Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

3. L'obligation de notification

Cette obligation exige tout responsable de traitement de faire une déclaration de tels traitements des données auprès de la Commission Informatique et des Libertés^146(*). Cette déclaration doit indiquer un certain nombre d'informations telles que l'indication^147(*):

a) la personne qui présente la demande et celle qui a le pouvoir de décider de la création du traitement de données^148(*) ou, si elle réside à l'étranger, son représentant au Burkina Faso ;

b) les caractéristiques, la finalité et s'il y a lieu, la dénomination du traitement de données ;

c) le service ou les services chargés de mettre en oeuvre celui-ci ;

d) le service auprès duquel s'exerce le droit d'accès ainsi que les mesures prises pour faciliter l'exercice de ce droit ;

e) les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées.

Lorsque les traitements automatisés de données à caractère personnel sont opérés pour le compte de l'Etat, d'un Etablissement public, d'une collectivité territoriale ou d'une personne de droit privé gérant un service public, il doit être décidé par décret pris après avis de la CIL^149(*).

Cette obligation doit être exécutée par le responsable de traitement avant la mise en oeuvre de traitement des données personnelles au Burkina. C'est une formalité préalable au traitement des données personnelles. Au Burkina Faso cette procédure est battue en brèche en raison du fait que bon nombre d'entreprises ne la respectent qu'après le contrôle et la recommandation faits par l'autorité de contrôle (CIL)^150(*). En 2010, la CIL a procédé à sa première vérification sur place conformément à l'article 37 de la LPDP auprès de plusieurs secteurs tels que le secteur d'identification Nationale (Office Nationale d'Identification), le secteur politique (Commission Electorale Nationale Indépendante), le secteur de téléphonie (Office Nationale de Télécommunication, TELECEL, ORANGE (ZEN à l'époque)) et le secteur cyber café et autres centres communication internet au Burkina Faso^151(*). Au terme de ces missions, la CIL a constaté que ces secteurs n'ont pas accompli leur obligation de déclaration à la CIL, qu'en plus le droit au respect de la sécurité des données n'est pas respecté par ces secteurs d'activités^152(*). Elle a ainsi formulé des recommandations portant sur l'obligation de déclaration des traitements des données à caractère personnel à la CIL, de sécurité dans le processus de traitement, le respect de principe de consentement préalable et de finalité des traitements, le principe de conservation limité des données personnelles, le principe de confidentialité, de sécurité des données personnelles , définitions des chartes de bonne utilisation des ordinateurs et de manière générale le respect des droits des personnes concernées par le traitement^153(*). Ces responsables de traitement des données devraient se conformer à la LPDP dès son adoption en 2004. Cette violation tire sa source des faiblesses et des insuffisances de la CIL depuis sa création par le décret^154(*).

En Europe, le régime de déclaration à la CNIL est aboli par le nouveau règlement et est remplacé par la déclaration au registre interne. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tient un registre des activités de traitement effectué sous leur responsabilité^155(*). Ce registre comporte toutes les informations relatives aux données traitées, leurs destinataires... (Art 30 du règlement). Ce mécanisme serait bénéfique au Burkina Faso puisqu'il permet à la CIL de procéder au contrôle régulièrement afin de vérifier la conformité des traitements à la loi. Dans la pratique, la CIL après la déclaration et son contrôle à posteriori immédiat à la déclaration n'effectue aucun effort, elle se borne à attendre des plaintes auprès des personnes concernées avant de réagir à lors que ce dernier ignore souvent leurs droits. Ce qui est encore un obstacle à l'évolution de la jurisprudence en matière de traitement des données personnelles au Burkina Faso contrairement aux pays occidentaux.

L'analyse de l'obligation de notification, nous amène à nous intéresser celle de demander une autorisation de traitement.

4. L'obligation de demander une autorisation de traitement

Certains types de données impliquent qu'une autorisation soit donnée par l'autorité de contrôle avant le traitement^156(*) : il s'agit

- des données génétiques et sur la recherche dans le domaine de la santé ;

- les données relatives aux infractions, condamnation ou mesure de sureté ;

- des données qui font l'objet d'une interconnexion ;

- les données constituées par le numéro national d'identification ou tout autre identifiant de même nature ;

- les données biométriques et les données ayant un motif d'intérêt public notamment à des fins historiques ou scientifiques.

En Europe le nouveau règlement prévoit un allègement des obligations en matière de formalités préalables.  La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs. Cet allègement a eu un impact pour le secteur de santé^157(*).Pour les traitements suivants comportant des données de santé, les formalités à accomplir auprès de la CNIL disparaissent à certaines conditions :

· Les traitements pour lesquels la personne concernée a donné son consentement exprès ;

· Les traitements nécessaires à la sauvegarde de la vie humaine ;

· Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

· Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel (ex : dossier médical ou logiciel de gestion médico-administratif, télémédecine, PACS utilisé dans le domaine de l'imagerie médicale, etc.) ;

· Les traitements permettant d'effectuer des recherches à partir des données réalisées par le personnel assurant ce suivi, et destinées à leur usage exclusif (recherche « interne ») ;

· Les traitements mis en oeuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;

· Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans le cadre du PMSI local ;

· Les traitements effectués par les agences régionales de santé, par l'État et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du code de la santé publique et dans le cadre défini au même article ;

· Les traitements de données dans le domaine de la santé mis en oeuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la CNIL, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites.

Outres ces obligations, les responsables du traitement doit obéir aux obligations de perenité.

* ¹⁴⁶ Article 19 de LPDP.

* ¹⁴⁷ Article 42 de la LPDP et l'article 6 de l'acte additionnel CEDEAO.

* ¹⁴⁸ Cet alinéa de l'article défini mal le responsable de traitement des données personnelles. Celui-ci ne crée pas des données, il traite des données.

* ¹⁴⁹ Article 18 alinéa 1 de LPDP.

* ¹⁵⁰ Rapport public, CIL ,2010.

* ¹⁵¹ Rapport public, CIL 2010, P. 12.

* ¹⁵² Idem p. 13 ;14 ;15 et 16.

* ¹⁵³ Idem.

* ¹⁵⁴ Dès sa création en 2004, c'est à partir de 2008 que la CIL a été réellement institué.

* ¹⁵⁵ Ce mécanisme devrait être une leçon pour le Burkina dans la modification de la LPDP.

* ¹⁵⁶ Article 12 de l'Acte Additionnel CEDEAO.

* ¹⁵⁷ https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel consulté le « 23 02 2019 à 14h ».