La protection des données à  caractère personnel sur les réseaux sociaux: le cas de la Côte d'Ivoire

B-Un transfert de données à risque

Aux termes de l'article 7 de la loi ivoirienne portant protection des données à caractère personnel : « sont soumis à autorisation préalable de l'Autorité de protection avant toute mise en oeuvre : le transfert de données à caractère personnel envisagé à destination d'un pays tiers».Toutefois, les réseaux sociaux estiment, au vu de leurs conditions générales d'utilisation, que, dès lors qu'un utilisateur a accepté les conditions d'utilisation, il consent au transfert de ces données^57(*). Ce qui revêt un caractère abusif et s'apparente à une violation des règles de protection des données à caractère personnel des utilisateurs. En effet, la loi ne prévoit pas la possibilité d'un transfert de données personnelles sur l'accord des parties.

L'article 26 de la loi ivoirienne précitée vientappuyer les dispositions de l'article 7 en ces termes :« le responsable d'un traitement ne peut être autorisé à transférer des données à caractère personnel vers un pays tiers que si cet état assure un niveau de protection supérieur ou équivalent de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet. Avant tout transfert effectif des données à caractère personnel vers ce pays tiers, le responsable du traitement doit préalablement obtenir l'autorisation de l'Autoritédeprotection. Le transfert de données à caractère personnel vers les pays tiers fait l'objet d'un contrôle régulier de l'Autorité de protection au regard de leur finalité ».A la lecture de ces articles, on constate que le législateur ivoirien met l'accent sur l'autorisation préalable avant tout transfert. Ainsi, lorsque les transferts sont faits sans l'autorisation de l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire (ARTCI), il est quasi-impossible de vérifier le niveau de sécurité que ce pays assure aux données transférées.En d'autres termes elle doit pouvoir vérifier si le pays vers lequel les données sont transférées assure un niveau de protection supérieur ou équivalent de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet, avant tout transfert. Ces transferts effectués sans autorisation de l'organe de protection, sont donc des transferts à haut risque pour la sécurité des données personnelles. Cette question a été résolue en Europe depuis l'affaire MaximillianSchrems contre Data ProtectionCommissioner^58(*).

Des faits de l'arrêt il ressort que « Monsieur MaximillianSchrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les autres abonnés résidant dans l'Union, les données fournies par MaximillianSchrems à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles font l'objet d'un traitement. MonsieurSchrems a déposé une plainte auprès de l'autorité irlandaise de contrôle, considérant qu'au vu des révélations faites en 2013 par MonsieurEdward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n'offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays».De ce fait, une liste de pays présentant une sécurité suffisante en matière de protection de données a été établie^59(*). Cependant, selon l'arrêt susmentionné, l'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la charte des droits fondamentaux de l'Union européenne et de la directive. La Cour souligne, à cet égard, le droit à la protection des données à caractère personnel garanti par la Charte ainsi que la mission dont sont investies les autorités nationales de contrôle en vertu de cette même Charte.

La Cour considère tout d'abord qu'aucune disposition de la directive n'empêche les autorités nationales de contrôler les transferts de données personnelles vers des pays tiers ayant fait l'objet d'une décision de la Commission. Ainsi, même en présence d'une décision de la Commission, les autorités nationales de contrôle, saisies d'une demande, doivent pouvoir examiner en toute indépendance si le transfert des données d'une personne vers un pays tiers respecte les exigences posées par la directive.

* ⁵⁷ Facebook, conditions d'utilisation, http://www.facebook.com/ (Consulté le 08 février 2016).

* ⁵⁸Cour de justice de l'Union européenne, 6 octobre 2015, communique de presse n° 117/15, Luxembourg 2015, p. 3, affaire C-362/14 MaximillianSchrems / Data Protection Commissioner.

* ⁵⁹ La CNIL, La carte des pays présentant un niveau de sécurité suffisant, https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde (Consulté le 08 février).