Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

ParagrapheII : cadre juridique interne

Les dispositions internes relatives à la protection des données à caractère personnel au Burkina Faso est loi n°010 du 20 avril 2004 portant protection des données à caractère personnel. Avant d'effectuer une présentation de LPDP (B) nous dirons un mot sur l'origine de son adoption(A)

A. Origine

C'est à la rencontre de Ouagadougou, à l'occasion de la 9^e conférence des chefs d'Etats et de Gouvernements de l'OIF, les 26 et 27 novembre 2004^81(*), que l'engagement des dirigeants africains d'oeuvrer pour une protection des données personnelles de leurs citoyens. Le Burkina Faso a été le premier pays à adopter une loi sur la protection des données personnelles en Afrique. D'autres pays ont suivi la dynamique : Afrique du Sud, Cap-Vert, Bénin, Côte-d'Ivoire, Gabon, Ghana, Guinée Conakry, Niger, Mali, Maroc, Mauritanie, Sénégal, Tchad, Tunisie.Après avoir précisé l'origine de LPDP, nous la présenterons.

B. La présentation de la loi n°010-2004/AN du 20 avril 2004

La présentation de la LPDP nécessite de définir dans un premier temps ses concepts clés (1) et dans un second d'analyser son champ d'application (2).

1. Définition des concepts clés de la loi

C'est à partir de 2004 que le législateur burkinabè a mis en place les règles particulières à la protection des données à caractère personnel de ses citoyens^82(*). Avant cette date, la vie privée était garantie par les règles du droit commun^83(*) telles que le code du travail, la responsabilité civile, le code Civil, code des personnes et de la famille etc... Cette législation a été élaborée à l'image de la législation française informatique et deslibertés (LIL) de 1978 modifiée par loi de 2004^84(*). La nouvelle loi a pour objet de protéger au Burkina Faso les droits des personnes en matière de traitement de données à caractère personnel, quels qu'en soient sa nature, le mode d'exécution ou les responsables^85(*) .

Elle définit les données à caractère personnel comme toute information qui permet, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques, notamment par référence-à un numéro d'identification ou à plusieurs éléments spécifiques propres à leur identité physique, -psychologique, psychique, économique, culturelle ou sociale^86(*). Le RGPD donne une définition satisfaisante de la notion de protection des données à caractère personnel. Selon le règlement, une donnée à caractère personnel est définie comme une information se rapportant à une personne identifiée ou identifiable^87(*). De ce fait, avec le nouveau règlement, l'adresse IP estconsidérée comme étant une donnée personnelle si toute fois il identifie les personnes concernées^88(*).

Le traitement de données personnelles est défini comme « toute opération ou ensemble d'opérations effectuées à l'aide de procédés automatisés ou non par une personne physique ou morale, et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'extraction, la consultation, l'utilisation ,la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion ,le verrouillage, l'effacement ou la destruction »^89(*). Cette définition appelle deux observations^90(*). D'abord le traitement des données dont il est question concerne aussi bien le traitement par recours aux procédés électroniques^91(*) que les traitements analogiques^92(*).Ensuite la notion de traitement des données est définie largement et les opérations indiquées ne sont pas exemplatives.

Le responsable de traitement s'entend selon l'article 4, al.1^{er de}la LPDP « .......  La personne physique ou morale, publique ou privée qui a le pouvoir de décider de la création des données à caractère personnel ». Cette conception de la notion de responsable de traitement est particulièrement inexacte. En effet selon le Professeur Dominique W. KABRE, ce dernier ne crée pas de données, il n'assure que le traitement et plus exactement, il détermine les finalités et les moyens de ce traitement. La définition de l'acte Additionnel de la CEDEAO est plus éclairante. Sonarticle 1^er définit le responsable de traitement comme « une personne physique ou morale, publique ou privée, tout autre organisme ou association qui seul ou conjointement avec d'autre prend la décision de collecter les données à caractère personnel et en détermine le traitement ».

La personne concernée est la personne dont les données sont l'objet de traitement^93(*). En principe, les personnes concernées par la protection légale sont les personnes physiques. A contrario, les personnes morales se trouvent exclues du champ de cette protection^94(*). Selon la législation française, la loi trouvera à s'appliquer s'agissant par exemple des personnes physiques représentants légaux de personnes morales lorsque celles-ci sont nominativement désignées dans un fichier^95(*).

Le destinataire de traitement est défini comme « toute personne physique ou morale, publique ou privée, autre que la personne concernée, le responsable de traitement, habilitée à recevoir communication de ces données à caractère personnel »^96(*).Ainsi, toute personne qui est habilité à recevoir des données à caractère personnel autre que les personnes suscitées, est appelée destinataire de traitement. Le nouveau règlement de l'Union Européenne prévoit la même définition mais apporte des dérogations. En effet, selon ce règlement, les personnes publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre, ne sont pas considérées comme des destinataires^97(*).Une fois les concepts définis, nous analyserons le champ d'application de la LPDP.

* ⁸¹ C'est la première convention ayant trait à la protection des données en Afrique.

* ⁸²C'est par la loi n°010-2004 /AN du 20 avril 2004 portant protection des données à caractère personnel.

* ⁸³ Article 9 et suivant du code Civil du Burkina Faso.

* ⁸⁴La législation burkinabé tire exclusivement sa source à celle française en faisant naitre en elle-même des insuffisances.

* ⁸⁵ Article 1^er de Loi n°010-2004/AN précité.

* ⁸⁶ Dans le même sens qu'article 2 de la nouvelle loi informatique et liberté précité.

* ⁸⁷ RGPD Précité.

* ⁸⁸ L'adresse IP permet de déterminer la personne connectée avec tel ordinateur, à tel endroit et à telle heure.

* ⁸⁹ Article 3 de la LPDP et 1^er de l'Acte additionnel de la CEDEAO.

* ⁹⁰ D. W. KABRE, Droit des technologies de l'information et de la communication, Burkina Faso, op, cit. P.111.

* ⁹¹ Signifie support numérique.

* ⁹² Signifie support papier.

* ⁹³ Article 4 alinéa 1 LPDP et article 4 de l'Acte additionnel CEDEAO précités.

* ⁹⁴ Cf. nouveau RGPD, la LPDP reste muette en la matière.

* ⁹⁵ Sur les conditions d'applicabilité de la loi aux personnes morales. Voir notamment, CNIL, Délibération n° 84-28 du 3 juillet 1984.

* ⁹⁶ Article 4 al.2 de la LPDP et art.1 de l'acte additionnel de la CEDEAO.