CHAPITRE II- PROTECTION DES DONNEES A CARACTERE PERSONNEL EN DROIT BURKINABE.

Il est évident que le point de départ de tout travail juridique est constitué de sources formelles de droit. Nul ne peut, en effet, prétendre faire oeuvre juridique en ignorant le postulat essentiel suggéré par le professeur Vittorio Villa pour qui, tout opérateur juridique doit, avant tout, connaître les paradigmes du droit positif. Pour ce faire, dans ce chapitre nous allons étudier,dans un premier temps, le cadre juridique de la protection des données personnelles (section I) et dans un second temps, les conditions d'utilisations des données à caractère personnel en droit burkinabé (section II).

Section I : Cadre juridique de la protection des données à caractère personnel.

Dans cette section, nous étudierons, d'une part, le cadre juridique international (paragraphe I), et d'autre part, le cadre juridique national (paragraphe II).

Paragraphe I : Le cadre juridique international

Il faut entendre par législation internationale toute règle de droit qui s'applique à deux (02) ou plusieurs États ou à plusieurs sujets du droit international. Notre étude est circonscrite à l'analyse de la législation burkinabè en matière de protection des donnéespersonnelles. Cependant, l'évocation des législations internationales nous permettra de faire une étude comparée de ces législations par rapport à la législation burkinabé.

Dans ce paragraphe, il sera question d'aborder la législation européenne (A) et la législation onusienne et africaine (B)

A. La législation Européenne

La législation européenne en matière de protection des données personnelles est consacrée par le Conseil de l'Europe (1) et par l'Union Européenne (2)

1. Conseil de l'Europe

En Europe, la consécration du droit au respect de la vie privée en tant que concept juridique intervient seulement à la suite de la seconde guerre mondiale et du développement conséquent des droits de l'Homme^41(*).Le droit au respect de la vie privée est inscrit comme un droit fondamental à l'article 8 de la Convention Européenne des Droits de l'Homme^42(*) (ci-après, « CEDH ») s'est indéniablement inspirée de l'article 12 de la Déclaration Universelle des Droits de l'Homme des Nations Unies^43(*) de 1948.Ce droit au respect de la vie privée comporte une double dimension: d'une part, le droit à l'intimité, c'est-à-dire le droit de ne pas laisser exposer publiquement des informations personnelles, et, d'autre part, un droit à l'autonomie personnelle selon lequel chacun peut mener sa vie comme il l'entend^44(*).Ainsi, la protection des données personnelles est consacrée par l'article 8 de la CEDH. L'article 8 paragraphe 2 de la CEDH admet des ingérences lorsqu'elles sont nécessaires à la sécurité nationale ou à la défense de l'ordre et à la prévention des infractions pénales dans une société démocratique^45(*).

La jurisprudence de la Cour européenne des droits de l'Homme accorde une attention particulière à l'égard de la confidentialité des données médicales et au rôle que joue le consentement du patient dans la divulgation de ses données. En effet, ces données constituent par leur nature des informations profondément intimes à propos de la vie privée du patient. En conséquence, il n'est permis de déroger au secret médical et à l'exigence du consentement du patient que dans des cas exceptionnels et après pondération des intérêts en présence^46(*)

La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (connue sous le nom de Convention108), adoptée en 1981 par le Conseil de l'Europe est, jusqu'ici, la seule convention à vocation internationale^47(*)

Malgré une interprétation évolutive et dynamique de l'article 8de la CEDH, le droit a besoin de s'adapter à la mutation sociétale et aux développements technologiques, pour faire en sorte de protéger de manière appropriée les individus^48(*). Par conséquent, le Conseil de l'Europe adopte le 28 janvier 1981, une législation particulière à la protection des données personnelles, la Convention n°108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel^49(*).En 1999, elle est modifiée afin de pouvoir permettre à l'Union Européenne d'y adhérer.

La Convention n°108 est le premier, et reste à ce jour, le seul instrument international contraignant ayant pour objet la protection des personnes contre l'usage abusif du traitement automatisé des données à caractère personnel. De par sa vocation universelle, elle dispose de la faculté de remédier à l'absence d'une convention mondiale dans ce domaine.

La Convention énonce les droits dont dispose l'individu sur ses données personnelles tels que le droit à l'information^50(*), le droit d'accès aux données^51(*), le droit à l'effacement^52(*) ainsi que les principes directeurs que les acteurs, tant privés que publics, doivent respecter lors du traitement des données, comme par exemple le principe de minimisation^53(*), de loyauté ou encore de proportionnalité^54(*). Une partie est également consacrée au transfert des données hors Europe et aux données sensibles qui requièrent une protection particulière.

Après avoir évoqué la législation en matière de protection des données personnelles consacrées par le CE, nous étudierons celle de l'UE.

* ⁴¹ L. Marie, Protection des données à caractère personnel : le consentement à l'épreuve de l'ère numérique, mémoire, LIEGE université, France, éd.2018, p.10.

* ⁴²Convention de sauvegarde des droits de l'Homme et des libertés fondamentales (CEDH) signée le 4 novembre 1950 à Rome par les Etats membres du Conseil de l'Europe et entrée en vigueur le 3 septembre 1953.

* ⁴³Déclaration universelle des droits de l'homme adoptée le 10 décembre 1948 à Paris par l'Assemblée générale des Nations Unies. Cette déclaration n'a pas de portée juridique en tant que telle, elle n'a qu'une valeur de proclamation de droit.

* ⁴⁴ L.Marie, Protection des données à caractère personnel : le consentement à l'épreuve de l'ère numérique, op., cit. p.10.

* ⁴⁵ L'article 8 de la Convention européenne des droits de l'Homme

* ⁴⁶ L'auteur poursuit avec une illustration de l'arrêt Z. c. Finlande, où la Cour a jugé que la révélation par des médecins d'un état de séropositivité d'une personne sans son consentement, alors que cette personne est contrainte par la justice à témoigner, ne peut se justifier que dans l'intérêt des poursuites pour homicide volontaire dirigées contre son mari suspecté de l'avoir contaminée. Cour eur.D.H. Z c. Finlande, 25 février 1997, req. n°22009/93.

* ⁴⁷Convention n°108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel adoptée le 28 janvier 1981 à Strasbourg par le Conseil de l'Europe. La convention compte actuellement 51 États Parties, à savoir les 47 États membres du Conseil de l'Europe et l'Uruguay, l'île Maurice, le Sénégal et la Tunisie. L'Argentine, le Burkina Faso, le Cap Vert et le Maroc ont également étéì invités à y adhérer et le Mexique vient d'en faire la demande.

* ⁴⁸J. RIDEAU, Les droits fondamentaux dans l'Union européenne, Bruxelles, Bruylant, 2009, p. 61.

* ⁴⁹ Convention n°108 précitée.

* ⁵⁰ Le droit à l'information signifie que la personne concernée a droit à être informé par le responsable des traitements des données le destinataire des traitements, la durée de la conservation des données ainsi que l'éventuelle utilisation des données non compatible avec la finalité initiale.

* ⁵¹ Le droit d'accès aux données signifie que la personne concernée a le droit d'accéder à ses données personnelles auprès des responsables des données pour vérifier la conformité de traitement de ses données à la loi.

* ⁵² Droit à l'effacement signifie que toute personne physique, dispose du droit de se faire communiquer toutes les informations le concernant dans un fichier et de faire rectifier ou supprimer les informations erronées.

* ⁵³ Le principe de minimisation signifie que la personne concernée a le droit d'obtenir du responsable du traitement pour la limitation du traitement.

* ⁵⁴ Principes de licéité à respecter lors du traitement sont des principes directeurs de traitement des données personnels tels que le consentement, respect de la finalité des traitements, délai de conservation des données....