Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

C. Le cadre conceptuel

C'est le lieu pour nous de définir les concepts clés de notre thématique. Il s'agit entre autres des termes suivants :

Protection des données d'utilisateurs à caractère personnel : Dans sa thèse de doctorat intitulé « protection des données personnelles coté utilisateurs dans le e-commerce », KEIRA Dari BEKARA définit la protection des données personnelles comme « l'ensemble des mesures techniques visant à assurer le respect du droit à la vie privée, limiter l'accès aux données de la sphère privée d'un utilisateur explicitement représenté sous forme numérique et mises en jeu dans le cadre d'une application informatique »^23(*). Il apparaît donc que les données personnelles ne sont qu'une partie de la sphère privée. La protection de ces données ne constitue qu'une partie de la protection du droit à la vie privée, même si restreinte au domaine numérique. En revanche, la protection de la vie privée, on l'a vu, n'intervient donc pas exclusivement dans le cadre d'applications informatiques. La notion de sphère privée apparaît dans toutes les activités humaines à partir du moment où elles ont une dimension sociale^24(*).

Donnée à caractère personnel : Suivant les textes relatifs à la protection des personnes à l'égard de l'utilisation des informations les concernant, il est généralement fait référence aux expressions « données nominatives », « données personnelles », « données à caractère personnel »^25(*).En France, la loi pionnière du 06 janvier 1978^26(*) se referait, ainsi, initialement aux données nominatives^27(*).D'autres textes internationaux adoptaient, cependant, l'expression de donnée à caractère personnel. C'est le cas de la convention du Conseil de l'Europe pour la protection des personnes à l'égard des traitements automatisés des données à caractère personnel^28(*). Si les deux expressions de « donnée nominative » et « donnée à caractère personnel » ont pu coexister dans la loi française, c'est lors de la modification en 2004, pour transposer une directive communautaire que l'expression donnée à caractère personnel sera généralisée. En effet la loi informatique et liberté modifiée se réfère désormais aux données à caractère personnel. L'ancien article 4 de la loi Informatique et libertés considérait comme « nominatives... les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent ».Le nouvel article 2 définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres». L'objet de la protection visée par ces deux dispositions est donc bien l'information relative à des personnes physiques identifiables. Il n'y a pas de différence, au fond, quant au contenu de ces deux expressions qui désignent toutes, des informations permettant directement ou indirectement d'identifier les personnes physiques auxquelles elles se rapportent. Si l'expression « donnée nominative » avait l'inconvénient de se focaliser sur le nom en réduisant par la même les moyens d'identification des personnes, l'expression « données à caractère personnel » est plus neutre et a l'avantage d'indiquer que sont concernées toutes les informations relatives à la personne physique et non exclusivement à celles comportant le nom^29(*).

Selon le Groupe de l'article 29^30(*) sur la protection des données personnelles, le concept de données à caractère personnel est fondé sur quatre éléments principaux à savoir : « toute information », « concernant », « personne physique », « identifiée ou identifiable »

La Loi portant Protection des Données à caractère Personnel(LPDP) et l'Acte additionnel A/SA.1/01 du 16 février 2010 relatif à la protection des données personnelles à l'image de la loi française sur la loi informatique^31(*) définissent la donnée à caractère personnel comme toute information qui permet, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques, notamment par référence à un numéro d'identification ou à plusieurs éléments spécifiques propres leur identité physique, psychologique, psychique économique, culturelle ou sociale.

Le nouveau règlement de l'Union Européenne en son article 4 alinéa 1 sur la protection des données personnelles, définit de manière précise les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable »^32(*). Il s'agit d'une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. La philosophie du règlement étant la protection des données personnelles des citoyens de l'Union Européenne, le règlement s'applique uniquement aux personnes physiques. Ainsi, sont exclues les données à caractère personnel relatives aux personnes morales^33(*) et, en particulier, aux entreprises dotées de la personnalité juridique et celles relatives aux personnes décédées^34(*).Il faut au préalable constater qu'il s'agit d'informations se rapportant à des personnes dont l'utilisation peut porter préjudice et nécessitent une protection à cet égard. Au sujet de la presse électronique, Mme Mallet-Poujol considère, ainsi, que « c'est tant le contenu éditorial de la publication qui est susceptible de nuire à autrui que l'existence et la persistance de certaines données sur la toile. Il n'y a pas forcément de risque d'atteinte à la vie privée mais accumulation de données, pour certaines anodines, mais qui, rassemblées, peuvent être de nature à porter préjudice aux personnes concernées ».

Programme d'ordinateurs : Le programme d'ordinateur, appelé également « logiciel » est « l'ensemble d'instructions exprimées par des mots, des codes, des schémas ou par toute autre forme pouvant, une fois incorporée dans un support déchiffrable par une machine, faire accomplir ou faire obtenir une tache ou un résultat particulier par un ordinateur ou par un procédé électronique capable de faire de traitement de l'information »^35(*).Il résulte de cette définition que deux éléments caractérisent le programme d'ordinateur^36(*).Il s'agit d'une composante textuelle(code source) et un dispositif permettant l'accomplissement de certaines taches(codes objets).

Le logiciel, en tant que, programme d'ordinateur est protégé par le droit d'auteur^37(*)sous certaines conditions par le droit des brevets^38(*) .

Le logiciel CONEKTO TRANSPORT : selon le Directeur Général de MTOPO PAYEMENT SOLUTION BF dans le protocole de test CONEKTO TRANSPORT, le logiciel CONEKTO TRANSPORT est défini comme « une plateforme de Gestion de compagnie de transport routier dénommée CONEKTO TRANSPORT permettant à tout client détenteur d'une licence d'utilisation d'avoir une solution de gestion de toute son activité ». Il précise également que c'est un logiciel en mode SAS (Software As a Service), c'est-à-dire que le logiciel, en tant que service désigne un modèle d'exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l'utilisateur. Les clients ne paient pas de licence d'utilisation pour une version, mais utilisent librement le service en ligne ou, plus généralement, payent un abonnement périodique. Ce logiciel permet aux compagnies de transport de gérer complètement leurs activités, d'imprimer des tickets de voyages, l'enregistrement des passagers, l'imprimer des étiquettes de colis et de bagages, l'embarquement des passagers et le traçage des colis et des bagages. Il permet aux voyageurs d'effectuer les réservations des tickets de voyage en ligne à travers une application mobile NTERI^39(*) qui est mise à leur disposition par MTOPO PAYEMENT SOLUTIONS BF.

La définition des concepts clés de notre thème nous conduit à faire un tour des différents écrits ayant trait à l'objet de notre étude.

* ²³K. D. BEKARA, Protection des données personnelles coté utilisateurs dans le e-commerce, France, HAL, thèse, éd.2 juin 2014, p. 36.

* ²⁴ Idem p. 37.

* ²⁵ L'expression « donnée personnelle » est utilisée de façon elliptique pour désigner les « données à caractère personnel

* ²⁶ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette loi est souvent appelée loi « Informatique et libertés ».

* ²⁷ Voir notamment l'ancien article 4 de la Loi Informatique et Libertés.

* ²⁸ Conseil de l'Europe, Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, 28 janvier 1981. Cette Convention est souvent dite « Convention 108 ». Voir également, ONU (Organisation des nations unies), Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, 14 décembre 1990.

* ²⁹ L'intérêt de distinction entre donnée nominatives et données à caractère personnel.

* ³⁰ Groupe de protection des personnes à l'égard des traitements de données à caractère personnel ou « Groupe de l'article 29 ». Le « Groupe de l'article 29 » a été créé par la directive 95/46/CE du Conseil de l'Europe relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* ³¹ Il s'agit respectivement de l'article 2, art. 2 et art.1 de la loi n°010 du 20 avril 2004 portant protection des données à caractère personnel, de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et libertés et l'Acte additionnel A/SA.1/01 du 16 février 2010 relatif à la protection des données personnelles

* ³² Article 4, al. 1^er du Règlement 2016/679.

* ³³ En principe, les personnes concernées par la protection légale sont les personnes physiques. A contrario, les personnes morales se trouvent exclues du champ de cette protection. Toutefois, dans certaines situations, la loi trouvera à s'appliquer s'agissant par exemple des personnes physiques représentants légaux de personnes morales lorsque celles-ci sont nominativement désignées dans un fichier.

* ³⁴ Sur ce dernier point étonnant, notamment pour des données médicales qui pourraient concerner des apparentées vivantes, notons que le règlement permet aux Etats Membres de prendre les dispositions qu'ils estimeront utiles.

* ³⁵ point 8) du lexique annexé à la loi n°032-99 /AN du 22 décembre 1999 portant protection de la propriété littéraire et artistique.

* ³⁶ D.W. KABRE, Droit de la technologie de l'information et de la communication, op.,cit., p.12.

* ³⁷« Comme tout oeuvre artistique et littéraire, le logiciel n'est digne de protection que s'il présente une certaine originalité permettant d'individualiser son auteur », D. W. KABRE, Droit de la Technologie de l'Informatique et de la télécommunication, op.,cit., p.11 et un arrêt de la cour de cassation française du 17 octobre 2012.

* ³⁸ Le logiciel en tant que tel ne peut accéder à la protection par le droit de brevet puisqu'il n'implique aucune invention, toutefois lorsqu'il est incorporé en un procédé industriel, il peut être breveté.

* ³⁹ Cette application a été détournée par le chef de projet informatique de MTOPO en Aout 2018.Des procédures judiciaires sont déclenchées à l'encontre du délinquant.