• L’utilisation soumise au respect des principes du consentement,
• …, de la sécurité et de la confidentialité
• Téléphonies mobiles et acteurs de monnaie électronique ne dérogent pas à la règle
Dans un monde où signer un contrat de travail, ouvrir un compte bancaire, souscrire à une police d’assurance, acheter des biens ou des services, créer un compte sur les médias sociaux, remplir un formulaire en ligne, etc. ; demande de la part des utilisateurs leurs données personnelles. Où chaque clic, vidéo regardée, site visité, application téléchargée sont enregistrés, traités et revendus, la protection des données à caractères personnels est plus que d’actualité.
Quelles sont les structures habilitées à détenir des données personnelles ? Leurs utilisations sont-elles règlementées, encadrées, suivies ? Et quels sont les moyens de protéger ces données sur les réseaux sociaux ? Pour en savoir plus, L’Economiste du Faso s’est approché de la Commission de l’informatique et des libertés (CIL), la structure en charge de la protection des données personnelles. Son Directeur des affaires juridiques et contentieux, Kouliga Désiré Yaméogo, répond ici à nos questions.
L’Economiste du Faso : Qu’appelle-t-on données personnelles ?
Kouliga Désiré Yaméogo (DAJC CIL) : Au sens des dispositions de l’article 5 de la loi n°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel, on entend par données à caractère personnel, toutes informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement, notamment, par référence à un numéro d’identification, à un ou plusieurs élément(s) propre(s) à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.
Il s’agit, de façon concrète, du nom complet, du numéro de téléphone, de la plaque d’immatriculation, numéro de sécurité sociale, la photographie, l’ADN, le groupe sanguin, l’empreinte digitale, de la date de naissance, de l’adresse IP, de l’adresse mail, etc.
Quelles sont les structures qui possèdent des données personnelles
Toute structure aussi bien publique que privée, traite au quotidien des données à caractère personnel. En effet, chaque structure dispose au minimum d’un fichier du personnel qui contient les données à caractère personnel de ses employés.
Cependant, les structures en fonction de leurs missions poursuivies ou de leur secteur d’activité ne manipulent pas la même nature de données.
C’est ainsi que les opérateurs de téléphonie mobile traitent des données d’identification de leurs abonnés, les structures de santé traitent des données de patients, les banques tout comme les assurances traitent des données de leurs clients, etc.
Qui peut disposer de ces données personnelles ?
Selon le principe de la protection des données à caractère personnel, toute personne doit avoir le contrôle de ses données à caractère personnel. De ce fait, toute collecte de données est basée sur le principe du consentement de la personne concernée, conformément à l’article 13 de la loi n°001-2021/AN du 30 mars 2021 portant protection des personnes l’égard du traitement des données à caractère personnel.
Les structures détenant les données à caractère personnel (Responsables de traitement) doivent assurer la confidentialité des données collectées et traitées. Également, seules peuvent accéder aux données, les personnes habilitées, en raison de leur fonction ou mission, les officiers de police judiciaire dans le cadre de la poursuite d’infractions, mais aussi les personnes concernées elles-mêmes.
Leurs utilisations sont-elles règlementées, encadrées, suivies ?
L’utilisation (traitement) des données à caractère personnel est encadrée par la loi n°001-2021/AN. Elle est soumise au respect des principes du consentement, de la finalité, du respect des droits des personnes, de l’accomplissement des formalités préalables, de la sécurité et de la confidentialité. Le non-respect de ces principes est assorti de sanctions administratives et pénales.
A titre d’exemple, le non-accomplissement des formalités préalables (demande d’avis, autorisation, déclaration) peut donner lieu à une sanction pécuniaire de 500.000 FCFA à 20.000.000 FCFA.
Toutes les structures publiques et privées collectant des données à caractère personnel sont soumises à la loi n°001-2021/AN. Les téléphonies mobiles et autres acteurs de monnaie électronique qui traitent des données de leur clientèle ne dérogent pas à la règle.
Qu’est-ce qui garantit que les données personnelles ne sont pas utilisées à d’autres fins ?
La loi oblige toute structure, avant la mise en œuvre d’un traitement, de définir la ou les finalité(s). Le détournement de cette finalité est sanctionné par la loi n°001-2021/AN, par une amende forfaitaire de 5.000.000 FCFA à 100.000.000 FCFA. En outre, la CIL peut interdire la mise en œuvre dudit traitement.
Il faut noter que la CIL, garante de la protection des données à caractère personnel, dispose d’un pouvoir de contrôle sur le traitement des données personnelles qui s’exerce en amont et en aval.
En amont, à travers la réception et l’instruction des dossiers de déclaration de traitement, le responsable de traitement notifie à la CIL la ou les finalités du traitement envisagés.
En aval, à travers la mission de contrôle terrain, elle vérifie et se rassure du respect de la ou les finalités communiquées dans le dossier de déclaration.
Quelle procédure quand on est victime d’usurpation de ces données personnelles (usurpation d’identité) ?
L’usurpation d’identité, c’est le fait de se faire passer pour une personne en utilisant les identifiants de cette personne. Elle constitue une violation des données à caractère personnel. Lorsque la CIL est saisie d’un cas d’usurpation d’identité, elle adresse des requêtes à la plateforme concernée, en vue de la suppression du compte en cause (associer le partenariat avec Meta si possible dans la réponse)
Le ministère de l’Économie numérique entend disposer d’un identifiant unique pour les Burkinabè. Quelle lecture faites-vous de cette initiative ?
La mise en œuvre de cet identifiant permettra de doter la majorité des Burkinabè d’une identité unique. Toutefois, au regard du caractère sensible de la plateforme dont la mise en place est envisagée, la question de la protection des données à caractère personnel doit être au cœur du dispositif.
La CIL suit de près le projet de l’identifiant unique dans notre pays. Elle accompagne les acteurs pour veiller au respect des dispositions de la loi en matière de traitement des données à caractère personnel.o
Propos recueillis par La Rédaction & Béranger KABRE (Collaborateur)
Encadré 1
Protéger ses données personnelles sur les réseaux sociaux
Pour protéger ses données à caractère personnel sur les réseaux, les conseils suivants peuvent être appliqués :
– Ne jamais tout dire sur soi ;
– Paramétrer ses comptes réseaux sociaux, notamment, le niveau de confidentialité des informations que vous diffusez ;
– Éviter d’accepter n’importe quelle invitation sur les réseaux (robots, personnes nuisibles…) ;
– Éviter de communiquer sur des sujets trop personnels que vous ne parviendriez pas à assumer s’ils devenaient publics (demandez-vous si vous pourriez l’assumer devant votre responsable hiérarchique, votre famille ou dans un lieu public) ;
– Réfléchir avant de publier ;
– Respecter les autres : la bonne attitude ;
– Ne partager ni commenter une information qui nuit à autrui ;
– Se poser toujours la question de savoir si toute vérité est bonne à dire ;
– Et prendre attache avec la CIL en cas de violation de vos données personnelles.
Encadré 2
30 mars : Journée nationale de protection des données à caractère personnel
Le 30 mars de chaque année est désormais commémoré au Burkina Faso Journée nationale de protection des données à caractère personnel (JNPDP). Cette date correspond à l’adoption par l’Assemblée nationale de la loi N°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel au Burkina Faso.
En adoptant cette loi, les autorités du Burkina Faso permettent à la Commission de l’informatique et des libertés de se doter d’un instrument juridique à même de jouer pleinement son rôle dans un monde aux évolutions technologiques où les données personnelles sont devenues des matières précieuses pour les administrations publiques et privées.
la première édition a eu lieu en 2023, sous l’égide du président de la Transition, Ibrahim Traoré.
La première édition a été célébrée sous l’égide de la Commission de l’informatique et des libertés (CIL) autour du thème central : « Pour un monde digital inclusif, soucieux de la protection des données personnelles, je m’engage ».
Filet
Comment la CIL travaille à protéger les données personnelles des Burkinabè ?
« La loi confère à la CIL des missions lui permettant d’assurer la protection des personnes à l’égard du traitement de leurs données à caractère personnel. Au titre de ces missions, on note :
Informer et conseiller : la CIL est investie d’une mission générale d’information des personnes sur leurs droits et les RT de leurs obligations en matière de traitement de données personnelles ;
Réguler : la CIL reçoit les déclarations de traitement et émet des avis, recense les fichiers, autorise les traitements les plus sensibles (recherche dans la santé) avant leur mise en œuvre ;
Protéger : dans tous les secteurs d’activités, la CIL est appelée à accompagner les citoyens dans l’exercice de leurs droits (droit d’accès, de rectification, de suppression, etc.) ;
Contrôler : la CIL contrôle les fichiers et vérifie si les responsables des fichiers respectent la loi portant protection des données personnelles ;
Sanctionner : la CIL peut prononcer des sanctions administratives à l’encontre des responsables de traitement qui ne respectent pas les termes de la loi et faire sanctionner les infractions les plus graves par le juge (pouvoir de dénonciation).
Dans ce cas pourquoi publier l’intégralité de la déclaration des biens de vos ministres, dans laquelle figurent leur adresse personnelle, les n° de téléphone, les plaques d’immatriculation des véhicules, la scolarité de leurs enfants à l’étranger, etc… J’avais alerté il y a quelques années le ministre des télécommunication en le contactant sur son email personnel et lui révélant tout ce que j’avais pu glaner comme informations sur lui et sa famille via le Journal Officiel et sa déclaration ; il était effaré, mais n’a pourtant pas agit me semble-t-il pour changer cela.