consultation, la conservation, la transmission, la modification, l’extraction, la communication, la mise à disposition.
Les responsables de traitement de ces données à titre principal ou ceux qui le font pour le compte d’autres organismes (sous-traitants) sont tenus de manière générale, de garantir la protection des données personnelles d’individus. Pour cela, ils sont soumis à des obligations telles que :
- Obtenir un consentement explicite (ou de justifier une autre base légale) avant de traiter les données ;
- Donner aux utilisateurs des informations concernant l’utilisation de leurs données ;
- Mettre en place des actions techniques et organisationnelles de sécurité pour la protection des données ;
- Nommer un Responsable de la Protection des Données au sein de leur organisation ;
- Informer les autorités chargées de la protection des données et, dans certaines situations, les personnes concernées en cas de violation des données ;
La pierre angulaire du traitement des données personnelles demeure le consentement de l’individu. Le consentement pour qu’il soit considéré comme valide doit être express, univoque, spécifique et éclairé. Ainsi l’accès à un site ou à un type d’informations qui serait conditionné par l’acceptation de la collecte de ses données personnelles ne constitue pas un consentement éclairé. Par ailleurs, le consentement doit être matérialisé par une action positive claire signifiant l’accord au traitement des données personnelles de la personne concernée. Dans cet ordre d’idées, ne constitue pas un consentement valide, le fait pour un site d’informer une personne à postériori, que l’accès audit site équivaut à une acceptation de voir ses données collectées, stockées et/ou revendues à des tiers.
Face à au traitement de ses données personnelles, tout individu dispose d’une série de prérogatives, notamment :
- Le droit d’accès : il permet toute personne de connaître les informations collectées à son sujet et leur utilisation ;
- Le droit de rectification : Si les données sont incorrectes, l’individu a le droit de demander la correction de ces informations.
- Le droit à la suppression (ou “droit à l’oubli”) : toute personne a la possibilité de demander la suppression de ses données dans certaines circonstances.
- Le droit de limitation du traitement : il permet à toute personne de limiter le traitement de ses données par exemple, en cas de litige concernant l’exactitude des données.
- Le droit d’opposition : il permet de s’opposer à différents types de traitement, tels que le télémarketing.
- Droit à la portabilité des données : toute personne peut demander à ce que ses données puissent être transférées à un autre service ou entité.
Il convient toutefois de préciser que les droits et obligations énoncés ci-dessus ne s’appliquent pas de manière automatique et universelle. Ceux-ci sont issus du Règlement Général européen sur la Protection des Données en abrégé RGPD. Il est applicable à tout organisme établi sur le territoire de l’Union Européenne, que le traitement ait lieu ou non dans cet espace là ; mais aussi à tout organisme qui n’est pas sur le territoire européen mais qui cible des personnes se trouvant sur le territoire de l’union européenne.
Au niveau africain, la convention de Malabo de 2014 constitue le traité ayant la portée la plus large car ayant vocation à être appliquée par tous les pays africains. Cette convention si elle était effective aurait constitué le seul accord continental appliqué et applicable dans tous les pays africains, combinant à la fois cybersécurité, sécurité des transactions électroniques et protection des données à caractère personnel. Cependant, à son entrée en vigueur le 08 Juin 2023, seulement 15 pays sur 54 l’ont ratifié. Par ailleurs, seulement 37 pays africains disposent d’une loi nationale sur la protection des données personnelles. Ceci laisse encore le doute sur la volonté des pays africains, de mettre l’accent sur la protection des données personnelles, aspect important de la protection de la vie privée… Principe pourtant consacré par la quasi-totalité des constitutions nationales sur le continent.
Add a Comment