Section2 : Les difficultés inhérentes aux textes

Pour qu'un texte de loi soit appliqué, son existence doit être connue. Lorsqu'il prévoit des droits et devoirs, comment peut-on s'en prévaloir ou les appliquer s'il est méconnu ? Quelles peuvent être les causes de la méconnaissance d'une loi ? Pour ce qui est de la loi relative à la protection des données personnelles, elle est due à la nouveauté et aux aspects techniques de celle-ci. Cette méconnaissance a pour conséquence son inapplication. Si par ailleurs, une personne ne sait ni lire ni écrire, elle ne pourrait non plus connaitre l'existence d'un texte de loi (Paragraphe 1).

Ces situations entrainent donc une protection ineffective des données personnelles. L'ineffectivité de la protection des données personnelles peut émaner des textes lorsque ceux-ci réduisent le champ d'application matériel et territorial de la loi. Mais aussi, émaner d'un volet pénal réducteur (Paragraphe 2).

Paragraphe 1 : Une méconnaissance de la loi relative aux données à caractère personnel

Si pour les spécialistes en droit des nouvelles technologies de l'information et de la communication, les termes employés par le législateur sont un acquis, il est loin de l'être pour les profanes en la matière. L'aspect technique des termes employés par le législateur peut s'avérer être une difficulté de l'application de la loi. Il faut dire aussi que la nouveauté même de la loi n'améliore en rien cette situation(A).

En outre, le faible taux d'alphabétisation en Côte d'Ivoire conforte cette situation puisqu'on constate une méconnaissance de la loi par un grand nombre de citoyens(B).

A- La technicité et la nouveauté de la loi relative aux données à caractère personnel

Si le droit d'aller et de venir, de vivre, de disposer de son corps sont des droits connus de la plupart des citoyens, la loi ivoirienne portant protection des données à caractère personnel l'est moins. En effet, comme le montre l'année de son adoption, c'est une loi nouvelle. Elle a été adoptée précisément le 19 juin 2013. Le caractère récent de l'adoption de cette loi fait qu'elle est peu connue. Cette méconnaissance ne se limite pas uniquement aux profanes, elle s'entend même aux étudiants en faculté de droit civil ou aux juristes en général. Cette méconnaissance de la loi est une entrave à son application.

Il faut noter, par ailleurs, l'aspect technique des dispositions de cette loi. Si même les spécialistes en droit des nouvelles technologies ont parfois du mal à s'accommoder avec les termes employés par le législateur^91(*), nous comprenons bien que ce serait une lourde tâche pour les profanes en la matière. Pour l'application matérielle de la loi, il faudrait la constitution d'un fichier^92(*). Toutefois, malgré les explications données par l'article premier de la loi ivoirienne portant protection des données à caractère personnel, la compréhension du terme fichier n'est pas claire dans les esprits.

Aux termes de l'article 1^er, un fichier de données à caractère personnel est défini comme: « tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d'identifier une personne déterminée ; ». Les termes employés par le législateur pour expliquer le terme fichier ne permettent pas une compréhension aisée. Cela pose un véritable problème puisque la loi s'applique en cas de constitution d'un fichier.

Si la notion de fichier est difficilement cernable, comment pourrait-on savoir à quel moment la loi nous est applicable ou non ? Il faut dire qu'il n'y a pas que le terme fichier qui pose un problème de compréhension. La mise en oeuvre du traitement sur le territoire ivoirien comme critère de l'application territoriale prête aussi à confusion^93(*). Cela démontre de la complexité des termes employés. Cette difficulté des termes employés et la nouveauté de la loi n'aident en rien à une application effective de la loi.

B- Le faible taux d'alphabétisation en Côte d'voire

Selon les statistiques de l'Unesco, le taux d'alphabétisation en Côte d'Ivoire est de 51%. Aux dires de la Ministre de l'éducation nationale et de l'enseignement technique, ce taux jugé faible, constitue un frein au développement humain durable^94(*). Ce problème d'alphabétisation que connaît la population ivoirienne est en partie la cause de la méconnaissance de la loi.

L'analphabète qui ne sait ni écrire et ni lire, peut-il s'intéresser à des dispositions légales qui se rapportent à la protection de ses données personnelles, lorsque toutes ces expressions sont pour lui un langage inaccessible. Il saisit à peine l'intérêt de tous ces textes qu'il ignore d'ailleurs. L'analphabétisme est donc un frein à la connaissance de la loi relative aux données à caractère personnel. C'est consciente de ce fait que lors de la journéed'alphabétisation, la Ministre de l'éducation s'est fixée comme objectif de faire baisser considérablement ce taux à 35%. Elle a donc, pour atteindre cet objectif, invité les populations analphabètes à se familiariser avec la lecture, l'écriture et le calcul, afin de s'épanouir, de s'ouvrir au développement, aux innovations. Mais comment une personne qui ne sait ni lire ni écrire peut-elle se familiariser avec la lecture si elle n'a pas de formation en la matière ?

Paragraphe 2 : Des difficultés de répression des violations des règles de protection des données à caractère personnel

Les réseaux sociaux les plus prisés par les internautes, surtout les jeunes internautes, sont les réseaux sociaux internationaux tels que Facebook, whatsapp, twitter. Si donc le champ d'application territorial est réduit, cela dessert la protection efficace des données personnelles des membres des réseaux sociaux. A cela, il faut ajouter un champ matériel réduit par l'obligation de constitution d'un fichier(A).

La violation des données personnelles sur les réseaux sociaux ne se compte plus car les moyens de piratage de données sont innombrables. La sanction des violations ne devrait pas être réduite, elle devrait plutôt être étendue aux violations supposées minimes(B).

A- Des difficultés dues à la restriction du champ d'application de la loi et à la nécessité de constitution d'un fichier

Qu'il s'agisse de traitements automatisés ou non automatisés, la loi ivoirienne relative à la protection des données personnelles exige la constitution d'un fichier^95(*). La notion de fichier est définie comme « tout ensemble structuré de donnéesaccessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d'identifier une personne déterminée».

De l'article premier de la loi susmentionnée, on déduit que,la loi ivoirienne s'applique aux traitements automatisés ou non de données contenues ou appelées à figurer dans un fichier^96(*). Par conséquent, si le responsable d'un traitement collecte des données sans constituer de fichier, il n'est pas tenu de se conformer aux règles en vigueur en matière de protection de données personnelles. Cela voudrait dire qu'en cas de préjudice subi par une personne concernée par un traitement automatisé ou non sans qu'il y ait constitution de fichier, la loi ivoirienne ne s'applique pas.

En effet, une telle option ne couvrirait pas un grand nombre de traitements de données présentant pourtant des risques à l'égard des personnes concernées. En ne faisant pas clairement cette distinction, la loi ivoirienne affaiblit son dispositif de protection puisqu'elle ne peut potentiellement pas, s'appliquer à un grand nombre de traitements. Le législateur ivoirien devrait plutôt s'inspirer des dispositions de la loi française en la matière. Le législateur français a plutôt opté pour la constitution d'un fichierpour les traitements non automatisés de données à caractère personnel^97(*).

Cette disposition est plus compréhensive et plus protectrice. Mais subordonner l'application de la loi, à la constitution d'un fichier pour les traitements automatisésde données s'avère dangereux car il existe des risques liés à une utilisation massive et incontrôlée de ces données.Ces risques étant accrus par les capacités de traitement permisespar les nouvelles technologies de l'information et de la communication (NTIC) dont l'outil informatique et l'Internet.Si la constitution d'un fichier pose problème quant au champ d'application matériel de la loi, le champ d'application territorial ne permet pas non plus une protection étendue des données personnelles.

L'article 3 alinéa 3 de la loi ivoirienne susvisée dispose qu'est soumis à la loi : 

« Tout traitement de données mis en oeuvre sur le territoire national ». Le législateur ivoirien a fait le choix d'une formule fort simple qui ne manque, cependant, pas de susciter quelques interrogations.

Que faut-il, en effet, entendre par traitement de données mis en oeuvre sur le territoire ivoirien ?

Quel est le critère de détermination de cette mise en oeuvre du traitement sur le territoire national ?

La simple collecte des données en Côte d'Ivoire pour la constitution d'un fichier à l'étranger est-elle soumise à la loi ivoirienne ?

Cette notion s'applique-t-elle notamment à un réseau social dont les services sont accessibles en Côte d'Ivoire mais dont le responsable est établi hors Des frontières ivoiriennes ?

En l'absence de précision par la loi on pourrait penser que le critère d'application territoriale de la loi est un critère matériel c'est-à-dire relatif au traitement. Ainsi la loi ivoirienne s'applique à tout responsable, quel que soit son lieu d'établissement dès lors que l'une des opérations : collecte, enregistrement, stockage, conservation, etc., du traitement est réalisé sur le territoire ivoirien.Ainsi, la loi burkinabé n°010-2004 du 20 avril 2004 portant protection des données à caractère personnel prévoit qu'elle s'applique au responsable qui est « établi sur le territoire du Burkina Faso, ou sans y être établi, recourt à des moyens de traitement situés sur leterritoire du Burkina Faso ».

La loi française relative à la protection des données personnelles prévoit les mêmes critères d'établissement sur le territoire français et/ou d'utilisation de moyens de traitement situés sur ce territoire^98(*).

Selon le dictionnaire « Larousse », collecter c'est le fait de récupérer, recueillir quelque chose. L'on n'est pas sans ignorer que la plupart des réseaux sociaux sont hors du territoire ivoirien. Il serait donc difficile de dire, s'agissant d'un réseau international, que la collecte a été mise en oeuvre sur le territoire ivoirien car lorsque le souscripteur entre ses données, elles sont récupérées par les serveurs de ces réseaux.

Une telle interprétation n'est pas conforme aux termes employés par le législateur. Il devrait donc s'agir d'un critère de territorialité (la situation géographique du réseau). En d'autres termes, pour que la loi puisse s'appliquer, le réseau social devrait se situer sur le territoire ivoirien. Cette ambiguïté des termes employés par le législateur ivoirien ne fait qu'alourdir la tâche quant à la protection des données personnelles.

B-Des difficultés dues à un volet pénalréducteur

La Côte d'Ivoire soucieuse de la protection des données personnelles de ses citoyens a adopté la loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. Cette loi permet d'assurer une certaine protection des données à caractère personnel des citoyens. Il faut dire que cette loi est appuyée par la mise en place d'un organe de protection et la création d'un comité chargé de la protection des données personnelles.

Ces dispositions prises dans le cadre de la protection des données à caractère personnel sont à saluer. Cependant, elles ont une portée restreinte. Eu égard à la multiplicité des comportements criminogènes dans l'espace numérique et l'ingéniosité dont fait preuve les internautes, la prise de mesures contraignantes s'imposent. Toutefois, le législateur ivoirien a fait le choix de ne sanctionner que, la prospection directe^99(*), la collecte de données sensibles ^100(*) et le fait d'entraver l'action de l'autorité de protection des données à caractère personnel^101(*). Ces faits sanctionnés par le législateur ivoirien ne sont qu'une minorité de comportements attentatoires à la protection des données personnelles. Le législateur ivoirien, on serait tenté de le dire, a partagé la vision de son confrère gabonais puisque ce dernier a lui aussi fait le choix de ne sanctionner quel'entrave à l'action de l'organe de protection^102(*). Ces dispositions adoptées ne protègent pas suffisamment les données personnelles. Elles ne sont pas assez dissuasives.

Le législateur burkinabé,quant à lui, a consacré huit(8) articles^103(*) à la répression des violations des données personnelles telles que : « le fait de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi ; le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité desdites informations,notamment empêcher qu'elles ne soit déformées, endommagées, ou communiquées à des tiers non autorisés ; le fait de communiquer à des tiers non autorisés ou d'accéder sans autorisation ou de façon illicite aux données à caractère personnel ; le détournement de finalité d'une collecte ou d'un traitement de données à caractère personnel ; le fait de collecter des données par un moyen frauduleux, déloyal, ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré son opposition, lorsque cette opposition est fondée sur des raisons légitimes ; le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales, éthiques ou les opinions politiques, philosophiques, ou religieuses ou les appartenances syndicales ou les moeurs des personnes ; le fait, sans l'accord de la Commission de l'informatique et des libertés, de conserver des informations sous une forme nominative au-delà de la durée prévue à la demande de l'avis ou à la déclaration préalable à la mise en oeuvre du traitement informatisé ; le fait, pour toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à l'honneur et à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter sans autorisation de l'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir ; le fait d'entraver l'action de la commission ».

Ce choix du législateur burkinabé est le meilleur car ces dispositions permettent une protection plus étendue des données personnelles.

CHAPITRE 2 : LES SOLUTIONS A L'INEFFECTIVITE DE LA PROTECTION DES DONNEES PERSONNELLES SUR LES RESEAUX SOCIAUX

Les cas de violation de données personnelles sur les réseaux sociaux sont légions avec l'avancée technologique. Malgré les mesures législatives et institutionnelles prises, ces violations demeurent. Il est donc judicieux de se demander pourquoi ces violations persistent-elles ?

A l'analyse de certains éléments, il a été constaté que ces violations demeurent pour des questions de non effectivité de la protection des données personnelles sur les réseaux sociaux. Cette ineffectivité est due à certaines causes, en l'occurrence : l'inefficacité des actions menées en faveur de la protection des données personnelles ; la méconnaissance des textes relatifs à la protection des données personnelles. Pour pallier ces difficultés, les responsables de traitement devraient prendre des mesures pour sécuriser au mieux les données à caractère personnel de leurs membres (Section 2). Par ailleurs des réformes législatives et des mesures de sensibilisationsont indispensables (Section 2).

* ⁹¹ Coulibaly (I.), Petit tour d'horizon international de quelques erreurs législatives et jurisprudentielles, http://www.village-justice.com/articles/Protection-des-donnees,17540.html (Consulté le 05 décembre 2016).

* ⁹²Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, Article 3.

* ⁹³ Coulibaly (I.), Petit tour d'horizon international de quelques erreurs législatives et jurisprudentielles, http://www.village-justice.com/articles/Protection-des-donnees,17540.html (Consulté le 05 décembre 2016).

* ⁹⁴L'Unesco, Statiques de l'Unesco, http://news.abidjan.net/h/471283.html (Consulté le 19 octobre 2016).

* ⁹⁵Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 3.

* ⁹⁶ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 3 alinéa 2.

* ⁹⁷ Loi informatique et libertés du 6 janvier 1978 modifiée par la loin°2004 du 06 août 2004, article 2.

* ⁹⁸Loi informatique et libertés du 6 janvier 1978 modifiée par laloi n°2004-801 du 6 août 2004, article 2, in JORF, 7 août 2004.

* ⁹⁹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 22.

* ¹⁰⁰ Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 21.

* ¹⁰¹Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, article 45.

* ¹⁰²Loi n°001/2011 relative à la protection des données à caractère personnel, article 110.

* ¹⁰³ Loi n°010-2004 relative à la protection des données personnel, articles 46 à 54.