Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

Section II : Le contrôle des traitements des données

Le contrôle des traitements des données est assuré par une autorité de contrôle ou de protection dénommée Commission Informatique et des Libertés selon l'Acte Additionnel de la CEDEAO portant protection des données à caractère personnel.

La commission est chargée de veiller au respect des dispositions de la loi, notamment en informant toute personne concernée de leurs droits et obligations et en contrôlant les applications de l'informatique aux traitements des données d'utilisateurs à caractère personnel^160(*).

La CIL a pour attribution de veiller à ce que le traitement automatisé ou non, public ou privé, d'information nominative soient effectuées conformément à la disposition légale. Elle dispose d'un pouvoir de sanction^161(*).

Nous évoquerons dans le paragraphe I le contrôle à priori de la mise en oeuvre des traitements et dans le paragraphe II le contrôle à posteriori de la mise en oeuvre des traitements.

Paragraphe I : Le contrôle a priori de la mise en oeuvre des traitements des données à caractère personnel

Fondamentalement, la collecte des données est l'étape préalable indispensable à la mise en oeuvre de tout traitement de données à caractère personnel. C'est à travers cette étape que le responsable du traitement accède aux données nécessaires au traitement.

Cette phase du traitement des données doit faire l'objet de toutes les attentions. Ces attentions vont, d'ailleurs, dans un double sens. Il s'agit, d'une part, de garantir la qualité scientifique des traitements au titre desquelles les données concernant les personnes ont vocation à être collectées et traitées et, d'autre part, de respecter des conditions juridiques exigées pour accéder aux données. Toutes les informations personnelles n'étant pas librement accessibles, il convient d'en respecter les conditions juridiques de disponibilité.

Le contrôle à priori s'exerce par l'accomplissement des formalités préalables (déclarations, autorisations et avis) à la mise en oeuvre des traitements qu'il convient à évoquer.

A. Les déclarations à la CIL

Conformément à la LPDP toute personne physique ou morale décidant de la collecte des données personnelles a l'obligation de faire la déclaration des traitements à la CIL avant la mise en oeuvre des traitements. Cette demande est fondée sur les articles 19 et suivants de la loi sur la protection des données personnelles. En effet, cet article fait obligation aux responsables de traitement de procéder à une déclaration préalable de traitement de données à caractère personnel auprès de l'autorité de protection des données à caractère personnel. A l'instar du Burkina Faso, le Gabon, le Sénégal, respectivement aux articles 51 et suivants de la loi n° 001-2011 du 25 septembre 2011, aux articles 18 et suivants de la loi n° 2008-12 du 15 janvier 2008 relative à la protection des données à caractère personnel et aux article 5 et suivant de la loi ivoirienne portant protection des données à caractère personnel ont adopté les mêmes dispositions.

La déclaration consiste à renseigner, une fiche de déclaration téléchargeable sur le site de la commission et la déposer auprès des services de la commission contre récépissé. La déclaration est une formalité plus simple à accomplir contrairement à la rigueur de la demande d'avis et devrait inciter les responsables à la respecter avec célérité. En somme la formalité préalable vise à permettre à l'autorité compétente de connaitre l'identité du responsable du traitement et du type de traitement envisagé en vue de s'assurer du respect de la législation en matière de protection des données à caractère personnel à l'égard des citoyens. C'est pendant cette phase que la CIL autorise et limite les finalités des traitements. La conséquence directe de la limitation a priori de la finalité du traitement est l'interdiction d'utiliser les données suivant une finalité ultérieure qui serait incompatible avec la finalité initiale.

En Europe, avec l'avènement du nouveau RGPD, cette formalité préalable est battue en brèche. En effet, elle est remplacée par la déclaration au registre interne. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Apres l'analyse des déclarations à la Commission, nous nous intéresserons aux demandes d'avis et d'autorisation.

* ¹⁶⁰ Article 37 LPDP.

* ¹⁶¹ CIL, rapport public, 2012.