Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

Paragraphe II : Les droits des personnes concernées et les obligations des responsables du traitement des données à caractère personnel

Nous évoquerons dans ce paragraphe les droits (A) et les obligations des personnes concernées(B).

A. Les droits des personnes concernées par le traitement

Pour permettre à la personne concernée de jouer un rôle actif dans la protection de ses données personnelles, les règles de la protection des données personnelles lui accordent un certain nombre de droits.

1. Droit à l'information

Le responsable de traitement^122(*) de données à caractère personnel a l'obligation d'informer la personne concernée de son identité ou celle de son représentant, de la finalité du traitement, des catégories de données traitées, des destinataires des données de ses droits d'accès et de rectification, de la durée de la conservation, du transfert éventuel des données vers l'étranger^123(*).Dans la pratique au Burkina Faso, les entreprises évoluant dans les technologies ne déterminent pas au préalable la durée de la conservation des données personnelles pendant la collecte de ces données personnelles, ce qui est de nature à entrainer des réutilisations abusives non prévues dans le contrat^124(*). Cette pratique est un manquement à la législation en la matière en raison de la complexité et de l'insuffisance de la LPDP qui ne fixe pas un délai de prescription pour leur conservation par le responsable de traitement^125(*).

Le nouveau RGPD est plus claire. En effet, il dispose dans son article 14 al1.d que la personne concernée peut lorsque le droit d'accès est possible, intervenir pour discuter avec le responsable si la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée, ce qui n'est pas le cas en droit burkinabè. En France, la loi informatique et des libertés^126(*) prévoit une durée de conservation définie et limitée. En effet la durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis. Exemples de durées de conservation^127(*) :

Par exemple, lors d'un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l'opération de paiement.Ainsi, au terme de la réalisation de cet objectif (l'achat du bien dans l'exemple précédent), les données doivent être :

· Effacées ou ;

· Archivées (voir ci-dessous) où ;

· Faire l'objet d'un processus d'anonymisation des données, afin de rendre impossible la « réidentification » des personnes. Ces données, n'étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques. Dans le cas général, la législation européenne prévoit que les données personnelles ne doivent pas être conservées « plus longtemps que nécessaire », les modalités de cette règle générique étant précisées dans des cas particuliers ou laissées aux soins d'autres autorités de réglementation (contrats, réglementations sectorielles, textes de loi plus spécifiques...).En plu du doit d'information, les personnes concernées bénéficient d'un droit d'accès.

* ¹²² Prédéfini.

* ¹²³ Article de la LPDP et article 12 al.1 du RGPD.

* ¹²⁴ Ce que nous avons constaté au moment de nos entretiens avec les responsables de ces entreprises.

* ¹²⁵ Le nouveau règlement n'a pas défini de délai fixe à la conservation des données mais se réserve de dire que ces données peuvent être conservées autant qu'elles sont nécessaires à la finalité des traitements. Il en est ainsi pour des finalités ultérieures compatibles à la finalité initiale. La législation burkinabé manque de précision.

* ¹²⁶ Loi informatique et liberté précité.

* ¹²⁷ www.cnil.fr limiter la conservation des données, consulté le «  02/01/2019 à 12H 30 ».