Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

B. Les obligations du responsable du traitement

La LPDP fait naitre à la charge des personnes responsables plusieurs obligations dont il est judicieux d'évoquer dans les points ultérieurs.

1. L'obligation d'information

Le responsable du traitement doit informer la personne concernée de la finalité, des destinataires des données, du caractère obligatoire ou facultatif des réponses aux questions^137(*).

Outre l'obligation d'information, une obligation de confidentialité et de sécurité est à la charge des responsables du traitement.

2. L'obligation de confidentialité et de sécurité des données

Elle impose au responsable de traitement de prendre toutes les mesures techniques et organisationnelles appropriées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou accès non autorisée^138(*). S'agissant des mesures techniques , il s'agit des mesures de sécurité physique (protection contre la destruction physique, l'incendie, le gel, les pannes d'électricité...) et des mesures de sécurité logique(protection contre l'accès et la modification du système informatique).Ces mesures doivent permettre de respecter les principes de traitement et de qualité des données .S'agissant des mesures organisationnelles, celles-ci englobent toutes les mesures qui doivent tendre à conscientiser le personnel au problème de la sécurité et au respect de la législation relative à la protection des données personnelles . Ces mesures doivent être proportionnées aux risques encourus et être adéquates au regard de l'art et de la technique^139(*).

Certaines entreprises de technologies ont mis en place plusieurs mesures techniques et organisationnelles telles que les politiques de sécurité des données, la charte de gestions des risques et la matrice des risques^140(*).

Nous avons constatédans la société MTOPO PAYMENT SOLUTIONS BF que toutes ces mesures ont été mise en place dans le cadre de la protection des données personnelles, les données anonymisées sur les logiciels et dans les équipements informatiques.

Selon MTOPO payement solutions BF^141(*), l'objectif de la politique de la sécurité vise à atteindre la réalisation des 3 composants de base de la sécurité : la confidentialité, l'intégrité et la disponibilité^142(*).La confidentialité est le caractère réservé d'une information dont l'accès et la diffusion sont limités aux seules personnes autorisées à la connaître. L'intégrité est la protection de l'exactitude et de l'entièreté de l'information et des méthodes de traitement de celle-ci. La disponibilité est l'aptitude d'un système à assurer ses fonctions sans interruption, délai ou dégradation, au moment même où la sollicitation en est faite.

Dans la procédure de matrice des risques, MTOPO en tant qu'agrégateur des paiements, se donne les moyens organisationnels, techniques et opérationnels pour non seulement comprendre et identifier les risques, mais aussi et surtout pour prendre les mesures idoines pour mettre ceux-ci sous contrôle^143(*).

Le risque est un événement dont la survenance n'est pas certaine mais entraîne pour la personne fichée un dommage^144(*). Dans cette industrie comme dans d'autres évoluent ; identifier les risques n'est donc pas un exercice statique. C'est plutôt un exercice continu qui doit être mis en oeuvre méthodiquement et rigoureusement.

Ce document décrit les risques identifiés par la société en ce début de ses activités ; et ceci est une base sur les pratiques de l'industrie de paiement et les cadres de références associés. Il présente aussi les mesures de mitigation mises en oeuvre pour cela.

La charte de la gestion des risques est mise en place pour définir le but, les valeurs, les objectifs, le domaine d'action, les responsabilités, l'autorité et le statut de la gestion des risques. Elle vise à offrir aux acteurs de la gestion des risques, une compréhension claire de leurs rôles respectifs dans le domaine de la gestion des risques^145(*). Cette charte fera l'objet d'une revue annuelle par le département de la gestion des risques et sera approuvée par le président du Comité des Risques.

Ces mesures organisationnelles mises en place permettent une meilleure protection des données à caractère personnel au sein de l'entreprise et dans les logiciels mise à la disposition à ses clients.

L'analyse de l'obligation de confidentialité et de sécurité, nous oblige à évoquer celle de notification.

* ¹³⁷ Article 14 LPDP.

* ¹³⁸ Article 15 de la LPDP.

* ¹³⁹ D.W. KABRE, Droit des technologies de l'information et de la communication, op.cit., p. 124.

* ¹⁴⁰ Nous l'avons constaté lors de notre stage à MTOPO PAYMENT SOLUTIONS BF en 2018-2019.

* ¹⁴¹ MTOPO PAYEMENT SOLUTIONS BF, SARL à capital de 10.000 000 fcfa.

* ¹⁴² Cf. politique de sécurité de MTOPO 2019, p.2.

* ¹⁴³Cf. Procédure de matrice MTOPO 2019 ; p.3.

* ¹⁴⁴ Pr Yves Poulet, «  protection des données personnelles et obligation de sécurité », p. 19.

* ¹⁴⁵ Cf. Charte de la gestion des risques MTOPO PAYMENT SOLUTIONS BF  2019, p. 3.